Habilitar o Monitoramento de Integridade de Arquivos ao usar o agente do Log Analytics

Para fornecer o FIM (Monitoramento de Integridade de Arquivos), o agente do Log Analytics carrega dados no workspace do Log Analytics. Ao comparar o estado atual desses itens com o estado durante a verificação anterior, o FIM alerta você quando modificações suspeitas são feitas.

O FIM usa a solução de Controle de Alterações do Azure para controlar e identificar as alterações em seu ambiente. Quando o Monitoramento de Integridade de Arquivos está habilitado, você tem um recurso de Controle de Alterações do tipo Solução. Para obter detalhes sobre a frequência de coleta de dados, consulte Detalhes de coleta de dados do controle de alterações.

Observação

Se você remover o recurso de Controle de Alterações, a funcionalidade de Monitoramento de Integridade de Arquivos também será desabilitada no Defender para Nuvem.

Disponibilidade

Aspecto Detalhes
Estado da versão: Disponibilidade Geral (GA)
Preço: Requer o Plano 2 do Microsoft Defender para Servidores.
Usando o agente de Log Analytics, o FIM carrega dados para o espaço de trabalho Log Analytics. Encargos de dados se aplicam, com base na quantidade de dados que você carregar. Consulte Preço do Log Analytics para saber mais.
Funções e permissões necessárias: O proprietário do espaço de trabalho pode habilitar/desabilitar o FIM (para obter mais informações, consulte Funções do Azure para o Log Analytics).
O leitor pode visualizar os resultados.
Nuvens: Nuvens comerciais
Nacional (Azure Governamental, Azure China 21Vianet)
Com suporte somente em regiões em que a solução de controle de alterações da Automação do Azure está disponível.
Dispositivos habilitados para o Azure Arc.
Consulte Regiões compatíveis com o espaço de trabalho vinculado do Log Analytics.
Saiba mais sobre o controle de alterações.
Contas da AWS conectadas

Habilitar o monitoramento de integridade de arquivos com o agente do Log Analytics

O FIM só está disponível para as páginas do Defender para Nuvem no portal do Azure. Atualmente, não há uma API REST para trabalhar com o FIM.

  1. Na área Proteção Avançada das Proteções de cargas de trabalho do painel, selecione Monitoramento de integridade de arquivo.

    Captura de tela da abertura do painel de Monitoramento de Integridade de Arquivos.

    As informações a seguir são fornecidas para cada workspace:

    • Número total de alterações que ocorreram na última semana (você poderá ver um traço "-" se o FIM não estiver habilitado no workspace)
    • Número total de computadores e VMs se reportando para o workspace
    • Localização geográfica do workspace
    • Assinatura do Azure sob a qual o workspace está
  2. Use essa página para:

    • Acessar e exibir o status e as configurações de cada espaço de trabalho

    • Ícone do plano de atualização. Faça upgrade do workspace para usar recursos de segurança aprimorados. O ícone Indica que o workspace ou a assinatura não está protegido com o Microsoft Defender para Servidores. Para usar os recursos do FIM, sua assinatura precisa ser protegida por esse plano. Para saber mais, confira Recursos de segurança aprimorados do Microsoft Defender para Nuvem.

    • Ícone habilitar Habilite o FIM em todos os computadores no espaço de trabalho e configure as opções do FIM. Este ícone Indica que o FIM não está habilitado para o espaço de trabalho.

      Captura de tela da habilitação do FIM para um workspace específico.

    Dica

    Se não houver nenhum botão de habilitação ou atualização e o espaço estiver em branco, o FIM já estará habilitado no espaço de trabalho.

  3. Selecione HABILITAR. São mostrados detalhes do espaço de trabalho, incluindo o número de computadores Windows e Linux nele.

    Captura de tela da página de detalhes do workspace do FIM.

    As configurações recomendadas para Windows e Linux também são listadas. Expanda Arquivos do Windows, Registro e Arquivos do Linux para ver a lista completa de itens recomendados.

  4. Desmarque as caixas de seleção de todas as entidades recomendadas que você não deseja que sejam monitoradas pelo FIM.

  5. Selecione Aplicar o monitoramento de integridade de arquivo para habilitar o FIM.

Observação

Você pode alterar as configurações a qualquer momento. Saiba mais sobre como editar entidades monitoradas.

Desabilitar o Monitoramento de Integridade do Arquivo

O FIM usa a solução de Controle de Alterações do Azure para controlar e identificar as alterações em seu ambiente. Desabilitando o FIM, você pode remover a solução de Controle de Alterações do workspace selecionado.

Para desabilitar o FIM:

  1. No painel do Monitoramento de Integridade de Arquivos de um workspace, selecione Desabilitar.

    Captura de tela da desabilitação do monitoramento de integridade de arquivos na página de configurações.

  2. Selecione Remover.

Monitorar workspaces, entidades e arquivos

Auditar espaços de trabalho monitorados

O painel do Monitoramento de integridade de arquivo é exibido para workspaces em que o FIM está habilitado. O painel do FIM é aberto depois que você habilita o FIM em um espaço de trabalho ou quando seleciona na janela Monitoramento de integridade de arquivo um espaço de trabalho que já tenha o FIM habilitado.

Captura de tela do painel do FIM e dos respectivos painéis informativos.

O painel do FIM para um espaço de trabalho exibe o seguinte:

  • Número total de computadores conectados ao workspace
  • Número total de alterações que ocorreram durante o período selecionado
  • Uma divisão do tipo de alteração (arquivos, Registro)
  • Uma divisão da categoria da alteração (modificado, adicionado, removido)

Selecione Filtrar na parte superior do painel para alterar o período para o qual as alterações são mostradas.

Captura de tela do filtro de período de tempo do painel do FIM.

A guia Servidores lista os computadores que criam relatórios para esse espaço de trabalho. Para cada computador, o painel lista:

  • Total de alterações que ocorreram durante o período selecionado
  • Uma divisão do total de alterações como alterações de arquivo ou do Registro

Ao selecionar um computador, a consulta é exibida com os resultados que identificam as alterações feitas durante o período selecionado para ele. Você pode expandir uma alteração para obter mais informações.

Captura de tela da consulta do Log Analytics que mostra as alterações identificadas pelo monitoramento de integridade de arquivos do Microsoft Defender para Nuvem.

A guia Alterações (mostrada abaixo) lista todas as alterações no workspace durante o período selecionado. Para cada entidade que foi alterado, o painel lista:

  • Computador em que a alteração ocorreu
  • Tipo de alteração (Registro ou arquivo)
  • Categoria da alteração (modificado, adicionado, removido)
  • Data e hora da alteração

Captura de tela da guia de alterações do monitoramento de integridade de arquivos do Microsoft Defender para Nuvem.

Detalhes da alteração abre quando você insere uma alteração no campo de pesquisa ou seleciona uma entidade listada na guia Alterações.

Captura de tela do monitoramento de integridade de arquivos do Microsoft Defender para Nuvem que mostra o painel de detalhes de uma alteração.

Editar entidades monitoradas

  1. No painel Monitoramento de Integridade de Arquivos de um workspace, selecione Configurações na barra de ferramentas.

    Captura de tela do acesso às configurações do monitoramento de integridade de arquivos de um workspace.

    A configuração do espaço de trabalho é aberta com guias para cada tipo de elemento que pode ser monitorado:

    • Registro do Windows
    • Arquivos do Windows
    • Arquivos do Linux
    • Conteúdo do arquivo
    • Serviços Windows

    Cada guia lista as entidades que você pode editar nessa categoria. Para cada entidade listada, o Defender para Nuvem identifica se o FIM está habilitado (verdadeiro) ou não (falso). Edite a entidade para habilitar ou desabilitar o FIM.

    Captura de tela da configuração do workspace para o monitoramento de integridade do arquivos no Microsoft Defender para Nuvem.

  2. Selecione uma entrada em uma das guias e edite qualquer um dos campos disponíveis no painel Editar para controlar as alterações. As opções incluem:

    • Habilitar (True) ou desabilitar (false) o monitoramento de integridade de arquivo
    • Fornecer ou alterar o nome da entidade
    • Fornecer ou alterar o valor ou o caminho
    • Excluir a entidade
  3. Descarte ou salve suas alterações.

Adicionar uma nova entidade a ser monitorada

  1. No painel Monitoramento de Integridade de Arquivos de um workspace, selecione Configurações na barra de ferramentas.

    Isso abrirá Configuração do espaço de trabalho.

  2. Na Configuração do espaço de trabalho:

    1. Selecione a guia do tipo de entidade que você deseja adicionar: registro do Windows, arquivos do Windows, arquivos do Linux, conteúdo de arquivo ou serviços do Windows.

    2. Selecione Adicionar.

      Neste exemplo, selecionamos Arquivos do Linux.

      Captura de tela da adição de um elemento a ser monitorado pelo monitoramento de integridade de arquivos do Microsoft Defender para Nuvem.

  3. Selecione Adicionar. Adicionar para Controle de Alterações é aberto.

  4. Insira as informações necessárias e selecione Salvar.

Pasta e o caminho de monitoramento usando caracteres curinga

Use caracteres curinga para simplificar o rastreamento em diretórios. As seguintes regras se aplicam quando você configura o monitoramento de pasta usando caracteres curinga:

  • Caracteres curinga são necessários para acompanhar vários arquivos.
  • Caracteres curinga só podem ser usados no último segmento de um caminho, como C:\folder\file ou /etc/*.conf
  • Se uma variável de ambiente incluir um caminho que não é válido, a validação terá êxito, mas o caminho falhará quando o inventário for executado.
  • Ao definir o caminho, evite caminhos gerais, como c:*.* que resultarão em muitas pastas sendo percorridas.

Comparar linhas de base usando o Monitoramento de Integridade de Arquivo

O FIM (Monitoramento de integridade de arquivo) informa quando ocorrem alterações em áreas confidenciais nos seus recursos, para que você possa investigar e resolver atividades não autorizadas. O FIM monitora arquivos de Windows, registros de Windows e arquivos de Linux.

Habilitar verificações de registro recursivas internas

Os padrões do hive do registro de FIM fornecem uma maneira conveniente de monitorar alterações recursivas em áreas de segurança comuns. Por exemplo, um adversário pode configurar um script para ser executado no contexto LOCAL_SYSTEM configurando uma execução na inicialização ou no desligamento. Para monitorar as alterações desse tipo, habilite a verificação interna.

Registro.

Observação

Verificações recursivas se aplicam somente a hives de segurança recomendados e não a caminhos de registro personalizados.

Adicionar uma verificação personalizada do registro

As linhas de base de FIM começam identificando as características de um estado válido conhecido para o sistema operacional e o aplicativo de suporte. Para este exemplo, nos concentraremos nas configurações de política de senha para o Windows Server 2008 e superior.

Nome da política Configuração do Registro
Controlador de domínio: Recusar alterações de senha de conta de computador MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RefusePasswordChange
Membro do domínio: Criptografar ou assinar digitalmente os dados de canal seguro (sempre) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal
Membro do domínio: Criptografar digitalmente os dados de canal seguro (quando possível) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel
Membro do domínio: Assinar digitalmente os dados de canal seguro (quando possível) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel
Membro do domínio: Desativar alterações de senha de conta do computador MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange
Membro do domínio: Idade máxima da senha de conta do computador MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge
Membro do domínio: Requer uma chave de sessão forte (Windows 2000 ou posterior) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey
Segurança de rede: Restringir NTLM: Autenticação NTLM neste domínio MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain
Segurança de rede: Restringir NTLM: Adicionar exceções de servidor neste domínio MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers
Segurança de rede: Restringir NTLM: Autenticação NTLM neste domínio MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain

Observação

Para saber mais sobre as configurações de registro com suporte em várias versões de sistema operacional, consulte a planilha de referência de Configurações de política de grupo.

Para configurar o FIM para monitorar linhas de base de registro:

  • Na janela Adicionar registro do Windows para controle de alterações, na caixa de texto Chave do registro do Windows, insira a seguinte chave do registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    

    Captura de tela da habilitação do FIM em um Registro.

Controlar alterações em arquivos de Windows

  1. Na janela Adicionar arquivo do Windows para Controle de Alterações, na caixa de texto Inserir caminho, insira a pasta que contém os arquivos que você deseja controlar. No exemplo na figura a seguir, o Aplicativo Web Contoso reside na unidade D:\ dentro da estrutura de pastas ContosWebApp.

  2. Crie uma entrada de arquivo de Windows personalizada fornecendo um nome para a classe de configuração, habilitando a recursão e especificando a pasta superior com um sufixo curinga (*).

    Captura de tela da habilitação do FIM em um arquivo.

Recuperar dados de alteração

Os dados de Monitoramento de integridade de Arquivos residem no conjunto de tabelas do Log Analytics do Azure/ConfigurationChange.

  1. Defina um intervalo de tempo para recuperar um resumo das alterações por recurso.

    No exemplo a seguir, recuperamos todas as alterações nos últimos quatorze dias nas categorias de registro e de arquivos:

    ConfigurationChange
    | where TimeGenerated > ago(14d)
    | where ConfigChangeType in ('Registry', 'Files')
    | summarize count() by Computer, ConfigChangeType
    
  2. Para exibir detalhes das alterações no registro:

    1. Remover Arquivos da cláusula where,
    2. Remova a linha de resumo e substitua-a por uma cláusula de ordenação:
    ConfigurationChange
    | where TimeGenerated > ago(14d)
    | where ConfigChangeType in ('Registry')
    | order by Computer, RegistryKey
    

Os relatórios podem ser exportados para CSV para arquivamento e/ou canal para um relatório de Power BI.

Dados do FIM.

Próximas etapas

Saiba mais sobre o Defender para Nuvem em: