Kontrola změn v monitorování integrity souborů

V programu Defender for Servers Plan 2 v programu Microsoft Defender for Cloud pomáhá funkce monitorování integrity souborů udržovat podnikové prostředky a prostředky zabezpečené skenováním a analýzou souborů a porovnáním jejich aktuálního stavu s předchozími kontrolami.

Monitorování integrity souborů používá agenta Microsoft Defenderu for Endpoint ke shromažďování dat z počítačů v souladu s pravidly shromažďování. Defender for Endpoint je ve výchozím nastavení integrovaný s defenderem pro cloud.

Poznámka:

Starší metoda shromažďování dat používá agenta Log Analytics (označovaného také jako agent Microsoft Monitoring Agent (MMA)). Podpora používání MMA skončí v listopadu 2024.

V tomto článku se dozvíte, jak zkontrolovat změny souborů.

Požadavky

• Musí být povolený Defender for Servers Plan 2.
• Musí být povolené monitorování integrity souborů pomocí agenta Defenderu pro koncový bod. Pokud tato zpráva není povolená, zobrazí se – Monitorování integrity souborů není povolené. Pokud chcete povolit výběr předplatných onboardingu a pak tuto funkci povolit.

Monitorování entit a souborů

Pokud chcete monitorovat entity a soubory, postupujte takto:

1. Na bočním panelu Defenderu pro cloud přejděte na Monitorování integrity>souborů ochrany úloh.

   

2. Otevře se okno se všemi prostředky, které obsahují sledované změněné soubory a registry.

   

3. Pokud vyberete prostředek, otevře se okno s dotazem, ve kterém se zobrazí změny sledovaných souborů a registrů v daném prostředku.

   

4. Pokud vyberete předplatné prostředku (pod názvem Předplatné), otevře se dotaz se všemi sledovanými soubory a registry v daném předplatném.

Poznámka:

Pokud jste dříve použili monitorování integrity souborů přes MMA, můžete se k této metodě vrátit výběrem možnosti Změnit na předchozí prostředí. Bude k dispozici, dokud nebude funkce FIM přes MMA zastaralá. Informace o plánu vyřazení najdete v tématu Příprava na vyřazení agenta Log Analytics.

Načtení a analýza dat monitorování integrity souborů

Data monitorování integrity souborů se nacházejí v pracovním prostoru služby Azure Log Analytics v MDCFileIntegrityMonitoringEvents tabulce.

1. Nastavte časový rozsah pro načtení souhrnu změn podle prostředku. V následujícím příkladu načteme všechny změny za posledních 14 dnů v kategoriích registru a souborů:

   MDCFileIntegrityMonitoringEvents  
   | where TimeGenerated > ago(14d)  
   | where ConfigChangeType in ('Registry', 'Files')  
   | summarize count() by Computer, ConfigChangeType  
   

2. Zobrazení podrobných informací o změnách registru:

   1. Remove Files z where klauzule.

   2. Řádek sumarizace nahraďte klauzulí ordering:

   MDCFileIntegrityMonitoringEvents  
   | where TimeGenerated > ago(14d)  
   | where ConfigChangeType == 'Registry'  
   | order by Computer, RegistryKey  
   

3. Sestavy je možné exportovat do souboru CSV pro účely archivace a kanály do sestavy Power BI pro další analýzu.