Dateiintegritätsüberwachung
Die Funktion zur Überwachung der Dateiintegrität in Defender for Servers-Plan 2 in Microsoft Defender for Cloud trägt zur Sicherheit von Unternehmensressourcen bei, indem sie Betriebssystemdateien, Windows-Registrierungsdaten, Anwendungssoftware und Linux-Systemdateien auf Änderungen überprüft, die auf einen Angriff hindeuten könnten. Die Dateiintegritätsüberwachung hilft Ihnen bei:
- Konformitätsvorgaben einhalten. Die Dateiintegritätsüberwachung wird häufig von Standards zur Einhaltung gesetzlicher Vorschriften wie PCI-DSS und ISO 17799 gefordert.
- Verbessern Sie den Status und erkennen Sie potenzielle Sicherheitsprobleme, indem Sie verdächtige Änderungen an Dateien erkennen.
Überwachen verdächtiger Aktivitäten
Die Überwachung der Dateiintegrität untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware und Linux-Systemdateien, um verdächtige Aktivität zu erkennen, wie z. B.:
- Erstellen und Löschen von Dateien und Registrierungsschlüsseln.
- Änderungen an Dateien, wie z. B. an der Dateigröße, der Zugriffssteuerungsliste und dem Hash des Inhalts.
- Änderungen an Registrierungen, wie z. B. Zugriffssteuerungslisten, Typ und Inhalt.
Datensammlung
Die Dateiintegritätsüberwachung verwendet den Microsoft Defender for Endpoint-Agenten, um Daten von Computern zu sammeln.
- Der Defender for Endpoint-Agent sammelt Daten von Computern gemäß den für die Dateiintegritätsüberwachung definierten Dateien und Ressourcen.
- Die vom Defender for Endpoint-Agenten gesammelten Daten werden für den Zugriff und die Analyse in einem Log Analytics-Arbeitsbereich gespeichert.
- Die gesammelten Daten zur Überwachung der Dateiintegrität sind Teil des 500-MB-Vorteils, der im Defender for Servers-Plan 2 enthalten ist.
- Die Dateiintegritätsüberwachung liefert Informationen über die Datei und über Ressourcenänderung, einschließlich der Quelle der Änderung, Kontodetails, Angaben darüber, wer die Änderungen vorgenommen hat, und Informationen über den auslösenden Prozess.
Migrieren Sie zur neuen Version
Die Dateiintegritätsüberwachung hat zuvor den Log Analytics Agent (auch bekannt als Microsoft Monitoring Agent (MMA)) oder den Azure Monitor Agent (AMA) verwendet, um Daten zu sammeln. Wenn Sie die Dateiintegritätsüberwachung mit einer dieser älteren Methoden verwenden, können Sie die Dateiintegritätsüberwachung migrieren, um Defender for Endpoint zu verwenden.
Konfigurieren der Überwachung der Dateiintegrität
Nachdem Sie den Defender for Servers Plan 2 aktiviert haben, aktivieren und konfigurieren Sie die Dateiintegritätsüberwachung. Die Aktivierung erfolgt nicht standardmäßig.
- Sie wählen einen Log Analytics-Arbeitsbereich aus, in dem Änderungsereignisse für überwachte Dateien/Ressourcen gespeichert werden. Sie können einen bestehenden Arbeitsbereich nutzen oder einen neuen festlegen.
- Defender for Cloud empfiehlt Ressourcen, die mit der Dateiintegritätsüberwachung überwacht werden sollten.
Zu überwachende Elemente auswählen
Defender for Cloud empfiehlt Entitäten, die mit der Dateiintegritätsüberwachung überwacht werden sollten. Sie können Elemente aus den Empfehlungen auswählen. Bei der Auswahl der zu überwachenden Dateien:
- Berücksichtigen Sie die Dateien, die für Ihr System und Ihre Anwendungen unentbehrlich sind.
- Überwachen Sie Dateien, bei denen Sie keine ungeplanten Änderungen erwarten.
- Wenn Sie Dateien auswählen, die von Anwendungen oder vom Betriebssystem häufig geändert werden (z. B. Protokoll- und Textdateien), werden viele überflüssige Meldungen generiert, die das Identifizieren eines Angriffs erschweren.
Empfohlene zu überwachende Elemente
Bei der Verwendung der Dateiintegritätsüberwachung mit dem Defender for Endpoint-Agenten empfehlen wir, diese Elemente anhand bekannter Angriffsmuster zu überwachen.
| Linux-Datei | Windows-Dateien | Windows-Registrierungsschlüssel (HKEY_LOCAL_MACHINE) |
|---|---|---|
| bin/ | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe | Schlüssel: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Werte: loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe | Schlüssel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Werte: common startup, startup |
| /etc/cron.daily | C:\autoexec.bat | Schlüssel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Werte: common startup, startup |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | Schlüssel: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Werte: appinit_dlls, loadappinit_dlls |
|
| /etc/init.d | Schlüssel: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Werte: common startup, startup |
|
| /opt/sbin | Schlüssel: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Werte: common startup, startup |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Nächste Schritte
Aktivieren der Dateiintegritätsüberwachung mit Defender for Endpoint