Fájlintegritás monitorozása a Microsoft Defender for Cloudban
A fájlintegritási monitorozás (FIM) megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket és a Linux rendszerfájlokat a támadásra utaló változások esetén.
A FIM (fájlintegritási monitorozás) az Azure Change Tracking megoldást használja a környezet változásainak nyomon követésére és azonosítására. Ha a FIM engedélyezve van, egy Megoldás típusú változáskövetési erőforrással rendelkezik. Ha eltávolítja a változáskövetési erőforrást, letiltja a fájlintegritási monitorozás funkciót is Felhőhöz készült Defender. A FIM lehetővé teszi, hogy közvetlenül a Felhőhöz készült Defender használja ki a változáskövetés előnyeit. Az adatgyűjtés gyakoriságának részleteiért lásd: Változáskövetési adatgyűjtés adatai.
Felhőhöz készült Defender entitásokat javasol a FIM-sel való monitorozáshoz, és saját FIM-szabályzatokat vagy entitásokat is megadhat a monitorozáshoz. A FIM tájékoztatja Önt a gyanús tevékenységekről, például:
- Fájl- és beállításkulcs létrehozása vagy eltávolítása
- Fájlmódosítások (a fájlméret, a hozzáférés-vezérlési listák és a tartalom kivonata)
- Beállításjegyzék-módosítások (méretváltozások, hozzáférés-vezérlési listák, típus és tartalom)
Számos jogszabályi megfelelőségi szabvány megköveteli a FIM-vezérlők, például a PCI-DSS és az ISO 17799 implementálását.
Mely fájlokat kell figyelni?
A monitorozni kívánt fájlok kiválasztásakor vegye figyelembe a rendszer és az alkalmazások szempontjából kritikus fontosságú fájlokat. Figyelheti azokat a fájlokat, amelyek tervezés nélkül nem várhatók módosításra. Ha alkalmazások vagy operációs rendszer (például naplófájlok és szövegfájlok) által gyakran módosított fájlokat választ, az zajt okoz, ami megnehezíti a támadások azonosítását.
Felhőhöz készült Defender az ismert támadási minták alapján figyelendő ajánlott elemek alábbi listáját tartalmazza.
| Linux-fájlok | Windows-fájlok | Windows beállításkulcsok (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} |
| /bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
| /etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
| /usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| /tároló | C:\Windows\regedit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
| /sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
| /rendszerindítás | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /usr/local/bin | C:\Program Files\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
| /opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
| /opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
| /etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
| /etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
| /etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
| /etc/cron.daily | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
| /etc/cron.weekly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
| /etc/cron.monthly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
| HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
| HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Következő lépések
Ebben a cikkben megismerkedett a fájlintegritási monitorozással (FIM) Felhőhöz készült Defender.
Ezután a következőkre van lehetőség: