Monitoramento de integridade do arquivo
O recurso de monitoramento de integridade de arquivos no Plano 2 do Defender para servidores no Microsoft Defender para Nuvem ajuda a manter os ativos e recursos da empresa seguros, verificando e analisando arquivos do sistema operacional, registros do Windows, software de aplicativo e arquivos do sistema Linux em busca de alterações que possam indicar um ataque. O monitoramento de integridade de arquivo ajuda você:
- Atendem aos requisitos de conformidade. O monitoramento de integridade de arquivos geralmente é exigido por normas de conformidade regulatória, como PCI-DSS e ISO 17799.
- Melhore a postura e identifique possíveis problemas de segurança detectando alterações suspeitas no arquivo.
Monitorar atividades suspeitas
O monitoramento de integridade de arquivo examina arquivos do sistema operacional, Registros do Windows, software do aplicativo, arquivos do sistema do Linux para detectar atividades suspeitas como:
- Criação ou exclusão de chave de arquivo e registro.
- Modificações de arquivo, como alterações de tamanho do arquivo, listas de controle de acesso e hash do conteúdo.
- Modificações de registro, como alterações de tamanho, listas de controle de acesso, tipo e conteúdo.
Coleta de dados
O monitoramento de integridade de arquivos usa o agente do Microsoft Defender para Ponto de Extremidade para coletar dados de computadores.
- O agente do Defender para Ponto de Extremidade coleta dados de computadores de acordo com os arquivos e recursos definidos para monitoramento de integridade de arquivos.
- Os dados coletados pelo agente do Defender para Ponto de Extremidade são armazenados para acesso e análise em um workspace do Log Analytics.
- Os dados do monitoramento de integridade de arquivos coletados fazem parte do benefício de 500 MB incluído no Plano 2 do Defender para servidores.
- O monitoramento de integridade do arquivo fornece informações sobre alterações de arquivo e recursos, incluindo a origem da alteração, detalhes da conta, indicação de quem fez as alterações e informações sobre o processo inicial.
Migrar para a nova versão
O monitoramento da integridade dos arquivos usava anteriormente o agente Log Analytics (também conhecido como agente Microsoft Monitoring (MMA)) ou o agente do Azure Monitor (AMA) para coletar dados. Se você estiver usando o monitoramento de integridade de arquivo com um desses métodos herdados, poderá migrar o monitoramento de integridade de arquivo para usar o Defender para Ponto de Extremidade.
Configurar o Monitoramento de Integridade de Arquivo
Depois de habilitar o Plano 2 do Defender para servidores, você habilita e configura o monitoramento de integridade de arquivos. Eles não são habilitados por padrão.
- Selecione um workspace do Log Analytics que armazena eventos de alteração para arquivos/recursos monitorados. É possível usar um workspace existente ou definir um.
- O Defender para Nuvem recomenda recursos para monitorar com o monitoramento de integridade de arquivos.
Escolha o que monitorar
O Defender para Nuvem recomenda entidades para monitorar com o monitoramento de integridade de arquivos. Você pode escolher itens entre as recomendações. Ao escolher quais arquivos monitorar:
- Considere os arquivos que são críticos para seu sistema e seus aplicativos.
- Monitore os arquivos que você não espera que tenham alterações sem planejamento.
- Escolher arquivos que são alterados com frequência por aplicativos ou pelo sistema operacional (como arquivos de log e de texto) cria muito ruído, o que dificulta a identificação de um ataque.
Itens que recomendados monitorar
Ao usar o monitoramento de integridade de arquivos com o agente do Defender para Ponto de Extremidade, recomendamos monitorar esses itens com base em padrões de ataque conhecidos.
| Arquivo Linux | Arquivos do Windows | Chaves de registro do Windows (HKEY_LOCAL_MACHINE) |
|---|---|---|
| bin/ | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe | Chave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Valores: loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe | Chave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Valores: inicialização comum, inicialização |
| /etc/cron.daily | C:\autoexec.bat | Chave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Valores: inicialização comum, inicialização |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | Chave: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Valores: appinit_dlls, loadappinit_dlls |
|
| /etc/init.d | Chave: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Valores: inicialização comum, inicialização |
|
| /opt/sbin | Chave: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Valores: inicialização comum, inicialização |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Próximas etapas
Habilitar o monitoramento de integridade de arquivos com o Defender para Ponto de Extremidade