Partilhar via


Monitorização de Integridade de Ficheiros no Microsoft Defender para Cloud

O Monitoramento de Integridade de Arquivos (FIM) examina arquivos do sistema operacional, registros do Windows, software de aplicativo e arquivos do sistema Linux em busca de alterações que possam indicar um ataque.

O FIM (monitoramento de integridade de arquivos) usa a solução de Controle de Alterações do Azure para controlar e identificar alterações em seu ambiente. Quando o FIM está habilitado, você tem um recurso de controle de alterações do tipo Solução. Se você remover o recurso Controle de Alterações , também desativará o recurso Monitoramento da Integridade de Arquivos no Defender for Cloud. O FIM permite-lhe tirar partido do Controlo de Alterações diretamente no Defender for Cloud. Para obter detalhes sobre a frequência de coleta de dados, consulte Detalhes da coleta de dados de controle de alterações.

O Defender for Cloud recomenda entidades para monitorar com FIM, e você também pode definir suas próprias políticas de FIM ou entidades para monitorar. A FIM informa-o sobre atividades suspeitas, tais como:

  • Criação ou remoção de ficheiros e chaves de registo
  • Modificações de ficheiros (alterações ao tamanho do ficheiro, listas de controlo de acesso e hash do conteúdo)
  • Modificações do Registro (alterações no tamanho, listas de controle de acesso, tipo e conteúdo)

Muitas normas de conformidade regulatória exigem a implementação de controles FIM, como PCI-DSS e ISO 17799.

Que ficheiros devo monitorizar?

Ao escolher quais arquivos monitorar, considere os arquivos que são críticos para seu sistema e aplicativos. Monitore arquivos que você não espera alterar sem planejamento. Se você escolher arquivos que são frequentemente alterados por aplicativos ou sistema operacional (como arquivos de log e arquivos de texto), isso criará ruído, dificultando a identificação de um ataque.

O Defender for Cloud fornece a seguinte lista de itens recomendados para monitorar com base em padrões de ataque conhecidos.

Arquivos Linux Ficheiros do Windows Chaves de registo do Windows (HKLM = HKEY_LOCAL_MACHINE)
/bin/login C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/bin/passwd C:\boot.ini HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/*.conf C:\config.sys HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot
/usr/bin C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/usr/sbin C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
/caixote do lixo C:\Windows\regedit.exe Pastas HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell
/sbin C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Pastas
/boot C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/usr/local/bin C:\Arquivos de Programas\Microsoft Security Client\msseces.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
/opt/bin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/opt/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/etc/init.d HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/cron.hourly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
/etc/cron.diário HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows
/etc/cron.semanal HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
/etc/cron.monthly Pastas HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Pastas
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Próximos passos

Neste artigo, você aprendeu sobre o monitoramento de integridade de arquivos (FIM) no Defender for Cloud.

Em seguida, você pode: