La característica de supervisión de integridad de archivos del plan 2 de Defender para servidores en Microsoft Defender for Cloud ayuda a mantener seguros los activos y los recursos empresariales mediante la exploración y el análisis de archivos del sistema operativo, registros de Windows, software de aplicaciones y archivos del sistema Linux para los cambios que podrían indicar un ataque. La supervisión de la integridad de los archivos le ayuda a:
Satisfacen los requisitos de cumplimiento. La supervisión de la integridad de los archivos suele ser necesaria por los estándares de cumplimiento normativo, como PCI-DSS e ISO 17799.
Mejore la posición e identifique posibles problemas de seguridad mediante la detección de cambios sospechosos en los archivos.
Supervisión de la actividad sospechosa
La supervisión de la integridad de los archivos examina los archivos del sistema operativo, los registros de Windows, el software de aplicación y los archivos del sistema Linux para detectar actividad sospechosa como:
Eliminación y creación de archivos y clave del Registro.
Modificaciones de archivos como cambios en el tamaño de archivo, listas de control de acceso y hash del contenido.
Modificaciones del Registro como cambios en el tamaño, listas de control de acceso, tipo y contenido.
datos, recopilación
La supervisión de la integridad de los archivos usa el agente de Microsoft Defender para punto de conexión para recopilar datos de máquinas.
El agente de Defender para punto de conexión recopila datos de las máquinas de acuerdo con los archivos y recursos definidos para la supervisión de la integridad de los archivos.
Los datos recopilados por el agente de Defender para punto de conexión se almacenan para el acceso y el análisis en un área de trabajo de Log Analytics.
La supervisión de la integridad de los archivos proporciona información sobre los cambios de archivos y recursos, incluido el origen del cambio, los detalles de la cuenta, la indicación de quién realizó los cambios y la información sobre el proceso de inicio.
Migración a la nueva versión
La supervisión de la integridad de los archivos usó anteriormente el agente de Log Analytics (también conocido como Microsoft Monitoring Agent [MMA] o el agente de Azure Monitor [AMA]) para recopilar datos. Si usa la supervisión de la integridad de los archivos con uno de estos métodos heredados, puede migrar la supervisión de la integridad de los archivos para usar Defender para punto de conexión.
Configuración de la supervisión de la integridad de los archivos
Después de habilitar Defender para servidores Plan 2, habilite y configure la supervisión de la integridad de los archivos. No está habilitado de manera predeterminada.
Seleccione un área de trabajo de Log Analytics en la que almacenar eventos de cambio para archivos o recursos supervisados. Puede elegir un área de trabajo existente o definir una.
Defender for Cloud recomienda recursos para supervisar con la supervisión de la integridad de los archivos.
Elija qué elementos supervisar
Defender for Cloud recomienda entidades para supervisar con la supervisión de la integridad de los archivos. Puede elegir elementos de las recomendaciones. Al elegir los archivos que quiere supervisar:
Es conveniente que piense en los archivos que son críticos para su sistema y aplicaciones.
Supervise archivos que no espera que cambien sin haberlo planeado.
Si elige archivos que las aplicaciones o el sistema operativo cambian con frecuencia (por ejemplo, archivos de registro y archivos de texto), se generará ruido que dificulta la identificación de un ataque.
Elementos recomendados para supervisar
Al utilizar la supervisión de la integridad de los archivos con el agente de Defender para punto de conexión, recomendamos supervisar estos elementos basándose en patrones de ataque conocidos.
Archivo de Linux
Archivos de Windows
Claves del Registro de Windows (HKEY_LOCAL_MACHINE)