Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De functie voor bewaking van bestandsintegriteit in Defender voor Cloud Defender voor Servers Abonnement 2 van Microsoft Defender voor Servers scant en analyseert besturingssysteembestanden, Windows-registers, toepassingssoftware en Linux-systeembestanden op wijzigingen die kunnen duiden op een aanval.
Bewaking van bestandsintegriteit helpt u bij het volgende:
- Voldoen aan nalevingsvereisten. Nalevingsstandaarden voor regelgeving, zoals PCI-DSS en ISO 17799, vereisen vaak bewaking van bestandsintegriteit.
- Verbeter de houding en identificeer potentiële beveiligingsproblemen door verdachte wijzigingen in bestanden te detecteren.
Verdachte activiteit bewaken
Bewaking van bestandsintegriteit onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware en Linux-systeembestanden om verdachte activiteiten te detecteren, zoals:
- Bestand en registersleutel maken of verwijderen.
- Bestandswijzigingen, zoals wijzigingen in de bestandsgrootte, toegangsbeheerlijsten en hash van de inhoud.
- Registerwijzigingen, zoals wijzigingen in grootte, toegangsbeheerlijsten, type en inhoud.
Gegevensverzameling
Bewaking van bestandsintegriteit maakt gebruik van de Microsoft Defender voor Eindpunt-agent en scannen zonder agent om gegevens van computers te verzamelen.
- Gegevens die worden verzameld door de Defender for Endpoint-agent en scannen zonder agent worden geanalyseerd op bestands- en registerwijzigingen en wijzigingslogboeken worden opgeslagen voor toegang en analyse in een Log Analytics-werkruimte.
- De Defender for Endpoint-agent verzamelt gegevens van computers in overeenstemming met de bestanden en resources die zijn gedefinieerd voor bewaking van bestandsintegriteit. Wijzigingen die via Defender voor Eindpunt worden verzameld, worden in bijna realtime naar uw geselecteerde werkruimte gestreamd.
- Agentloze scanning biedt inzicht in gebeurtenissen voor bewaking van bestandsintegriteit in overeenstemming met de bestanden en resources die zijn gedefinieerd voor bewaking van bestandsintegriteit. Wijzigingen die worden verzameld via scannen zonder agent, worden gestreamd naar uw geselecteerde werkruimte op een frequentie van 24 uur.
- Verzamelde bewakingsgegevens voor bestandsintegriteit maken deel uit van het voordeel van 500 MB dat is opgenomen in Defender for Servers Plan 2.
- Bewaking van bestandsintegriteit geeft informatie over bestands- en resourcewijzigingen. Het bevat de bron van de wijziging, accountgegevens, indicatie van wie de wijzigingen heeft aangebracht en informatie over het initiërende proces.
Migreren naar de nieuwe versie
Bewaking van bestandsintegriteit heeft eerder de Log Analytics-agent (ook wel bekend als de Microsoft Monitoring Agent (MMA)) of de Azure Monitor-agent (AMA) gebruikt om gegevens te verzamelen. Als u bewaking van bestandsintegriteit gebruikt met een van deze verouderde methoden, kunt u bewaking van bestandsintegriteit migreren om Defender voor Eindpunt te gebruiken.
Bewaking van bestandsintegriteit configureren
Nadat u Defender for Servers Plan 2 hebt ingeschakeld, schakelt u bewaking van bestandsintegriteit in en configureert u deze. Deze functie is niet standaard ingeschakeld.
- U selecteert een Log Analytics-werkruimte waarin u wijzigingsevenementen voor bewaakte bestanden/resources wilt opslaan. U kunt een bestaande werkruimte gebruiken of een nieuwe werkruimte definiëren.
- Defender voor Cloud raadt resources aan om te controleren met bewaking van bestandsintegriteit. Met scannen zonder agent kunt u aangepaste paden definiëren voor bewaking naast aanbevolen resources.
Kiezen wat u wilt bewaken
Defender voor Cloud raadt entiteiten aan om te controleren met bewaking van bestandsintegriteit. U kunt items kiezen uit de aanbevelingen. Wanneer u kiest welke bestanden u wilt bewaken:
- Houd rekening met de bestanden die essentieel zijn voor uw systeem en toepassingen.
- Bewaak bestanden die u niet verwacht te wijzigen zonder planning.
- Kies geen bestanden die vaak worden gewijzigd door toepassingen of het besturingssysteem (zoals logboekbestanden en tekstbestanden) omdat zij ruis creëren, waardoor het lastig is om een aanval te identificeren.
Aanbevolen items om te bewaken
Wanneer u bewaking van bestandsintegriteit gebruikt met de Defender voor Eindpunt-agent, raden we u aan deze items te bewaken op basis van bekende aanvalspatronen.
| Linux-bestand | Windows-bestanden | Windows-registersleutels (HKEY_LOCAL_MACHINE) |
|---|---|---|
| /vuilnisbak | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| / Boot | C:\Windows\System32\userinit.exe |
Sleutel: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Waarden: loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe |
Sleutel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell-mappen Waarden: veelvoorkomend opstarten, opstarten |
| /etc/cron.daily | C:\autoexec.bat |
Sleutel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Gebruikersshell-mappen Waarden: veelvoorkomend opstarten, opstarten |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.wekelijks | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab |
Sleutel: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Waarden: appinit_dlls, loadappinit_dlls |
|
| /etc/init.d |
Sleutel: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell-mappen Waarden: veelvoorkomend opstarten, opstarten |
|
| /opt/sbin |
Sleutel: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Waarden: veelvoorkomend opstarten, opstarten |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Volgende stappen
Bewaking van bestandsintegriteit inschakelen met Defender voor Eindpunt