Revisión de los cambios en la supervisión de la integridad de los archivos

En el plan 2 de Defender para servidores en Microsoft Defender for Cloud, la característica de supervisión de integridad de archivos ayuda a mantener seguros los recursos y los recursos empresariales mediante el examen y el análisis de archivos y la comparación de su estado actual con exámenes anteriores.

La supervisión de la integridad de los archivos usa el agente de Microsoft Defender para punto de conexión para recopilar datos de máquinas, de acuerdo con las reglas de recopilación. Defender para punto de conexión se integra de forma predeterminada con Defender for Cloud.

Nota:

El método anterior de la recopilación de datos usa el agente de Log Analytics (también conocido como Microsoft Monitoring Agent (MMA)). La compatibilidad con el uso de MMA finalizará en noviembre de 2024.

En este artículo se muestra cómo revisar los cambios de archivo.

Requisitos previos

• El plan 2 de Defender para servidores debe estar habilitado.
• Supervisión de la integridad de los archivos con el agente de Defender para punto de conexión debe estar habilitado. Si no está habilitado aparecerá este mensaje, Supervisión de integridad de archivos no está habilitado. Para habilitar la selección de Suscripciones de incorporación y, a continuación, habilite la característica.

Supervisión de entidades y archivos

Para supervisar entidades y archivos, siga estos pasos:

1. En la barra lateral de Defender for Cloud, vaya a Protección de cargas de trabajo>Supervisión de la integridad de los archivos.

   

2. Se abre una ventana con todos los recursos que contienen archivos y registros modificados con seguimiento.

   

3. Si selecciona un recurso, se abre una ventana con una consulta que muestra los cambios realizados en los archivos y registros con seguimiento en ese recurso.

   

4. Si selecciona la suscripción del recurso (en la columna Nombre de la suscripción), se abre una consulta con todos los archivos y registros con seguimiento de esa suscripción.

Nota:

Si usó anteriormente la Supervisión de la integridad de los archivos sobre MMA, puede volver a ese método seleccionando Cambiar a la experiencia anterior. Esto estará disponible hasta que la característica de FIM sobre MMA esté en desuso. Para obtener información sobre el plan de retirada, consulte Preparación para la retirada del agente de Log Analytics.

Recuperación y análisis de los datos de supervisión de la integridad de los archivos

Los datos de la supervisión de la integridad de archivos residen en el área de trabajo de Azure Log Analytics, en la tabla MDCFileIntegrityMonitoringEvents.

1. Establezca un intervalo de tiempo para recuperar un resumen de los cambios por recurso. En el ejemplo siguiente, recuperaremos todos los cambios realizados en los últimos 14 días en las categorías de registro y archivos:

   MDCFileIntegrityMonitoringEvents  
   | where TimeGenerated > ago(14d)  
   | where ConfigChangeType in ('Registry', 'Files')  
   | summarize count() by Computer, ConfigChangeType  
   

2. Para ver información detallada sobre los cambios del Registro:

   1. Quite Files de la cláusula where.

   2. Sustituya la línea de resumen por una cláusula de ordenación:

   MDCFileIntegrityMonitoringEvents  
   | where TimeGenerated > ago(14d)  
   | where ConfigChangeType == 'Registry'  
   | order by Computer, RegistryKey  
   

3. Los informes se pueden exportar a CSV con fines de archivo y canalizar a un informe de Power BI para su posterior análisis.