Supervisión de la integridad de los archivos con Microsoft Defender para punto de conexión
Para proporcionar la Supervisión de la integridad de los archivos (FIM), Microsoft Defender para punto de conexión recopila datos de las máquinas según las reglas de recopilación. Cuando el estado actual de los archivos del sistema se compara con el estado durante el examen anterior, FIM le notifica las modificaciones sospechosas.
Con FIM, puede hacer lo siguiente:
- Supervisar los cambios realizados en archivos críticos y registros de Windows de una lista predefinida en tiempo real.
- Acceder a los cambios auditados y analizarlos en un área de trabajo designada.
- Aprovechar la ventaja de los 500 MB incluidos en el Plan 2 de Defender para servidores.
- Mantener el cumplimiento: FIM ofrece compatibilidad integrada con los estándares de cumplimiento normativo de seguridad pertinentes, como PCI-DSS, CIS, NIST y otros
FIM le avisa a cualquier actividad potencialmente sospechosa. Estas actividades incluyen:
- Creación o eliminación de archivos y claves del Registro
- Modificaciones en archivos, como cambios en el tamaño, el nombre, la ubicación o el hash del contenido del archivo
- Modificaciones en el registro, incluidos los cambios de tamaño, tipo y contenido
- Detalles sobre el cambio, incluido el origen del cambio. Estos incluyen detalles de la cuenta, que indican quién realizó los cambios e información sobre el proceso de inicio.
Para obtener instrucciones sobre qué archivos supervisar, consulte ¿Qué archivos debo supervisar?.
Disponibilidad
| Aspecto | Detalles |
|---|---|
| Estado de la versión: | Versión preliminar |
| Precios: | Requiere el Plan 2 de Microsoft Defender para servidores. |
| Roles y permisos necesarios: | El propietario del área de trabajo o el administrador de seguridad pueden habilitar y deshabilitar FIM. Para obtener más información, consulte Roles de Azure para Log Analytics. El lector puede ver los resultados. |
| Nubes: |  Nubes comercialesDispositivos habilitados para Azure Arc. Cuentas de AWS conectadas Cuentas de GCP conectadas |
Requisitos previos
Para realizar un seguimiento de los cambios en los archivos y registros de las máquinas con Defender para punto de conexión, debe:
Habilite el Plan 2 de Azure Defender para servidores.
Habilitar Defender para punto de conexión en las máquinas que desee supervisar
Habilitación de la supervisión de la integridad de los archivos
Habilitación en Azure Portal
Para habilitar FIM en Azure Portal, siga estos pasos:
Inicie sesión en Azure Portal.
Busque y seleccione Microsoft Defender for Cloud.
En el menú de Defender for Cloud, seleccione Environment Settings.
Seleccione la suscripción correspondiente.
Busque el plan Defender para servidores y seleccione Configuración.
En la sección Supervisión de la integridad de los archivos, cambie el botón de alternancia a Activado. A continuación, seleccione Editar configuración.
Se abre el panel Configuración de FIM. En la lista desplegable Selección del área de trabajo, seleccione el área de trabajo donde desea almacenar los datos de FIM. Si desea crear una nueva área de trabajo, seleccione Crear nueva.
Importante
Los eventos recopilados para FIM con tecnología de Defender para punto de conexión se incluyen en los tipos de datos aptos para la ventaja de 500 MB para los clientes del plan 2 de Defender para servidores. Para obtener más información, consulte ¿Qué tipos de datos se incluyen en la asignación diaria?
En la sección inferior del panel Configuración de FIM, seleccione las pestañas Registro de Windows, Archivos de Windows y Archivos de Linux para elegir los archivos y registros que desea supervisar. Si elige la selección superior en cada pestaña, se supervisan todos los archivos y registros. Seleccione Aplicar para guardar los cambios.
Seleccione Continuar.
Seleccione Guardar.
Deshabilitación de la supervisión de la integridad de los archivos
Después de deshabilitar FIM, no se recopilan nuevos eventos. Sin embargo, los datos recopilados antes de deshabilitar la característica permanecen en el área de trabajo, según la directiva de conservación del área de trabajo. Para obtener más información, consulte Administración de la retención de datos en un área de trabajo de Log Analytics.
Deshabilitación en Azure Portal
Para deshabilitar FIM en Azure Portal, siga estos pasos:
Inicie sesión en Azure Portal.
Busque y seleccione Microsoft Defender for Cloud.
En el menú de Defender for Cloud, seleccione Environment Settings.
Seleccione la suscripción correspondiente.
Busque el plan Defender para servidores y seleccione Configuración.
En la sección Supervisión de la integridad de los archivos, cambie el botón de alternancia a Desactivado.
Seleccione Aplicar.
Seleccione Continuar.
Seleccione Guardar.
Supervisión de entidades y archivos
Para supervisar entidades y archivos, siga estos pasos:
Nota:
Si aún no ha habilitado FIM, verá un mensaje que indica La supervisión de la integridad de los archivos no está habilitada. Para habilitar FIM, seleccione Incorporar suscripciones y siga las instrucciones de Habilitar la supervisión de la integridad de los archivos.
En la barra lateral de Defender for Cloud, vaya a Protección de cargas de trabajo>Supervisión de la integridad de los archivos.
Se abre una ventana con todos los recursos que contienen archivos y registros modificados con seguimiento.
Si selecciona un recurso, se abre una ventana con una consulta que muestra los cambios realizados en los archivos y registros con seguimiento en ese recurso.
Si selecciona la suscripción del recurso (en la columna Nombre de la suscripción), se abre una consulta con todos los archivos y registros con seguimiento de esa suscripción.
Nota:
Si usó anteriormente la Supervisión de la integridad de los archivos sobre MMA, puede volver a ese método seleccionando Cambiar a la experiencia anterior. Esto estará disponible hasta que la característica de FIM sobre MMA esté en desuso. Para obtener información sobre el plan de retirada, consulte Preparación para la retirada del agente de Log Analytics.
Recuperación y análisis de datos de FIM
Los datos de la supervisión de la integridad de archivos residen en el área de trabajo de Azure Log Analytics, en la tabla MDCFileIntegrityMonitoringEvents. La tabla aparece en el área de trabajo de Log Analytics debajo de la tabla LogManagment.
Establezca un intervalo de tiempo para recuperar un resumen de los cambios por recurso. En el ejemplo siguiente, recuperaremos todos los cambios realizados en los últimos 14 días en las categorías de registro y archivos:
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType in ('Registry', 'File') | summarize count() by Computer, MonitoredEntityTypePara ver información detallada sobre los cambios del Registro:
Quite
Filesde la cláusulawhere.Sustituya la línea de resumen por una cláusula de ordenación:
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType == 'Registry' | order by Computer, RegistryKeyLos informes se pueden exportar a CSV con fines de archivo y canalizar a un informe de Power BI para su posterior análisis.
Contenido relacionado
Obtenga más información sobre Defender for Cloud en:
- Establecimiento de directivas de seguridad: aprenda a configurar directivas de seguridad para las suscripciones y los grupos de recursos de Azure.
- Administración de recomendaciones de seguridad: conozca una serie de recomendaciones que le ayudarán a proteger los recursos de Azure.
- Blog de seguridad de Azure: obtenga las últimas noticias e información sobre la seguridad en Azure.