Freigeben über

Überprüfen Sie die Änderungen der Dateiintegritätsüberwachung

  • Artikel

In Defender for Servers Plan 2 in Microsoft Defender for Cloud trägt die Funktion zur Überwachung der Dateiintegrität durch Scannen und Analysieren von Dateien und Vergleichen ihres aktuellen Zustands mit früheren Scans zur Sicherheit von Unternehmensressourcen bei.

Die Dateiintegritätsüberwachung verwendet den Microsoft Defender for Endpoint-Agenten, um Daten von Computern gemäß Sammlungsregeln zu sammeln. Defender for Endpoint ist standardmäßig in Defender for Cloud integriert.

Hinweis

Die ältere Methode der Datenerfassung verwendet den Log Analytics-Agenten (auch bekannt als Microsoft Monitoring Agent (MMA)). Die Unterstützung für die Nutzung des MMA endet im November 2024.

In diesem Artikel erfahren Sie, wie Sie Dateiänderungen überprüfen.

Voraussetzungen

  • Defender for Servers Plan 2 muss aktiviert sein.
  • Die Dateiintegritätsüberwachung mit dem Defender for Endpoint-Agent muss aktiviert sein. Wenn sie nicht aktiviert ist, wird diese Meldung angezeigt: Die Dateiintegritätsüberwachung ist nicht aktiviert. Wählen Sie Onboarding für Abonnements durchführen aus, und aktivieren Sie dann das Feature.

Überwachen von Entitäten und Dateien

Führen Sie die folgenden Schritte aus, um Entitäten und Dateien zu überwachen:

  1. Wechseln Sie von der Defender for Cloud-Seitenleiste zu Workloadschutz>Dateiintegritätsüberwachung.

    Screenshot: Zugreifen auf die Dateiintegritätsüberwachung in Workloadschutz.

  2. Ein Fenster wird mit allen Ressourcen geöffnet, die nachverfolgte geänderte Dateien und Registrierungen enthalten.

    Screenshot der Ergebnisse der Dateiintegritätsüberwachung.

  3. Wenn Sie eine Ressource auswählen, wird ein Fenster mit einer Abfrage geöffnet, in der die Änderungen angezeigt werden, die an den nachverfolgten Dateien und Registrierungen für diese Ressource vorgenommen wurden.

    Screenshot der Ergebnisse der Anfrage zur Dateiintegritätsüberwachung.

  4. Wenn Sie das Abonnement der Ressource auswählen (unter der Spalte Abonnementname), wird eine Abfrage mit allen nachverfolgten Dateien und Registrierungen in diesem Abonnement geöffnet.

Hinweis

Wenn Sie zuvor die Dateiintegritätsüberwachung über MMA verwendet haben, können Sie zu dieser Methode zurückkehren, indem Sie In vorherige Erfahrung ändern auswählen. Dies wird verfügbar sein, bis FIM über MMA-Feature veraltet ist. Weitere Informationen zum Veralterungsplan finden Sie unter Vorbereiten auf das Einstellen des Log Analytics-Agents.

Abrufen und Analysieren von Dateiintegritätsüberwachungsdaten

Die Daten der Dateiintegritätsüberwachung befinden sich im Azure Log Analytics-Arbeitsbereich in der Tabelle MDCFileIntegrityMonitoringEvents.

  1. Legen Sie einen Zeitbereich für das Abrufen einer Zusammenfassung der Änderungen nach Ressource fest. Im folgenden Beispiel werden alle Änderungen in den letzten 14 Tagen in den Kategorien „Registrierung“ und „Dateien“ abgerufen:

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

  2. So zeigen Sie detaillierte Informationen zu Registrierungsänderungen an:

    1. Entfernen Sie Files aus der where-Klausel.

    2. Ersetzen Sie die Zeile für die Zusammenfassung durch eine Klausel zum Sortieren:

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType == 'Registry'  
| order by Computer, RegistryKey

  3. Die Berichte können zu Archivierungszwecken in CSV exportiert und zur weiteren Analyse in einen Power BI-Bericht geleitet werden.