Udostępnij za pośrednictwem

Monitorowanie integralności plików

Funkcja monitorowania integralności plików w usłudze Defender for Cloud w usłudze Defender for Servers Plan 2, skanuje i analizuje pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji i pliki systemowe systemu Linux pod kątem zmian, które mogą wskazywać na atak.

Monitorowanie integralności plików ułatwia:

  • Spełnianie wymagań dotyczących zgodności. Standardy zgodności z przepisami, takie jak PCI-DSS i ISO 17799, często wymagają monitorowania integralności plików.
  • Popraw stan i zidentyfikuj potencjalne problemy z zabezpieczeniami, wykrywając podejrzane zmiany w plikach.

Monitorowanie podejrzanych działań

Monitorowanie integralności plików sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji i pliki systemowe systemu Linux w celu wykrywania podejrzanych działań, takich jak:

  • Tworzenie lub usuwanie klucza pliku i rejestru.
  • Modyfikacje plików, takie jak zmiany rozmiaru pliku, listy kontroli dostępu i skrót zawartości.
  • Modyfikacje rejestru, takie jak zmiany rozmiaru, listy kontroli dostępu, typ i zawartość.

Zbieranie danych

Monitorowanie integralności plików wykorzystuje agenta usługi Microsoft Defender dla punktu końcowego i skanowanie bez agenta do zbierania danych z urządzeń.

  • Dane zebrane przez agenta usługi Defender for Endpoint i skanowanie bez agenta są analizowane pod kątem zmian plików i rejestru oraz dzienników zmian są przechowywane w celu uzyskania dostępu i analizy w obszarze roboczym usługi Log Analytics.
  • Agent usługi Defender for Endpoint zbiera dane z maszyn zgodnie z plikami i zasobami zdefiniowanymi na potrzeby monitorowania integralności plików. Zdarzenia zmiany zebrane za pośrednictwem usługi Defender dla punktu końcowego są przesyłane strumieniowo do wybranego obszaru roboczego w czasie niemal rzeczywistym.
  • Skanowanie bez agenta zapewnia wgląd w zdarzenia monitorowania integralności plików zgodnie z plikami i zasobami zdefiniowanymi na potrzeby monitorowania integralności plików. Zdarzenia zmiany zbierane za pośrednictwem skanowania bez agenta są przesyłane strumieniowo do wybranego obszaru roboczego w 24-godzinnym ciągu.
  • Zebrane dane monitorowania integralności plików są częścią korzyści 500 MB zawartej w usłudze Defender for Servers (plan 2).
  • Monitorowanie integralności plików zapewnia informacje o zmianach plików i zasobów. Zawiera on źródło zmiany, szczegóły konta, wskazanie, kto dokonał zmian, oraz informacje o procesie inicjowania.

Migrowanie do nowej wersji

Monitorowanie integralności plików wcześniej używało agenta usługi Log Analytics (znanego również jako agent microsoft monitoring agenta (MMA) lub agenta usługi Azure Monitor (AMA) do zbierania danych. Jeśli używasz monitorowania integralności plików z jedną z tych starszych metod, możesz przeprowadzić migrację monitorowania integralności plików, aby użyć usługi Defender for Endpoint.

Konfigurowanie monitorowania integralności plików

Po włączeniu usługi Defender for Servers (plan 2) należy włączyć i skonfigurować monitorowanie integralności plików. Nie jest ona domyślnie włączona.

  • Wybierasz obszar roboczy usługi Log Analytics, w którym mają być przechowywane zdarzenia zmian dla monitorowanych plików/zasobów. Możesz użyć istniejącego obszaru roboczego lub zdefiniować nowy.
  • Defender dla Chmury zaleca monitorowanie zasobów za pomocą monitorowania integralności plików. Skanowanie bez agenta umożliwia definiowanie niestandardowych ścieżek monitorowania oprócz zalecanych zasobów.

Wybieranie elementów do monitorowania

Defender dla Chmury zaleca jednostki do monitorowania za pomocą monitorowania integralności plików. Elementy można wybrać z zaleceń. Podczas wybierania plików do monitorowania:

  • Należy wziąć pod uwagę pliki, które mają krytyczne znaczenie dla systemu i aplikacji.
  • Monitoruj pliki, których nie spodziewasz się zmienić bez planowania.
  • Wybieranie plików, które są często zmieniane przez aplikacje lub system operacyjny (na przykład plików dziennika i plików tekstowych), tworzy szum, co utrudnia zidentyfikowanie ataku.

W przypadku korzystania z monitorowania integralności plików z agentem usługi Defender for Endpoint zalecamy monitorowanie tych elementów przy użyciu opartych na znanych wzorcach ataku.

Plik systemu Linux Pliki systemu Windows Klucze rejestru systemu Windows (HKEY_LOCAL_MACHINE)
/Bin C:\config.sys HKLM\SOFTWARE\Microsoft\Cryptography\OID*
/bin/passwd C:\Windows\regedit.exe HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID*
/ Boot C:\Windows\System32\userinit.exe Klucz: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Wartości: loadappinit_dlls, appinit_dlls, iconservicelib
/etc/*.conf C:\Windows\explorer.exe Klucz: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Wartości: typowe uruchamianie, uruchamianie
/etc/cron.daily C:\autoexec.bat Klucz: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Foldery powłoki użytkownika
Wartości: typowe uruchamianie, uruchamianie
/etc/cron.hourly C:\boot.ini HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/etc/cron.monthly C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/etc/cron.weekly C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab Klucz: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows
Wartości: appinit_dlls, loadappinit_dlls
/etc/init.d Klucz: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Wartości: typowe uruchamianie, uruchamianie
/opt/sbin Klucz: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Foldery
Wartości: typowe uruchamianie, uruchamianie
/sbin HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
/usr/bin HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/bin HKLM\SECURITY\POLICY\SECRETS
/usr/local/sbin
/usr/sbin
/opt/bin

Następne kroki

Włączanie monitorowania integralności plików za pomocą usługi Defender dla punktu końcowego