Freigeben über

Aktivieren der Überwachung der Dateiintegrität

  • Artikel

Die Funktion zur Überwachung der Dateiintegrität in Defender for Servers Plan 2 in Microsoft Defender for Cloud trägt zur Sicherheit von Unternehmensressourcen bei, indem sie Betriebssystemdateien, Windows-Registrierungsdaten, Anwendungssoftware und Linux-Systemdateien auf Änderungen überprüft, die auf einen Angriff hindeuten könnten.

Befolgen Sie nach der Aktivierung von Defender for Servers Plan 2 die Anweisungen in diesem Artikel, um die Dateiintegritätsüberwachung mithilfe des Microsoft Defender for Endpoint-Agents zur Datenerfassung zu konfigurieren.

Hinweis

  • Wenn Sie eine frühere Version der Dateiintegritätsüberwachung verwenden, die den Log Analytics-Agent (auch als Microsoft Monitoring Agent (MMA) bezeichnet) oder den Azure Monitor-Agent (AMA) nutzt, können Sie zur neuen Dateiintegritätsüberwachung migrieren.
  • Ab Juni 2025 ist für die Überwachung der Dateiintegrität eine Mindestversion erforderlich. Aktualisieren Sie den Agent nach Bedarf.
    • Windows: 10.8760 oder höher.
    • Linux: 30.124082 oder höher.

Voraussetzungen

  • Defender for Servers Plan 2 sollte aktiviert sein.
  • Der Defender for Endpoint-Agent sollte auf Computern installiert werden, die Sie überwachen möchten.
  • Sie benötigen die Berechtigungen Arbeitsbereichsbesitzer oder Sicherheitsadministrator, um die Überwachung der Dateiintegrität zu aktivieren und zu deaktivieren. Berechtigungen der Ebene Leser können Ergebnisse anzeigen.

Überprüfen der Version des Defender for Endpoint-Clients

  1. Für Computer mit Windows Server 2019 oder höher wird der Defender for Endpoint-Agent im Rahmen fortlaufender Betriebssystemupdates aktualisiert. Stellen Sie sicher, dass auf Windows-Computern das neueste Update installiert ist. Erfahren Sie mehr über den Einsatz des Windows Server Update Services, um Rechner in großem Umfang zu installieren.
  2. Bei Computern mit Windows Server 2016 und Windows Server 2012 R2 aktualisieren Sie die Computer manuell auf die aktuelle Agent-Version. Sie können KB 5005292 aus dem Microsoft Update-Katalog installieren. KB 5005292 wird regelmäßig mit der aktuellen Agent-Version aktualisiert.
  3. Bei Linux-Computern wird der Defender for Endpoint-Agent automatisch aktualisiert, wenn die automatische Bereitstellung für die Computer in Defender for Cloud aktiviert ist. Nach der Installation der MDE.Linux-Erweiterung auf einem Linux-Computer wird bei jedem Neustart der VM versucht, die Agent-Version zu aktualisieren. Sie können die Agent-Version auch manuell aktualisieren.

Aktivieren der Überwachung der Dateiintegrität

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  3. Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.

  4. Wählen Sie das relevante Abonnement aus.

  5. Suchen Sie den Defenders for Servers-Plan, und wählen Sie Einstellungenaus.

  6. Setzen Sie im Abschnitt Dateiintegritätsüberwachung den Schalter auf Ein. Wählen Sie dann Konfiguration bearbeiten aus.

    Screenshot der Aktivierung der Dateiintegritätsüberwachung.

  7. Der Bereich FIM-Konfiguration wird geöffnet. Wählen Sie im Dropdownmenü Arbeitsbereichsauswahl den Arbeitsbereich aus, in dem Sie die Daten zur Überwachung der Dateiintegrität speichern möchten. Falls Sie einen neuen Arbeitsbereich erstellen möchten, wählen Sie Neu erstellen aus.

    Screenshot des Konfigurationsbereichs für die Überwachung der Dateiintegrität.

  8. Wählen Sie im unteren Abschnitt des Bereichs FIM-Konfiguration die Option Windows-Registrierung, Windows-Dateien und Linux-Dateien aus, um die Dateien und Registrierungen auszuwählen, die Sie überwachen möchten. Wenn Sie die oberste Auswahl auf jeder Registerkarte auswählen, werden alle Dateien und Register überwacht. Wählen Sie Übernehmen aus, um die Änderungen zu speichern.

    Screenshot der Registerkarten zur Konfiguration der Dateiintegritätsüberwachung.

  9. Wählen Sie Continue (Weiter) aus.

  10. Wählen Sie Speichern.

Überwachung der Dateiintegrität deaktivieren

Wenn Sie die Überwachung der Dateiintegrität deaktivieren, werden keine neuen Ereignisse erfasst. Die vor der Deaktivierung der Funktion gesammelten Daten verbleiben jedoch gemäß der Richtlinie zur Aufbewahrung von Arbeitsbereichen im Log Analytics-Arbeitsbereich.

Deaktivieren Sie wie folgt:

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  3. Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.

  4. Wählen Sie das relevante Abonnement aus.

  5. Suchen Sie den Defenders for Servers-Plan, und wählen Sie Einstellungenaus.

  6. Setzen Sie im Abschnitt Dateiintegritätsüberwachung den Schalter auf Aus.

    Screenshot der Deaktivierung der Dateiintegritätsüberwachung.

  7. Wählen Sie Übernehmen.

  8. Wählen Sie Weiter.

  9. Wählen Sie Speichern aus.

Nächste Schritte