Övervakning av filintegritet i Microsoft Defender för molnet
Filintegritetsövervakning (FIM) undersöker operativsystemfiler, Windows-register, programprogramvara och Linux-systemfiler för ändringar som kan tyda på en attack.
FIM (övervakning av filintegritet) använder Azure Ändringsspårning-lösningen för att spåra och identifiera ändringar i din miljö. När FIM är aktiverat har du en Ändringsspårning resurs av typen Lösning. Om du tar bort Ändringsspårning resursen inaktiverar du även funktionen Övervakning av filintegritet i Defender för molnet. MED FIM kan du dra nytta av Ändringsspårning direkt i Defender för molnet. Information om datainsamlingsfrekvens finns i Information om datainsamling för ändringsspårning.
Defender för molnet rekommenderar entiteter att övervaka med FIM, och du kan också definiera dina egna FIM-principer eller entiteter att övervaka. FIM informerar dig om misstänkt aktivitet, till exempel:
- Skapa eller ta bort fil- och registernyckel
- Filändringar (ändringar i filstorlek, åtkomstkontrollistor och hash för innehållet)
- Registerändringar (ändringar i storlek, åtkomstkontrollistor, typ och innehåll)
Många standarder för regelefterlevnad kräver implementering av FIM-kontroller, till exempel PCI-DSS och ISO 17799.
Vilka filer ska jag övervaka?
När du väljer vilka filer som ska övervakas bör du tänka på de filer som är viktiga för ditt system och dina program. Övervaka filer som du inte förväntar dig att ändra utan att planera. Om du väljer filer som ändras ofta av program eller operativsystem (till exempel loggfiler och textfiler) skapar det brus, vilket gör det svårt att identifiera ett angrepp.
Defender för molnet innehåller följande lista över rekommenderade objekt att övervaka baserat på kända attackmönster.
| Linux-filer | Windows-filer | Windows-registernycklar (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} |
| /bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
| /etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
| /usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| /Bin | C:\Windows\regedit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell-mappar |
| /Sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell-mappar |
| /Boot | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /usr/local/bin | C:\Program Files\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
| /opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
| /opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
| /etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
| /etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
| /etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
| /etc/cron.daily | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
| /etc/cron.weekly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
| /etc/cron.monthly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell-mappar | |
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell-mappar | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
| HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
| HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Nästa steg
I den här artikeln har du lärt dig om övervakning av filintegritet (FIM) i Defender för molnet.
Sedan kan du: