Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bulut için Microsoft Defender'ın Sunucular için Defender Plan 2'deki dosya bütünlüğünü izleme özelliği, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını ve Linux sistem dosyalarını bir saldırıyı gösterebilecek değişiklikler için tarar ve analiz eder.
Dosya bütünlüğü izleme şunları oluşturmanıza yardımcı olur:
- Uyumluluk gereksinimlerini karşılayın. PCI-DSS ve ISO 17799 gibi mevzuat uyumluluğu standartları genellikle dosya bütünlüğünün izlenmesini gerektirir.
- Dosyalardaki şüpheli değişiklikleri algılayarak duruşu geliştirin ve olası güvenlik sorunlarını belirleyin.
Şüpheli etkinliği izleme
Dosya bütünlüğü izleme, aşağıdakiler gibi şüpheli etkinlikleri algılamak için işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımlarını ve Linux sistem dosyalarını inceler:
- Dosya ve kayıt defteri anahtarı oluşturma veya silme.
- Dosya boyutundaki değişiklikler, erişim denetim listeleri ve içeriğin karması gibi dosya değişiklikleri.
- Boyut değişiklikleri, erişim denetimi listeleri, tür ve içerik gibi kayıt defteri değişiklikleri.
Veri toplama
Dosya bütünlüğünü izleme, makinelerden veri toplamak için Uç Nokta için Microsoft Defender aracısını ve aracısız taramayı kullanır.
- Uç Nokta için Defender aracısı ve aracısız tarama tarafından toplanan veriler, dosya ve kayıt defteri değişiklikleri için analiz edilir ve değişiklik kayıtları, erişim ve analiz amacıyla bir Log Analytics çalışma alanında depolanır.
- Uç Nokta için Defender aracısı, dosya bütünlüğünü izlemek için tanımlanan dosyalara ve kaynaklara uygun olarak makinelerden veri toplar. Uç Nokta için Defender aracılığıyla toplanan değişiklik olayları, seçili çalışma alanınıza neredeyse gerçek zamanlı olarak akışla aktarılır.
- Aracısız tarama , dosya bütünlüğünü izleme için tanımlanan dosyalara ve kaynaklara uygun olarak dosya bütünlüğü izleme olayları hakkında içgörüler sağlar. Aracısız tarama yoluyla toplanan değişiklik olayları , 24 saatlik bir tempoyla seçili çalışma alanınıza akışla aktarılır.
- Toplanan dosya bütünlüğü izleme verileri , Sunucular için Defender Plan 2'ye dahil edilen 500 MB avantajın bir parçasıdır.
- Dosya bütünlüğünü izleme, dosya ve kaynak değişiklikleri hakkında bilgi verir. Değişikliğin kaynağını, hesap ayrıntılarını, değişiklikleri kimin yaptığını gösteren bilgileri ve başlatma işlemi hakkındaki bilgileri içerir.
Yeni sürüme geçiş
Dosya bütünlüğü izleme daha önce veri toplamak için Log Analytics aracısını (Microsoft monitoring agent (MMA) olarak da bilinir) veya Azure İzleyici aracısını (AMA) kullanıyordu. Bu eski yöntemlerden biriyle dosya bütünlüğü izlemesi kullanıyorsanız, Uç Nokta için Defender'ı kullanmak üzere dosya bütünlüğü izlemeyi geçirebilirsiniz.
Dosya bütünlüğü izlemeyi yapılandırma
Sunucular için Defender Plan 2'yi etkinleştirdikten sonra dosya bütünlüğü izlemeyi etkinleştirir ve yapılandırabilirsiniz. Varsayılan olarak etkin değildir.
- İzlenen dosyalar/kaynaklar için değişiklik olaylarının depolandığı bir Log Analytics çalışma alanı seçersiniz. Mevcut bir çalışma alanını kullanabilir veya yeni bir çalışma alanı tanımlayabilirsiniz.
- Bulut için Defender, kaynakların dosya bütünlüğü izleme ile izlenmesini önerir. Aracısız tarama ile, önerilen kaynaklara ek olarak izleme için özel yollar tanımlayabilirsiniz.
Nelerin izleneceğini seçme
Bulut için Defender, varlıkların dosya bütünlüğü izleme ile izlenmesini önerir. Önerilerden öğeleri seçebilirsiniz. hangi dosyaların izleneceğini seçerken:
- Sisteminiz ve uygulamalarınız için kritik olan dosyaları göz önünde bulundurun.
- Plan yapmadan değiştirmeyi beklemediğiniz dosyaları izleyin.
- Uygulamalar veya işletim sistemi tarafından sık değiştirilen dosyaları seçin (günlük dosyaları ve metin dosyaları gibi) kirlilik oluşturur ve bir saldırının tanımlanmasını zorlaştırır.
İzlenecek önerilen öğeler
Uç Nokta için Defender aracısıyla dosya bütünlüğü izleme kullanırken, bu öğelerin bilinen saldırı desenlerine göre izlenmesini öneririz.
| Linux dosyası | Windows dosyaları | Windows kayıt defteri anahtarları (HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /çizme | C:\Windows\System32\userinit.exe |
Anahtar: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Değerler: loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe |
Anahtar: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Klasörleri Değerler: ortak başlangıç, başlangıç |
| /etc/cron.daily | C:\autoexec.bat |
Anahtar: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Klasörleri Değerler: ortak başlangıç, başlangıç |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab |
Anahtar: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Değerler: appinit_dlls, loadappinit_dlls |
|
| /etc/init.d |
Anahtar: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Klasörleri Değerler: ortak başlangıç, başlangıç |
|
| /opt/sbin |
Anahtar: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Klasörleri Değerler: ortak başlangıç, başlangıç |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Sonraki adımlar
Uç Nokta için Defender ile dosya bütünlüğü izlemeyi etkinleştirme