Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Fitur pemantauan integritas file di Microsoft Defender untuk Cloud Defender untuk Rencana Server 2, memindai file sistem operasi, registri Windows, perangkat lunak aplikasi, dan file sistem Linux. Ini menganalisis file-file ini untuk perubahan yang mungkin menunjukkan serangan.
Pemantauan integritas file membantu Anda untuk:
- Memenuhi persyaratan kepatuhan. Standar kepatuhan peraturan seperti PCI-DSS dan ISO 17799 sering memerlukan pemantauan integritas file.
- Tingkatkan postur dan identifikasi potensi masalah keamanan dengan mendeteksi perubahan mencurigakan pada file.
Memantau aktivitas mencurigakan
Pemantauan integritas file memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, dan file sistem Linux untuk mendeteksi aktivitas mencurigakan seperti:
- Pembuatan atau penghapusan kunci file dan registri.
- Modifikasi file, seperti perubahan ukuran file, daftar kontrol akses, dan hash konten.
- Modifikasi registri seperti perubahan ukuran, daftar kontrol akses, jenis, dan konten.
Kumpulan data
Pemantauan integritas file menggunakan agen Microsoft Defender untuk Titik Akhir dan pemindaian tanpa agen untuk mengumpulkan data dari mesin.
- Data yang dikumpulkan oleh agen Defender for Endpoint dan pemindaian tanpa agen dianalisis untuk mendeteksi perubahan pada file dan registri. Log dari perubahan tersebut disimpan untuk keperluan akses dan analisis di ruang kerja Log Analytics.
- Agen Defender for Endpoint mengumpulkan data dari komputer sesuai dengan file dan sumber daya yang ditentukan untuk pemantauan integritas file. Perubahan peristiwa yang dikumpulkan melalui Defender for Endpoint dialirkan ke ruang kerja yang Anda pilih dalam waktu hampir nyata.
- Pemeriksaan tanpa agen memberikan wawasan tentang insiden pemantauan integritas file sesuai dengan file dan sumber daya yang ditentukan untuk pemantauan integritas file. Peristiwa perubahan yang dikumpulkan melalui pemindaian tanpa agen dialirkan ke ruang kerja yang Anda pilih pada irama 24 jam.
- Data pemantauan integritas file yang dikumpulkan adalah bagian dari manfaat 500 MB yang disertakan dalam Defender untuk Server Paket 2.
- Pemantauan integritas file memberikan informasi tentang perubahan file dan sumber daya. Ini termasuk sumber perubahan, detail akun, indikasi siapa yang membuat perubahan, dan informasi tentang proses memulai.
Persyaratan versi
Untuk memastikan fungsionalitas pemantauan integritas file yang tepat, komputer harus menjalankan klien Windows Defender for Servers (agen Pertahanan Microsoft untuk Titik Akhir) versi 10.8799 atau lebih tinggi. Persyaratan ini sangat penting untuk:
- Mesin Windows warisan (klien downlevel)
- Lingkungan yang beralih dari FIM berbasis MMA atau AMA
Penting
Karena perubahan pipeline di Microsoft Defender untuk Endpoint, pengguna dengan penyebaran FIM yang ada pada mesin Windows lama harus memperbarui agen MDE mereka ke versi 10.8799 atau lebih tinggi untuk terus menerima data pemantauan integritas file.
Memigrasikan klien AMA/MMA warisan ke pemantauan integritas file berbasis MDE
Jika saat ini Anda menggunakan pemantauan integritas file dengan metode berbasis agen warisan (agen Analitik Log/Agen Pemantauan Microsoft (MMA) atau Agen Azure Monitor (AMA)), Anda perlu bermigrasi ke pendekatan berbasis MDE (Pertahanan Microsoft untuk Titik Akhir). Migrasi ini memastikan fungsionalitas dan akses berkelanjutan ke kemampuan yang ditingkatkan. Pelajari cara memigrasikan pemantauan integritas file dari klien AMA/MMA warisan ke solusi berbasis MDE.
Mengonfigurasi pemantauan integritas file
Setelah mengaktifkan Defender untuk Server Paket 2, Anda mengaktifkan dan mengonfigurasi pemantauan integritas file. Ini tidak diaktifkan secara default.
- Anda memilih ruang kerja Log Analytics untuk menyimpan peristiwa perubahan untuk file/sumber daya yang dipantau. Anda dapat menggunakan ruang kerja yang sudah ada, atau menentukan ruang kerja baru.
- Defender untuk Cloud merekomendasikan sumber daya yang perlu dipantau menggunakan pemantauan integritas file. Dengan pemindaian tanpa agen, Anda dapat menentukan jalur kustom untuk pemantauan selain sumber daya yang direkomendasikan.
Pilih apa yang akan dipantau
Defender for Cloud merekomendasikan entitas untuk dipantau menggunakan pemantauan integritas file. Anda dapat memilih item dari rekomendasi. Saat memilih file mana yang akan dipantau:
- Pertimbangkan file yang penting untuk sistem dan aplikasi Anda.
- Pantau file yang tidak Anda harapkan berubah tanpa perencanaan.
- Pilih file yang sering diubah aplikasi atau sistem operasi (seperti file log dan file teks) membuat kebisingan dan membuatnya sulit untuk mengidentifikasi serangan.
- Pantau file apa pun yang terletak di folder
/folder/path/*.
Nota
Jumlah maksimum aturan yang dapat diterapkan adalah 500.
Item yang direkomendasikan untuk dipantau
Saat menggunakan pemantauan integritas file dengan agen Defender for Endpoint, sebaiknya pantau item ini berdasarkan pola serangan yang diketahui.
| File Linux | File Windows | Kunci registri Windows (HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe |
Kunci: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Nilai: loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe |
Kunci: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Nilai: startup umum, startup |
| /etc/cron.daily | C:\autoexec.bat |
Kunci: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Nilai: usaha rintisan umum, usaha rintisan |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab |
Kunci: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Nilai: appinit_dlls, loadappinit_dlls |
|
| /etc/init.d |
Kunci: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Nilai: startup umum, startup |
|
| /opt/sbin |
Kunci: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Nilai: startup umum, startup |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Aturan khusus
Anda dapat membuat aturan kustom untuk memantau file atau folder tertentu selama memenuhi kriteria validasi berikut:
Maksimal tiga tanda bintang
*diizinkan di jalur (kedalaman maksimum). Wildcard (*) hanya diperbolehkan di awal atau akhir segmen jalur.Jalur dengan tiga tanda bintang tidak boleh diakhir dengan
/atau\.Jalur registri Windows harus dimulai dengan
HKLMatauhklmdan hanya boleh berisi huruf, angka, spasi,_,.,\,:. Wildcard (*) hanya diperbolehkan di awal atau akhir segmen jalur.Jalur file Windows hanya boleh berisi huruf, angka, spasi,
_, ,.\,*,?, dan:tidak boleh berisi/. Wildcard (*) hanya diperbolehkan di awal atau akhir segmen jalur.Jalur file Linux harus absolut (dimulai dengan
/) dan hanya boleh berisi huruf, angka, spasi,_, ,./, ,*:. Wildcard (*) hanya diperbolehkan di awal atau akhir segmen jalur.Semua jalur harus memenuhi panjang jalur maksimum sistem (260 karakter) dan aturan kedalaman maksimum (tiga tanda bintang).
Validasi definisi aturan
Nama aturan diperlukan.
Nama aturan hanya boleh berisi huruf (a–z, A–Z), digit (0–9), dan garis bawah (_), dan bisa hingga 128 karakter.
Nama aturan dan ID aturan harus unik.
Deskripsi aturan bersifat opsional. Jika disediakan:
- Panjang maksimum adalah 260 karakter.
- Karakter yang diizinkan:
letters,digits, dan? ! ) ( . ,.
Setidaknya satu jenis perubahan (dari manajemen perubahan dan permintaan dokumentasi (CMDR)) harus dipilih.
Antara 1 dan 500 aturan kustom didukung per langganan.
Langkah berikutnya
Mengaktifkan pemantauan integritas file dengan Defender for Endpoint