Udostępnij za pośrednictwem


Monitorowanie integralności plików

Funkcja monitorowania integralności plików w Microsoft Defender dla Chmury pomaga zapewnić bezpieczeństwo zasobów i zasobów przedsiębiorstwa przez skanowanie i analizowanie plików systemu operacyjnego, rejestrów systemu Windows, oprogramowania aplikacji i plików systemowych systemu Linux pod kątem zmian, które mogą wskazywać na atak. Monitorowanie integralności plików ułatwia:

  • Spełnianie wymagań dotyczących zgodności. Monitorowanie integralności plików jest często wymagane przez standardy zgodności z przepisami, takie jak PCI-DSS i ISO 17799.
  • Popraw stan i zidentyfikuj potencjalne problemy z zabezpieczeniami, wykrywając podejrzane zmiany w plikach.

Monitorowanie podejrzanych działań

Monitorowanie integralności plików sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji i pliki systemowe systemu Linux w celu wykrywania podejrzanych działań, takich jak:

  • Tworzenie lub usuwanie klucza pliku i rejestru.
  • Modyfikacje plików, takie jak zmiany rozmiaru pliku, listy kontroli dostępu i skrót zawartości.
  • Modyfikacje rejestru, takie jak zmiany rozmiaru, listy kontroli dostępu, typ i zawartość.

Zbieranie danych

Monitorowanie integralności plików używa agenta Ochrona punktu końcowego w usłudze Microsoft Defender do zbierania danych z maszyn.

  • Agent usługi Defender for Endpoint zbiera dane z maszyn zgodnie z plikami i zasobami zdefiniowanymi na potrzeby monitorowania integralności plików.
  • Dane zebrane przez agenta usługi Defender for Endpoint są przechowywane na potrzeby dostępu i analizy w obszarze roboczym usługi Log Analytics.
  • Zebrane dane monitorowania integralności plików są częścią korzyści 500 MB zawartej w planie 2 usługi Defender for Servers.
  • Monitorowanie integralności plików zawiera szczegółowe informacje o zmianie pliku/zasobu, w tym o źródle zmiany, szczegóły konta, wskazanie, kto dokonał zmian, oraz informacje o procesie inicjowania.

Migrowanie do nowej metody kolekcji

Wykonaj kroki migracji monitorowania integralności plików z programu MMA do korzystania z agenta usługi Defender for Endpoint.

Konfigurowanie monitorowania integralności plików

Po włączeniu usługi Defender for Servers (plan 2) należy włączyć i skonfigurować monitorowanie integralności plików. Nie jest ona domyślnie włączona.

  • Wybierasz obszar roboczy usługi Log Analytics, w którym mają być przechowywane zdarzenia zmian dla monitorowanych plików/zasobów. Możesz użyć istniejącego obszaru roboczego lub zdefiniować nowy.
  • Defender dla Chmury zaleca monitorowanie zasobów za pomocą monitorowania integralności plików i dostosowywanie dodatkowego monitorowania.
  • Po wybraniu obszaru roboczego przejrzyj i dostosuj elementy, które chcesz monitorować. Defender dla Chmury zaleca, aby zasoby domyślnie uwzględniały je na liście monitorowania integralności plików i można zdefiniować własne.

Wybieranie elementów do monitorowania

Defender dla Chmury zaleca jednostki do monitorowania integralności plików i można zdefiniować własne jednostki. Podczas wybierania plików do monitorowania:

  • Należy wziąć pod uwagę pliki, które mają krytyczne znaczenie dla systemu i aplikacji.
  • Monitoruj pliki, których nie spodziewasz się zmienić bez planowania.
  • Jeśli wybierzesz pliki, które są często zmieniane przez aplikacje lub system operacyjny (np. pliki dziennika i pliki tekstowe), spowoduje to powstanie szumu, co utrudnia zidentyfikowanie ataku.

W przypadku korzystania z monitorowania integralności plików za pomocą agenta usługi Defender for Endpoing zalecamy monitorowanie tych elementów za pomocą opartych na znanych wzorcach ataku.

Pliki systemu Linux Pliki systemu Windows Klucze rejestru systemu Windows (HKLM = HKEY_LOCAL_MACHINE)
/Bin C:\config.sys SOFTWARE\Microsoft\Cryptography\OID*
/bin/passwd C:\Windows\regedit.exe SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID*
/ Boot C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/etc/*.conf C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
/etc/cron.daily C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
/etc/cron.hourly C:\boot.ini HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/etc/cron.monthly C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/etc/cron.weekly C:\Windows\win.ini SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows\
/etc/init.d SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
/opt/sbin SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
/sbin SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
/usr/bin SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/bin SECURITY\POLICY\SECRETS
/usr/local/sbin
/usr/sbin
/bin/login
/opt/bin

Następne kroki

Włączanie monitorowania integralności plików za pomocą usługi Defender dla punktu końcowego)