Monitoraggio dell'integrità dei file
La funzionalità di monitoraggio dell'integrità dei file in Defender per server piano 2 in Microsoft Defender per il cloud consente di proteggere le risorse e gli asset aziendali analizzando e analizzando i file del sistema operativo, i registri di Windows, il software dell'applicazione e i file di sistema Linux per le modifiche che potrebbero indicare un attacco. Il monitoraggio dell'integrità dei file consente di:
- Soddisfano i requisiti di conformità. Il monitoraggio dell'integrità dei file è spesso richiesto dagli standard di conformità alle normative, ad esempio PCI-DSS e ISO 17799.
- Migliorare il comportamento e identificare potenziali problemi di sicurezza rilevando modifiche sospette ai file.
Monitorare le attività sospette
Il monitoraggio dell'integrità dei file esamina i file del sistema operativo, i registri Windows, il software dell'applicazione e i file di sistema Linux per rilevare attività sospette, ad esempio:
- Creazione o eliminazione di chiavi del file e del Registro di sistema.
- Modifiche ai file, ad esempio modifiche alle dimensioni del file, agli elenchi di controllo di accesso e all'hash del contenuto.
- Modifiche del Registro di sistema, ad esempio modifiche di dimensioni, elenchi di controllo di accesso, tipo e contenuto.
Raccolta dati
Il monitoraggio dell'integrità dei file usa l'agente Microsoft Defender per endpoint per raccogliere dati dai computer.
- L'agente di Defender per endpoint raccoglie i dati dai computer in base ai file e alle risorse definiti per il monitoraggio dell'integrità dei file.
- I dati raccolti dall'agente di Defender per endpoint vengono archiviati per l'accesso e l'analisi in un'area di lavoro Log Analytics.
- I dati di monitoraggio dell'integrità dei file raccolti fanno parte del vantaggio 500 MB incluso in Defender per server piano 2.
- Il monitoraggio dell'integrità dei file fornisce informazioni sulle modifiche di file e risorse, tra cui l'origine della modifica, i dettagli dell'account, l'indicazione di chi ha apportato le modifiche e informazioni sul processo di avvio.
Eseguire la migrazione alla nuova versione
Il monitoraggio dell'integrità dei file in precedenza usava l'agente di Log Analytics (noto anche come Agente di monitoraggio Microsoft) o l'agente di Monitoraggio di Azure per raccogliere i dati. Se si usa il monitoraggio dell'integrità dei file con uno di questi metodi legacy, è possibile eseguire la migrazione del monitoraggio dell'integrità dei file per usare Defender per endpoint.
Configurare il monitoraggio dell’integrità dei file
Dopo aver abilitato Defender per server piano 2, abilitare e configurare il monitoraggio dell'integrità dei file. Non è abilitato per impostazione predefinita.
- Selezionare un'area di lavoro Log Analytics in cui archiviare gli eventi di modifica per file/risorse monitorati. È possibile usare un'area di lavoro esistente o definirne una nuova.
- Defender per il cloud consiglia di monitorare le risorse con il monitoraggio dell'integrità dei file.
Scegliere cosa monitorare
Defender per il cloud consiglia alle entità di monitorare con il monitoraggio dell'integrità dei file. È possibile scegliere gli elementi dalle raccomandazioni. Quando si scelgono i file da monitorare:
- Prendere in considerazione i file critici per il sistema e le applicazioni.
- Monitorare i file che non si prevede di modificare senza pianificazione.
- Se si scelgono file che vengono modificati frequentemente dalle applicazioni o dal sistema operativo (ad esempio file di log e file di testo) creerà rumore, rendendo difficile identificare un attacco.
Elementi consigliati da monitorare
Quando si usa il monitoraggio dell'integrità dei file con l'agente di Defender per endpoint, è consigliabile monitorare questi elementi in base ai modelli di attacco noti.
| File Linux | File di Windows | Chiavi del Registro di sistema di Windows (HKEY_LOCAL_MACHINE) |
|---|---|---|
| bin/ | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /Boot | C:\Windows\System32\userinit.exe | Chiave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Valori: loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe | Chiave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Valori: avvio comune, avvio |
| /etc/cron.daily | C:\autoexec.bat | Chiave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Valori: avvio comune, avvio |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | Chiave: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Valori: appinit_dlls, loadappinit_dlls |
|
| /etc/init.d | Chiave: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Valori: avvio comune, avvio |
|
| /opt/sbin | Chiave: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Valori: avvio comune, avvio |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Passaggi successivi
Abilitare il monitoraggio dell'integrità dei file con Defender per endpoint