Freigeben über


Überwachung der Datenintegrität in Microsoft Defender for Cloud

Die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware und Linux-Systemdateien auf Änderungen, die auf einen Angriff hinweisen können.

Für die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) wird die Azure-Lösung „Änderungsnachverfolgung“ verwendet, um Änderungen in Ihrer Umgebung nachzuverfolgen und zu identifizieren. Wenn FIM aktiviert ist, verfügen Sie über eine Ressource für die Änderungsnachverfolgung vom Typ Lösung. Wenn Sie die Ressource Änderungsnachverfolgung entfernen, deaktivieren Sie damit auch das Feature „Überwachung der Dateiintegrität“ in Defender for Cloud. Mit FIM können Sie die Änderungsnachverfolgung direkt in Defender für Cloud nutzen. Ausführliche Informationen zur Häufigkeit der Datensammlung finden Sie unter Details zur Datensammlung für die Änderungsnachverfolgung.

Defender für Cloud empfiehlt Entitäten zur Überwachung mit FIM. Sie können auch eigene FIM-Richtlinien oder Entitäten für die Überwachung definieren. Die Überwachung der Dateiintegrität informiert Sie über verdächtige Aktivitäten wie z. B.:

  • Erstellen und Löschen von Dateien und Registrierungsschlüsseln
  • Änderungen an Dateien (an der Dateigröße, der Zugriffssteuerungsliste und dem Hash des Inhalts)
  • Änderungen an Registrierungen (Größe, Zugriffssteuerungslisten, Typ und Inhalt)

Viele Standards für die Einhaltung gesetzlicher Bestimmungen, wie z. B. PCI-DSS und ISO 17799, erfordern die Implementierung von FIM-Kontrollen.

Welche Dateien sollten überwacht werden?

Beim Auswählen der zu überwachenden Dateien sollten Sie die Dateien berücksichtigen, die für Ihr System und Ihre Anwendungen unentbehrlich sind. Überwachen Sie Dateien, bei denen Sie keine ungeplanten Änderungen erwarten. Wenn Sie Dateien auswählen, die von Anwendungen oder vom Betriebssystem häufig geändert werden (z. B. Protokoll- und Textdateien), werden viele überflüssige Meldungen generiert, die das Identifizieren eines Angriffs erschweren.

Defender für Cloud bietet die folgende Liste empfohlener Elemente zur Überwachung auf der Grundlage bekannter Angriffsmuster.

Linux-Dateien Windows-Dateien Windows-Registrierungsschlüssel (HKLM = HKEY_LOCAL_MACHINE)
/bin/login C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/bin/passwd C:\boot.ini HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/*.conf C:\config.sys HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot
/usr/bin C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/usr/sbin C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
/bin C:\Windows\regedit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
/sbin C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
/boot C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/usr/local/bin C:\Programme\Microsoft Security Client\msseces.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
/opt/bin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/opt/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/etc/init.d HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/cron.hourly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
/etc/cron.daily HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows
/etc/cron.weekly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
/etc/cron.monthly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie die Überwachung der Datenintegrität (File Integrity Monitoring, FIM) in Defender für Cloud verwenden.

Als Nächstes haben Sie folgende Möglichkeiten: