Dela via


Övervakning av filintegritet i Microsoft Defender för molnet

Filintegritetsövervakning (FIM) undersöker operativsystemfiler, Windows-register, programprogramvara och Linux-systemfiler för ändringar som kan tyda på en attack.

FIM (övervakning av filintegritet) använder Azure Change Tracking-lösningen för att spåra och identifiera ändringar i din miljö. När FIM är aktiverat har du en ändringsspårningsresurs av typen Lösning. Om du tar bort resursen Ändringsspårning inaktiverar du även funktionen Övervakning av filintegritet i Defender för molnet. MED FIM kan du dra nytta av ändringsspårning direkt i Defender för molnet. Information om datainsamlingsfrekvens finns i Information om datainsamling för ändringsspårning.

Defender for Cloud rekommenderar entiteter att övervaka med FIM, och du kan också definiera dina egna FIM-principer eller entiteter att övervaka. FIM informerar dig om misstänkt aktivitet, till exempel:

  • Skapa eller ta bort fil- och registernyckel
  • Filändringar (ändringar i filstorlek, åtkomstkontrollistor och hash för innehållet)
  • Registerändringar (ändringar i storlek, åtkomstkontrollistor, typ och innehåll)

Många standarder för regelefterlevnad kräver implementering av FIM-kontroller, till exempel PCI-DSS och ISO 17799.

Vilka filer ska jag övervaka?

När du väljer vilka filer som ska övervakas bör du tänka på de filer som är viktiga för ditt system och dina program. Övervaka filer som du inte förväntar dig att ändra utan att planera. Om du väljer filer som ändras ofta av program eller operativsystem (till exempel loggfiler och textfiler) skapar det brus, vilket gör det svårt att identifiera ett angrepp.

Defender for Cloud innehåller följande lista över rekommenderade objekt att övervaka baserat på kända attackmönster.

Linux-filer Windows-filer Windows-registernycklar (HKLM = HKEY_LOCAL_MACHINE)
/bin/login C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/bin/passwd C:\boot.ini HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/*.conf C:\config.sys HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot
/usr/bin C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/usr/sbin C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
/soptunna C:\Windows\regedit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell-mappar
/sbin C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell-mappar
/stövel C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/usr/local/bin C:\Program Files\Microsoft Security Client\msseces.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
/opt/bin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/opt/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/etc/init.d HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/cron.hourly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
/etc/cron.daily HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows
/etc/cron.weekly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
/etc/cron.monthly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell-mappar
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell-mappar
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Nästa steg

I den här artikeln har du lärt dig om övervakning av filintegritet (FIM) i Defender för molnet.

Sedan kan du: