File Integrity Monitoring in Microsoft Defender for Cloud
Monitoraggio dell'integrità dei file (FIM) esamina i file del sistema operativo, i registri windows, il software dell'applicazione e i file di sistema Linux per individuare le modifiche che potrebbero indicare un attacco.
FIM (monitoraggio dell'integrità dei file) usa la soluzione azure Rilevamento modifiche per tenere traccia e identificare le modifiche nell'ambiente. Quando FIM è abilitato, è disponibile una risorsa Rilevamento modifiche di tipo Soluzione. Se si rimuove la risorsa Rilevamento modifiche, si disabiliterà anche la funzionalità Monitoraggio integrità file in Defender per il cloud. FIM consente di sfruttare Rilevamento modifiche direttamente in Defender per il cloud. Per informazioni dettagliate sulla frequenza di raccolta dei dati, vedere Dettagli sulla raccolta dei dati di Rilevamento modifiche.
Defender per il cloud consiglia di monitorare le entità con FIM ed è anche possibile definire criteri o entità FIM personalizzati da monitorare. FIM informa l'utente di attività sospette, ad esempio:
- Creazione o rimozione di chiavi del file e del Registro di sistema
- Modifiche nei file (modifiche nelle dimensioni dei file, elenchi di controllo degli accessi e hash del contenuto)
- Modifiche del Registro di sistema (modifiche alle dimensioni, elenchi di controllo di accesso, tipo e contenuto)
Molti standard di conformità alle normative richiedono l'implementazione di controlli FIM, ad esempio PCI-DSS e ISO 17799.
Quali file è necessario monitorare?
Quando si scelgono i file da monitorare, prendere in considerazione i file critici per il sistema e le applicazioni. Monitorare i file che non si prevede di modificare senza pianificazione. Se si scelgono file che vengono modificati frequentemente dalle applicazioni o dal sistema operativo (ad esempio file di log e file di testo) creerà rumore, rendendo difficile identificare un attacco.
Defender per il cloud fornisce l'elenco seguente di elementi consigliati da monitorare in base ai modelli di attacco noti.
| File di Linux | File di Windows | Chiavi del Registro di sistema di Windows (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295 edizione Enterprise} |
| /bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
| /etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
| /usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| bin/ | C:\Windows\regedit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
| /Sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
| /Boot | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /usr/local/bin | C:\Program Files\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
| /opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
| /opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
| /etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295 edizione Enterprise} | |
| /etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
| /etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
| /etc/cron.daily | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
| /etc/cron.weekly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
| /etc/cron.monthly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Cartelle della shell | |
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Cartelle della shell utente | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
| HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
| HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Passaggi successivi
In questo articolo sono state fornite informazioni sul monitoraggio dell'integrità dei file (FIM) in Defender per il cloud.
Successivamente, sarà possibile: