Monitoramento de integridade de arquivo usando o Microsoft Defender para Ponto de Extremidade
Para fornecer o FIM (Monitoramento de Integridade de Arquivos), o Microsoft Defender para Ponto de Extremidade coleta dados de computadores de acordo com as regras de coleta. Quando o estado atual dos arquivos do sistema é comparado com o estado durante o exame anterior, o FIM notifica você sobre modificações suspeitas.
Usando o FIM, você pode:
- Monitore as alterações feitas em arquivos críticos e registros do Windows a partir de uma lista predefinida em tempo real.
- Acesse e analise as alterações auditadas em um espaço de trabalho designado.
- Aproveite o benefício de 500 MB incluído no Plano 2 do Defender para Servidores.
- Manter a conformidade: o FIM oferece suporte interno para padrões de conformidade regulatória de segurança relevantes, como PCI-DSS, CIS, NIST e outros
O FIM alerta você sobre quaisquer atividades potencialmente suspeitas. Essas atividades incluem:
- A criação ou exclusão de arquivos e chaves do Registro
- Modificações em arquivos, como alterações no tamanho, nome, local ou hash de seu conteúdo
- Alterações no registro, incluindo alterações em seu tamanho, tipo e conteúdo
- Detalhes sobre a alteração, incluindo a origem da alteração. Isso inclui detalhes da conta, que indicam quem fez as alterações, e informações sobre o processo inicial.
Para obter orientação sobre quais arquivos monitorar, consulte Quais arquivos devo monitorar?.
Disponibilidade
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | Versão Prévia |
| Preço: | Requer o Plano 2 do Microsoft Defender para Servidores |
| Funções e permissões necessárias: | O Proprietário do workspace ou o Administrador de segurança pode habilitar e desabilitar o FIM. Para saber mais, consulte Azure Roles para Log Analytics. O leitor pode visualizar os resultados. |
| Nuvens: |  Nuvens comerciaisDispositivos habilitados para o Azure Arc. Contas da AWS conectadas Contas GCP conectadas |
Pré-requisitos
Para acompanhar as alterações em seus arquivos e registros em computadores com o Defender para Ponto de Extremidade, você precisa:
Habilitar o Defender para Ponto de Extremidade em computadores que você quer monitorar
Habilitar o Monitoramento de Integridade de Arquivo
Habilitar no Portal do Azure
Para habilitar o FIM no portal do Azure, siga estas etapas:
Entre no portal do Azure.
Pesquise pelo Microsoft Defender para Nuvem e selecione-o.
No menu do Defender para Nuvem, selecione Configurações de ambiente.
Selecione a assinatura relevante.
Localize o plano Defenders para Servidores e selecione Configurações.
Na seção Monitoramento de integridade de arquivos, vire o botão para Ativado. Depois selecione Editar a configuração.
A página de Configuração da FIM é aberta. Na lista suspensa Seleção de workspace, selecione o espaço de trabalho em que você deseja armazenar os dados do FIM. Se você desejar criar um novo espaço de trabalho, selecione Criar novo.
Importante
Os eventos coletados para o FIM da plataforma Defender para Ponto de Extremidade estão incluídos nos tipos de dados qualificados para o benefício de 500 MB para clientes do Plano 2 do Defender para Servidores. Para mais informações, confira Quais tipos de dados estão incluídos na provisão diária?.
Na seção inferior do painel de configuração do FIM, selecione as guias Registro do Windows, Arquivos do Windows e as Linux files para escolher os arquivos e registros que você deseja monitorar. Se você escolher a seleção superior em cada guia, todos os arquivos e registros serão monitorados. Selecione Aplicar para salvar as alterações.
Selecione Continuar.
Selecione Salvar.
Desabilitar o Monitoramento de Integridade do Arquivo
Depois que o FIM é desabilitado, nenhum novo evento é coletado. No entanto, os dados coletados antes da desativação do recurso permanecem no workspace, de acordo com a política de retenção do workspace. Para obter mais informações, consulte Gerenciar a retenção de dados em um Workspace do Log Analytics.
Desabilitar no Portal do Azure
Para desabilitar o FIM no portal do Azure, siga estas etapas:
Entre no portal do Azure.
Pesquise pelo Microsoft Defender para Nuvem e selecione-o.
No menu do Defender para Nuvem, selecione Configurações de ambiente.
Selecione a assinatura relevante.
Localize o plano Defenders para Servidores e selecione Configurações.
Na seção Monitoramento de integridade de arquivos, vire o botão para Desligado.
Escolha Aplicar.
Selecione Continuar.
Selecione Salvar.
Monitorar entidades e arquivos
Para monitorar entidades e arquivos, siga estas etapas:
Observação
Se você ainda não habilitou o FIM, verá uma mensagem informando que o Monitoramento de Integridade de Arquivos não está habilitado. Para habilitar o FIM, selecione Assinaturas integradas e siga as instruções em Habilitar Monitoramento de Integridade de Arquivos.
Na barra lateral do Defender para Nuvem, acesse Proteção de cargas de trabalho>Monitoramento de integridade do arquivo.
Uma janela é aberta com todos os recursos que contêm arquivos e registros alterados rastreados.
Se você selecionar um recurso, uma janela será aberta com uma consulta mostrando as alterações feitas nos arquivos e registros rastreados nesse recurso.
Se você selecionar a assinatura do recurso (na coluna Nome da assinatura), uma consulta será aberta com todos os arquivos e registros rastreados nessa assinatura.
Observação
Se já tiver usado Monitoramento de Integridade de Arquivos sobre MMA, você poderá retornar a esse método selecionando Alterar para experiência anterior. Isso estará disponível até que o recurso FIM sobre MMA seja descontinuado. Para obter mais informações sobre o plano de depreciação, consulte Preparar-se para a aposentadoria do agente Log Analytics.
Recuperar e analisar dados do FIM
Os dados de monitoramento da integridade do arquivo residem no workspace do Azure Log Analytics na tabela MDCFileIntegrityMonitoringEvents. A tabela aparece no Espaço de Trabalho do Log Analytics abaixo da tabela LogManagment.
Defina um intervalo de tempo para recuperar um resumo das alterações por recurso. No exemplo a seguir, recuperamos todas as alterações nos últimos 14 dias nas categorias de registro e de arquivos:
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType in ('Registry', 'File') | summarize count() by Computer, MonitoredEntityTypePara exibir informações detalhadas sobre alterações no Registro:
Remova
Filesda funçãowherecláusula.Substitua a linha de resumo por uma cláusula de ordenação:
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType == 'Registry' | order by Computer, RegistryKeyOs relatórios podem ser exportados para CSV para fins de arquivamento e canalizados para um relatório do Power BI para análise posterior.
Conteúdo relacionado
Saiba mais sobre o Defender para Nuvem em:
- Configurando políticas de segurança: saiba como configurar políticas de segurança para assinaturas e grupos de recursos do Azure.
- Gerenciando recomendações de segurança: saiba como as recomendações ajudam você a proteger os seus recursos do Azure.
- Blog de Segurança do Azure: obtenha as últimas informações e notícias de segurança do Azure.