Log Analytics aracısını kullanarak Dosya Bütünlüğünü İzleme

  • Makale

Dosya Bütünlüğünü İzleme (FIM) sağlamak için Log Analytics aracısı verileri Log Analytics çalışma alanına yükler. FiM, bu öğelerin geçerli durumunu önceki tarama sırasındaki durumla karşılaştırarak şüpheli değişiklikler yapılıp yapılmadığını size bildirir.

Not

Log Analytics aracısı (MMA olarak da bilinir) Ağustos 2024'te kullanımdan kaldırılacak şekilde ayarlandığından, bu sayfada açıklananlar da dahil olmak üzere şu anda buna bağımlı olan tüm Sunucular için Defender özellikleri, kullanımdan kaldırma tarihinden önce Uç Nokta için Microsoft Defender tümleştirme veya aracısız tarama aracılığıyla kullanılabilir. Şu anda Log Analytics Aracısı'na bağlı olan özelliklerin her biri için yol haritası hakkında daha fazla bilgi için bu duyuruya bakın.

Bu makalede şunları yapmayı öğreneceksiniz:

Not

Dosya Bütünlüğünü İzleme, izlenen SQL Sunucularında aşağıdaki hesabı oluşturabilir: NT Service\HealthService
Hesabı silerseniz, otomatik olarak yeniden oluşturulur.

Kullanılabilirlik

Görünüş Ayrıntılar
Sürüm durumu: Genel kullanılabilirlik (GA)
Fiyatlandırma: Sunucular için Microsoft Defender Plan 2 gerektirir.
FIM, Log Analytics aracısını kullanarak verileri Log Analytics çalışma alanına yükler. Karşıya yüklediğiniz veri miktarına bağlı olarak veri ücretleri uygulanır. Daha fazla bilgi edinmek için bkz . Log Analytics fiyatlandırması .
Gerekli roller ve izinler: Çalışma alanı sahibi FIM'yi etkinleştirebilir/devre dışı bırakabilir (daha fazla bilgi için bkz . Log Analytics için Azure Rolleri).
Okuyucu sonuçları görüntüleyebilir.
Bulut: Ticari bulutlar
National (Azure Kamu, 21Vianet tarafından sağlanan Microsoft Azure)
Yalnızca Azure Otomasyonu değişiklik izleme çözümünün kullanılabildiği bölgelerde desteklenir.
Azure Arc özellikli cihazlar.
Bkz . Bağlantılı Log Analytics çalışma alanı için desteklenen bölgeler.
Değişiklik izleme hakkında daha fazla bilgi edinin.
Bağlan AWS hesapları

Log Analytics aracısı ile Dosya Bütünlüğünü İzlemeyi Etkinleştirme

FIM yalnızca Azure portalındaki Bulut için Defender sayfalarında kullanılabilir. Şu anda FIM ile çalışmak için REST API yoktur.

  1. İş yükü korumaları panosunun Gelişmiş koruma alanından Dosya bütünlüğü izleme'yi seçin.

    Screenshot of screenshot of opening the File Integrity Monitoring dashboard.

    Her çalışma alanı için aşağıdaki bilgiler sağlanır:

    • Geçen hafta gerçekleşen toplam değişiklik sayısı (FIM çalışma alanında etkinleştirilmediyse "-" tiresini görebilirsiniz)
    • Çalışma alanına rapor eden toplam bilgisayar ve VM sayısı
    • Çalışma alanının coğrafi konumu
    • Çalışma alanının altında olduğu Azure aboneliği

  2. Bu sayfayı kullanarak:

    • Her çalışma alanının durumuna ve ayarlarına erişme ve bu ayarları görüntüleme

    • Upgrade plan icon. Gelişmiş güvenlik özelliklerini kullanmak için çalışma alanını yükseltin. Bu simge, çalışma alanının veya aboneliğin Sunucular için Microsoft Defender ile korunmadığını gösterir. FIM özelliklerini kullanmak için aboneliğinizin bu planla korunması gerekir. Sunucular için Defender'ı etkinleştirme hakkında bilgi edinin.

    • Enable icon Çalışma alanı altındaki tüm makinelerde FIM'i etkinleştirin ve FIM seçeneklerini yapılandırın. Bu simge, FIM'in çalışma alanı için etkinleştirilmediğini gösterir. Etkinleştirme veya yükseltme düğmesi yoksa ve alan boşsa, fim çalışma alanında zaten etkin demektir.

      Screenshot of enabling FIM for a specific workspace.

  3. ETKİnLEŞTİr'i seçin. Çalışma alanı altındaki Windows ve Linux makinelerinin sayısı da dahil olmak üzere çalışma alanının ayrıntıları gösterilir.

    Screenshot of FIM workspace details page.

    Windows ve Linux için önerilen ayarlar da listelenir. Önerilen öğelerin tam listesini görmek için Windows dosyaları, Kayıt Defteri ve Linux dosyaları'nı genişletin.

  4. FIM tarafından izlenmesini istemediğiniz önerilen varlıkların onay kutularını temizleyin.

  5. FIM'yi etkinleştirmek için Dosya bütünlüğünü izleme uygula'yı seçin.

Ayarları istediğiniz zaman değiştirebilirsiniz. İzlenen varlıkları düzenleme hakkında daha fazla bilgi edinin.

Dosya Bütünlüğünü İzlemeyi Devre Dışı Bırak

FIM, Azure Değişiklik İzleme çözümünü kullanarak ortamınızdaki değişiklikleri izler ve tespit eder. FIM'yi devre dışı bırakarak, Değişiklik İzleme çözümünü seçili çalışma alanından kaldırırsınız.

FIM'yi devre dışı bırakmak için:

  1. Çalışma alanının Dosya Bütünlüğünü İzleme panosundan Devre Dışı Bırak'ı seçin.

    Screenshot of disabling file integrity monitoring from the settings page.

  2. Kaldır seçeneğini belirleyin.

Çalışma alanlarını, varlıkları ve dosyaları izleme

İzlenen çalışma alanlarını denetleme

FIM'nin etkinleştirildiği çalışma alanları için Dosya bütünlüğü izleme panosu görüntülenir. FIM panosu, bir çalışma alanında FIM'yi etkinleştirdikten sonra veya fim'in zaten etkin olduğu dosya bütünlüğü izleme penceresinde bir çalışma alanı seçtiğinizde açılır.

Screenshot of the FIM dashboard and its various informational panels.

Bir çalışma alanının FIM panosu aşağıdaki ayrıntıları görüntüler:

  • Çalışma alanına bağlı toplam makine sayısı
  • Seçili zaman aralığında gerçekleşen toplam değişiklik sayısı
  • Değişiklik türünün (dosyalar, kayıt defteri) dökümü
  • Değişiklik kategorisinin dökümü (değiştirildi, eklendi, kaldırıldı)

Değişikliklerin gösterildiği süreyi değiştirmek için panonun üst kısmındaki Filtre'yi seçin.

Screenshot of time period filter for the FIM dashboard.

Sunucular sekmesinde bu çalışma alanına rapor eden makineler listelenir. Pano, her makine için şunları listeler:

  • Seçilen süre boyunca gerçekleşen toplam değişiklik sayısı
  • Dosya değişiklikleri veya kayıt defteri değişiklikleri olarak toplam değişikliklerin dökümü

Bir makine seçtiğinizde, makine için seçilen zaman aralığında yapılan değişiklikleri tanımlayan sonuçlarla birlikte sorgu görüntülenir. Daha fazla bilgi için bir değişikliği genişletebilirsiniz.

Screenshot of log Analytics query showing the changes identified by Microsoft Defender for Cloud's file integrity monitoring.

Değişiklikler sekmesi (aşağıda gösterilmiştir) seçilen zaman aralığında çalışma alanı için tüm değişiklikleri listeler. Değiştirilen her varlık için pano şunları listeler:

  • Değişikliğin gerçekleştiği makine
  • Değişiklik türü (kayıt defteri veya dosya)
  • Değişiklik kategorisi (değiştirildi, eklendi, kaldırıldı)
  • Değişiklik tarihi ve saati

Screenshot of Microsoft Defender for Cloud's file integrity monitoring changes tab.

Değişiklik ayrıntıları, arama alanına bir değişiklik girdiğinizde veya Değişiklikler sekmesinde listelenen bir varlığı seçtiğinizde açılır.

Screenshot of Microsoft Defender for Cloud's file integrity monitoring showing the details pane for a change.

İzlenen varlıkları düzenleme

  1. Çalışma alanının Dosya Bütünlüğünü İzleme panosundan araç çubuğundan Ayarlar seçin.

    Screenshot of accessing the file integrity monitoring settings for a workspace.

    Çalışma Alanı Yapılandırması , izlenebilen her öğe türü için sekmelerle açılır:

    • Windows kayıt defteri
    • Windows dosyaları
    • Linux Dosyaları
    • Dosya içeriği
    • Windows hizmetleri

    Her sekme, bu kategoride düzenleyebileceğiniz varlıkları listeler. Listelenen her varlık için Bulut için Defender FIM'nin etkin (true) veya etkin olmadığını (false) belirler. FIM'yi etkinleştirmek veya devre dışı bırakmak için varlığı düzenleyin.

    Screenshot of workspace configuration for file integrity monitoring in Microsoft Defender for Cloud.

  2. Sekmelerden birinden bir girdi seçin ve Değişiklik İzleme için düzenle bölmesindeki kullanılabilir alanlardan herhangi birini düzenleyin. Seçenekler arasında bulunanlar:

    • Dosya bütünlüğünü izlemeyi etkinleştirme (True) veya devre dışı bırakma (Yanlış)
    • Varlık adını belirtin veya değiştirin
    • Değeri veya yolu sağlama veya değiştirme
    • Varlığı silme

  3. Değişikliklerinizi atın veya kaydedin.

İzlemek için yeni bir varlık ekleme

  1. Çalışma alanının Dosya Bütünlüğünü İzleme panosundan araç çubuğundan Ayarlar seçin.

    Çalışma Alanı Yapılandırması açılır.

  2. Çalışma Alanı Yapılandırması'nda:

    1. Eklemek istediğiniz varlık türünün sekmesini seçin: Windows kayıt defteri, Windows dosyaları, Linux Dosyaları, dosya içeriği veya Windows hizmetleri.

    2. Ekle'yi seçin.

      Bu örnekte Linux Dosyalar'ı seçtik.

      Screenshot of adding an element to monitor in Microsoft Defender for Cloud's file integrity monitoring.

  3. Ekle'yi seçin. Değişiklik İzleme için ekle açılır.

  4. Gerekli bilgileri girin ve Kaydet'i seçin.

Joker karakterler kullanarak klasör ve yol izleme

Dizinler arasında izlemeyi basitleştirmek için joker karakterler kullanın. Joker karakterler kullanarak klasör izlemeyi yapılandırırken aşağıdaki kurallar geçerlidir:

  • Birden çok dosyayı izlemek için joker karakterler gereklidir.
  • Joker karakterler yalnızca veya gibi C:\folder\file bir yolun son kesiminde kullanılabilir /etc/*.conf
  • Ortam değişkeni geçerli olmayan bir yol içeriyorsa doğrulama başarılı olur ancak envanter çalıştırıldığında yol başarısız olur.
  • Yolu ayarlarken, gibi c:\*.*çok fazla klasör geçişiyle sonuçlanan genel yollardan kaçının.

Dosya Bütünlüğünü İzleme kullanarak ana hatları karşılaştırma

Dosya Bütünlüğünü İzleme (FIM), kaynaklarınızdaki hassas alanlarda değişiklik olduğunda sizi bilgilendirerek yetkisiz etkinlikleri araştırabilir ve ele alabilirsiniz. FIM, Windows dosyalarını, Windows kayıt defterlerini ve Linux dosyalarını izler.

Yerleşik özyinelemeli kayıt defteri denetimlerini etkinleştirme

FIM kayıt defteri kovanı varsayılanları, ortak güvenlik alanlarında özyinelemeli değişiklikleri izlemek için kullanışlı bir yol sağlar. Örneğin, saldırgan başlatma veya kapatma sırasında yürütme yapılandırarak bir betiği LOCAL_SYSTEM bağlamda yürütülecek şekilde yapılandırabilir. Bu türdeki değişiklikleri izlemek için yerleşik denetimi etkinleştirin.

Registry.

Not

Özyinelemeli denetimler özel kayıt defteri yollarına değil yalnızca önerilen güvenlik kovanlarına uygulanır.

Özel kayıt defteri denetimi ekleme

FIM temelleri, işletim sistemi ve destekleyici uygulama için bilinen iyi bir durumun özelliklerini belirleyerek başlar. Bu örnekte, Windows Server 2008 ve üzeri için parola ilkesi yapılandırmalarına odaklanacağız.

İlke Adı Kayıt Defteri Ayarı
Etki alanı denetleyicisi: Makine hesabı parola değişikliklerini reddet MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RefusePasswordChange
Etki alanı üyesi: Güvenli kanal verisini dijital olarak şifrele veya imzala (her zaman) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal
Etki alanı üyesi: Güvenli kanal verisini dijital olarak şifrele (uygun olduğunda) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel
Etki alanı üyesi: Güvenli kanal verisini dijital olarak imzala (uygun olduğunda) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel
Etki alanı üyesi: Makine hesabı parola değişikliklerini devreden çıkar MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange
Etki alanı üyesi: En uzun hesap parolası yaşı MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge
Etki alanı üyesi: Güçlü (Windows 2000 veya daha sonraki) oturum anahtarı gerektir MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey
Ağ güvenliği: NTLM'i kısıtla: Bu etki alanında NTLM kimlik doğrulaması MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain
Ağ güvenliği: NTLM'yi kısıtla: Bu etki alanında sunucu özel durumları ekle MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers
Ağ güvenliği: NTLM'i kısıtla: Bu etki alanında NTLM kimlik doğrulamayı denetle MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain

Not

Çeşitli işletim sistemi sürümleri tarafından desteklenen kayıt defteri ayarları hakkında daha fazla bilgi edinmek için Grup İlkesi Ayarlar başvuru elektronik tablosuna bakın.

FIM'i kayıt defteri temellerini izleyecek şekilde yapılandırmak için:

  1. Değişiklik İzleme için Windows Kayıt Defteri Ekle penceresinde Windows Kayıt Defteri Anahtarı metin kutusunu seçin.

  2. Aşağıdaki kayıt defteri anahtarını girin:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    Screenshot of enable FIM on a registry.

Windows dosyalarındaki değişiklikleri izleme

  1. Değişiklik İzleme için Windows Dosyası Ekle penceresindeki Yol girin metin kutusuna, izlemek istediğiniz dosyaları içeren klasörü girin. Aşağıdaki şekildeki örnekte Contoso Web App, ContosWebApp klasör yapısı içindeki D:\ sürücüsünde yer alır.

  2. Ayar sınıfının adını sağlayarak, özyineleni etkinleştirerek ve joker karakter (*) son ekiyle üst klasörü belirterek özel bir Windows dosya girişi oluşturun.

    Screenshot of enable FIM on a file.

Değişiklik verilerini alma

Dosya Bütünlüğünü İzleme verileri Azure Log Analytics/ConfigurationChange tablo kümesinde bulunur.

  1. Kaynağa göre değişikliklerin özetini almak için bir zaman aralığı ayarlayın.

    Aşağıdaki örnekte, kayıt defteri ve dosya kategorilerinde son 14 gün içindeki tüm değişiklikleri alıyoruz:

    ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry', 'Files')
| summarize count() by Computer, ConfigChangeType

  2. Kayıt defteri değişikliklerinin ayrıntılarını görüntülemek için:

    1. Where yan tümcesinden Dosyaları kaldırın.
    2. Özetleme satırını kaldırın ve bir sıralama yan tümcesiyle değiştirin:
    ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry')
| order by Computer, RegistryKey

Raporlar arşivlenmek üzere CSV'ye aktarılabilir ve/veya Power BI raporuna kanallandırılabilir.

FIM data.

Sonraki adımlar

Bulut için Defender hakkında daha fazla bilgi için:

  • Güvenlik ilkelerini ayarlama - Azure abonelikleriniz ve kaynak gruplarınız için güvenlik ilkelerini yapılandırmayı öğrenin.
  • Güvenlik önerilerini yönetme - Önerilerin Azure kaynaklarınızı korumanıza nasıl yardımcı olduğunu öğrenin.
  • Azure Güvenlik blogu - En son Azure güvenlik haberlerini ve bilgilerini alın.