適用於雲端的 Microsoft Defender 適用於 伺服器的 Defender 方案 2 中的檔案完整性監視功能會掃描作業系統檔案、Windows 登錄、應用程式軟體和 Linux 系統檔案。 它會分析這些檔案,以找出可能指出攻擊的變更。
檔案完整性監視可協助您:
- 符合規範需求。 法規合規性標準,例如 PCI-DSS 和 ISO 17799,通常需要檔案完整性監視。
- 藉由偵測檔案的可疑變更,改善態勢並識別潛在的安全性問題。
監視可疑的活動
檔案完整性監視會檢查作業系統檔案、Windows 登錄、應用程式軟體與 Linux 系統檔案,以偵測如下的可疑活動:
- 建立或刪除檔案與登錄機碼。
- 檔案修改,例如檔案大小、存取控制清單與內容雜湊的變更。
- 登錄修改,例如大小、存取控制清單、類型與內容的變更。
資料收集
檔案完整性監視會使用適用於端點的 Microsoft Defender 代理程式與無代理程式掃描來從機器收集資料。
- 由適用於端點的 Defender 代理程式與無代理程式掃描所收集的資料,會用於分析檔案與登錄的變更,並將變更記錄儲存在 Log Analytics 工作區中以供存取與分析。
- 適用於端點的 Defender 代理程式會根據針對檔案完整性監視所定義的檔案和資源,從計算機收集數據。 近乎即時地,透過適用於端點的 Defender 收集的變更事件會串流至您選取的工作區。
- 無代理程式掃描 會根據針對檔案完整性監視定義的檔案和資源,提供檔案完整性監視事件的深入解析。 透過無代理程序掃描收集的變更事件會以 24小時頻率串流至您選取的工作區。
- 收集的檔案完整性監控數據是 Defender for Servers 方案 2 中包含的 500 MB 效益的一部分。
- 檔案完整性監視提供檔案和資源變更的相關信息。 其中包含變更的來源、帳戶詳細數據、誰進行變更的指示,以及起始程式的相關信息。
版本需求
為確保檔案完整性監控功能正常,機器必須執行 Defender for Servers Windows 用戶端(Microsoft Defender for Endpoint代理程式)版本 10.8799 或以上。 此要求對以下情況尤為重要:
- 舊有 Windows 機器(低階用戶端)
- 從以 MMA 或 AMA 為基礎的 FIM 轉換中的環境
這很重要
由於 Microsoft Defender for Endpoint 的流程變更,在舊有 Windows 機器上部署 FIM 的用戶必須將 MDE 代理程式更新至 10.8799 或更高版本,才能繼續接收檔案完整性監控資料。
將舊有的 AMA/MMA 用戶端遷移至 MDE 基礎的檔案完整性監控
如果你目前使用舊有代理程式的方法(如:Log Analytics agent/Microsoft Monitoring Agent (MMA) 或 Azure Monitor Agent (AMA))進行檔案完整性監控,你需要遷移到 Microsoft Defender for Endpoint (MDE) 的方法。 此遷移確保功能持續運作並取得更強功能。 了解如何 將檔案完整性監控 從傳統的 AMA/MMA 用戶端遷移到基於 MDE 的解決方案。
設定檔案完整性監視
啟用適用於伺服器的 Defender 方案 2 之後,您即可啟用並設定檔案完整性監視。 預設並不會啟用。
- 請選取 Log Analytics 工作區,以在其中儲存受監視檔案/資源的變更事件。 您可以使用現有的工作區,或定義新的工作區。
- 適用於雲端的 Defender 會建議使用檔案完整性監視進行監視的資源。 透過無代理程序掃描,除了建議的資源之外,您還可以定義用於監視的自定義路徑。
選擇要監視的項目
適用於雲端的 Defende r會建議使用檔案完整性監視進行監視的實體。 您可從建議中選擇項目。 選擇要監視的檔案時:
- 請考慮對於系統和應用程式而言非常關鍵的檔案。
- 監視不會未經計劃就變更的檔案。
- 選取應用程式或作業系統經常變更的檔案 (例如記錄檔和文字檔) 會產生雜訊,並使其難以識別攻擊。
- 監控位於資料夾
/folder/path/*中的任何檔案。
備註
可套用的規則數目上限為 500。
要監視的建議項目
使用透過適用於端點的 Defender 代理程式進行檔案完整性監視時,建議您根據已知的攻擊模式監視下列項目。
| Linux 檔案 | Windows 檔案 | Windows 登錄機碼 (HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe |
機碼:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 值:loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe |
機碼:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 值:common startup, startup |
| /etc/cron.daily | C:\autoexec.bat |
機碼:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders 值:common startup, startup |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab |
機碼:HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows 值:appinit_dlls, loadappinit_dlls |
|
| /etc/init.d |
機碼:HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 值:common startup, startup |
|
| /opt/sbin |
機碼:HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders 值:common startup, startup |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
自訂規則
您可以建立自訂規則來監控特定檔案或資料夾,只要它們符合以下驗證條件:
路徑中最多允許三個星號
*(最大深度)。 僅允許在路徑區段的開頭或結尾使用萬用字元(*)。具有三個星號的路徑不得以
/或\結尾。Windows 登錄路徑必須以 或 開
HKLM頭,且只能包含字母、數字、空格、hklm、_.\、。:僅允許在路徑區段的開頭或結尾使用萬用字元(*)。Windows 檔案路徑只能包含字母、數字、空格、
_、.、\、*、?、:,且不得包含/。 僅允許在路徑區段的開頭或結尾使用萬用字元(*)。Linux 檔案路徑必須是絕對的(以
/開頭),並且只能包含字母、數字、空格、_、./*。:僅允許在路徑區段的開頭或結尾使用萬用字元(*)。所有路徑都必須符合系統的路徑長度上限 (260 個字元) 和深度上限 (三個星號) 規則。
規則定義驗證
規則名稱是必需的。
規則名稱只能包含字母 (a–z、A–Z)、數字 (0–9) 和底線 (_),並且最多可以包含 128 個字元。
規則名稱和規則 ID 必須是唯一的。
規則描述是選擇性的。 如果提供:
- 長度上限為 260 個字元。
- 允許的字元:
letters、digits和? ! ) ( . ,。
必須選取至少一種變更類型 (來自變更管理與文件要求 (CMDR))。
每個訂閱支援 1 到 500 個自訂規則。