Monitorowanie integralności plików
Funkcja monitorowania integralności plików w Microsoft Defender dla Chmury pomaga zapewnić bezpieczeństwo zasobów i zasobów przedsiębiorstwa przez skanowanie i analizowanie plików systemu operacyjnego, rejestrów systemu Windows, oprogramowania aplikacji i plików systemowych systemu Linux pod kątem zmian, które mogą wskazywać na atak. Monitorowanie integralności plików ułatwia:
- Spełnianie wymagań dotyczących zgodności. Monitorowanie integralności plików jest często wymagane przez standardy zgodności z przepisami, takie jak PCI-DSS i ISO 17799.
- Popraw stan i zidentyfikuj potencjalne problemy z zabezpieczeniami, wykrywając podejrzane zmiany w plikach.
Monitorowanie podejrzanych działań
Monitorowanie integralności plików sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji i pliki systemowe systemu Linux w celu wykrywania podejrzanych działań, takich jak:
- Tworzenie lub usuwanie klucza pliku i rejestru.
- Modyfikacje plików, takie jak zmiany rozmiaru pliku, listy kontroli dostępu i skrót zawartości.
- Modyfikacje rejestru, takie jak zmiany rozmiaru, listy kontroli dostępu, typ i zawartość.
Zbieranie danych
Monitorowanie integralności plików używa agenta Ochrona punktu końcowego w usłudze Microsoft Defender do zbierania danych z maszyn.
- Agent usługi Defender for Endpoint zbiera dane z maszyn zgodnie z plikami i zasobami zdefiniowanymi na potrzeby monitorowania integralności plików.
- Dane zebrane przez agenta usługi Defender for Endpoint są przechowywane na potrzeby dostępu i analizy w obszarze roboczym usługi Log Analytics.
- Zebrane dane monitorowania integralności plików są częścią korzyści 500 MB zawartej w planie 2 usługi Defender for Servers.
- Monitorowanie integralności plików zawiera szczegółowe informacje o zmianie pliku/zasobu, w tym o źródle zmiany, szczegóły konta, wskazanie, kto dokonał zmian, oraz informacje o procesie inicjowania.
Migrowanie do nowej metody kolekcji
Wykonaj kroki migracji monitorowania integralności plików z programu MMA do korzystania z agenta usługi Defender for Endpoint.
Konfigurowanie monitorowania integralności plików
Po włączeniu usługi Defender for Servers (plan 2) należy włączyć i skonfigurować monitorowanie integralności plików. Nie jest ona domyślnie włączona.
- Wybierasz obszar roboczy usługi Log Analytics, w którym mają być przechowywane zdarzenia zmian dla monitorowanych plików/zasobów. Możesz użyć istniejącego obszaru roboczego lub zdefiniować nowy.
- Defender dla Chmury zaleca monitorowanie zasobów za pomocą monitorowania integralności plików i dostosowywanie dodatkowego monitorowania.
- Po wybraniu obszaru roboczego przejrzyj i dostosuj elementy, które chcesz monitorować. Defender dla Chmury zaleca, aby zasoby domyślnie uwzględniały je na liście monitorowania integralności plików i można zdefiniować własne.
Wybieranie elementów do monitorowania
Defender dla Chmury zaleca jednostki do monitorowania integralności plików i można zdefiniować własne jednostki. Podczas wybierania plików do monitorowania:
- Należy wziąć pod uwagę pliki, które mają krytyczne znaczenie dla systemu i aplikacji.
- Monitoruj pliki, których nie spodziewasz się zmienić bez planowania.
- Jeśli wybierzesz pliki, które są często zmieniane przez aplikacje lub system operacyjny (np. pliki dziennika i pliki tekstowe), spowoduje to powstanie szumu, co utrudnia zidentyfikowanie ataku.
Zalecane elementy do monitorowania
W przypadku korzystania z monitorowania integralności plików za pomocą agenta usługi Defender for Endpoing zalecamy monitorowanie tych elementów za pomocą opartych na znanych wzorcach ataku.
Pliki systemu Linux | Pliki systemu Windows | Klucze rejestru systemu Windows (HKLM = HKEY_LOCAL_MACHINE) |
---|---|---|
/Bin | C:\config.sys | SOFTWARE\Microsoft\Cryptography\OID* |
/bin/passwd | C:\Windows\regedit.exe | SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
/ Boot | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
/etc/*.conf | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
/etc/cron.daily | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
/etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
/etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
/etc/cron.weekly | C:\Windows\win.ini | SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
/etc/crontab | SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows\ | |
/etc/init.d | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
/opt/sbin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | |
/sbin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
/usr/bin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
/usr/local/bin | SECURITY\POLICY\SECRETS | |
/usr/local/sbin | ||
/usr/sbin | ||
/bin/login | ||
/opt/bin |
Następne kroki
Włączanie monitorowania integralności plików za pomocą usługi Defender dla punktu końcowego)