Monitoramento de integridade de arquivo no Microsoft Defender para Nuvem
O FIM (monitoramento de integridade de arquivo) examina arquivos do sistema operacional, Registros do Windows, software do aplicativo, arquivos do sistema do Linux e muito mais, em busca de alterações que podem indicar um ataque.
O FIM (monitoramento de integridade do arquivo) usa a solução de Controle de Alterações do Azure para controlar e identificar as alterações em seu ambiente. Quando o FIM está habilitado, você tem um recurso de controle de alterações do tipo Solução. Se você remover o recurso de Controle de Alterações, a funcionalidade de Monitoramento de Integridade de Arquivos também será desabilitada no Defender para Nuvem. O FIM permite que você aproveite o Controle de Alterações diretamente no Defender para Nuvem. Para obter detalhes sobre a frequência da coleta de dados, consulte Detalhes da coleta de dados do controle de alterações.
O Defender para Nuvem recomenda entidades a serem monitoradas com o FIM; você também pode definir as próprias políticas ou entidades de FIM a serem monitoradas. O FIM informa qualquer atividade suspeita, como:
- Criação ou remoção de chave de arquivo e registro
- Modificações de arquivo (alterações de tamanho do arquivo, listas de controle de acesso e hash do conteúdo)
- Modificações de registro (alterações de tamanho, listas de controle de acesso, tipo e conteúdo)
Na verdade, muitos padrões de conformidade regulatória, como PCI-DSS e ISO 17799, exigem a implementação de controles FIM.
Quais arquivos devo monitorar?
Considere os arquivos que são críticos para seu sistema e seus aplicativos ao escolher quais deles serão monitorados. Monitore os arquivos que você não espera que tenham alterações sem planejamento. Escolher arquivos que são alterados com frequência por aplicativos ou pelo sistema operacional (como arquivos de log e de texto) cria muito ruído, o que dificulta a identificação de um ataque.
O Defender para Nuvem fornece a seguinte lista de itens recomendados para monitoramento com base em padrões de ataque conhecidos.
| Arquivos do Linux | Arquivos do Windows | Chaves de registro do Windows (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} |
| /bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
| /etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
| /usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| /bin | C:\Windows\regedit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
| /sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
| /boot | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /usr/local/bin | C:\Program Files\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
| /opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
| /opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
| /etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
| /etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
| /etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
| /etc/cron.daily | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
| /etc/cron.weekly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
| /etc/cron.monthly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
| HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
| HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Próximas etapas
Neste artigo, você aprendeu a usar o FIM (monitoramento de integridade de arquivo) no Defender para Nuvem.
Em seguida, você pode: