Supervisión de la integridad de los archivos mediante el agente de Log Analytics
Para realizar la supervisión de la integridad de los archivos (FIM), el agente de Log Analytics carga los datos en el área de trabajo de Log Analytics. Al comparar el estado actual de estos elementos con el estado durante el examen anterior, FIM le informa si se han realizado modificaciones sospechosas.
Nota:
Como el agente de Log Analytics (también conocido como MMA) está establecido para retirarse en agosto de 2024, todas las características de Defender for Servers que dependen actualmente de ella, incluidas las descritas en esta página, estarán disponibles a través de la Integración de Microsoft Defender para punto de conexión o el análisis sin agente, antes de la fecha de retirada. Para obtener más información sobre el mapa de ruta de cada una de las características que se basan actualmente en el agente de Log Analytics, consulte este anuncio.
FIM (Supervisión de la integridad de archivos) usa la solución Azure Change Tracking para realizar un seguimiento e identificar los cambios en su entorno. Cuando FIM está habilitada, tendrá un recurso Change Tracking de tipo Solución. Si quita el recurso Change Tracking, deshabilitará también la característica de supervisión de la integridad de los archivos en Defender for Cloud. FIM le permite aprovechar Change Tracking directamente en Defender for Cloud. Para obtener detalles sobre la frecuencia de recopilación de datos, consulte Detalles de la recopilación de datos de seguimiento de cambios.
Nota:
La supervisión de la integridad de los archivos puede crear la siguiente cuenta en servidores SQL Server supervisados: NT Service\HealthService
Si elimina la cuenta, se volverá a crear automáticamente.
Disponibilidad
Aspecto | Detalles |
---|---|
Estado de la versión: | Disponibilidad general (GA) |
Precios: | Requiere el plan 2 de Microsoft Defender para servidores. Con el agente de Log Analytics, FIM carga datos en el área de trabajo de Log Analytics. Se aplican cargos de datos, según la cantidad de datos que cargue. Para más información, consulte Precios de Log Analytics. |
Roles y permisos necesarios: | El propietario del área de trabajo puede habilitar o deshabilitar FIM (para obtener más información, consulte Roles de Azure para Log Analytics). El lector puede ver los resultados. |
Nubes: | Nubes comerciales Nacional (Azure Government, Microsoft Azure operado por 21Vianet) Solo se admite en las regiones en las que está disponible la solución de seguimiento de cambios de Azure Automation. Dispositivos habilitados para Azure Arc. Consulte Regiones admitidas para el área de trabajo de Log Analytics vinculada. Más información sobre el seguimiento de cambios. Cuentas de AWS conectadas |
Habilitación de la supervisión de la integridad de los archivos con el agente de Log Analytics
FIM solo está disponible en las páginas de Defender for Cloud de Azure Portal. Actualmente no hay ninguna API REST que funcione con FIM.
En el área Protección avanzada del panel Protecciones de cargas de trabajo, seleccione Supervisión de la integridad de los archivos.
Se proporciona la siguiente información para cada área de trabajo:
- Número total de cambios que se produjeron en la última semana (es posible que vea un guión "-“ si FIM no está habilitado en el área de trabajo)
- Número total de equipos y las máquinas virtuales que informan al área de trabajo
- Ubicación geográfica del área de trabajo
- Suscripción de Azure en la que se encuentra el área de trabajo
Use esta página para:
Acceder y ver el estado y la configuración de cada área de trabajo.
Actualice el área de trabajo para usar características de seguridad mejoradas. Este icono indica que el área de trabajo o la suscripción no están protegidas con Microsoft Defender para servidores. Para usar las características FIM, la suscripción debe estar protegida con este plan. Obtenga información sobre cómo habilitar Defender para servidores.
Habilite FIM en todas las máquinas del área de trabajo y configure las opciones de FIM. Este icono indica que FIM no está habilitada en el área de trabajo. Si no hay ningún botón Habilitar o Actualizar y el espacio está en blanco, significa que FIM ya está habilitado en el área de trabajo.
Seleccione HABILITAR. Se muestran los detalles del área de trabajo, incluido el número de equipos con Windows y Linux en el área de trabajo.
También se muestra la configuración recomendada para Windows y Linux. Expanda Archivos de Windows, Registro y Archivos de Linux para ver la lista completa de elementos recomendados.
Desactive las casillas de las entidades recomendadas que no quiere que supervise FIM.
Seleccione Aplicar la supervisión de la integridad de los archivos para habilitar FIM.
Puede cambiar la configuración en cualquier momento. Obtenga más información sobre la edición de entidades supervisadas.
Deshabilitación de la supervisión de la integridad de los archivos
FIM emplea la solución Azure Change Tracking para realizar el seguimiento de los cambios e identificarlos en su entorno. Al deshabilitar FIM, quita la solución Change Tracking del área de trabajo seleccionada.
Para deshabilitar FIM:
En el panel Supervisión de la integridad de los archivos de un área de trabajo, seleccione Deshabilitar.
Seleccione Quitar.
Supervisión de áreas de trabajo, entidades y archivos
Auditoría de áreas de trabajo supervisadas
El panel Supervisión de la integridad de los archivos se muestra en las áreas de trabajo en las que está habilitado FIM. El panel de FIM se abre después de habilitar FIM en un área de trabajo o al seleccionar un área de trabajo en la ventana Supervisión de la integridad de los archivos que ya tiene FIM habilitado.
El panel de FIM de un área de trabajo muestra los detalles siguientes:
- Número total de máquinas conectadas al área de trabajo
- Número total de cambios que se produjeron durante el período de tiempo seleccionado
- Un desglose del tipo de cambio (archivos, registro)
- Un desglose de la categoría del cambio (modificado, agregado, quitado)
Seleccione Filtrar en la parte superior del panel para cambiar el período de tiempo durante el que se muestran los cambios.
En la pestaña Servidores se enumeran las máquinas que informan a esta área de trabajo. En el panel se muestra para cada máquina:
- Número total de cambios que se produjeron durante el período de tiempo seleccionado
- Un desglose de los cambios totales a medida que se producen cambios en los archivos o el registro
Al seleccionar una máquina, la consulta aparece junto con los resultados que identifican los cambios realizados durante el período de tiempo seleccionado para la máquina. Los cambios se pueden expandir para obtener más información.
La pestaña Cambios (se muestra a continuación) enumera todos los cambios del área de trabajo durante el período de tiempo seleccionado. En el panel se muestra para las entidades que se han cambiado:
- Máquina en la que se produjo el cambio
- Tipo de cambio (registro o archivo)
- Categoría del cambio (modificado, agregado, eliminado)
- Fecha y hora del cambio
Se abre la hoja Cambiar detalles al escribir un cambio en el campo de búsqueda o al seleccionar una entidad enumerada en la pestaña Cambios.
Edición de las entidades supervisadas
En el panel Supervisión de la integridad de los archivos de un área de trabajo, seleccione Configuración en la barra de herramientas.
La configuración del área de trabajo se abre con pestañas para cada tipo de elemento que se puede supervisar:
- Registro de Windows
- Archivos de Windows
- Archivos de Linux
- Contenido del archivo
- Servicios de Windows
En cada pestaña se muestran las entidades que se pueden editar de esa categoría. En cada entidad de la lista, Defender for Cloud identifica si FIM está habilitado (true) o deshabilitado (false). Edite la entidad para habilitar o deshabilitar FIM.
Seleccione una entrada de una de las pestañas y edite cualquiera de los campos disponibles en el panel Editar Change Tracking. Las opciones son:
- Habilitar (true) o deshabilitar (false) la supervisión de la integridad de los archivos
- Proporcionar o cambiar el nombre de la entidad
- Proporcionar o cambiar el valor o la ruta de acceso
- Eliminar la entidad
Descarte o guarde los cambios.
Agregar una nueva entidad para supervisar
En el panel Supervisión de la integridad de los archivos de un área de trabajo, seleccione Configuración en la barra de herramientas.
Se abre la hoja Configuración del área de trabajo.
En la Configuración del área de trabajo:
Seleccione Agregar. Se abre la hoja Add for Change Tracking (Agregar para Change Tracking).
Escriba la información necesaria y seleccione Guardar.
Supervisión de carpetas y rutas de acceso mediante caracteres comodín.
Utilice caracteres comodín para simplificar el seguimiento a través de directorios. Las siguientes reglas se aplican cuando configura la supervisión de carpetas mediante caracteres comodín:
- Los caracteres comodín son necesarios para realizar el seguimiento de varios archivos.
- Los caracteres comodín solo se pueden usar en el último segmento de una ruta de acceso, como
C:\folder\file
o/etc/*.conf
- Si una variable de entorno incluye una ruta de acceso que no es válida, la validación se realiza correctamente, pero se produce un error en la ruta cuando se ejecuta el inventario.
- Al establecer la ruta de acceso, evite las rutas de acceso generales como
c:\*.*
, ya que esto da lugar a que se recorran demasiadas carpetas.
Comparación de las bases de referencia mediante la supervisión de la integridad de los archivos
La supervisión de la integridad de los archivos (FIM) le informa cuando se producen cambios en zonas sensibles de los recursos, de manera que pueda investigar y abordar la actividad no autorizada. FIM supervisa archivos de Windows, registros y archivos de Linux.
Habilitación de comprobaciones de registro integradas recursivas
Los valores predeterminados del súbarbol del registro de FIM permiten supervisar de manera práctica los cambios recursivos dentro de las áreas de seguridad comunes. Por ejemplo, un adversario podría configurar un script para que se ejecute en LOCAL_SYSTEM contexto mediante la configuración de una ejecución en el inicio o apagado. Para supervisar los cambios de este tipo, habilite la comprobación integrada.
Nota
Las comprobaciones recursivas solo se aplican a los subárboles de seguridad recomendados, no a las rutas de acceso al registro personalizadas.
Incorporación de una comprobación de registro personalizada
Las líneas de base de FIM comienzan identificando las características de un estado correcto conocido para el sistema operativo y admitiendo la aplicación. En este ejemplo, nos centraremos en las configuraciones de directiva de contraseña para Windows Server 2008 y versiones posteriores.
Nombre de la directiva | Configuración del registro |
---|---|
Controlador de dominio: rechazar cambios de contraseña de cuenta de máquina | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RefusePasswordChange |
Miembro de dominio: cifrar o firmar digitalmente datos de canal seguros (siempre) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal |
Miembro de dominio: cifrar digitalmente datos de canal seguros (cuando sea posible) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel |
Miembro de dominio: firmar digitalmente datos de canal seguros (cuando sea posible) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel |
Miembro de dominio: deshabilitar cambios de contraseña de cuenta de máquina | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange |
Miembro de dominio: antigüedad máxima de la contraseña de cuenta de máquina | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge |
Miembro de dominio: requerir clave de sesión segura (Windows 2000 o posterior) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey |
Seguridad de red: restringir NTLM: autenticación NTLM en este dominio | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain |
Seguridad de redes: restringir NTLM: agregar excepciones de servidor en este dominio | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers |
Seguridad de redes: restringir NTLM: auditar autenticación NTLM en este dominio | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain |
Nota
Para obtener más información sobre la configuración del registro compatible con las distintas versiones del sistema operativo, consulte la hoja de cálculo de referencia de configuración de directiva de grupo.
Para configurar FIM para supervisar las líneas de base del registro:
En la ventana Agregar Registro de Windows para el seguimiento de cambios, seleccione el cuadro de texto Clave del Registro de Windows.
Escriba la clave del Registro siguiente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Seguimiento de cambios en los archivos de Windows
En la ventana Agregar Registro de Windows para Change Tracking, en el cuadro de texto Indicar ruta de acceso, especifique la carpeta que contiene los archivos de los que quiere hacer un seguimiento. En el ejemplo de la siguiente ilustración, Contoso Web App reside en la unidad D:\ dentro de la estructura de carpetas ContosWebApp.
Cree una entrada de archivo de Windows personalizada especificando un nombre de la clase de configuración, habilitando la recursión y especificando la carpeta principal con un sufijo de carácter comodín (*).
Recuperación de datos modificados
Los datos de la supervisión de la integridad de archivos residen en el conjunto de tablas de Azure Log Analytics/ConfigurationChange.
Establezca un intervalo de tiempo para recuperar un resumen de los cambios por recurso.
En el ejemplo siguiente, recuperaremos todos los cambios realizados en los últimos 14 días en las categorías de registro y archivos:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeType
Para ver los detalles de los cambios del registro:
- Quite Files de la cláusula where.
- Quite la línea de resumen y reemplácela por una cláusula de ordenación:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry') | order by Computer, RegistryKey
Los informes se pueden exportar a CSV para archivado o canalizar a un informe de Power BI.
Elementos recomendados para supervisar
Defender for Cloud proporciona la siguiente lista de elementos cuya supervisión se recomienda según los patrones de ataque conocidos.
Archivos de Linux | Archivos de Windows | Claves del Registro de Windows (HKLM = HKEY_LOCAL_MACHINE) |
---|---|---|
/bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} |
/bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
/etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
/usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
/usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
/bin | C:\Windows\regedit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
/sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
/boot | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
/usr/local/bin | C:\Archivos de programa\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
/usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
/opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
/opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
/etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
/etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
/etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
/etc/cron.daily | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
/etc/cron.weekly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
/etc/cron.monthly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Pasos siguientes
Obtenga más información sobre Defender for Cloud en:
- Establecimiento de directivas de seguridad: aprenda a configurar directivas de seguridad para las suscripciones y los grupos de recursos de Azure.
- Administración de recomendaciones de seguridad: conozca una serie de recomendaciones que le ayudarán a proteger los recursos de Azure.
- Blog de seguridad de Azure: obtenga las últimas noticias e información sobre la seguridad en Azure.