Bulut için Microsoft Defender'da Dosya Bütünlüğünü İzleme
Dosya Bütünlüğünü İzleme (FIM), işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını ve Linux sistem dosyalarını bir saldırıyı gösterebilecek değişiklikler için inceler.
FIM (dosya bütünlüğü izleme), ortamınızdaki değişiklikleri izlemek ve tanımlamak için Azure Değişiklik İzleme çözümünü kullanır. FIM etkinleştirildiğinde Çözüm türünde bir Değişiklik İzleme kaynağınız vardır. Değişiklik İzleme kaynağını kaldırırsanız, Bulut için Defender'da Dosya Bütünlüğünü İzleme özelliğini de devre dışı bırakırsınız. FIM, doğrudan Bulut için Defender'da Değişiklik İzleme yararlanmanızı sağlar. Veri toplama sıklığı ayrıntıları için bkz . Değişiklik izleme veri toplama ayrıntıları.
Bulut için Defender varlıkların FIM ile izlenmesini önerir ve ayrıca izlenecek kendi FIM ilkelerinizi veya varlıklarınızı tanımlayabilirsiniz. FIM sizi şu şüpheli etkinlikler hakkında bilgilendirir:
- Dosya ve kayıt defteri anahtarı oluşturma veya kaldırma
- Dosya değişiklikleri (dosya boyutundaki değişiklikler, erişim denetim listeleri ve içeriğin karması)
- Kayıt defteri değişiklikleri (boyut, erişim denetim listeleri, tür ve içerikteki değişiklikler)
Birçok mevzuat uyumluluğu standardı, PCI-DSS ve ISO 17799 gibi FIM denetimlerinin uygulanmasını gerektirir.
Hangi dosyaları izlemem gerekir?
hangi dosyaların izleneceğini seçerken, sisteminiz ve uygulamalarınız için kritik olan dosyaları göz önünde bulundurun. Plan yapmadan değiştirmeyi beklemediğiniz dosyaları izleyin. Uygulamalar veya işletim sistemi (günlük dosyaları ve metin dosyaları gibi) tarafından sık değiştirilen dosyaları seçerseniz, bu kirlilik oluşturur ve bir saldırının tanımlanmasını zorlaştırır.
Bulut için Defender, bilinen saldırı desenlerine göre izlenecek önerilen öğelerin listesini sağlar.
| Linux dosyaları | Windows dosyaları | Windows kayıt defteri anahtarları (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EEE} |
| /bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
| /etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
| /usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| /bin | C:\Windows\regedit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Klasörleri |
| /Sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Klasörleri |
| /Önyükleme | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /usr/local/bin | C:\Program Files\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
| /opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
| /opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
| /etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
| /etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
| /etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
| /etc/cron.daily | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
| /etc/cron.weekly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
| /etc/cron.monthly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Klasörleri | |
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Klasörleri | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
| HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
| HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Sonraki adımlar
Bu makalede, Bulut için Defender'da Dosya Bütünlüğünü İzleme (FIM) hakkında bilgi edindiyseniz.
Ardından şunları yapabilirsiniz: