Delen via

Wijzigingen controleren in bewaking van bestandsintegriteit

  • Artikel

In Defender for Servers Plan 2 in Microsoft Defender voor Cloud helpt de bewakingsfunctie voor bestandsintegriteit bedrijfsassets en -resources veilig te houden door bestanden te scannen en te analyseren en hun huidige status te vergelijken met eerdere scans.

Bewaking van bestandsintegriteit maakt gebruik van de Microsoft Defender voor Eindpunt-agent voor het verzamelen van gegevens van computers, in overeenstemming met verzamelingsregels. Defender voor Eindpunt is standaard geïntegreerd met Defender voor Cloud.

Notitie

De oudere methode voor gegevensverzameling maakt gebruik van de Log Analytics-agent (ook wel bekend als de Microsoft Monitoring Agent (MMA)). Ondersteuning voor het gebruik van de MMA eindigt in november 2024.

In dit artikel leest u hoe u bestandswijzigingen kunt controleren.

Vereisten

  • Defender for Servers Plan 2 moet zijn ingeschakeld.
  • Bewaking van bestandsintegriteit met de Defender for Endpoint-agent moet zijn ingeschakeld. Als dit bericht niet is ingeschakeld, wordt dit bericht weergegeven: Bewaking van bestandsintegriteit is niet ingeschakeld. Als u Onboard-abonnementen wilt inschakelen en vervolgens de functie wilt inschakelen.

Entiteiten en bestanden bewaken

Voer de volgende stappen uit om entiteiten en bestanden te bewaken:

  1. Ga vanuit de zijbalk van Defender voor Cloud naar Bewaking van bestandsintegriteit voor werkbelastingbeveiligingen>.

    Schermopname van het openen van bewaking van bestandsintegriteit in workloadbeveiligingen.

  2. Er wordt een venster geopend met alle resources die bijgehouden gewijzigde bestanden en registers bevatten.

    Schermopname van de resultaten van de bewaking van bestandsintegriteit.

  3. Als u een resource selecteert, wordt er een venster geopend met een query met de wijzigingen die zijn aangebracht in de bijgehouden bestanden en registers op die resource.

    Schermopname van de query Voor bewaking van bestandsintegriteit.

  4. Als u het abonnement van de resource selecteert (onder de naam van het kolomabonnement), wordt er een query geopend met alle bijgehouden bestanden en registers in dat abonnement.

Notitie

Als u eerder Bewaking van bestandsintegriteit via MMA hebt gebruikt, kunt u terugkeren naar die methode door Change to previous experience te selecteren. Dit is beschikbaar totdat de FIM via MMA-functie is afgeschaft. Zie Voorbereiden voor buitengebruikstelling van de Log Analytics-agent voor meer informatie over het afschaffingsplan.

Bewakingsgegevens voor bestandsintegriteit ophalen en analyseren

De bewakingsgegevens voor bestandsintegriteit bevinden zich in de Azure Log Analytics-werkruimte in de MDCFileIntegrityMonitoringEvents tabel.

  1. Stel een tijdsbereik in om een samenvatting van wijzigingen per resource op te halen. In het volgende voorbeeld worden alle wijzigingen in de afgelopen 14 dagen opgehaald in de categorieën register en bestanden:

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

  2. Gedetailleerde informatie over registerwijzigingen weergeven:

    1. Verwijderen Files uit de where component.

    2. Vervang de samenvattingsregel door een bestelcomponent:

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType == 'Registry'  
| order by Computer, RegistryKey

  3. De rapporten kunnen worden geëxporteerd naar CSV voor archiveringsdoeleinden en worden gekanaald naar een Power BI-rapport voor verdere analyse.