Поделиться через


Мониторинг целостности файлов в Microsoft Defender для облака

Мониторинг целостности файлов (FIM) проверяет файлы операционной системы, реестры Windows, программное обеспечение и системные файлы Linux на наличие изменений, которые могут свидетельствовать об атаке.

FIM (мониторинг целостности файлов) использует решение Azure Отслеживание изменений для отслеживания и выявления изменений в вашей среде. Если FIM включен, у вас есть Отслеживание изменений ресурс типа Solution. Если удалить ресурс Отслеживание изменений, вы также отключите функцию мониторинга целостности файлов в Defender для облака. FIM позволяет воспользоваться преимуществами Отслеживания изменений непосредственно в Defender для облака. Сведения о частоте сбора данных см. в разделе "Сведения о сборе данных отслеживания изменений".

Defender для облака предоставляет рекомендации о том, какие сущности следует отслеживать с помощью функции FIM. Вы всегда можете определить собственные политики FIM и выбрать сущности для мониторинга. FIM предупреждает вас о такой подозрительной активности, как:

  • создание или удаление файлов и разделов реестра;
  • изменение файлов (изменения размера файла, списков управления доступом или хэша содержимого);
  • Изменение реестра (изменение размера, списков управления доступом, типа или содержимого)

Для многих стандартов соответствия нормативным требованиям, таких как PCI-DSS и ISO 17799, требуется реализация элементов управления FIM.

Для каких файлов нужно применять мониторинг?

Для мониторинга следует выбирать файлы, которые критически важны для системы и приложений. Выполняйте мониторинг файлов, которые не должны меняться без предварительного планирования. Если вы выберете файлы, которые часто изменяются приложениями или операционной системой (например, файлы журналов и текстовые файлы), будет генерироваться большой объем лишней информации, что усложнит выявление атак.

Defender для облака предоставляет следующий список рекомендуемых элементов для выполнения мониторинга на основе известных шаблонов атак.

Файлы Linux Файлы Windows Разделы реестра Windows (HKLM = HKEY_LOCAL_MACHINE)
/bin/login C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/bin/passwd C:\boot.ini HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/*.conf C:\config.sys HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot
/usr/bin C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/usr/sbin C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
/bin C:\Windows\regedit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
/sbin C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
/boot C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/usr/local/bin C:\Program Files\Microsoft Security Client\msseces.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
/opt/bin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/opt/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/etc/init.d HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/cron.hourly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
/etc/cron.daily HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows
/etc/cron.weekly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
/etc/cron.monthly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Следующие шаги

Из этой статьи вы узнали, как использовать мониторинг целостности файлов (FIM) в Defender для облака.

Далее вы можете выполнить такую задачу: