Monitorowanie integralności plików w usłudze Microsoft Defender for Cloud
Monitorowanie integralności plików (FIM) sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji i pliki systemowe systemu Linux pod kątem zmian, które mogą wskazywać na atak.
Program FIM (monitorowanie integralności plików) używa rozwiązania Azure Change Tracking do śledzenia i identyfikowania zmian w środowisku. Po włączeniu programu FIM masz zasób Rozwiązania typu Śledzenie zmian. Jeśli usuniesz zasób Change Tracking, wyłączysz również funkcję monitorowania integralności plików w Defender dla Chmury. Program FIM umożliwia korzystanie z usługi Change Tracking bezpośrednio w Defender dla Chmury. Aby uzyskać szczegółowe informacje o częstotliwości zbierania danych, zobacz Szczegóły zbierania danych śledzenia zmian.
Defender dla Chmury zaleca jednostki do monitorowania za pomocą programu FIM, a także można zdefiniować własne zasady lub jednostki programu FIM do monitorowania. Program FIM informuje o podejrzanych działaniach, takich jak:
- Tworzenie lub usuwanie klucza pliku i rejestru
- Modyfikacje pliku (zmiany rozmiaru pliku, listy kontroli dostępu i skrót zawartości)
- Modyfikacje rejestru (zmiany rozmiaru, listy kontroli dostępu, typ i zawartość)
Wiele standardów zgodności z przepisami wymaga implementacji mechanizmów kontroli FIM, takich jak PCI-DSS i ISO 17799.
Które pliki należy monitorować?
Podczas wybierania plików do monitorowania należy wziąć pod uwagę pliki, które mają krytyczne znaczenie dla systemu i aplikacji. Monitoruj pliki, których nie spodziewasz się zmienić bez planowania. Jeśli wybierzesz pliki, które są często zmieniane przez aplikacje lub system operacyjny (np. pliki dziennika i pliki tekstowe), spowoduje to powstanie szumu, co utrudnia zidentyfikowanie ataku.
Defender dla Chmury zawiera następującą listę zalecanych elementów do monitorowania na podstawie znanych wzorców ataków.
| Pliki systemu Linux | Pliki systemu Windows | Klucze rejestru systemu Windows (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} |
| /bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
| /etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
| /usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| /Bin | C:\Windows\regedit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
| /Sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
| / Boot | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /usr/local/bin | C:\Program Files\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
| /opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
| /opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
| /etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
| /etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
| /etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
| /etc/cron.daily | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
| /etc/cron.weekly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
| /etc/cron.monthly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
| HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
| HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Następne kroki
W tym artykule przedstawiono informacje o monitorowaniu integralności plików (FIM) w Defender dla Chmury.
Następnie możesz wykonać następujące czynności: