File Integrity Monitoring di Pertahanan Microsoft untuk Cloud
Pemantauan Integritas File (FIM) memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, dan file sistem Linux untuk perubahan yang mungkin mengindikasikan serangan.
FIM (pemantauan integritas file) menggunakan solusi Pelacakan Perubahan Azure untuk melacak dan mengidentifikasi perubahan di lingkungan Anda. Saat FIM diaktifkan, Anda memiliki sumber daya Pelacakan Perubahan jenis Solusi. Jika Anda menghapus sumber daya Pelacakan Perubahan, Anda juga akan menonaktifkan fitur Pemantauan Integritas File di Defender untuk Cloud. FIM memungkinkan Anda memanfaatkan Ubah Pelacakan langsung di Defender untuk Cloud. Untuk detail frekuensi pengumpulan data, lihat Mengubah detail pengumpulan data pelacakan.
Defender untuk Cloud merekomendasikan entitas untuk dipantau dengan FIM, dan Anda juga dapat menentukan kebijakan atau entitas FIM Anda sendiri untuk dipantau. FIM memberi tahu Anda aktivitas mencurigakan seperti:
- Pembuatan atau penghapusan kunci file dan registri
- Modifikasi file (perubahan ukuran file, daftar kontrol akses, dan hash konten)
- Modifikasi registri (perubahan ukuran, daftar kontrol akses, jenis, dan konten)
Banyak standar kepatuhan peraturan memerlukan penerapan kontrol FIM, seperti PCI-DSS dan ISO 17799.
File mana yang harus saya pantau?
Saat memilih file mana yang akan dipantau, pertimbangkan file yang penting untuk sistem dan aplikasi Anda. Pantau file yang tidak Anda harapkan berubah tanpa perencanaan. Jika Anda memilih file yang sering diubah oleh aplikasi atau sistem operasi (seperti file log dan file teks) akan menimbulkan noise, sehingga sulit untuk mengidentifikasi serangan.
Defender untuk Cloud menyediakan daftar item yang direkomendasikan berikut untuk dipantau berdasarkan pola serangan yang diketahui.
| File Linux | File Windows | Kunci registri Windows (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin/info masuk | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} |
| /bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
| /etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
| /usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| bin/ | C:\Windows\regedit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
| /sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
| /boot | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /usr/local/bin | C:\Program Files\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
| /opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
| /opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
| /etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
| /etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
| /etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
| /etc/cron.daily | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
| /etc/cron.weekly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
| /etc/cron.monthly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
| HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
| HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Langkah berikutnya
Dalam artikel ini, Anda telah mempelajari Pemantauan Integritas File (FIM) di Defender untuk Cloud.
Selanjutnya, Anda dapat: