Condividi tramite

Esaminare le modifiche nel monitoraggio dell'integrità dei file

  • Articolo

In Defender per server piano 2 in Microsoft Defender per il cloud, la funzionalità di monitoraggio dell'integrità dei file consente di proteggere le risorse e le risorse aziendali analizzando e analizzando i file e confrontando il proprio stato corrente con le analisi precedenti.

Il monitoraggio dell'integrità dei file usa l'agente Microsoft Defender per endpoint per raccogliere dati dai computer, in base alle regole di raccolta. Defender per endpoint è integrato per impostazione predefinita con Defender per il cloud.

Nota

Il metodo precedente di raccolta dati usa l'agente di Log Analytics (noto anche come Agente di monitoraggio Microsoft). Il supporto per l'uso di MMA terminerà a novembre 2024.

Questo articolo illustra come esaminare le modifiche apportate ai file.

Prerequisiti

  • Defender per server Piano 2 deve essere abilitato.
  • Il monitoraggio dell'integrità dei file con l'agente defender per endpoint deve essere abilitato. Se non è abilitato, viene visualizzato questo messaggio - Monitoraggio dell'integrità dei file non è abilitato. Per abilitare selezionare Onboard subscriptions (Eseguire l'onboarding delle sottoscrizioni) e quindi abilitare la funzionalità.

Monitorare entità e file

Per monitorare entità e file, seguire questa procedura:

  1. Dalla barra laterale di Defender per il cloud passare a Protezione del carico di lavoro>Monitoraggio dell'integrità dei file.

    Screenshot di come accedere al monitoraggio dell'integrità dei file nelle protezioni del carico di lavoro.

  2. Viene visualizzata una finestra con tutte le risorse che contengono i file e i registri modificati rilevati.

    Screenshot dei risultati di Monitoraggio dell'integrità dei file.

  3. Se si seleziona una risorsa, viene visualizzata una finestra con una query che mostra le modifiche apportate ai file e ai registri rilevati in tale risorsa.

    Screenshot delle richieste di Monitoraggio dell'integrità dei file.

  4. Se si seleziona la sottoscrizione della risorsa (sotto il nome della sottoscrizione della colonna), viene aperta una query con tutti i file e i registri rilevati in tale sottoscrizione.

Nota

Se in precedenza è stato usato Monitoraggio dell'integrità dei file su MMA, è possibile tornare a tale metodo selezionando Modifica all'esperienza precedente. Sarà disponibile fino a quando la funzionalità FIM su MMA non è deprecata. Per altre informazioni sul piano di deprecazione, vedere Preparazione per il ritiro dell'agente di Log Analytics.

Recuperare e analizzare i dati di monitoraggio dell'integrità dei file

I dati di monitoraggio dell'integrità dei file si trovano all'interno dell'area di lavoro Log Analytics di Azure nella MDCFileIntegrityMonitoringEvents tabella.

  1. Impostare un intervallo di tempo per recuperare un riepilogo delle modifiche in base alla risorsa. Nell'esempio seguente vengono recuperate tutte le modifiche apportate negli ultimi 14 giorni nelle categorie di file e del Registro di sistema:

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

  2. Per visualizzare informazioni dettagliate sulle modifiche del Registro di sistema:

    1. Rimuovere Files dalla where clausola.

    2. Sostituire la riga di riepilogo con una clausola di ordinamento:

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType == 'Registry'  
| order by Computer, RegistryKey

  3. I report possono essere esportati in CSV per scopi di archiviazione e incanalati in un report di Power BI per ulteriori analisi.