Delen via

Bewaking van bestandsintegriteit inschakelen

In Defender for Servers Plan 2 in Microsoft Defender for Cloud helpt de functie Bewaking van bestandsintegriteit om bedrijfsassets en -resources veilig te houden. Het scant en analyseert besturingssysteembestanden, Windows-registers, toepassingssoftware en Linux-systeembestanden op wijzigingen die kunnen duiden op een aanval.

Nadat u Defender for Servers Plan 2 hebt ingeschakeld, volgt u de instructies in dit artikel om Bewaking van bestandsintegriteit te configureren met behulp van de Microsoft Defender voor Eindpunt-agent en het scannen van machines zonder agent om gegevens te verzamelen.

Notitie

Vereisten

Defender voor Eindpunt-clientversie controleren

Controleer voordat u begint of de versie van de Defender voor Eindpunt-client op uw computers ten minste de minimale versie is die is vereist voor bewaking van bestandsintegriteit.

  • Windows Server 2019 of hoger : de Defender for Endpoint-agent wordt bijgewerkt als onderdeel van doorlopende updates van het besturingssysteem. Zorg ervoor dat Windows-computers de meest recente update hebben geïnstalleerd.

    Meer informatie over het gebruik van de Windows Servers Update-service om machines op schaal te installeren.

  • Windows Servers 2016 en Windows Server 2012 R2 : u moet computers handmatig bijwerken naar de nieuwste agentversie.

    U kunt KB-5005292 installeren vanuit de Microsoft Update-catalogus. KB-5005292 wordt periodiek bijgewerkt met de nieuwste agentversie.

  • Linux-machines - De Defender for Endpoint-agent wordt automatisch bijgewerkt als automatische provisioning is ingeschakeld voor de machines in Defender for Cloud. Na de MDE. De Linux-extensie wordt geïnstalleerd op een Linux-computer. De computer probeert de agentversie bij te werken telkens wanneer de virtuele machine (VM) opnieuw wordt opgestart. U kunt de agentversie ook handmatig bijwerken.

Bewaking van bestandsintegriteit inschakelen

Bewaking van bestandsintegriteit is niet standaard ingeschakeld. U kunt deze inschakelen in de Microsoft Defender for Cloud-portal.

  1. Meld u aan bij het Azure-portaal.

  2. Navigeer naar microsoft Defender voor Cloud>Environment-instellingen>die relevant zijn voor het abonnement.

  3. Zoek het Defenders for Servers-plan en selecteer Instellingen.

  4. Schakel in de sectie Bewaking van bestandsintegriteit de schakelknop in op Aan.

    Schermopname van het inschakelen van bewaking van bestandsintegriteit.

  5. Selecteer Configuratie bewerken.

  6. Selecteer een werkruimte om de bewakingsgegevens voor bestandsintegriteit op te slaan. (Optioneel) Of selecteer Nieuw maken om een nieuwe werkruimte te maken.

    Schermopname van het configuratievenster Bestandsintegriteitscontrole.

  7. Selecteer Bewerken in de sectie Aanbevolen voor het bewaken van regels.

  8. Selecteer de bestanden en registers die worden aanbevolen voor bewaking.

    Zorg ervoor dat de wisselknop Status is ingesteld op Ingeschakeld en selecteer de typen wijzigingen die u wilt controleren. Standaard worden alle entiteiten geselecteerd die worden aanbevolen voor bewaking. U kunt entiteiten verwijderen uit bewaking door de drie puntjes naast de bewakingsregel te selecteren en vervolgens Verwijderen te selecteren.

    Schermopname van de bestandsregisters die moeten worden gecorrigeerd.

  9. Selecteer Toepassen om uw wijzigingen op te slaan.

    Schermopname van het bewerkingsscherm voor regels.

  10. (Optioneel) Selecteer + Regel toevoegen om een aangepaste regel te maken.

    Schermopname van het venster Een regel toevoegen.

    1. Voer onder de sectie Nieuwe aangepaste regel toevoegen een regelnaam en (optioneel) een regelbeschrijving in.

    2. Zorg ervoor dat de wisselknop Status is ingesteld op Ingeschakeld.

    3. Selecteer de typen Wijzigen en definieer het entiteitstype en het entiteitspad voor uw aangepaste regels.

    4. Selecteer Toepassen om uw wijzigingen op te slaan.

    5. (Optioneel) Selecteer Regel verwijderen om een regelconfiguratie te verwijderen.

  11. Selecteer Toepassen.

  12. Selecteer Doorgaan.

De inschakelingsstatus voor bewaking van bestandsintegriteit controleren

Controleer de inschakeling voor bewaking van bestandsintegriteit om ervoor te zorgen dat deze juist is en aan alle vereisten wordt voldaan.

  1. Ga naar Workloadbeveiliging>Bewaking van bestandsintegriteit.

    Schermopname van de knop Status van bewaking van bestandsintegriteit.

  2. Selecteer Instellingen.

    Schermopname van de pagina Bewaking van bestandsintegriteit die laat zien waar de knop Instellingen zich bevindt.

  3. Controleer op ontbrekende vereisten.

  4. Selecteer een abonnement en beoordeel corrigerende acties voor de nodige werkruimte.

    Schermopname van de pagina Bewaking van bestandsintegriteit waarin de ontbrekende vereisten worden weergegeven.

  5. Schakel het selectievakje in voor eventuele vereiste oplossingen.

  6. Selecteer Toepassen.

Bewaking van bestandsintegriteit uitschakelen

Als u Bewaking van bestandsintegriteit uitschakelt, worden er geen nieuwe gebeurtenissen verzameld. De gegevens die vóór de uitschakeling worden verzameld, blijven echter in de Log Analytics-werkruimte, in overeenstemming met het bewaarbeleid voor werkruimten.

Schakel als volgt uit:

  1. Meld u aan bij het Azure-portaal.

  2. Navigeer naar microsoft Defender voor Cloud>Environment-instellingen>die relevant zijn voor het abonnement.

  3. Zoek het Defenders for Servers-plan en selecteer Instellingen.

  4. Schakel in de sectie Bewaking van bestandsintegriteit de wisselknop in op Uit.

    Schermopname van het uitschakelen van bewaking van bestandsintegriteit.

  5. Selecteer Toepassen.

  6. Selecteer Doorgaan.

  7. Selecteer Opslaan.

Volgende stap

  • Gebeurtenissen die worden verzameld voor bewaking van bestandsintegriteit worden opgenomen in de gegevenstypen die in aanmerking komen voor het voordeel van 500 MB voor Klanten van Defender for Servers Plan 2. Meer informatie over het voordeel.
  • Controleer de wijzigingen in de bewaking van bestandsintegriteit.