Udostępnij za pośrednictwem

Przegląd zmian w monitorowaniu integralności plików

  • Artykuł

W usłudze Defender for Servers Plan 2 w Microsoft Defender dla Chmury funkcja monitorowania integralności plików pomaga zapewnić bezpieczeństwo zasobów i zasobów przedsiębiorstwa przez skanowanie i analizowanie plików oraz porównywanie ich bieżącego stanu z poprzednimi skanowaniami.

Monitorowanie integralności plików używa agenta Ochrona punktu końcowego w usłudze Microsoft Defender do zbierania danych z maszyn zgodnie z regułami zbierania. Usługa Defender for Endpoint jest domyślnie zintegrowana z Defender dla Chmury.

Uwaga

Starsza metoda zbierania danych korzysta z agenta usługi Log Analytics (znanego również jako agent Microsoft Monitoring Agent (MMA)). Wsparcie dla korzystania z MMA zakończy się w listopadzie 2024 r.

W tym artykule pokazano, jak przeglądać zmiany plików.

Wymagania wstępne

  • Usługa Defender for Servers (plan 2) musi być włączona.
  • Należy włączyć monitorowanie integralności plików za pomocą agenta usługi Defender for Endpoint. Jeśli nie jest włączony, zostanie wyświetlony ten komunikat — monitorowanie integralności plików nie jest włączone. Aby włączyć pozycję Dołączanie subskrypcji, a następnie włączyć tę funkcję.

Monitorowanie jednostek i plików

Aby monitorować jednostki i pliki, wykonaj następujące kroki:

  1. Na pasku bocznym Defender dla Chmury przejdź do pozycji Zabezpieczenia obciążenia>Monitorowanie integralności plików.

    Zrzut ekranu przedstawiający sposób uzyskiwania dostępu do monitorowania integralności plików w ramach ochrony obciążeń.

  2. Zostanie otwarte okno ze wszystkimi zasobami, które zawierają śledzone zmienione pliki i rejestry.

    Zrzut ekranu przedstawiający wyniki monitorowania integralności plików.

  3. Jeśli wybierzesz zasób, zostanie otwarte okno z zapytaniem pokazującym zmiany wprowadzone w śledzonych plikach i rejestrach w tym zasobie.

    Zrzut ekranu przedstawiający zapytanie monitorowania integralności plików.

  4. Jeśli wybierzesz subskrypcję zasobu (w kolumnie Nazwa subskrypcji), zostanie otwarte zapytanie ze wszystkimi śledzonymi plikami i rejestrami w tej subskrypcji.

Uwaga

Jeśli wcześniej użyto monitorowania integralności plików za pośrednictwem programu MMA, możesz wrócić do tej metody, wybierając pozycję Zmień na poprzednie środowisko. Będzie to dostępne do momentu, aż funkcja FIM za pośrednictwem programu MMA będzie przestarzała. Aby uzyskać informacje na temat planu wycofania, zobacz Przygotowanie do wycofania agenta usługi Log Analytics.

Pobieranie i analizowanie danych monitorowania integralności plików

Dane monitorowania integralności plików znajdują się w obszarze roboczym usługi Azure Log Analytics w MDCFileIntegrityMonitoringEvents tabeli.

  1. Ustaw zakres czasu, aby pobrać podsumowanie zmian według zasobu. W poniższym przykładzie pobieramy wszystkie zmiany w ciągu ostatnich 14 dni w kategoriach rejestru i plików:

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

  2. Aby wyświetlić szczegółowe informacje o zmianach rejestru:

    1. Usuń Files z klauzuli where .

    2. Zastąp wiersz podsumowania klauzulą ordering:

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType == 'Registry'  
| order by Computer, RegistryKey

  3. Raporty można eksportować do pliku CSV do celów archiwalnych i kierowane do raportu usługi Power BI w celu dalszej analizy.