Udostępnij za pośrednictwem


Włączanie monitorowania integralności plików

W usłudze Defender for Servers Plan 1 w Microsoft Defender dla Chmury funkcja monitorowania integralności plików zapewnia wgląd w zmiany maszyny, sprawdzając pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji i pliki systemowe systemu Linux w celu wykrywania podejrzanych działań naruszenia, takich jak modyfikacje plików i rejestru.

Po włączeniu usługi Defender for Servers (plan 2) w tym artykule opisano sposób konfigurowania monitorowania integralności plików przy użyciu agenta Ochrona punktu końcowego w usłudze Microsoft Defender w celu zbierania danych.

Uwaga

  • Jeśli używasz starszej przestarzałej metody zbierania danych przy użyciu agenta usługi Log Analytics, przeprowadź migrację do nowego środowiska monitorowania integralności plików korzystającego z agenta usługi Defender for Endpoint.
  • Od czerwca 2025 r. monitorowanie integralności plików wymaga minimalnej wersji klienta usługi Defender for Endpoint.
    • Windows: 10.8760
    • Linux: 30.124082

Wymagania wstępne

  • Usługa Defender for Servers (plan 2 ) powinna być włączona.
  • Agent usługi Defender for Endpoint powinien być zainstalowany na komputerach, które chcesz monitorować.
  • Aby włączyć i wyłączyć monitorowanie integralności plików, potrzebujesz uprawnień właściciela obszaru roboczego lub administratora zabezpieczeń. Uprawnienia czytelnika mogą wyświetlać wyniki.
  • Monitorowanie integralności plików za pomocą usługi Defender dla punktu końcowego jest obsługiwane w przypadku maszyn wirtualnych platformy Azure, maszyn wirtualnych z obsługą usługi Azure Arc, połączonych kont platformy AWS i projektów GCP.
  • Aby uzyskać wskazówki dotyczące tego, które pliki mają być monitorowane, zobacz Jakie pliki należy monitorować?.

Weryfikowanie klienta usługi Defender for Endpoint

Na maszynie powinna być uruchomiona wersja klienta usługi Defender for Endpoint: — Windows: 10.8760 — Linux: 30.124082

  1. Aby upewnić się, że masz najnowszą wersję na maszynach z systemem Windows Server 2019 lub nowszym, zapoznaj się z najnowszymi aktualizacjami systemu Windows. Dowiedz się więcej o korzystaniu z usługi Windows Servers Update do instalowania maszyn na dużą skalę.
  2. Aby zaktualizować agenta Ochrona punktu końcowego w usłudze Microsoft Defender w systemach Windows Server 2016 i Windows Server 2012 R2 lub 2016, zainstaluj przy użyciu bazy wiedzy 5005292 w katalogu usługi Microsoft Update.
  3. Maszyny z systemem Linux są aktualizowane automatycznie po włączeniu automatycznej aprowizacji w usłudze Defender for Endpoint w Defender dla Chmury. Można również aktualizować ręcznie.

Włączanie monitorowania integralności plików

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

  3. W menu Defender dla Chmury wybierz pozycję Ustawienia środowiska.

  4. Wybierz odpowiednią subskrypcję.

  5. Znajdź plan usługi Defenders for Servers i wybierz pozycję Ustawienia.

  6. W sekcji Monitorowanie integralności plików przełącz przełącznik na Włączone. Następnie wybierz pozycję Edytuj konfigurację.

    Zrzut ekranu przedstawiający sposób włączania monitorowania integralności plików.

  7. Zostanie otwarte okienko konfiguracji programu FIM. Z listy rozwijanej Wybór obszaru roboczego wybierz obszar roboczy, w którym chcesz przechowywać dane monitorowania integralności plików. Jeśli chcesz utworzyć nowy obszar roboczy, wybierz pozycję Utwórz nowy.

    Zrzut ekranu przedstawiający okienko konfiguracji monitorowania integralności plików.

    Ważne

    Zdarzenia zbierane na potrzeby monitorowania integralności plików są uwzględniane w typach danych kwalifikujących się do korzyści 500 MB dla klientów usługi Defender for Servers (plan 2).

  8. W dolnej sekcji okienka konfiguracji programu FIM wybierz kartę Rejestr systemu Windows, pliki systemu Windows i pliki systemu Linux, aby wybrać pliki i rejestry, które chcesz monitorować. Jeśli wybierzesz górny wybór na każdej karcie, będą monitorowane wszystkie pliki i rejestry. Wybierz pozycję Zastosuj, aby zapisać zmiany.

    Zrzut ekranu przedstawiający karty konfiguracji monitorowania integralności plików.

  9. Wybierz Kontynuuj.

  10. Wybierz pozycję Zapisz.

Wyłączanie monitorowania integralności plików

Jeśli wyłączysz monitorowanie integralności plików, nie są zbierane żadne nowe zdarzenia. Jednak dane zebrane przed wyłączeniem funkcji pozostają w obszarze roboczym usługi Log Analytics zgodnie z zasadami przechowywania obszaru roboczego.

Wyłącz w następujący sposób:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

  3. W menu Defender dla Chmury wybierz pozycję Ustawienia środowiska.

  4. Wybierz odpowiednią subskrypcję.

  5. Znajdź plan usługi Defenders for Servers i wybierz pozycję Ustawienia.

  6. W sekcji Monitorowanie integralności plików przełącz przełącznik na Wyłączone.

    Zrzut ekranu przedstawiający sposób wyłączania monitorowania integralności plików.

  7. Wybierz Zastosuj.

  8. Wybierz Kontynuuj.

  9. Wybierz pozycję Zapisz.

Następne kroki

Przejrzyj zmiany w monitorowaniu integralności plików.