Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bulut için Microsoft Defender'daki Sunucular için Defender Plan 2'de , Dosya Bütünlüğünü İzleme özelliği kurumsal varlıkların ve kaynakların güvenliğini korumaya yardımcı olur. Saldırıyı gösterebilecek değişiklikler için işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımlarını ve Linux sistem dosyalarını tarar ve analiz eder.
Sunucular için Defender Plan 2'yi etkinleştirdikten sonra, veri toplamak için Uç Nokta için Microsoft Defender aracısını ve aracısız makine taramasını kullanarak Dosya Bütünlüğünü İzleme'yi yapılandırmak için bu makaledeki yönergeleri izleyin.
Not
- Log Analytics aracısı (Microsoft Monitoring agent (MMA)) veya Azure İzleyici aracısı (AMA) ile Dosya Bütünlüğü İzleme'nin önceki bir sürümünü kullanıyorsanız , yeni Dosya Bütünlüğü İzleme deneyimine geçiş yapabilirsiniz.
- Haziran 2025'ten itibaren Uç Nokta için Microsoft Defender tarafından desteklenen Dosya Bütünlüğünü İzleme için en düşük sürüm gerekir.
Aracıyı gerektiği gibi güncelleyin.
- Windows: 10.8760 veya üzeri.
- Linux: 30.124082 veya üzeri.
Önkoşullar
Aboneliğinizde Sunucular için Defender Plan 2'yi etkinleştirmeniz gerekir.
İzlemek istediğiniz makinelere Sunucular için Defender uzantıları aracılığıyla Uç Nokta için Defender aracısını yüklemeniz gerekir.
Azure olmayan makineleri Azure Arc'a bağlamanız gerekir.
Ek kapsam ve özel yolları izleme olanağı elde etmek için aboneliğinizde aracısız makine taramasını etkinleştirmeniz gerekir.
Dosya Bütünlüğünü İzleme'yi etkinleştirmek ve devre dışı bırakmak için Çalışma Alanı sahibi ve Güvenlik yöneticisi izinlerine sahip olmanız gerekir. Güvenlik okuyucu izinleri sonuçları görüntüleyebilir.
Defender for Endpoint istemci sürümünü doğrulayın
Başlamadan önce makinelerinizdeki Uç Nokta için Defender istemci sürümünün en azından Dosya Bütünlüğünü İzleme için gereken en düşük sürüm olduğunu doğrulayın.
Windows Server 2019 veya üzeri - Uç Nokta için Defender aracısı, sürekli işletim sistemi güncelleştirmelerinin bir parçası olarak güncelleştirilir. Windows makinelerinde en son güncelleştirmenin yüklü olduğundan emin olun.
Makineleri uygun ölçekte yüklemek için Windows Sunucuları Güncelleştirme Hizmeti'ni kullanma hakkında daha fazla bilgi edinin.
Windows Server 2016 ve Windows Server 2012 R2 - Makineleri el ile en son aracı sürümüne güncelleştirmeniz gerekir.
KB 5005292 Microsoft Update Kataloğu'ndan yükleyebilirsiniz. KB 5005292 düzenli aralıklarla en son aracı sürümüyle güncelleştirilir.
Linux makineleri - Bulut için Defender'daki makineler için otomatik sağlama açıksa Uç Nokta için Defender aracısı otomatik olarak güncelleştirilir. MDE.Linux uzantısı bir Linux makinesine yüklendikten sonra, Sanal Makine (VM) her yeniden başlatıldığında makine, aracı sürümünü güncellemeye çalışır. Aracı sürümünü el ile de güncelleştirebilirsiniz.
Dosya Bütünlüğünü İzlemeyi Etkinleştirme
Dosya Bütünlüğünü İzleme varsayılan olarak etkin değildir. Bulut için Microsoft Defender portalında etkinleştirebilirsiniz.
Azure Portal’ında oturum açın.
Microsoft Bulut için Defender>Ortam ayarlarına>ilgili aboneliğe gidin.
Sunucular için Defender planını bulun ve Ayarlar'ı seçin.
Dosya Bütünlüğünü İzleme bölümünde iki durumlu düğmeyi Açık olarak değiştirin.
Yapılandırmayı düzenle'yi seçin.
Dosya Bütünlüğünü İzleme verilerini depolamak için bir çalışma alanı seçin. (İsteğe bağlı) Alternatif olarak , Yeni oluştur'u seçerek yeni bir çalışma alanı oluşturun.
Kuralı izlemeniz önerilir bölümünün altında Düzenle'yi seçin.
İzleme için önerilen dosyaları ve kayıt defterlerini seçin.
Durum iki konumlu anahtarının Etkin olarak ayarlandığından emin olun ve izlemek istediğiniz Değişiklik türlerini seçin. Varsayılan olarak, izleme için önerilen tüm varlıklar seçilir. İzleme kuralının yanındaki üç nokta düğmesini ve ardından Sil'i seçerek varlıkları izlemeden kaldırabilirsiniz.
Yaptığınız değişiklikleri kaydetmek için Apply'ı (Uygula) seçin.
(İsteğe bağlı) Özel kural oluşturmak için + Kural ekle'yi seçin.
Yeni özel kural ekle bölümünün altına bir Kural adı ve (İsteğe bağlı) bir Kural açıklaması girin.
Durum anahtarının Etkin olarak ayarlandığından emin olun.
Türleri değiştir'i seçin ve özel kurallarınız için Varlık türü ve Varlık yolunu tanımlayın.
Yaptığınız değişiklikleri kaydetmek için Apply'ı (Uygula) seçin.
(İsteğe bağlı) Kural yapılandırmasını silmek için Kuralı sil'i seçin.
Uygula’yı seçin.
Devam'ı seçin.
Dosya Bütünlüğünü İzleme için etkinleştirme durumunu gözden geçirin
Doğru olduğundan ve tüm önkoşulların karşılandığından emin olmak için Dosya Bütünlüğünü İzleme etkinleştirmesini gözden geçirin.
İş yükü koruması>Dosya Bütünlüğünü İzleme'ye gidin.
Ayarlarseçin.
Eksik önkoşulları denetleyin.
Bir abonelik seçin ve gerekli çalışma alanı için düzeltici eylemleri gözden geçirin.
Gerekli düzeltmeler için onay kutusunu seçin.
Uygula’yı seçin.
Dosya Bütünlüğünü İzlemeyi Devre Dışı Bırak
Dosya Bütünlüğünü İzleme'yi devre dışı bırakırsanız yeni olay toplanmaz. Ancak devre dışı bırakmadan önce toplanan veriler, çalışma alanı bekletme ilkesine uygun olarak Log Analytics çalışma alanında kalır.
Aşağıdaki gibi devre dışı bırakın:
Azure Portal’ında oturum açın.
Microsoft Defender for Cloud>Ortam Ayarları>ilgili aboneliğe gidin.
Sunucular için Defender planını bulun ve Ayarlar'ı seçin.
Dosya Bütünlüğünü İzleme bölümünde iki durumlu düğmeyi Kapalı konuma getirin.
Uygula’yı seçin.
Devam'ı seçin.
Kaydet'i seçin.
Sonraki adım
- Dosya Bütünlüğünü İzleme için toplanan olaylar, Sunucular için Defender Plan 2 müşterileri için 500 MB'lık avantaja uygun veri türlerine dahildir. Avantaj hakkında daha fazla bilgi edinin.
- Dosya Bütünlüğünü İzleme'deki değişiklikleri gözden geçirin.