Compartir vía


Supervisión de la integridad de los archivos mediante el agente de Log Analytics

Para realizar la supervisión de la integridad de los archivos (FIM), el agente de Log Analytics carga los datos en el área de trabajo de Log Analytics. Al comparar el estado actual de estos elementos con el estado durante el examen anterior, FIM le informa si se han realizado modificaciones sospechosas.

Nota:

Como el agente de Log Analytics (también conocido como MMA) está establecido para retirarse en agosto de 2024, todas las características de Defender for Servers que dependen actualmente de ella, incluidas las descritas en esta página, estarán disponibles a través de la Integración de Microsoft Defender para punto de conexión o el análisis sin agente, antes de la fecha de retirada. Para obtener más información sobre el mapa de ruta de cada una de las características que se basan actualmente en el agente de Log Analytics, consulte este anuncio.

FIM (Supervisión de la integridad de archivos) usa la solución Azure Change Tracking para realizar un seguimiento e identificar los cambios en su entorno. Cuando FIM está habilitada, tendrá un recurso Change Tracking de tipo Solución. Si quita el recurso Change Tracking, deshabilitará también la característica de supervisión de la integridad de los archivos en Defender for Cloud. FIM le permite aprovechar Change Tracking directamente en Defender for Cloud. Para obtener detalles sobre la frecuencia de recopilación de datos, consulte Detalles de la recopilación de datos de seguimiento de cambios.

Nota:

La supervisión de la integridad de los archivos puede crear la siguiente cuenta en servidores SQL Server supervisados: NT Service\HealthService
Si elimina la cuenta, se volverá a crear automáticamente.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Precios: Requiere el plan 2 de Microsoft Defender para servidores.
Con el agente de Log Analytics, FIM carga datos en el área de trabajo de Log Analytics. Se aplican cargos de datos, según la cantidad de datos que cargue. Para más información, consulte Precios de Log Analytics.
Roles y permisos necesarios: El propietario del área de trabajo puede habilitar o deshabilitar FIM (para obtener más información, consulte Roles de Azure para Log Analytics).
El lector puede ver los resultados.
Nubes: Nubes comerciales
Nacional (Azure Government, Microsoft Azure operado por 21Vianet)
Solo se admite en las regiones en las que está disponible la solución de seguimiento de cambios de Azure Automation.
Dispositivos habilitados para Azure Arc.
Consulte Regiones admitidas para el área de trabajo de Log Analytics vinculada.
Más información sobre el seguimiento de cambios.
Cuentas de AWS conectadas

Habilitación de la supervisión de la integridad de los archivos con el agente de Log Analytics

FIM solo está disponible en las páginas de Defender for Cloud de Azure Portal. Actualmente no hay ninguna API REST que funcione con FIM.

  1. En el área Protección avanzada del panel Protecciones de cargas de trabajo, seleccione Supervisión de la integridad de los archivos.

    Captura de pantalla de la apertura del panel Supervisión de la integridad de los archivos.

    Se proporciona la siguiente información para cada área de trabajo:

    • Número total de cambios que se produjeron en la última semana (es posible que vea un guión "-“ si FIM no está habilitado en el área de trabajo)
    • Número total de equipos y las máquinas virtuales que informan al área de trabajo
    • Ubicación geográfica del área de trabajo
    • Suscripción de Azure en la que se encuentra el área de trabajo
  2. Use esta página para:

    • Acceder y ver el estado y la configuración de cada área de trabajo.

    • Icono de plan de actualización. Actualice el área de trabajo para usar características de seguridad mejoradas. Este icono indica que el área de trabajo o la suscripción no están protegidas con Microsoft Defender para servidores. Para usar las características FIM, la suscripción debe estar protegida con este plan. Obtenga información sobre cómo habilitar Defender para servidores.

    • Icono de habilitación Habilite FIM en todas las máquinas del área de trabajo y configure las opciones de FIM. Este icono indica que FIM no está habilitada en el área de trabajo. Si no hay ningún botón Habilitar o Actualizar y el espacio está en blanco, significa que FIM ya está habilitado en el área de trabajo.

      Captura de pantalla de la habilitación de FIM para un área de trabajo específica.

  3. Seleccione HABILITAR. Se muestran los detalles del área de trabajo, incluido el número de equipos con Windows y Linux en el área de trabajo.

    Captura de pantalla de la página de detalles del área de trabajo de FIM.

    También se muestra la configuración recomendada para Windows y Linux. Expanda Archivos de Windows, Registro y Archivos de Linux para ver la lista completa de elementos recomendados.

  4. Desactive las casillas de las entidades recomendadas que no quiere que supervise FIM.

  5. Seleccione Aplicar la supervisión de la integridad de los archivos para habilitar FIM.

Puede cambiar la configuración en cualquier momento. Obtenga más información sobre la edición de entidades supervisadas.

Deshabilitación de la supervisión de la integridad de los archivos

FIM emplea la solución Azure Change Tracking para realizar el seguimiento de los cambios e identificarlos en su entorno. Al deshabilitar FIM, quita la solución Change Tracking del área de trabajo seleccionada.

Para deshabilitar FIM:

  1. En el panel Supervisión de la integridad de los archivos de un área de trabajo, seleccione Deshabilitar.

    Captura de pantalla de la deshabilitación de la supervisión de la integridad de los archivos desde la página de configuración.

  2. Seleccione Quitar.

Supervisión de áreas de trabajo, entidades y archivos

Auditoría de áreas de trabajo supervisadas

El panel Supervisión de la integridad de los archivos se muestra en las áreas de trabajo en las que está habilitado FIM. El panel de FIM se abre después de habilitar FIM en un área de trabajo o al seleccionar un área de trabajo en la ventana Supervisión de la integridad de los archivos que ya tiene FIM habilitado.

Captura de pantalla del panel de FIM y sus distintos paneles informativos.

El panel de FIM de un área de trabajo muestra los detalles siguientes:

  • Número total de máquinas conectadas al área de trabajo
  • Número total de cambios que se produjeron durante el período de tiempo seleccionado
  • Un desglose del tipo de cambio (archivos, registro)
  • Un desglose de la categoría del cambio (modificado, agregado, quitado)

Seleccione Filtrar en la parte superior del panel para cambiar el período de tiempo durante el que se muestran los cambios.

Captura de pantalla del filtro de período de tiempo del panel de FIM.

En la pestaña Servidores se enumeran las máquinas que informan a esta área de trabajo. En el panel se muestra para cada máquina:

  • Número total de cambios que se produjeron durante el período de tiempo seleccionado
  • Un desglose de los cambios totales a medida que se producen cambios en los archivos o el registro

Al seleccionar una máquina, la consulta aparece junto con los resultados que identifican los cambios realizados durante el período de tiempo seleccionado para la máquina. Los cambios se pueden expandir para obtener más información.

Captura de pantalla de la consulta de Log Analytics que muestra los cambios identificados por la supervisión de la integridad de los archivos de Microsoft Defender for Cloud.

La pestaña Cambios (se muestra a continuación) enumera todos los cambios del área de trabajo durante el período de tiempo seleccionado. En el panel se muestra para las entidades que se han cambiado:

  • Máquina en la que se produjo el cambio
  • Tipo de cambio (registro o archivo)
  • Categoría del cambio (modificado, agregado, eliminado)
  • Fecha y hora del cambio

Captura de pantalla de la pestaña de cambios de la supervisión de la integridad de los archivos de Microsoft Defender for Cloud.

Se abre la hoja Cambiar detalles al escribir un cambio en el campo de búsqueda o al seleccionar una entidad enumerada en la pestaña Cambios.

Captura de pantalla de la supervisión de la integridad de los archivos de Microsoft Defender for Cloud que muestra el panel de detalles de un cambio.

Edición de las entidades supervisadas

  1. En el panel Supervisión de la integridad de los archivos de un área de trabajo, seleccione Configuración en la barra de herramientas.

    Captura de pantalla del acceso a la configuración de supervisión de la integridad de los archivos de un área de trabajo.

    La configuración del área de trabajo se abre con pestañas para cada tipo de elemento que se puede supervisar:

    • Registro de Windows
    • Archivos de Windows
    • Archivos de Linux
    • Contenido del archivo
    • Servicios de Windows

    En cada pestaña se muestran las entidades que se pueden editar de esa categoría. En cada entidad de la lista, Defender for Cloud identifica si FIM está habilitado (true) o deshabilitado (false). Edite la entidad para habilitar o deshabilitar FIM.

    Captura de pantalla de la configuración del área de trabajo para la supervisión de la integridad de los archivos en Microsoft Defender for Cloud.

  2. Seleccione una entrada de una de las pestañas y edite cualquiera de los campos disponibles en el panel Editar Change Tracking. Las opciones son:

    • Habilitar (true) o deshabilitar (false) la supervisión de la integridad de los archivos
    • Proporcionar o cambiar el nombre de la entidad
    • Proporcionar o cambiar el valor o la ruta de acceso
    • Eliminar la entidad
  3. Descarte o guarde los cambios.

Agregar una nueva entidad para supervisar

  1. En el panel Supervisión de la integridad de los archivos de un área de trabajo, seleccione Configuración en la barra de herramientas.

    Se abre la hoja Configuración del área de trabajo.

  2. En la Configuración del área de trabajo:

    1. Seleccione la pestaña correspondiente al tipo de entidad que quiere agregar: Registro de Windows, Archivos de Windows, Archivos de Linux, Contenido del archivo o Servicios de Windows.

    2. Seleccione Agregar.

      En este ejemplo, hemos seleccionado Archivos de Linux.

      Captura de pantalla de la adición de un elemento para supervisar en la supervisión de la integridad de los archivos de Microsoft Defender for Cloud.

  3. Seleccione Agregar. Se abre la hoja Add for Change Tracking (Agregar para Change Tracking).

  4. Escriba la información necesaria y seleccione Guardar.

Supervisión de carpetas y rutas de acceso mediante caracteres comodín.

Utilice caracteres comodín para simplificar el seguimiento a través de directorios. Las siguientes reglas se aplican cuando configura la supervisión de carpetas mediante caracteres comodín:

  • Los caracteres comodín son necesarios para realizar el seguimiento de varios archivos.
  • Los caracteres comodín solo se pueden usar en el último segmento de una ruta de acceso, como C:\folder\file o /etc/*.conf
  • Si una variable de entorno incluye una ruta de acceso que no es válida, la validación se realiza correctamente, pero se produce un error en la ruta cuando se ejecuta el inventario.
  • Al establecer la ruta de acceso, evite las rutas de acceso generales como c:\*.*, ya que esto da lugar a que se recorran demasiadas carpetas.

Comparación de las bases de referencia mediante la supervisión de la integridad de los archivos

La supervisión de la integridad de los archivos (FIM) le informa cuando se producen cambios en zonas sensibles de los recursos, de manera que pueda investigar y abordar la actividad no autorizada. FIM supervisa archivos de Windows, registros y archivos de Linux.

Habilitación de comprobaciones de registro integradas recursivas

Los valores predeterminados del súbarbol del registro de FIM permiten supervisar de manera práctica los cambios recursivos dentro de las áreas de seguridad comunes. Por ejemplo, un adversario podría configurar un script para que se ejecute en LOCAL_SYSTEM contexto mediante la configuración de una ejecución en el inicio o apagado. Para supervisar los cambios de este tipo, habilite la comprobación integrada.

Registro.

Nota

Las comprobaciones recursivas solo se aplican a los subárboles de seguridad recomendados, no a las rutas de acceso al registro personalizadas.

Incorporación de una comprobación de registro personalizada

Las líneas de base de FIM comienzan identificando las características de un estado correcto conocido para el sistema operativo y admitiendo la aplicación. En este ejemplo, nos centraremos en las configuraciones de directiva de contraseña para Windows Server 2008 y versiones posteriores.

Nombre de la directiva Configuración del registro
Controlador de dominio: rechazar cambios de contraseña de cuenta de máquina MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RefusePasswordChange
Miembro de dominio: cifrar o firmar digitalmente datos de canal seguros (siempre) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal
Miembro de dominio: cifrar digitalmente datos de canal seguros (cuando sea posible) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel
Miembro de dominio: firmar digitalmente datos de canal seguros (cuando sea posible) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel
Miembro de dominio: deshabilitar cambios de contraseña de cuenta de máquina MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange
Miembro de dominio: antigüedad máxima de la contraseña de cuenta de máquina MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge
Miembro de dominio: requerir clave de sesión segura (Windows 2000 o posterior) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey
Seguridad de red: restringir NTLM: autenticación NTLM en este dominio MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain
Seguridad de redes: restringir NTLM: agregar excepciones de servidor en este dominio MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers
Seguridad de redes: restringir NTLM: auditar autenticación NTLM en este dominio MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain

Nota

Para obtener más información sobre la configuración del registro compatible con las distintas versiones del sistema operativo, consulte la hoja de cálculo de referencia de configuración de directiva de grupo.

Para configurar FIM para supervisar las líneas de base del registro:

  1. En la ventana Agregar Registro de Windows para el seguimiento de cambios, seleccione el cuadro de texto Clave del Registro de Windows.

  2. Escriba la clave del Registro siguiente:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    

    Captura de pantalla de la habilitación de FIM en un registro.

Seguimiento de cambios en los archivos de Windows

  1. En la ventana Agregar Registro de Windows para Change Tracking, en el cuadro de texto Indicar ruta de acceso, especifique la carpeta que contiene los archivos de los que quiere hacer un seguimiento. En el ejemplo de la siguiente ilustración, Contoso Web App reside en la unidad D:\ dentro de la estructura de carpetas ContosWebApp.

  2. Cree una entrada de archivo de Windows personalizada especificando un nombre de la clase de configuración, habilitando la recursión y especificando la carpeta principal con un sufijo de carácter comodín (*).

    Captura de pantalla de la habilitación de FIM en un archivo.

Recuperación de datos modificados

Los datos de la supervisión de la integridad de archivos residen en el conjunto de tablas de Azure Log Analytics/ConfigurationChange.

  1. Establezca un intervalo de tiempo para recuperar un resumen de los cambios por recurso.

    En el ejemplo siguiente, recuperaremos todos los cambios realizados en los últimos 14 días en las categorías de registro y archivos:

    ConfigurationChange
    | where TimeGenerated > ago(14d)
    | where ConfigChangeType in ('Registry', 'Files')
    | summarize count() by Computer, ConfigChangeType
    
  2. Para ver los detalles de los cambios del registro:

    1. Quite Files de la cláusula where.
    2. Quite la línea de resumen y reemplácela por una cláusula de ordenación:
    ConfigurationChange
    | where TimeGenerated > ago(14d)
    | where ConfigChangeType in ('Registry')
    | order by Computer, RegistryKey
    

Los informes se pueden exportar a CSV para archivado o canalizar a un informe de Power BI.

Datos de FIM

Defender for Cloud proporciona la siguiente lista de elementos cuya supervisión se recomienda según los patrones de ataque conocidos.

Archivos de Linux Archivos de Windows Claves del Registro de Windows (HKLM = HKEY_LOCAL_MACHINE)
/bin/login C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/bin/passwd C:\boot.ini HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/*.conf C:\config.sys HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot
/usr/bin C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/usr/sbin C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
/bin C:\Windows\regedit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
/sbin C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
/boot C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/usr/local/bin C:\Archivos de programa\Microsoft Security Client\msseces.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
/opt/bin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/opt/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/etc/init.d HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/cron.hourly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
/etc/cron.daily HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows
/etc/cron.weekly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
/etc/cron.monthly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Pasos siguientes

Obtenga más información sobre Defender for Cloud en: