Megosztás a következőn keresztül:

Fájlintegritási monitorozás a Végponthoz készült Microsoft Defender használatával

  • Cikk

A fájlintegritási monitorozás (FIM) biztosításához Végponthoz készült Microsoft Defender gyűjt adatokat a gépekről a gyűjtési szabályok szerint. Ha a rendszerfájlok aktuális állapotát hasonlítja össze az előző vizsgálat során az állapottal, a FIM értesíti Önt a gyanús módosításokról.

A FIM használatával a következőt teheti:

  • Valós időben monitorozza a kritikus fájlok és a Windows-adatbázisok módosításait egy előre definiált listából.
  • A kijelölt munkaterület naplózott módosításainak elérése és elemzése.
  • Használja ki a Defender for Servers 2 csomag 500 MB-os előnyét.
  • Megfelelőség fenntartása: A FIM beépített támogatást nyújt a vonatkozó biztonsági szabályozási megfelelőségi szabványokhoz, például a PCI-DSS-hez, a CIS-hez, a NIST-hez és másokhoz

A FIM riasztást küld minden gyanús tevékenységre. A tevékenységek a következők:

  • Fájlok és beállításkulcsok létrehozása vagy törlése
  • Fájlok módosítása, például a fájl méretének, nevének, helyének vagy a tartalom kivonatának módosítása
  • A beállításjegyzék módosítása, beleértve a méretében, típusában és tartalmában bekövetkezett változásokat
  • A módosítás részletei, beleértve a módosítás forrását is. Ezek közé tartoznak a fiókadatok, amelyek jelzik, hogy ki hajtotta végre a módosításokat, valamint a kezdeményező folyamatra vonatkozó információkat.

A monitorozni kívánt fájlokra vonatkozó útmutatásért lásd : Melyik fájlokat kell figyelni?.

Elérhetőség

Szempont Részletek
Kiadási állapot: Előnézet
Díjszabás: A Microsoft Defender for Servers 2. csomagjának megköveteléséhez
Szükséges szerepkörök és engedélyek: A munkaterület tulajdonosa vagy a biztonsági rendszergazda engedélyezheti és letilthatja a FIM-et. További információ: Azure Roles for Log Analytics.
Az olvasó megtekintheti az eredményeket.
Felhők: Kereskedelmi felhők
Azure Arc-kompatibilis eszközök.
Csatlakoztatott AWS-fiókok
Csatlakoztatott GCP-fiókok

Előfeltételek

A fájlok és a regisztrációs adatbázisok módosításainak a Defender for Endpointrel rendelkező gépeken való nyomon követéséhez a következőket kell elvégeznie:

Fájlintegritási monitorozás engedélyezése

Engedélyezés az Azure Portalon

A FIM Azure Portalon való engedélyezéséhez kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza ki a Felhőhöz készült Defender programot.

  3. A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.

  4. Válassza ki az adott előfizetést.

  5. Keresse meg a Defenders for Servers csomagot, és válassza a Beállítások lehetőséget.

  6. A Fájlintegritási monitorozás szakaszban kapcsolja be a kapcsolót. Ezután válassza a Konfiguráció szerkesztése lehetőséget.

    Képernyőkép a fájlintegritási monitorozás engedélyezéséről.

  7. Megnyílik a FIM konfigurációs panelje. A Munkaterület kiválasztása legördülő listában válassza ki azt a munkaterületet, ahol a FIM-adatokat tárolni szeretné. Ha új munkaterületet szeretne létrehozni, válassza az Új létrehozása lehetőséget.

    Képernyőkép a FIM konfigurációs paneljéről.

    Fontos

    A Defender for Endpoint által üzemeltetett FIM-hez gyűjtött események az 500 MB-os kedvezményre jogosult adattípusok közé tartoznak a Defender for Servers 2. csomag ügyfelei számára. További információ: Milyen adattípusok szerepelnek a napidíjban?.

  8. A FIM konfigurációs paneljének alsó szakaszában válassza ki a Windows-beállításjegyzék, a Windows-fájlok és a Linux-fájlok fület a figyelni kívánt fájlok és nyilvántartások kiválasztásához. Ha az egyes lapokban a felső kijelölést választja, a rendszer az összes fájlt és adatbázist figyeli. A módosítások mentéséhez válassza az Alkalmaz lehetőséget.

    Képernyőkép a FIM konfigurációs lapjairól.

  9. Válassza a Folytatás lehetőséget.

  10. Válassza a Mentés lehetőséget.

Fájlintegritási figyelés letiltása

A FIM letiltása után a rendszer nem gyűjt új eseményeket. A funkció letiltása előtt gyűjtött adatok azonban a munkaterület megőrzési szabályzatának megfelelően a munkaterületen maradnak. További információ: Adatmegőrzés kezelése Log Analytics-munkaterületen.

Letiltás az Azure Portalon

Ha le szeretné tiltani a FIM-et az Azure Portalon, kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza ki a Felhőhöz készült Defender programot.

  3. A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.

  4. Válassza ki az adott előfizetést.

  5. Keresse meg a Defenders for Servers csomagot, és válassza a Beállítások lehetőséget.

  6. A Fájlintegritási figyelés szakaszban kapcsolja ki a kapcsolót.

    Képernyőkép a fájlintegritási figyelés letiltásáról.

  7. Válassza az Alkalmazás lehetőséget.

  8. Válassza a Folytatás lehetőséget.

  9. Válassza a Mentés lehetőséget.

Entitások és fájlok figyelése

Entitások és fájlok monitorozásához kövesse az alábbi lépéseket:

Feljegyzés

Ha még nem engedélyezte a FIM-et, megjelenik egy üzenet, amely szerint a fájlintegritási monitorozás nincs engedélyezve. A FIM engedélyezéséhez válassza az Előfizetések előkészítése lehetőséget, majd kövesse a fájlintegritás-figyelés engedélyezésének útmutatását.

  1. A Felhőhöz készült Defender oldalsávján lépjen a Számítási feladatok védelmének>fájlintegritási monitorozására.

    Képernyőkép a fájlintegritási monitorozás eléréséről a számítási feladatok védelmében.

  2. Megnyílik egy ablak az összes olyan erőforrással, amely nyomon követett módosított fájlokat és regisztrációs adatbázisokat tartalmaz.

    Képernyőkép a fájlintegritási monitorozás eredményeiről.

  3. Ha kiválaszt egy erőforrást, megnyílik egy ablak egy lekérdezéssel, amely az adott erőforrás nyomon követett fájljain és nyilvántartásaion végzett módosításokat jeleníti meg.

    Képernyőkép a fájlintegritási monitorozási lekérdezésről.

  4. Ha kiválasztja az erőforrás előfizetését (az Előfizetés oszlop neve alatt), megnyílik egy lekérdezés az előfizetésben lévő összes követett fájllal és adatbázissal.

Feljegyzés

Ha korábban a fájlintegritási monitorozást az MMA-ra használta, visszatérhet ehhez a metódushoz a Módosítás a korábbi felületre lehetőség kiválasztásával. Ez mindaddig elérhető lesz, amíg az MMA-alapú FIM szolgáltatás elavult. Az elavulási tervről további információt a Log Analytics-ügynök kivonásának előkészítése című témakörben talál.

FIM-adatok lekérése és elemzése

A fájlintegritási monitorozási adatok a tábla Azure Log Analytics-munkaterületén MDCFileIntegrityMonitoringEvents találhatók. A tábla megjelenik a Log Analytics-munkaterületen a LogManagment tábla alatt.

  1. Állítson be egy időtartományt a módosítások összegzésének erőforrásonkénti lekéréséhez. Az alábbi példában az elmúlt 14 nap összes módosítását lekérjük a beállításjegyzék és a fájlok kategóriáiban:

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)
| where MonitoredEntityType in ('Registry', 'File')
| summarize count() by Computer, MonitoredEntityType

  2. A beállításjegyzék módosításaival kapcsolatos részletes információk megtekintése:

    1. Távolítsa el Files a where záradékból.

    2. Cserélje le az összegző sort egy rendezési záradékra:

    MDCFileIntegrityMonitoringEvents 
| where TimeGenerated > ago(14d)
| where MonitoredEntityType == 'Registry'
| order by Computer, RegistryKey

  3. A jelentések archiválási célból exportálhatók a CSV-be, és egy Power BI-jelentésbe is átirányíthatók további elemzés céljából.

Kapcsolódó tartalom

További információ a Felhőhöz készült Defender:

  • Biztonsági szabályzatok beállítása – Ismerje meg, hogyan konfigurálhat biztonsági szabályzatokat az Azure-előfizetésekhez és az erőforráscsoportokhoz.
  • Biztonsági javaslatok kezelése – Megtudhatja, hogyan segíthetnek a javaslatok az Azure-erőforrások védelmében.
  • Azure Security blog – Az Azure legfrissebb biztonsági hírei és információi.