啟用檔案完整性監視

發行項
2025-04-09

在適用於伺服器的 Defender 方案 2 中，於適用於雲端的 Microsoft Defender 中，檔案完整性監視功能有助於保護企業資產和資源的安全。其會掃描和分析作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等，以取得可能表示攻擊的變更。

啟用適用於伺服器的 Defender 方案 2 之後，請遵循本文中的指示，使用適用於端點的 Microsoft Defender 代理程式來收集數據來設定檔案完整性監視。

附註

如果您使用舊版的檔案完整性監視搭配 Log Analytics 代理程式（Microsoft監視代理程式（MMA）或 Azure 監視器代理程式（AMA），您可以移轉至新的檔案完整性監視體驗。
從 2025 年 6 月起，檔案完整性監視需要最低版本。視需要更新代理程式。
- Windows：10.8760 或更新版本。
- Linux：30.124082 或更新版本。

必要條件

應啟用適用於伺服器的 Defender 方案 2 。
必須透過您要監視之電腦上的適用於伺服器的 Defender 擴充功能安裝適用於端點的 Defender 代理程式。
非 Azure 機器必須與 Azure Arc 連線。
您需要 工作區擁有者 或 安全性系統管理員 許可權，才能啟用和停用檔案完整性監視。讀者許可權可以檢視結果。

確認適用於端點的 Defender 用戶端版本

對於執行 Windows Server 2019 或更新版本的機器，適用於端點的 Defender 代理程式會隨著持續進行的操作系統更新一起更新。請確定 Windows 電腦已安裝最新的更新。深入瞭解如何使用 Windows Server Update Service 來大規模安裝機器。
對於執行 Windows Server 2016 和 Windows Server 2012 R2 的機器，請手動將機器更新為最新的代理程式版本。您可以從Microsoft更新類別目錄安裝 KB 5005292。 KB 5005292會以最新的代理程式版本定期更新。
針對 Linux 機器，如果已針對適用於雲端的 Defender 中的機器開啟自動布建，則適用於端點的 Defender 代理程式會自動更新。在 Linux 機器上安裝 MDE.Linux 擴充功能後，每次 VM 重新啟動時，它會嘗試更新代理程式版本。您也可以手動更新代理程式版本。

啟用檔案完整性監視

登入 Azure 入口網站。
搜尋並選取 Microsoft Defender for Cloud。
在適用於雲端的 Microsoft Defender 功能表，選取 [環境設定]。
選取相關的訂用帳戶。
找出適用於伺服器的 Microsoft Defender 方案，然後選取 [設定]。
在 [檔案完整性監視] 區段中，將切換開關切換為 [開啟]。然後選取 [編輯設定]。
[FIM 設定]此窗格會開啟。在 [ 工作區] 選取 下拉式清單中，選取您要在其中儲存檔案完整性監視數據的工作區。如果要建立新的工作區，請選取 [建立新的]。
在 [FIM 設定] 窗格的區段下半部，選取 [Windows 登錄]、[Windows 檔案] 和 [Linux 檔案] 索引標籤，以選擇要監視的檔案和登錄。若在每個索引標籤中選擇最上面的項目，則所有的檔案和註冊表都會被監視。選取 [套用] 以儲存變更。
選取繼續。
選取儲存。

檢閱 FIM 的啟用狀態

檢查 FIM 的啟用情況以確保其正確無誤，且符合所有必要條件。

移至 工作負載保護>檔案完整性監視。
選擇 [設定]。
檢查是否有遺漏的必要條件。
選取訂用帳戶並檢閱必要工作區的更正措施。
選擇套用。

停用檔案完整性監視

如果您停用檔案完整性監視，則不會收集任何新事件。不過，停用此功能之前收集的數據會根據工作區保留原則保留在Log Analytics工作區中。

以下列方式停用：

登入 Azure 入口網站。
搜尋並選取 Microsoft Defender for Cloud。
在適用於雲端的 Microsoft Defender 功能表，選取 [環境設定]。
選取相關的訂用帳戶。
找出適用於伺服器的 Microsoft Defender 方案，然後選取 [設定]。
在 [檔案完整性監視] 區段中，將切換開關切換為 [關閉]。
選擇套用。
選取繼續。
選取儲存。

後續步驟

針對檔案完整性監視收集的事件包含在符合適用於伺服器之 Defender 方案 2 客戶的 500 MB 權益資格的資料類型中。深入了解權益。
檢閱檔案完整性監視中的變更。