Monitorowanie integralności plików
Funkcja monitorowania integralności plików w usłudze Defender for Servers Plan 2 w Microsoft Defender dla Chmury pomaga zapewnić bezpieczeństwo zasobów i zasobów przedsiębiorstwa przez skanowanie i analizowanie plików systemu operacyjnego, rejestrów systemu Windows, oprogramowania aplikacji i plików systemowych systemu Linux pod kątem zmian, które mogą wskazywać na atak. Monitorowanie integralności plików ułatwia:
- Spełnianie wymagań dotyczących zgodności. Monitorowanie integralności plików jest często wymagane przez standardy zgodności z przepisami, takie jak PCI-DSS i ISO 17799.
- Popraw stan i zidentyfikuj potencjalne problemy z zabezpieczeniami, wykrywając podejrzane zmiany w plikach.
Monitorowanie podejrzanych działań
Monitorowanie integralności plików sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji i pliki systemowe systemu Linux w celu wykrywania podejrzanych działań, takich jak:
- Tworzenie lub usuwanie klucza pliku i rejestru.
- Modyfikacje plików, takie jak zmiany rozmiaru pliku, listy kontroli dostępu i skrót zawartości.
- Modyfikacje rejestru, takie jak zmiany rozmiaru, listy kontroli dostępu, typ i zawartość.
Zbieranie danych
Monitorowanie integralności plików używa agenta Ochrona punktu końcowego w usłudze Microsoft Defender do zbierania danych z maszyn.
- Agent usługi Defender for Endpoint zbiera dane z maszyn zgodnie z plikami i zasobami zdefiniowanymi na potrzeby monitorowania integralności plików.
- Dane zebrane przez agenta usługi Defender for Endpoint są przechowywane na potrzeby dostępu i analizy w obszarze roboczym usługi Log Analytics.
- Zebrane dane monitorowania integralności plików są częścią korzyści 500 MB uwzględnionej w planie 2 usługi Defender for Servers.
- Monitorowanie integralności plików zawiera informacje o zmianach plików i zasobów, w tym o źródle zmiany, szczegóły konta, wskazanie, kto dokonał zmian, oraz informacje o procesie inicjowania.
Migrowanie do nowej wersji
Monitorowanie integralności plików wcześniej używało agenta usługi Log Analytics (znanego również jako agent microsoft monitoring agenta (MMA) lub agenta usługi Azure Monitor (AMA) do zbierania danych. Jeśli używasz monitorowania integralności plików z jedną z tych starszych metod, możesz przeprowadzić migrację monitorowania integralności plików, aby użyć usługi Defender for Endpoint.
Konfigurowanie monitorowania integralności plików
Po włączeniu usługi Defender for Servers (plan 2) należy włączyć i skonfigurować monitorowanie integralności plików. Nie jest ona domyślnie włączona.
- Wybierasz obszar roboczy usługi Log Analytics, w którym mają być przechowywane zdarzenia zmian dla monitorowanych plików/zasobów. Możesz użyć istniejącego obszaru roboczego lub zdefiniować nowy.
- Defender dla Chmury zaleca monitorowanie zasobów za pomocą monitorowania integralności plików.
Wybieranie elementów do monitorowania
Defender dla Chmury zaleca jednostki do monitorowania za pomocą monitorowania integralności plików. Elementy można wybrać z zaleceń. Podczas wybierania plików do monitorowania:
- Należy wziąć pod uwagę pliki, które mają krytyczne znaczenie dla systemu i aplikacji.
- Monitoruj pliki, których nie spodziewasz się zmienić bez planowania.
- Jeśli wybierzesz pliki, które są często zmieniane przez aplikacje lub system operacyjny (np. pliki dziennika i pliki tekstowe), spowoduje to powstanie szumu, co utrudnia zidentyfikowanie ataku.
Zalecane elementy do monitorowania
W przypadku korzystania z monitorowania integralności plików z agentem usługi Defender for Endpoint zalecamy monitorowanie tych elementów przy użyciu opartych na znanych wzorcach ataku.
| Plik systemu Linux | Pliki systemu Windows | Klucze rejestru systemu Windows (HKEY_LOCAL_MACHINE) |
|---|---|---|
| /Bin | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| / Boot | C:\Windows\System32\userinit.exe | Klucz: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Wartości: loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe | Klucz: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Wartości: typowe uruchamianie, uruchamianie |
| /etc/cron.daily | C:\autoexec.bat | Klucz: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Foldery powłoki użytkownika Wartości: typowe uruchamianie, uruchamianie |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | Klucz: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Wartości: appinit_dlls, loadappinit_dlls |
|
| /etc/init.d | Klucz: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Wartości: typowe uruchamianie, uruchamianie |
|
| /opt/sbin | Klucz: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Foldery Wartości: typowe uruchamianie, uruchamianie |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Następne kroki
Włączanie monitorowania integralności plików za pomocą usługi Defender dla punktu końcowego