Monitorování integrity souborů
Funkce monitorování integrity souborů v programu Defender for Servers Plan 2 v programu Microsoft Defender for Cloud pomáhá udržovat podnikové prostředky a prostředky zabezpečené skenováním a analýzou souborů operačního systému, registrů Windows, aplikačního softwaru a systémových souborů Linuxu za účelem změn, které by mohly značit útok. Monitorování integrity souborů vám pomůže:
- Splnění požadavků na dodržování předpisů Monitorování integrity souborů je často vyžadováno standardy dodržování právních předpisů, jako jsou PCI-DSS a ISO 17799.
- Vylepšete stav a identifikujte potenciální problémy se zabezpečením tím, že zjistíte podezřelé změny souborů.
Monitorování podezřelých aktivit
Monitorování integrity souborů kontroluje soubory operačního systému, registry Windows, aplikační software a systémové soubory Linuxu za účelem zjištění podezřelých aktivit, jako jsou:
- Vytvoření nebo odstranění klíče souboru a registru
- Úpravy souborů, jako jsou změny velikosti souboru, seznamy řízení přístupu a hodnota hash obsahu.
- Úpravy registru, jako jsou změny velikosti, seznamy řízení přístupu, typ a obsah.
Shromažďování dat
Monitorování integrity souborů používá agenta Microsoft Defenderu for Endpoint ke shromažďování dat z počítačů.
- Agent Defender for Endpoint shromažďuje data z počítačů v souladu se soubory a prostředky definovanými pro monitorování integrity souborů.
- Data shromážděná agentem Defender for Endpoint se ukládají pro přístup a analýzu v pracovním prostoru služby Log Analytics.
- Shromážděná data monitorování integrity souborů jsou součástí výhody 500 MB zahrnuté v programu Defender for Servers Plan 2.
- Monitorování integrity souborů poskytuje informace o změnách souborů a prostředků, včetně zdroje změn, podrobností o účtu, informací o tom, kdo změny provedl, a informace o iniciačním procesu.
Migrace na novou verzi
Monitorování integrity souborů dříve používalo agenta Log Analytics (označovaného také jako agent Microsoft Monitoring Agent (MMA) nebo agenta Služby Azure Monitor (AMA) ke shromažďování dat. Pokud používáte monitorování integrity souborů s některou z těchto starších metod, můžete migrovat monitorování integrity souborů a používat Defender for Endpoint.
Konfigurace monitorování integrity souborů
Po povolení programu Defender for Servers Plan 2 povolíte a nakonfigurujete monitorování integrity souborů. Ve výchozím nastavení není povolená.
- Vyberete pracovní prostor služby Log Analytics, do kterého se mají ukládat události změn pro monitorované soubory nebo prostředky. Můžete použít existující pracovní prostor nebo definovat nový.
- Defender for Cloud doporučuje prostředky pro monitorování integrity souborů.
Volba toho, co chcete monitorovat
Defender for Cloud doporučuje entity, které monitorují s monitorováním integrity souborů. Můžete si vybrat položky z doporučení. Při výběru souborů, které chcete monitorovat:
- Zvažte soubory, které jsou pro váš systém a aplikace důležité.
- Monitorujte soubory, které neočekáváte, že se budou měnit bez plánování.
- Pokud zvolíte soubory, které se často mění aplikacemi nebo operačním systémem (například soubory protokolu a textové soubory), dojde k šumu, což ztěžuje identifikaci útoku.
Doporučené položky pro monitorování
Při použití monitorování integrity souborů s agentem Defender for Endpoint doporučujeme tyto položky monitorovat na základě známých vzorů útoku.
| Soubor s Linuxem | Soubory Windows | Klíče registru Windows (HKEY_LOCAL_MACHINE) |
|---|---|---|
| /popelnice | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /bota | C:\Windows\System32\userinit.exe |
Klíč: HKLM\SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Windows Hodnoty: loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe |
Klíč: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Hodnoty: běžné spuštění, spuštění |
| /etc/cron.daily | C:\autoexec.bat |
Klíč: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Hodnoty: běžné spuštění, spuštění |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab |
Klíč: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Hodnoty: appinit_dlls, loadappinit_dlls |
|
| /etc/init.d |
Klíč: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Hodnoty: běžné spuštění, spuštění |
|
| /opt/sbin |
Klíč: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Hodnoty: běžné spuštění, spuštění |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Další kroky
Povolení monitorování integrity souborů pomocí Defenderu pro koncový bod