Compartir a través de

Habilitación de la supervisión de la integridad de los archivos

  • Artículo

En Defender para servidores Plan 2 de Microsoft Defender for Cloud, la característica supervisión de la integridad de los archivos ayuda a mantener seguros los activos y recursos de la empresa mediante la exploración y el análisis de los archivos del sistema operativo, los registros de Windows, el software de aplicación y los archivos del sistema Linux en busca de cambios que puedan indicar un ataque.

Después de habilitar Defender para servidores Plan 2, siga las instrucciones de este artículo para configurar la supervisión de la integridad de los archivos usando el agente de Microsoft Defender para punto de conexión para recopilar datos.

Nota:

  • Si está usando una versión anterior de supervisión de la integridad de los archivos que utilizaba el agente de Log Analytics (también conocido como agente de Microsoft Monitor (MMA)), o el agente de Azure Monitor (AMA) puede migrar a la nueva experiencia de supervisión de la integridad de los archivos.
  • A partir de junio de 2025, la supervisión de la integridad de los archivos requiere una versión mínima. Actualice el agente según sea necesario.
    • Windows: 10.8760 o posterior.
    • Linux: 30.124082 o posterior.

Requisitos previos

  • El Plan 2 de Defender para servidores debe estar habilitado.
  • El agente deDefender para punto de conexión debe instalarse en las máquinas que desea supervisar.
  • Necesita permisos dePropietario del área de trabajo o Administrador de seguridad para habilitar y deshabilitar la supervisión de la integridad de los archivos. Los permisos deLector pueden ver los resultados.

Comprobación de la versión del cliente de Defender para punto de conexión

  1. En los equipos que ejecutan Windows Server 2019 o posterior, el agente de Defender para punto de conexión se actualiza como parte de las actualizaciones continuas del sistema operativo. Asegúrese de que las máquinas Windows tengan instalada la actualización más reciente. Obtenga más información sobre cómo usar Windows Servers Update Service para instalar equipos a escala.
  2. Para los equipos que ejecutan Windows Server 2016 y Windows Server 2012 R2, actualice los equipos manualmente a la última versión del agente. Puede instalar KB 5005292 desde el catálogo de Microsoft Update. KB 5005292 se actualiza periódicamente con la versión más reciente del agente.
  3. En el caso de las máquinas Linux, el agente de Defender para punto de conexión se actualiza automáticamente si el aprovisionamiento automático está activado para las máquinas de Defender for Cloud. Una vez instalada la extensión MDE.Linux en una máquina Linux, se intenta actualizar la versión del agente cada vez que se reinicia la máquina virtual. También puede actualizar la versión del agente manualmente.

Habilitación de la supervisión de la integridad de los archivos

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Microsoft Defender for Cloud.

  3. En el menú de Defender for Cloud, seleccione Environment Settings.

  4. Seleccione la suscripción correspondiente.

  5. Busque el plan Defender para servidores y seleccione Configuración.

  6. En la sección Supervisión de la integridad de los archivos, cambie el botón de alternancia a Activado. A continuación, seleccione Editar configuración.

    Captura de pantalla de cómo habilitar la supervisión de la integridad de los archivos.

  7. Se abre el panel Configuración de FIM. En la lista desplegable Selección del área de trabajo, seleccione el área de trabajo en la que desea almacenar los datos de supervisión de la integridad de los archivos. Si desea crear una nueva área de trabajo, seleccione Crear nueva.

    Recorte de pantalla del panel de configuración de supervisión de integridad de archivos.

  8. En la sección inferior del panel Configuración de FIM, seleccione las pestañas Registro de Windows, Archivos de Windows y Archivos de Linux para elegir los archivos y registros que desea supervisar. Si elige la selección superior en cada pestaña, se supervisan todos los archivos y registros. Seleccione Aplicar para guardar los cambios.

    Recorte de pantalla de las pestañas de configuración de supervisión de integridad de archivos.

  9. Seleccione Continuar.

  10. Seleccione Guardar.

Deshabilitar la supervisión de la integridad de los archivos

Si deshabilita la supervisión de la integridad de los archivos, no se recopila ningún evento nuevo. Sin embargo, los datos recopilados antes de deshabilitar la característica permanecen en el área de trabajo de Log Analytics, de acuerdo con la directiva de retención del área de trabajo.

Deshabilite de la siguiente manera:

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Microsoft Defender for Cloud.

  3. En el menú de Defender for Cloud, seleccione Environment Settings.

  4. Seleccione la suscripción correspondiente.

  5. Busque el plan Defender para servidores y seleccione Configuración.

  6. En la sección Supervisión de la integridad de los archivos, cambie el botón de alternancia a Desactivado.

    Captura de pantalla de cómo deshabilitar la supervisión de la integridad de los archivos.

  7. Seleccione Aplicar.

  8. Seleccione Continuar.

  9. Seleccione Guardar.

Pasos siguientes

  • Los eventos recopilados para la supervisión de la integridad de los archivos se incluyen en los tipos de datos aptos para la Ventaja de 500 MB para los clientes del plan 2 de Defender for Servers. Obtenga más información sobre la ventaja.
  • Revise los cambios en la supervisión de la integridad de los archivos.