Supervisión de la integridad de los archivos
La característica de supervisión de integridad de archivos de Microsoft Defender for Cloud ayuda a mantener seguros los recursos y los recursos empresariales mediante el examen y el análisis de archivos del sistema operativo, registros de Windows, software de aplicaciones y archivos del sistema Linux para los cambios que podrían indicar un ataque. La supervisión de la integridad de los archivos le ayuda a:
- Satisfacen los requisitos de cumplimiento. La supervisión de la integridad de los archivos suele ser necesaria por los estándares de cumplimiento normativo, como PCI-DSS e ISO 17799.
- Mejore la posición e identifique posibles problemas de seguridad mediante la detección de cambios sospechosos en los archivos.
Supervisión de la actividad sospechosa
La supervisión de la integridad de los archivos examina los archivos del sistema operativo, los registros de Windows, el software de aplicación y los archivos del sistema Linux para detectar actividad sospechosa como:
- Eliminación y creación de archivos y clave del Registro.
- Modificaciones de archivos como cambios en el tamaño de archivo, listas de control de acceso y hash del contenido.
- Modificaciones del Registro como cambios en el tamaño, listas de control de acceso, tipo y contenido.
datos, recopilación
La supervisión de la integridad de los archivos usa el agente de Microsoft Defender para punto de conexión para recopilar datos de máquinas.
- El agente de Defender para punto de conexión recopila datos de las máquinas de acuerdo con los archivos y recursos definidos para la supervisión de la integridad de los archivos.
- Los datos recopilados por el agente de Defender para punto de conexión se almacenan para el acceso y el análisis en un área de trabajo de Log Analytics.
- Los datos recopilados de supervisión de la integridad de los archivos forman parte de la ventaja de 500 MB incluida en el plan 2 de Defender para servidores.
- La supervisión de la integridad de los archivos proporciona detalles sobre el cambio de archivo o recurso, incluido el origen del cambio, los detalles de la cuenta, la indicación de quién realizó los cambios y la información sobre el proceso de inicio.
Migración al nuevo método de colección
Siga los pasos para migrar la supervisión de la integridad de los archivos de usar MMA para usar el agente de Defender para punto de conexión.
Configuración de la supervisión de la integridad de los archivos
Después de habilitar Defender para servidores Plan 2, habilite y configure la supervisión de la integridad de los archivos. No está habilitado de manera predeterminada.
- Seleccione un área de trabajo de Log Analytics en la que almacenar eventos de cambio para archivos o recursos supervisados. Puede elegir un área de trabajo existente o definir una.
- Defender for Cloud recomienda recursos para supervisar con supervisión de integridad de archivos y puede personalizar la supervisión adicional.
- Después de seleccionar un área de trabajo, revise y personalice lo que desea supervisar. Defender for Cloud recomienda que los recursos se incluyan de forma predeterminada en la lista de supervisión de la integridad de los archivos y puede definir los suyos propios.
Elija qué elementos supervisar
Defender for Cloud recomienda que las entidades se supervisen con supervisión de la integridad de los archivos y puede definir sus propias directivas o entidades. Al elegir los archivos que quiere supervisar:
- Es conveniente que piense en los archivos que son críticos para su sistema y aplicaciones.
- Supervise archivos que no espera que cambien sin haberlo planeado.
- Si elige archivos que las aplicaciones o el sistema operativo cambian con frecuencia (por ejemplo, archivos de registro y archivos de texto), se generará ruido que dificulta la identificación de un ataque.
Elementos recomendados para supervisar
Al usar la supervisión de la integridad de los archivos con el agente de Defender para punto de conexión, se recomienda supervisar estos elementos en función de patrones de ataque conocidos.
| Archivos de Linux | Archivos de Windows | Claves del Registro de Windows (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| bin/ | C:\config.sys | SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /etc/*.conf | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
| /etc/cron.daily | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows\ | |
| /etc/init.d | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
| /opt/sbin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | |
| /sbin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /bin/login | ||
| /opt/bin |
Pasos siguientes
Habilitar supervisión de integridad de archivos con Microsoft Defender para punto de conexión)