Bewaking van bestandsintegriteit met behulp van de Log Analytics-agent
Om FIM (File Integrity Monitoring) te bieden, uploadt de Log Analytics-agent gegevens naar de Log Analytics-werkruimte. Door de huidige status van deze items te vergelijken met de status tijdens de vorige scan, wordt u door FIM op de hoogte gebracht als er verdachte wijzigingen zijn aangebracht.
Notitie
Omdat de Log Analytics-agent (ook wel bekend als MMA) in augustus 2024 buiten gebruik wordt gesteld, zijn alle functies van Defender for Servers die er momenteel van afhankelijk zijn, inclusief de functies die op deze pagina worden beschreven, beschikbaar via Microsoft Defender voor Eindpunt integratie of scannen zonder agent, vóór de buitengebruikstellingsdatum. Zie deze aankondiging voor meer informatie over de roadmap voor elk van de functies die momenteel afhankelijk zijn van de Log Analytics-agent.
In dit artikel leert u het volgende:
- Bewaking van bestandsintegriteit inschakelen met de Log Analytics-agent
- Bewaking van bestandsintegriteit uitschakelen
- Werkruimten, entiteiten en bestanden bewaken
- Basislijnen vergelijken met bewaking van bestandsintegriteit
Notitie
Bewaking van bestandsintegriteit kan het volgende account maken op bewaakte SQL-servers: NT Service\HealthService
Als u het account verwijdert, wordt het automatisch opnieuw gemaakt.
Beschikbaarheid
Aspect | DETAILS |
---|---|
Releasestatus: | Algemene beschikbaarheid (GA) |
Prijzen: | Hiervoor is Microsoft Defender voor Servers Abonnement 2 vereist. Met behulp van de Log Analytics-agent uploadt FIM gegevens naar de Log Analytics-werkruimte. Er worden kosten in rekening gebracht op basis van de hoeveelheid gegevens die u uploadt. Zie prijzen voor Log Analytics voor meer informatie. |
Vereiste rollen en machtigingen: | De eigenaar van de werkruimte kan FIM in- of uitschakelen (zie Azure-rollen voor Log Analytics voor meer informatie). Lezer kan resultaten bekijken. |
Clouds: | Commerciële clouds National (Azure Government, Microsoft Azure beheerd door 21Vianet) Alleen ondersteund in regio's waar de oplossing voor het bijhouden van wijzigingen van Azure Automation beschikbaar is. Apparaten met Azure Arc . Zie Ondersteunde regio's voor gekoppelde Log Analytics-werkruimte. Meer informatie over het bijhouden van wijzigingen. Verbonden AWS-accounts |
Bewaking van bestandsintegriteit inschakelen met de Log Analytics-agent
FIM is alleen beschikbaar op de pagina's van Defender voor Cloud in Azure Portal. Er is momenteel geen REST API voor het werken met FIM.
Selecteer in het gebied Geavanceerde beveiliging van het dashboard Voor workloadbeveiliging de optie Bewaking van bestandsintegriteit.
De volgende informatie wordt verstrekt voor elke werkruimte:
- Het totale aantal wijzigingen dat in de afgelopen week is opgetreden (mogelijk ziet u een streepje '-' als FIM niet is ingeschakeld in de werkruimte)
- Totaal aantal computers en VM's dat aan de werkruimte wordt gerapporteerd
- Geografische locatie van de werkruimte
- Azure-abonnement waarvoor de werkruimte zich bevindt
Op deze pagina kunt u het volgende doen:
De status en instellingen van elke werkruimte openen en weergeven
Werk de werkruimte bij om verbeterde beveiligingsfuncties te gebruiken. Dit pictogram geeft aan dat de werkruimte of het abonnement niet is beveiligd met Microsoft Defender voor Servers. Als u de FIM-functies wilt gebruiken, moet uw abonnement worden beveiligd met dit abonnement. Meer informatie over het inschakelen van Defender voor Servers.
Schakel FIM in op alle computers onder de werkruimte en configureer de FIM-opties. Dit pictogram geeft aan dat FIM niet is ingeschakeld voor de werkruimte. Als er geen knop inschakelen of upgraden is en de ruimte leeg is, betekent dit dat FIM al is ingeschakeld in de werkruimte.
Selecteer INSCHAKELEN. De details van de werkruimte, inclusief het aantal Windows- en Linux-machines onder de werkruimte, worden weergegeven.
De aanbevolen instellingen voor Windows en Linux worden ook vermeld. Vouw Windows-bestanden, Register- en Linux-bestanden uit om de volledige lijst met aanbevolen items weer te geven.
Schakel de selectievakjes uit voor alle aanbevolen entiteiten die u niet wilt bewaken door FIM.
Selecteer Bewaking bestandsintegriteit toepassen om FIM in te schakelen.
U kunt de instellingen op elk gewenst moment wijzigen. Meer informatie over het bewerken van bewaakte entiteiten.
Bewaking van bestandsintegriteit uitschakelen
FIM gebruikt de Azure-oplossing Wijzigingen bijhouden om veranderingen in uw omgeving te traceren en te identificeren. Als u FIM uitschakelt, verwijdert u de Wijzigingen bijhouden oplossing uit de geselecteerde werkruimte.
FIM uitschakelen:
Selecteer Uitschakelen in het dashboard Bestandsintegriteit bewaken voor een werkruimte.
Selecteer Verwijderen.
Werkruimten, entiteiten en bestanden bewaken
Bewaakte werkruimten controleren
Het bewakingsdashboard voor bestandsintegriteit wordt weergegeven voor werkruimten waarvoor FIM is ingeschakeld. Het FIM-dashboard wordt geopend nadat u FIM hebt ingeschakeld voor een werkruimte of wanneer u een werkruimte selecteert in het bewakingsvenster voor bestandsintegriteit waarvoor FIM al is ingeschakeld.
In het FIM-dashboard voor een werkruimte worden de volgende details weergegeven:
- Totaal aantal computers dat is verbonden met de werkruimte
- Totaal aantal wijzigingen dat is opgetreden tijdens de geselecteerde periode
- Een uitsplitsing van het wijzigingstype (bestanden, register)
- Een uitsplitsing van de wijzigingscategorie (gewijzigd, toegevoegd, verwijderd)
Selecteer Filteren boven aan het dashboard om de periode te wijzigen waarvoor wijzigingen worden weergegeven.
Op het tabblad Servers worden de computers weergegeven die aan deze werkruimte rapporteren. Voor elke computer bevat het dashboard de volgende lijsten:
- Totale wijzigingen die zijn opgetreden tijdens de geselecteerde periode
- Een uitsplitsing van de totale wijzigingen als bestandswijzigingen of registerwijzigingen
Wanneer u een machine selecteert, wordt de query samen met de resultaten weergegeven die de wijzigingen identificeren die zijn aangebracht tijdens de geselecteerde periode voor de machine. U kunt een wijziging uitbreiden voor meer informatie.
Op het tabblad Wijzigingen (hieronder weergegeven) worden alle wijzigingen voor de werkruimte weergegeven tijdens de geselecteerde periode. Voor elke entiteit die is gewijzigd, vermeldt het dashboard het volgende:
- Computer waarop de wijziging is opgetreden
- Type wijziging (register of bestand)
- Categorie van wijziging (gewijzigd, toegevoegd, verwijderd)
- Datum en tijd van wijziging
Wijzigingsgegevens worden geopend wanneer u een wijziging invoert in het zoekveld of een entiteit selecteert die wordt vermeld op het tabblad Wijzigingen .
Bewaakte entiteiten bewerken
Selecteer Instellingen op de werkbalk in het dashboard Bewaking van bestandsintegriteit voor een werkruimte.
Werkruimteconfiguratie wordt geopend met tabbladen voor elk type element dat kan worden bewaakt:
- Windows-register
- Windows-bestanden
- Linux-bestanden
- Bestandsinhoud
- Windows-services
Elk tabblad bevat de entiteiten die u in die categorie kunt bewerken. Voor elke vermelde entiteit geeft Defender voor Cloud aan of FIM is ingeschakeld (waar) of niet is ingeschakeld (onwaar). Bewerk de entiteit om FIM in of uit te schakelen.
Selecteer een item op een van de tabbladen en bewerk een van de beschikbare velden in het deelvenster Bewerken voor Wijzigingen bijhouden. De volgende opties zijn beschikbaar:
- Bewaking van bestandsintegriteit inschakelen (Waar) of uitschakelen (Onwaar)
- De naam van de entiteit opgeven of wijzigen
- De waarde of het pad opgeven of wijzigen
- De entiteit verwijderen
Uw wijzigingen negeren of opslaan.
Een nieuwe entiteit toevoegen om te bewaken
Selecteer Instellingen op de werkbalk in het dashboard Bewaking van bestandsintegriteit voor een werkruimte.
De werkruimteconfiguratie wordt geopend.
In de werkruimteconfiguratie:
Selecteer Toevoegen. Toevoegen voor Wijzigingen bijhouden wordt geopend.
Voer de vereiste informatie in en selecteer Opslaan.
Bewaking van mappen en paden met jokertekens
Gebruik jokertekens om het bijhouden van mappen te vereenvoudigen. De volgende regels zijn van toepassing wanneer u mapbewaking configureert met jokertekens:
- Jokertekens zijn vereist voor het bijhouden van meerdere bestanden.
- Jokertekens kunnen alleen worden gebruikt in het laatste segment van een pad, zoals
C:\folder\file
of/etc/*.conf
- Als een omgevingsvariabele een pad bevat dat niet geldig is, slaagt de validatie, maar mislukt het pad wanneer de inventaris wordt uitgevoerd.
- Bij het instellen van het pad vermijdt u algemene paden zoals
c:\*.*
, wat resulteert in te veel mappen die worden doorkruist.
Basislijnen vergelijken met Bestandsintegriteit controleren
Fim (File Integrity Monitoring) informeert u wanneer er wijzigingen optreden in gevoelige gebieden in uw resources, zodat u niet-geautoriseerde activiteiten kunt onderzoeken en aanpakken. FIM bewaakt Windows-bestanden, Windows-registers en Linux-bestanden.
Ingebouwde recursieve registercontroles inschakelen
De standaardinstellingen voor FIM-register hive bieden een handige manier om recursieve wijzigingen binnen gemeenschappelijke beveiligingsgebieden te bewaken. Een kwaadwillende persoon kan bijvoorbeeld een script configureren dat moet worden uitgevoerd in LOCAL_SYSTEM context door een uitvoering bij het opstarten of afsluiten te configureren. Als u wijzigingen van dit type wilt controleren, schakelt u de ingebouwde controle in.
Notitie
Recursieve controles zijn alleen van toepassing op aanbevolen beveiligings hives en niet op aangepaste registerpaden.
Een aangepaste registercontrole toevoegen
FIM-basislijnen beginnen met het identificeren van kenmerken van een bekende goede status voor het besturingssysteem en de ondersteunende toepassing. In dit voorbeeld richten we ons op de configuraties voor wachtwoordbeleid voor Windows Server 2008 en hoger.
Policy Name | Registerinstelling |
---|---|
Domeincontroller: wijzigen van wachtwoorden van computeraccounts weigeren | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RefusePasswordChange |
Lid van domein: gegevens in beveiligd kanaal digitaal versleutelen of ondertekenen (altijd) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal |
Lid van domein: gegevens in beveiligd kanaal digitaal versleutelen (indien mogelijk) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel |
Lid van domein: gegevens in beveiligd kanaal digitaal ondertekenen (indien mogelijk) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel |
Lid van domein: geen systeemonderhoud van wachtwoord van computeraccount | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange |
Lid van domein: het wachtwoord van het machineaccount heeft de maximale leeftijd bereikt | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge |
Lid van domein: sterke sessiesleutel verplicht (Windows 2000 of hoger) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey |
Netwerkbeveiliging: NTLM beperken: NTLM-verificatie in dit domein | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain |
Netwerkbeveiliging: NTLM beperken: uitzonderingen voor servers in dit domein toevoegen | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers |
Netwerkbeveiliging: NTLM beperken: NTLM-verificatie controleren in dit domein | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain |
Notitie
Raadpleeg het referentiewerkblad Groepsbeleidsinstellingen voor meer informatie over registerinstellingen die worden ondersteund door verschillende besturingssysteemversies.
FIM configureren voor het bewaken van registerbasislijnen:
Selecteer in het venster Windows-register toevoegen voor Wijzigingen bijhouden het tekstvak Windows-registersleutel.
Voer de volgende registersleutel in:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Wijzigingen in Windows-bestanden bijhouden
Voer in het venster Windows-bestand toevoegen voor Wijzigingen bijhouden in het tekstvak Pad invoeren de map in die de bestanden bevat die u wilt bijhouden. In het voorbeeld in de volgende afbeelding bevindt Contoso Web App zich in het station D:\ in de mapstructuur ContosWebApp.
Maak een aangepaste Windows-bestandsvermelding door een naam van de instellingsklasse op te geven, recursie in te schakelen en de bovenste map met een jokerteken (*) achtervoegsel op te geven.
Wijzigingsgegevens ophalen
Bewakingsgegevens voor bestandsintegriteit bevinden zich in de Azure Log Analytics-/ConfigurationChange-tabelset.
Stel een tijdsbereik in om een samenvatting van wijzigingen per resource op te halen.
In het volgende voorbeeld worden alle wijzigingen in de afgelopen 14 dagen opgehaald in de categorieën register en bestanden:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeType
Ga als volgende te werk om details van de registerwijzigingen weer te geven:
- Bestanden verwijderen uit de where-component.
- Verwijder de samenvattingsregel en vervang deze door een bestelcomponent:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry') | order by Computer, RegistryKey
Rapporten kunnen worden geëxporteerd naar CSV voor archivering en/of gekanaald naar een Power BI-rapport.
Volgende stappen
Meer informatie over Defender voor Cloud vindt u in:
- Beveiligingsbeleid instellen: informatie over het configureren van beveiligingsbeleid voor uw Azure-abonnementen en -resourcegroepen.
- Beveiligingsaanbeveling beheren- Meer informatie over hoe aanbevelingen u helpen uw Azure-resources te beveiligen.
- Azure Security-blog : ontvang het laatste nieuws en informatie over Azure-beveiliging.