Partilhar via

Revisar alterações no monitoramento de integridade de arquivos

  • Artigo

No Defender for Servers Plan 2 no Microsoft Defender for Cloud, o recurso de monitoramento da integridade de arquivos ajuda a manter os ativos e recursos da empresa seguros, verificando e analisando arquivos e comparando seu estado atual com verificações anteriores.

O monitoramento da integridade de arquivos usa o agente do Microsoft Defender for Endpoint para coletar dados de máquinas, de acordo com as regras de coleta. O Defender for Endpoint é integrado por padrão ao Defender for Cloud.

Nota

O método mais antigo de coleta de dados usa o agente do Log Analytics (também conhecido como agente de monitoramento da Microsoft (MMA)). O suporte para o uso do MMA terminará em novembro de 2024.

Este artigo mostra como revisar as alterações de arquivo.

Pré-requisitos

  • O Plano 2 do Defender for Servers deve estar habilitado.
  • O monitoramento da integridade de arquivos com o agente do Defender for Endpoint deve ser habilitado. Se não estiver ativada, esta mensagem será apresentada - A Monitorização da Integridade do Ficheiro não está ativada. Para ativar, selecione Subscrições integradas e, em seguida, ative a funcionalidade.

Monitorar entidades e arquivos

Para monitorizar entidades e ficheiros, siga estes passos:

  1. Na barra lateral do Defender for Cloud, vá para Proteções de carga de trabalho Monitoramento da integridade de>arquivos.

    Captura de tela de como acessar o monitoramento de integridade de arquivos em proteções de carga de trabalho.

  2. Uma janela é aberta com todos os recursos que contêm arquivos e registros alterados rastreados.

    Captura de ecrã dos resultados da Monitorização da Integridade de Ficheiros.

  3. Se você selecionar um recurso, uma janela será aberta com uma consulta mostrando as alterações feitas nos arquivos e registros controlados nesse recurso.

    Captura de ecrã da consulta Monitorização da Integridade de Ficheiros.

  4. Se você selecionar a assinatura do recurso (na coluna Nome da assinatura), uma consulta será aberta com todos os arquivos e registros rastreados nessa assinatura.

Nota

Se você usou anteriormente o Monitoramento de Integridade de Arquivos no MMA, poderá retornar a esse método selecionando Alterar para experiência anterior. Isso estará disponível até que o recurso FIM sobre MMA seja preterido. Para obter informações sobre o plano de descontinuação, consulte Preparar a desativação do agente do Log Analytics.

Recupere e analise dados de monitoramento de integridade de arquivos

Os dados de monitoramento de integridade de arquivo residem no espaço de trabalho do Azure Log Analytics na MDCFileIntegrityMonitoringEvents tabela.

  1. Defina um intervalo de tempo para recuperar um resumo das alterações por recurso. No exemplo a seguir, recuperamos todas as alterações nos últimos 14 dias nas categorias de registro e arquivos:

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

  2. Para exibir informações detalhadas sobre alterações no Registro:

    1. Retirar Files da where cláusula.

    2. Substitua a linha de resumo por uma cláusula de ordenação:

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType == 'Registry'  
| order by Computer, RegistryKey

  3. Os relatórios podem ser exportados para CSV para fins de arquivamento e canalizados para um relatório do Power BI para análise posterior.