File Integrity Monitoring in Microsoft Defender per l'Endpoint
Per fornire FIM (File Integrity Monitoring), Microsoft Defender per endpoint raccoglie i dati dai computer in base alle regole di raccolta. Quando lo stato corrente dei file di sistema viene confrontato con lo stato durante l'analisi precedente, FIM notifica le modifiche sospette.
Con Registrazione accesso utenti è possibile:
- Monitorare le modifiche apportate ai file critici e ai registri di Windows da un elenco predefinito in tempo reale.
- Accedere e analizzare le modifiche controllate in un'area di lavoro designata.
- Sfruttare il vantaggio di 500 MB incluso nel piano 2 di Defender per server.
- Mantenere la conformità: FIM offre il supporto predefinito per gli standard di conformità alle normative di sicurezza pertinenti, ad esempio PCI-DSS, CIS, NIST e altri
FIM avvisa l'utente di eventuali attività potenzialmente sospette. Tali attività includono:
- Creazione o eliminazione di file e chiavi del Registro di sistema
- Modifiche ai file, ad esempio le modifiche apportate alle dimensioni, al nome, al percorso o all'hash del relativo contenuto
- Modifiche al Registro di sistema, incluse le modifiche apportate alle dimensioni, al tipo e al contenuto
- Dettagli sulla modifica, inclusa l'origine della modifica. Questi includono i dettagli dell'account, che indicano chi ha apportato le modifiche e informazioni sul processo di avvio.
Per indicazioni sui file da monitorare, vedere Quali file monitorare?
Disponibilità
| Aspetto | Dettagli |
|---|---|
| Stato della versione: | Anteprima |
| Prezzi: | Richiede Microsoft Defender per server piano 2 |
| Autorizzazioni e ruoli obbligatori: | Il proprietario dell'area di lavoro o l'amministratore della sicurezza possono abilitare e disabilitare FIM. Per ulteriori informazioni, vedere Ruoli Azure per Log Analytics. Lettore può visualizzare i risultati. |
| Cloud: |  Cloud commercialiDispositivi abilitati per Azure Arc. Account AWS connessi Account GCP connessi |
Prerequisiti
Per tenere traccia delle modifiche apportate ai file e ai registri nei computer con Defender per endpoint, è necessario:
Abilitare il piano 2 Defender per i server
Abilitare Defender per endpoint nei computer da monitorare
Abilitare Monitoraggio dell'integrità dei file
Abilitazione nel portale di Azure
Per abilitare FIM nel portale di Azure, seguire questa procedura:
Accedere al portale di Azure.
Cercare e selezionare Microsoft Defender per il cloud.
Scegliere Impostazioni ambiente dal menu di Defender per il cloud.
Selezionare la sottoscrizione pertinente.
Individuare il Piano Defender per server e selezionare Impostazioni.
Nella sezione Monitoraggio dell'integrità dei fie impostare l'interruttore su Sì. Selezionare Modifica configurazione.
Viene aperto il riquadro di configurazione della rete FIM. Nell'elenco a discesa Selezione area di lavoro selezionare l'area di lavoro in cui archiviare i dati FIM. Se si vuole creare una nuova area di lavoro, selezionare Crea nuovo.
Importante
Gli eventi raccolti per FIM basati su Defender per endpoint sono inclusi nei tipi di dati idonei per il vantaggio di 500 MB per i clienti di Defender per server piano 2. Per ulteriori informazioni, vedere Quali tipi di dati sono inclusi nell'indennità giornaliera?.
Nella sezione inferiore del riquadro di configurazione FIM selezionare le schede Registro di sistema di Windows, File di Windows e File Linux per scegliere i file e i registri da monitorare. Se si sceglie la selezione superiore in ogni scheda, vengono monitorati tutti i file e i registri. Selezionare Applica per salvare le modifiche.
Seleziona Continua.
Seleziona Salva.
Disabilitare Monitoraggio dell'integrità dei file
Dopo la disabilitazione di FIM, non vengono raccolti nuovi eventi. Tuttavia, i dati raccolti prima della disabilitazione della funzionalità rimangono nell'area di lavoro, in base ai criteri di conservazione dell'area di lavoro. Per altre informazioni, vedere Gestire la conservazione dei dati in un'area di lavoro Log Analytics.
Disabilitazione nel portale di Azure
Per disabilitare FIM nel portale di Azure, seguire questa procedura:
Accedere al portale di Azure.
Cercare e selezionare Microsoft Defender per il cloud.
Scegliere Impostazioni ambiente dal menu di Defender per il cloud.
Selezionare la sottoscrizione pertinente.
Individuare il Piano Defender per server e selezionare Impostazioni.
Nella sezione Monitoraggio dell'integrità dei fie impostare l'interruttore su No.
Selezionare Applica.
Seleziona Continua.
Seleziona Salva.
Monitorare entità e file
Per monitorare entità e file, seguire questa procedura:
Nota
Se non è ancora stato abilitato FIM, verrà visualizzato un messaggio che indica che Monitoraggio dell'integrità dei file non è abilitato. Per abilitare FIM, selezionare Onboard subscriptions (Esegui l'onboarding delle sottoscrizioni ) e quindi seguire le istruzioni in Enable File Integrity Monitoring (Abilita monitoraggio dell'integrità dei file).
Dalla barra laterale di Defender per il cloud passare a Protezione del carico di lavoro>Monitoraggio dell'integrità dei file.
Viene visualizzata una finestra con tutte le risorse che contengono i file e i registri modificati rilevati.
Se si seleziona una risorsa, viene visualizzata una finestra con una query che mostra le modifiche apportate ai file e ai registri rilevati in tale risorsa.
Se si seleziona la sottoscrizione della risorsa (sotto il nome della sottoscrizione della colonna), viene aperta una query con tutti i file e i registri rilevati in tale sottoscrizione.
Nota
Se in precedenza è stato usato Monitoraggio dell'integrità dei file su MMA, è possibile tornare a tale metodo selezionando Modifica all'esperienza precedente. Sarà disponibile fino a quando la funzionalità FIM su MMA non è deprecata. Per altre informazioni sul piano di deprecazione, vedere Preparazione per il ritiro dell'agente di Log Analytics.
Recuperare e analizzare i dati FIM
I dati di monitoraggio dell'integrità dei file si trovano all'interno dell'area di lavoro Log Analytics di Azure nella MDCFileIntegrityMonitoringEvents tabella. La tabella viene visualizzata nell'area di lavoro Log Analytics nella LogManagment tabella.
Impostare un intervallo di tempo per recuperare un riepilogo delle modifiche in base alla risorsa. Nell'esempio seguente vengono recuperate tutte le modifiche apportate negli ultimi 14 giorni nelle categorie di file e del Registro di sistema:
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType in ('Registry', 'File') | summarize count() by Computer, MonitoredEntityTypePer visualizzare informazioni dettagliate sulle modifiche del Registro di sistema:
Rimuovere
Filesdallawhereclausola.Sostituire la riga di riepilogo con una clausola di ordinamento:
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType == 'Registry' | order by Computer, RegistryKeyI report possono essere esportati in CSV per scopi di archiviazione e incanalati in un report di Power BI per ulteriori analisi.
Contenuto correlato
Maggiori informazioni su Defender per il cloud in:
- Impostazione dei criteri di sicurezza: informazioni su come configurare i criteri di sicurezza per le sottoscrizioni e i gruppi di risorse di Azure.
- Gestione dei consigli di sicurezza: informazioni su come i consigli semplificano la protezione delle risorse di Azure.
- Blog sulla sicurezza di Azure : informazioni e notizie aggiornate sulla sicurezza di Azure.