Supervisión de la integridad de los archivos
La característica de supervisión de integridad de archivos del plan 2 de Defender para servidores en Microsoft Defender for Cloud ayuda a mantener seguros los activos y los recursos empresariales mediante la exploración y el análisis de archivos del sistema operativo, registros de Windows, software de aplicaciones y archivos del sistema Linux para los cambios que podrían indicar un ataque. La supervisión de la integridad de los archivos le ayuda a:
- Satisfacen los requisitos de cumplimiento. La supervisión de la integridad de los archivos suele ser necesaria por los estándares de cumplimiento normativo, como PCI-DSS e ISO 17799.
- Mejore la posición e identifique posibles problemas de seguridad mediante la detección de cambios sospechosos en los archivos.
Supervisión de la actividad sospechosa
La supervisión de la integridad de los archivos examina los archivos del sistema operativo, los registros de Windows, el software de aplicación y los archivos del sistema Linux para detectar actividad sospechosa como:
- Eliminación y creación de archivos y clave del Registro.
- Modificaciones de archivos como cambios en el tamaño de archivo, listas de control de acceso y hash del contenido.
- Modificaciones del Registro como cambios en el tamaño, listas de control de acceso, tipo y contenido.
datos, recopilación
La supervisión de la integridad de los archivos usa el agente de Microsoft Defender para punto de conexión para recopilar datos de máquinas.
- El agente de Defender para punto de conexión recopila datos de las máquinas de acuerdo con los archivos y recursos definidos para la supervisión de la integridad de los archivos.
- Los datos recopilados por el agente de Defender para punto de conexión se almacenan para el acceso y el análisis en un área de trabajo de Log Analytics.
- Los datos recopilados de supervisión de la integridad de los archivos forman parte de la ventaja de 500 MB incluida en el plan 2 de Defender para servidores.
- La supervisión de la integridad de los archivos proporciona información sobre los cambios de archivos y recursos, incluido el origen del cambio, los detalles de la cuenta, la indicación de quién realizó los cambios y la información sobre el proceso de inicio.
Migración a la nueva versión
La supervisión de la integridad de los archivos usó anteriormente el agente de Log Analytics (también conocido como Microsoft Monitoring Agent [MMA] o el agente de Azure Monitor [AMA]) para recopilar datos. Si usa la supervisión de la integridad de los archivos con uno de estos métodos heredados, puede migrar la supervisión de la integridad de los archivos para usar Defender para punto de conexión.
Configuración de la supervisión de la integridad de los archivos
Después de habilitar Defender para servidores Plan 2, habilite y configure la supervisión de la integridad de los archivos. No está habilitado de manera predeterminada.
- Seleccione un área de trabajo de Log Analytics en la que almacenar eventos de cambio para archivos o recursos supervisados. Puede elegir un área de trabajo existente o definir una.
- Defender for Cloud recomienda recursos para supervisar con la supervisión de la integridad de los archivos.
Elija qué elementos supervisar
Defender for Cloud recomienda entidades para supervisar con la supervisión de la integridad de los archivos. Puede elegir elementos de las recomendaciones. Al elegir los archivos que quiere supervisar:
- Es conveniente que piense en los archivos que son críticos para su sistema y aplicaciones.
- Supervise archivos que no espera que cambien sin haberlo planeado.
- Si elige archivos que las aplicaciones o el sistema operativo cambian con frecuencia (por ejemplo, archivos de registro y archivos de texto), se generará ruido que dificulta la identificación de un ataque.
Elementos recomendados para supervisar
Al utilizar la supervisión de la integridad de los archivos con el agente de Defender para punto de conexión, recomendamos supervisar estos elementos basándose en patrones de ataque conocidos.
Archivo de Linux | Archivos de Windows | Claves del Registro de Windows (HKEY_LOCAL_MACHINE) |
---|---|---|
bin/ | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
/bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
/boot | C:\Windows\System32\userinit.exe | Clave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Valores: loadappinit_dlls, appinit_dlls, iconservicelib |
/etc/*.conf | C:\Windows\explorer.exe | Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Valores: inicio común, inicio |
/etc/cron.daily | C:\autoexec.bat | Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Valores: inicio común, inicio |
/etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
/etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
/etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
/etc/crontab | Clave: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Valores: appinit_dlls, loadappinit_dlls |
|
/etc/init.d | Clave: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Valores: inicio común, inicio |
|
/opt/sbin | Clave: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Valores: inicio común, inicio |
|
/sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
/usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
/usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
/usr/local/sbin | ||
/usr/sbin | ||
/opt/bin |
Pasos siguientes
Habilitar supervisión de integridad de archivos con Microsoft Defender para punto de conexión