Freigeben über

Aktivieren der Überwachung der Dateiintegrität

  • Artikel

In Defender for Servers Plan 1 in Microsoft Defender for Cloud bietet die Funktion zur Überwachung der Dateiintegrität Einblick in Computeränderungen, indem sie Betriebssystemdateien, Windows-Registrierungsdateien, Anwendungssoftware und Linux-Systemdateien untersucht, um verdächtige Manipulationsaktivitäten wie Datei- und Registrierungsänderungen zu erkennen.

Nach der Aktivierung von Defender for Servers Plan 2 wird in diesem Artikel beschrieben, wie die Dateiintegritätsüberwachung mithilfe des Microsoft Defender for Endpoint-Agenten zur Datenerfassung konfiguriert wird.

Hinweis

Die ältere Methode der Datenerfassung verwendet den Log Analytics-Agenten (auch bekannt als Microsoft Monitoring Agent (MMA)). Die Unterstützung für die Nutzung des MMA endet im November 2024.

  • Wenn Sie die veraltete Methode der Datenerfassung mit dem Log Analytics-Agenten verwenden, migrieren Sie auf die neue Dateintegritätsüberwachung, die den Defender for Endpoint-Agenten verwendet.
  • Ab Juni 2025 ist für die Überwachung der Dateiintegrität eine Mindestversion des Defender for Endpoint-Agenten erforderlich.
    • Windows 10.8760
    • Linux: 30.124082

Voraussetzungen

  • Defender for Servers Plan 2 sollte aktiviert sein.
  • Der Defender for Endpoint-Agent sollte auf Computern installiert werden, die Sie überwachen möchten.
  • Sie benötigen die Berechtigungen Arbeitsbereichsbesitzer oder Sicherheitsadministrator, um die Überwachung der Dateiintegrität zu aktivieren und zu deaktivieren. Berechtigungen der Ebene Leser können Ergebnisse anzeigen.
  • Die Überwachung der Dateiintegrität mit Defender for Endpoint wird für Azure-VMs, Azure Arc-fähige VMs, verbundene AWS-Konten und GCP-Projekte unterstützt.
  • Anleitungen zu den zu überwachenden Dateien finden Sie unter Welche Dateien sollte ich überwachen?.

Überprüfen des Defender for Endpoint-Agenten

1.Überprüfen Sie, ob Computer diese Version oder höher ausführen: - Windows: 10.8760 - Linux: 30.124082

  1. Um sicherzustellen, dass Sie über die neueste Version verfügen, installieren Sie auf Computern mit Windows Server 2019 oder höher die neuesten Windows-Updates. Der Defender for Endpoint-Agent wird standardmäßig auf diesem Betriebssystem bereitgestellt.
  2. Um den Microsoft Defender for Endpoint-Agenten auf Windows Server 2016 und Windows Server 2012 R2 oder 2016 zu aktualisieren, installieren Sie ihn mithilfe von KB 5005292 im Microsoft Update-Katalog.
  3. Weitere Informationen zum Aktualisieren des Microsoft Defender for Endpoint-Clients für Windows Server 2019 und höher finden Sie im neuesten Windows-Update. Verwenden Sie den Windows Server Update Service, um Rechner in großem Umfang zu installieren
  4. Linux-Computer werden automatisch aktualisiert, wenn die automatische Bereitstellung von Defender for Endpoint in Defender for Cloud aktiviert ist. Sie können auch manuell aktualisieren.

Aktivieren von Überwachung der Dateiintegrität

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  3. Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.

  4. Wählen Sie das relevante Abonnement aus.

  5. Suchen Sie den Defenders for Servers-Plan, und wählen Sie Einstellungenaus.

  6. Setzen Sie im Abschnitt Dateiintegritätsüberwachung den Schalter auf Ein. Wählen Sie dann Konfiguration bearbeiten aus.

    Screenshot der Aktivierung der Dateiintegritätsüberwachung.

  7. Der Bereich FIM-Konfiguration wird geöffnet. Wählen Sie im Dropdownmenü Arbeitsbereichsauswahl den Arbeitsbereich aus, in dem Sie die Daten zur Überwachung der Dateiintegrität speichern möchten. Falls Sie einen neuen Arbeitsbereich erstellen möchten, wählen Sie Neu erstellen aus.

    Screenshot des Konfigurationsbereichs für die Überwachung der Dateiintegrität.

    Wichtig

    Die für die Überwachung der Dateiintegrität gesammelten Ereignisse sind in den Datentypen enthalten, die für den 500-MB-Vorteil für die Kundschaft von Plan 2 von Defender for Servers berechtigt sind.

  8. Wählen Sie im unteren Abschnitt des Bereichs FIM-Konfiguration die Option Windows-Registrierung, Windows-Dateien und Linux-Dateien aus, um die Dateien und Registrierungen auszuwählen, die Sie überwachen möchten. Wenn Sie die oberste Auswahl auf jeder Registerkarte auswählen, werden alle Dateien und Register überwacht. Wählen Sie Übernehmen aus, um die Änderungen zu speichern.

    Screenshot der Registerkarten zur Konfiguration der Dateiintegritätsüberwachung.

  9. Wählen Sie Continue (Weiter) aus.

  10. Wählen Sie Speichern.

Überwachung der Dateiintegrität deaktivieren

Wenn Sie die Überwachung der Dateiintegrität deaktivieren, werden keine neuen Ereignisse erfasst. Die vor der Deaktivierung der Funktion gesammelten Daten verbleiben jedoch gemäß der Richtlinie zur Aufbewahrung von Arbeitsbereichen im Log Analytics-Arbeitsbereich.

Deaktivieren Sie wie folgt:

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  3. Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.

  4. Wählen Sie das relevante Abonnement aus.

  5. Suchen Sie den Defenders for Servers-Plan, und wählen Sie Einstellungenaus.

  6. Setzen Sie im Abschnitt Dateiintegritätsüberwachung den Schalter auf Aus.

    Screenshot der Deaktivierung der Dateiintegritätsüberwachung.

  7. Wählen Sie Übernehmen.

  8. Wählen Sie Weiter.

  9. Wählen Sie Speichern aus.

Nächste Schritte

Überprüfen Sie die Änderungen der Dateiintegritätsüberwachung.