Share via

Bewaking van bestandsintegriteit met behulp van de Log Analytics-agent

  • Artikel

Om FIM (File Integrity Monitoring) te bieden, uploadt de Log Analytics-agent gegevens naar de Log Analytics-werkruimte. Door de huidige status van deze items te vergelijken met de status tijdens de vorige scan, wordt u door FIM op de hoogte gebracht als er verdachte wijzigingen zijn aangebracht.

Notitie

Omdat de Log Analytics-agent (ook wel bekend als MMA) in augustus 2024 buiten gebruik wordt gesteld, zijn alle functies van Defender for Servers die er momenteel van afhankelijk zijn, inclusief de functies die op deze pagina worden beschreven, beschikbaar via Microsoft Defender voor Eindpunt integratie of scannen zonder agent, vóór de buitengebruikstellingsdatum. Zie deze aankondiging voor meer informatie over de roadmap voor elk van de functies die momenteel afhankelijk zijn van de Log Analytics-agent.

In dit artikel leert u het volgende:

Notitie

Bewaking van bestandsintegriteit kan het volgende account maken op bewaakte SQL-servers: NT Service\HealthService
Als u het account verwijdert, wordt het automatisch opnieuw gemaakt.

Beschikbaarheid

Aspect DETAILS
Releasestatus: Algemene beschikbaarheid (GA)
Prijzen: Hiervoor is Microsoft Defender voor Servers Abonnement 2 vereist.
Met behulp van de Log Analytics-agent uploadt FIM gegevens naar de Log Analytics-werkruimte. Er worden kosten in rekening gebracht op basis van de hoeveelheid gegevens die u uploadt. Zie prijzen voor Log Analytics voor meer informatie.
Vereiste rollen en machtigingen: De eigenaar van de werkruimte kan FIM in- of uitschakelen (zie Azure-rollen voor Log Analytics voor meer informatie).
Lezer kan resultaten bekijken.
Clouds: Commerciële clouds
National (Azure Government, Microsoft Azure beheerd door 21Vianet)
Alleen ondersteund in regio's waar de oplossing voor het bijhouden van wijzigingen van Azure Automation beschikbaar is.
Apparaten met Azure Arc .
Zie Ondersteunde regio's voor gekoppelde Log Analytics-werkruimte.
Meer informatie over het bijhouden van wijzigingen.
Verbinding maken ed AWS-accounts

Bewaking van bestandsintegriteit inschakelen met de Log Analytics-agent

FIM is alleen beschikbaar op de pagina's van Defender voor Cloud in Azure Portal. Er is momenteel geen REST API voor het werken met FIM.

  1. Selecteer in het gebied Geavanceerde beveiliging van het dashboard Voor workloadbeveiliging de optie Bewaking van bestandsintegriteit.

    Schermopname van het openen van het dashboard Bestandsintegriteitscontrole.

    De volgende informatie wordt verstrekt voor elke werkruimte:

    • Het totale aantal wijzigingen dat in de afgelopen week is opgetreden (mogelijk ziet u een streepje '-' als FIM niet is ingeschakeld in de werkruimte)
    • Totaal aantal computers en VM's dat aan de werkruimte wordt gerapporteerd
    • Geografische locatie van de werkruimte
    • Azure-abonnement waarvoor de werkruimte zich bevindt

  2. Op deze pagina kunt u het volgende doen:

    • De status en instellingen van elke werkruimte openen en weergeven

    • Pictogram upgradeplan. Werk de werkruimte bij om verbeterde beveiligingsfuncties te gebruiken. Dit pictogram geeft aan dat de werkruimte of het abonnement niet is beveiligd met Microsoft Defender voor Servers. Als u de FIM-functies wilt gebruiken, moet uw abonnement worden beveiligd met dit abonnement. Meer informatie over het inschakelen van Defender voor Servers.

    • Pictogram Inschakelen Schakel FIM in op alle computers onder de werkruimte en configureer de FIM-opties. Dit pictogram geeft aan dat FIM niet is ingeschakeld voor de werkruimte. Als er geen knop inschakelen of upgraden is en de ruimte leeg is, betekent dit dat FIM al is ingeschakeld in de werkruimte.

      Schermopname van het inschakelen van FIM voor een specifieke werkruimte.

  3. Selecteer INSCHAKELEN. De details van de werkruimte, inclusief het aantal Windows- en Linux-machines onder de werkruimte, worden weergegeven.

    Schermopname van de pagina details van de FIM-werkruimte.

    De aanbevolen instellingen voor Windows en Linux worden ook vermeld. Vouw Windows-bestanden, Register- en Linux-bestanden uit om de volledige lijst met aanbevolen items weer te geven.

  4. Schakel de selectievakjes uit voor alle aanbevolen entiteiten die u niet wilt bewaken door FIM.

  5. Selecteer Bewaking bestandsintegriteit toepassen om FIM in te schakelen.

U kunt de instellingen op elk gewenst moment wijzigen. Meer informatie over het bewerken van bewaakte entiteiten.

Bewaking van bestandsintegriteit uitschakelen

FIM gebruikt de Azure-oplossing Wijzigingen bijhouden om veranderingen in uw omgeving te traceren en te identificeren. Als u FIM uitschakelt, verwijdert u de Wijzigingen bijhouden oplossing uit de geselecteerde werkruimte.

FIM uitschakelen:

  1. Selecteer Uitschakelen in het dashboard Bestandsintegriteit bewaken voor een werkruimte.

    Schermopname van het uitschakelen van bewaking van bestandsintegriteit vanaf de instellingenpagina.

  2. Selecteer Verwijderen.

Werkruimten, entiteiten en bestanden bewaken

Bewaakte werkruimten controleren

Het bewakingsdashboard voor bestandsintegriteit wordt weergegeven voor werkruimten waarvoor FIM is ingeschakeld. Het FIM-dashboard wordt geopend nadat u FIM hebt ingeschakeld voor een werkruimte of wanneer u een werkruimte selecteert in het bewakingsvenster voor bestandsintegriteit waarvoor FIM al is ingeschakeld.

Schermopname van het FIM-dashboard en de verschillende informatieve panelen.

In het FIM-dashboard voor een werkruimte worden de volgende details weergegeven:

  • Totaal aantal computers dat is verbonden met de werkruimte
  • Totaal aantal wijzigingen dat is opgetreden tijdens de geselecteerde periode
  • Een uitsplitsing van het wijzigingstype (bestanden, register)
  • Een uitsplitsing van de wijzigingscategorie (gewijzigd, toegevoegd, verwijderd)

Selecteer Filteren boven aan het dashboard om de periode te wijzigen waarvoor wijzigingen worden weergegeven.

Schermopname van het filter voor de periode voor het FIM-dashboard.

Op het tabblad Servers worden de computers weergegeven die aan deze werkruimte rapporteren. Voor elke computer bevat het dashboard de volgende lijsten:

  • Totale wijzigingen die zijn opgetreden tijdens de geselecteerde periode
  • Een uitsplitsing van de totale wijzigingen als bestandswijzigingen of registerwijzigingen

Wanneer u een machine selecteert, wordt de query samen met de resultaten weergegeven die de wijzigingen identificeren die zijn aangebracht tijdens de geselecteerde periode voor de machine. U kunt een wijziging uitbreiden voor meer informatie.

Schermopname van log Analytics-query met de wijzigingen die zijn geïdentificeerd door de bewaking van de bestandsintegriteit van Microsoft Defender voor Cloud.

Op het tabblad Wijzigingen (hieronder weergegeven) worden alle wijzigingen voor de werkruimte weergegeven tijdens de geselecteerde periode. Voor elke entiteit die is gewijzigd, vermeldt het dashboard het volgende:

  • Computer waarop de wijziging is opgetreden
  • Type wijziging (register of bestand)
  • Categorie van wijziging (gewijzigd, toegevoegd, verwijderd)
  • Datum en tijd van wijziging

Schermopname van het tabblad Wijzigingen van de bestandsintegriteit van Microsoft Defender voor Cloud.

Wijzigingsgegevens worden geopend wanneer u een wijziging invoert in het zoekveld of een entiteit selecteert die wordt vermeld op het tabblad Wijzigingen .

Schermopname van de bewaking van de bestandsintegriteit van Microsoft Defender voor Cloud met het detailvenster voor een wijziging.

Bewaakte entiteiten bewerken

  1. Selecteer in het dashboard Bewaking van bestandsintegriteit voor een werkruimte Instellingen op de werkbalk.

    Schermopname van het openen van de bewakingsinstellingen voor bestandsintegriteit voor een werkruimte.

    Werkruimteconfiguratie wordt geopend met tabbladen voor elk type element dat kan worden bewaakt:

    • Windows-register
    • Windows-bestanden
    • Linux-bestanden
    • Bestandsinhoud
    • Windows-services

    Elk tabblad bevat de entiteiten die u in die categorie kunt bewerken. Voor elke vermelde entiteit geeft Defender voor Cloud aan of FIM is ingeschakeld (waar) of niet is ingeschakeld (onwaar). Bewerk de entiteit om FIM in of uit te schakelen.

    Schermopname van de werkruimteconfiguratie voor bewaking van bestandsintegriteit in Microsoft Defender voor Cloud.

  2. Selecteer een item op een van de tabbladen en bewerk een van de beschikbare velden in het deelvenster Bewerken voor Wijzigingen bijhouden. De volgende opties zijn beschikbaar:

    • Bewaking van bestandsintegriteit inschakelen (Waar) of uitschakelen (Onwaar)
    • De naam van de entiteit opgeven of wijzigen
    • De waarde of het pad opgeven of wijzigen
    • De entiteit verwijderen

  3. Uw wijzigingen negeren of opslaan.

Een nieuwe entiteit toevoegen om te bewaken

  1. Selecteer in het dashboard Bewaking van bestandsintegriteit voor een werkruimte Instellingen op de werkbalk.

    De werkruimteconfiguratie wordt geopend.

  2. In de werkruimteconfiguratie:

    1. Selecteer het tabblad voor het type entiteit dat u wilt toevoegen: Windows-register, Windows-bestanden, Linux-bestanden, bestandsinhoud of Windows-services.

    2. Selecteer Toevoegen.

      In dit voorbeeld hebben we Linux-bestanden geselecteerd.

      Schermopname van het toevoegen van een element dat moet worden bewaakt in de bewaking van bestandsintegriteit van Microsoft Defender voor Cloud.

  3. Selecteer Toevoegen. Toevoegen voor Wijzigingen bijhouden wordt geopend.

  4. Voer de vereiste informatie in en selecteer Opslaan.

Bewaking van mappen en paden met jokertekens

Gebruik jokertekens om het bijhouden van mappen te vereenvoudigen. De volgende regels zijn van toepassing wanneer u mapbewaking configureert met jokertekens:

  • Jokertekens zijn vereist voor het bijhouden van meerdere bestanden.
  • Jokertekens kunnen alleen worden gebruikt in het laatste segment van een pad, zoals C:\folder\file of /etc/*.conf
  • Als een omgevingsvariabele een pad bevat dat niet geldig is, slaagt de validatie, maar mislukt het pad wanneer de inventaris wordt uitgevoerd.
  • Bij het instellen van het pad vermijdt u algemene paden zoals c:\*.*, wat resulteert in te veel mappen die worden doorkruist.

Basislijnen vergelijken met Bestandsintegriteit controleren

Fim (File Integrity Monitoring) informeert u wanneer er wijzigingen optreden in gevoelige gebieden in uw resources, zodat u niet-geautoriseerde activiteiten kunt onderzoeken en aanpakken. FIM bewaakt Windows-bestanden, Windows-registers en Linux-bestanden.

Ingebouwde recursieve registercontroles inschakelen

De standaardinstellingen voor FIM-register hive bieden een handige manier om recursieve wijzigingen binnen gemeenschappelijke beveiligingsgebieden te bewaken. Een kwaadwillende persoon kan bijvoorbeeld een script configureren dat moet worden uitgevoerd in LOCAL_SYSTEM context door een uitvoering bij het opstarten of afsluiten te configureren. Als u wijzigingen van dit type wilt controleren, schakelt u de ingebouwde controle in.

Registry.

Notitie

Recursieve controles zijn alleen van toepassing op aanbevolen beveiligings hives en niet op aangepaste registerpaden.

Een aangepaste registercontrole toevoegen

FIM-basislijnen beginnen met het identificeren van kenmerken van een bekende goede status voor het besturingssysteem en de ondersteunende toepassing. In dit voorbeeld richten we ons op de configuraties voor wachtwoordbeleid voor Windows Server 2008 en hoger.

Policy Name Registerinstelling
Domeincontroller: wijzigen van wachtwoorden van computeraccounts weigeren MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RefusePasswordChange
Lid van domein: gegevens in beveiligd kanaal digitaal versleutelen of ondertekenen (altijd) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal
Lid van domein: gegevens in beveiligd kanaal digitaal versleutelen (indien mogelijk) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel
Lid van domein: gegevens in beveiligd kanaal digitaal ondertekenen (indien mogelijk) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel
Lid van domein: geen systeemonderhoud van wachtwoord van computeraccount MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange
Lid van domein: het wachtwoord van het machineaccount heeft de maximale leeftijd bereikt MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge
Lid van domein: sterke sessiesleutel verplicht (Windows 2000 of hoger) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey
Netwerkbeveiliging: NTLM beperken: NTLM-verificatie in dit domein MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain
Netwerkbeveiliging: NTLM beperken: uitzonderingen voor servers in dit domein toevoegen MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers
Netwerkbeveiliging: NTLM beperken: NTLM-verificatie controleren in dit domein MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain

Notitie

Raadpleeg het referentiewerkblad groepsbeleid Instellingen referentieblad voor meer informatie over registerinstellingen die worden ondersteund door verschillende besturingssysteemversies.

FIM configureren voor het bewaken van registerbasislijnen:

  1. Selecteer in het venster Windows-register toevoegen voor Wijzigingen bijhouden het tekstvak Windows-registersleutel.

  2. Voer de volgende registersleutel in:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    Schermopname van het inschakelen van FIM in een register.

Wijzigingen in Windows-bestanden bijhouden

  1. Voer in het venster Windows-bestand toevoegen voor Wijzigingen bijhouden in het tekstvak Pad invoeren de map in die de bestanden bevat die u wilt bijhouden. In het voorbeeld in de volgende afbeelding bevindt Contoso Web App zich in het station D:\ in de mapstructuur ContosWebApp.

  2. Maak een aangepaste Windows-bestandsvermelding door een naam van de instellingsklasse op te geven, recursie in te schakelen en de bovenste map met een jokerteken (*) achtervoegsel op te geven.

    Schermopname van het inschakelen van FIM in een bestand.

Wijzigingsgegevens ophalen

Bewakingsgegevens voor bestandsintegriteit bevinden zich in de Azure Log Analytics-/ConfigurationChange-tabelset.

  1. Stel een tijdsbereik in om een samenvatting van wijzigingen per resource op te halen.

    In het volgende voorbeeld worden alle wijzigingen in de afgelopen 14 dagen opgehaald in de categorieën register en bestanden:

    ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry', 'Files')
| summarize count() by Computer, ConfigChangeType

  2. Ga als volgende te werk om details van de registerwijzigingen weer te geven:

    1. Bestanden verwijderen uit de where-component.
    2. Verwijder de samenvattingsregel en vervang deze door een bestelcomponent:
    ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry')
| order by Computer, RegistryKey

Rapporten kunnen worden geëxporteerd naar CSV voor archivering en/of gekanaald naar een Power BI-rapport.

FIM-gegevens.

Volgende stappen

Meer informatie over Defender voor Cloud vindt u in: