Bestandsintegriteit controleren
De functie voor bewaking van bestandsintegriteit in Defender for Servers Plan 2 in Microsoft Defender voor Cloud helpt bij het beveiligen van bedrijfsassets en -resources door besturingssysteembestanden, Windows-registers, toepassingssoftware en Linux-systeembestanden te scannen en te analyseren op wijzigingen die kunnen duiden op een aanval. Bewaking van bestandsintegriteit helpt u bij het volgende:
- Voldoen aan nalevingsvereisten. Bewaking van bestandsintegriteit is vaak vereist voor nalevingsstandaarden zoals PCI-DSS en ISO 17799.
- Verbeter de houding en identificeer potentiële beveiligingsproblemen door verdachte wijzigingen in bestanden te detecteren.
Verdachte activiteit bewaken
Bewaking van bestandsintegriteit onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware en Linux-systeembestanden om verdachte activiteiten te detecteren, zoals:
- Bestand en registersleutel maken of verwijderen.
- Bestandswijzigingen, zoals wijzigingen in de bestandsgrootte, toegangsbeheerlijsten en hash van de inhoud.
- Registerwijzigingen, zoals wijzigingen in grootte, toegangsbeheerlijsten, type en inhoud.
Gegevensverzameling
Bewaking van bestandsintegriteit maakt gebruik van de Microsoft Defender voor Eindpunt-agent om gegevens van computers te verzamelen.
- De Defender for Endpoint-agent verzamelt gegevens van computers in overeenstemming met de bestanden en resources die zijn gedefinieerd voor bewaking van bestandsintegriteit.
- Gegevens die door de Defender for Endpoint-agent worden verzameld, worden opgeslagen voor toegang en analyse in een Log Analytics-werkruimte.
- Verzamelde bewakingsgegevens voor bestandsintegriteit maken deel uit van het voordeel van 500 MB dat is opgenomen in Defender for Servers Plan 2.
- Bewaking van bestandsintegriteit biedt informatie over bestands- en resourcewijzigingen, waaronder de bron van de wijziging, accountgegevens, indicatie van wie de wijzigingen heeft aangebracht en informatie over het initiërende proces.
Migreren naar de nieuwe versie
Bewaking van bestandsintegriteit heeft eerder de Log Analytics-agent (ook wel bekend als de Microsoft Monitoring Agent (MMA)) of de Azure Monitor-agent (AMA) gebruikt om gegevens te verzamelen. Als u bewaking van bestandsintegriteit gebruikt met een van deze verouderde methoden, kunt u bewaking van bestandsintegriteit migreren om Defender voor Eindpunt te gebruiken.
Bewaking van bestandsintegriteit configureren
Nadat u Defender for Servers Plan 2 hebt ingeschakeld, schakelt u bewaking van bestandsintegriteit in en configureert u deze. Deze functie is niet standaard ingeschakeld.
- U selecteert een Log Analytics-werkruimte waarin u wijzigingsevenementen voor bewaakte bestanden/resources wilt opslaan. U kunt een bestaande werkruimte gebruiken of een nieuwe werkruimte definiëren.
- Defender voor Cloud raadt resources aan om te controleren met bewaking van bestandsintegriteit.
Kiezen wat u wilt bewaken
Defender voor Cloud raadt entiteiten aan om te controleren met bewaking van bestandsintegriteit. U kunt items kiezen uit de aanbevelingen. Wanneer u kiest welke bestanden u wilt bewaken:
- Houd rekening met de bestanden die essentieel zijn voor uw systeem en toepassingen.
- Bewaak bestanden die u niet verwacht te wijzigen zonder planning.
- Als u bestanden kiest die vaak worden gewijzigd door toepassingen of het besturingssysteem (zoals logboekbestanden en tekstbestanden), wordt er ruis gemaakt, waardoor het lastig is om een aanval te identificeren.
Aanbevolen items om te bewaken
Wanneer u bewaking van bestandsintegriteit gebruikt met de Defender voor Eindpunt-agent, raden we u aan deze items te bewaken op basis van bekende aanvalspatronen.
| Linux-bestand | Windows-bestanden | Windows-registersleutels (HKEY_LOCAL_MACHINE) |
|---|---|---|
| /vuilnisbak | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| / Boot | C:\Windows\System32\userinit.exe | Sleutel: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Waarden: loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe | Sleutel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell-mappen Waarden: veelvoorkomend opstarten, opstarten |
| /etc/cron.daily | C:\autoexec.bat | Sleutel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Gebruikersshell-mappen Waarden: veelvoorkomend opstarten, opstarten |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.wekelijks | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | Sleutel: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Waarden: appinit_dlls, loadappinit_dlls |
|
| /etc/init.d | Sleutel: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell-mappen Waarden: veelvoorkomend opstarten, opstarten |
|
| /opt/sbin | Sleutel: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Waarden: veelvoorkomend opstarten, opstarten |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Volgende stappen
Bewaking van bestandsintegriteit inschakelen met Defender voor Eindpunt