Bagikan melalui


File Integrity Monitoring di Pertahanan Microsoft untuk Cloud

Pemantauan Integritas File (FIM) memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, dan file sistem Linux untuk perubahan yang mungkin mengindikasikan serangan.

FIM (pemantauan integritas file) menggunakan solusi Pelacakan Perubahan Azure untuk melacak dan mengidentifikasi perubahan di lingkungan Anda. Saat FIM diaktifkan, Anda memiliki sumber daya Pelacakan Perubahan jenis Solusi. Jika Anda menghapus sumber daya Pelacakan Perubahan, Anda juga akan menonaktifkan fitur Pemantauan Integritas File di Defender untuk Cloud. FIM memungkinkan Anda memanfaatkan Ubah Pelacakan langsung di Defender untuk Cloud. Untuk detail frekuensi pengumpulan data, lihat Mengubah detail pengumpulan data pelacakan.

Defender untuk Cloud merekomendasikan entitas untuk dipantau dengan FIM, dan Anda juga dapat menentukan kebijakan atau entitas FIM Anda sendiri untuk dipantau. FIM memberi tahu Anda aktivitas mencurigakan seperti:

  • Pembuatan atau penghapusan kunci file dan registri
  • Modifikasi file (perubahan ukuran file, daftar kontrol akses, dan hash konten)
  • Modifikasi registri (perubahan ukuran, daftar kontrol akses, jenis, dan konten)

Banyak standar kepatuhan peraturan memerlukan penerapan kontrol FIM, seperti PCI-DSS dan ISO 17799.

File mana yang harus saya pantau?

Saat memilih file mana yang akan dipantau, pertimbangkan file yang penting untuk sistem dan aplikasi Anda. Pantau file yang tidak Anda harapkan berubah tanpa perencanaan. Jika Anda memilih file yang sering diubah oleh aplikasi atau sistem operasi (seperti file log dan file teks) akan menimbulkan noise, sehingga sulit untuk mengidentifikasi serangan.

Defender untuk Cloud menyediakan daftar item yang direkomendasikan berikut untuk dipantau berdasarkan pola serangan yang diketahui.

File Linux File Windows Kunci registri Windows (HKLM = HKEY_LOCAL_MACHINE)
/bin/info masuk C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/bin/passwd C:\boot.ini HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/*.conf C:\config.sys HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot
/usr/bin C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/usr/sbin C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
bin/ C:\Windows\regedit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
/sbin C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
/boot C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/usr/local/bin C:\Program Files\Microsoft Security Client\msseces.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
/opt/bin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/opt/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/etc/init.d HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/cron.hourly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
/etc/cron.daily HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows
/etc/cron.weekly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
/etc/cron.monthly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Langkah berikutnya

Dalam artikel ini, Anda telah mempelajari Pemantauan Integritas File (FIM) di Defender untuk Cloud.

Selanjutnya, Anda dapat: