Partilhar via


Monitoramento da integridade de arquivos usando o agente do Log Analytics

Para fornecer o FIM (File Integrity Monitoring), o agente do Log Analytics carrega dados no espaço de trabalho do Log Analytics. Ao comparar o estado atual desses itens com o estado durante a verificação anterior, o FIM notifica você se modificações suspeitas foram feitas.

Nota

Como o agente do Log Analytics (também conhecido como MMA) está programado para se aposentar em agosto de 2024, todos os recursos do Defender for Servers que dependem dele atualmente, incluindo os descritos nesta página, estarão disponíveis por meio da integração do Microsoft Defender for Endpoint ou da verificação sem agente, antes da data de desativação. Para obter mais informações sobre o roteiro para cada um dos recursos que dependem atualmente do Log Analytics Agent, consulte este anúncio.

O FIM (monitoramento de integridade de arquivos) usa a solução de Controle de Alterações do Azure para controlar e identificar alterações em seu ambiente. Quando o FIM está habilitado, você tem um recurso de controle de alterações do tipo Solução. Se você remover o recurso Controle de Alterações , também desativará o recurso Monitoramento da Integridade de Arquivos no Defender for Cloud. O FIM permite-lhe tirar partido do Controlo de Alterações diretamente no Defender for Cloud. Para obter detalhes sobre a frequência de coleta de dados, consulte Detalhes da coleta de dados de controle de alterações.

Nota

O Monitoramento de Integridade de Arquivos pode criar a seguinte conta em SQL Servers monitorados: NT Service\HealthService
Se você excluir a conta, ela será recriada automaticamente.

Disponibilidade

Aspeto Detalhes
Estado de lançamento: Disponibilidade geral (GA)
Preços: Requer o Plano 2 do Microsoft Defender for Servers.
Usando o agente do Log Analytics, o FIM carrega dados no espaço de trabalho do Log Analytics. Aplicam-se taxas de dados, com base na quantidade de dados que carrega. Consulte os preços do Log Analytics para saber mais.
Funções e permissões necessárias: O proprietário do espaço de trabalho pode habilitar/desabilitar o FIM (para obter mais informações, consulte Azure Roles for Log Analytics).
O leitor pode ver os resultados.
Nuvens: Nuvens comerciais
Nacional (Azure Government, Microsoft Azure operado pela 21Vianet)
Com suporte apenas em regiões onde a solução de controle de alterações da Automação do Azure está disponível.
Dispositivos habilitados para Azure Arc .
Consulte Regiões suportadas para espaço de trabalho vinculado do Log Analytics.
Saiba mais sobre o controlo de alterações.
Contas da AWS conectadas

Habilite o monitoramento da integridade de arquivos com o agente do Log Analytics

O FIM só está disponível nas páginas do Defender for Cloud no portal do Azure. Atualmente, não há nenhuma API REST para trabalhar com o FIM.

  1. Na área Proteção avançada do painel Proteções de carga de trabalho, selecione Monitoramento de integridade de arquivos.

    Captura de tela da abertura do painel Monitoramento da Integridade de Arquivos.

    As seguintes informações são fornecidas para cada espaço de trabalho:

    • Número total de alterações que ocorreram na última semana (poderá ver um traço "-" se o FIM não estiver ativado na área de trabalho)
    • Número total de computadores e VMs que se reportam ao espaço de trabalho
    • Localização geográfica do espaço de trabalho
    • Subscrição do Azure em que o espaço de trabalho se encontra
  2. Use esta página para:

    • Acesse e visualize o status e as configurações de cada espaço de trabalho

    • Ícone do plano de atualização. Atualize o espaço de trabalho para usar recursos de segurança aprimorados. Este ícone indica que a área de trabalho ou a subscrição não está protegida com o Microsoft Defender for Servers. Para utilizar as funcionalidades da FIM, a sua subscrição tem de estar protegida com este plano. Saiba mais sobre como ativar o Defender for Servers.

    • Ícone Ativar Habilite o FIM em todas as máquinas no espaço de trabalho e configure as opções do FIM. Esse ícone indica que o FIM não está habilitado para o espaço de trabalho. Se não houver um botão de ativação ou atualização e o espaço estiver em branco, isso significa que o FIM já está habilitado no espaço de trabalho.

      Captura de ecrã a mostrar a ativação do FIM para uma área de trabalho específica.

  3. Selecione ATIVAR. Os detalhes do espaço de trabalho, incluindo o número de máquinas Windows e Linux sob o espaço de trabalho, são mostrados.

    Captura de ecrã da página de detalhes da área de trabalho FIM.

    As configurações recomendadas para Windows e Linux também estão listadas. Expanda arquivos do Windows, Registro e Linux para ver a lista completa de itens recomendados.

  4. Desmarque as caixas de seleção de todas as entidades recomendadas que você não deseja que sejam monitoradas pela FIM.

  5. Selecione Aplicar monitoramento de integridade de arquivo para habilitar o FIM.

Você pode alterar as configurações a qualquer momento. Saiba mais sobre como editar entidades monitoradas.

Desativar monitoramento de integridade de arquivos

O FIM utiliza a solução Controlo de Alterações do Azure para monitorizar e identificar as alterações no seu ambiente. Ao desativar o FIM, você remove a solução de controle de alterações do espaço de trabalho selecionado.

Para desativar o FIM:

  1. No painel Monitoramento da Integridade de Arquivos de um espaço de trabalho, selecione Desabilitar.

    Captura de ecrã a mostrar a desativação da monitorização da integridade do ficheiro a partir da página de definições.

  2. Selecione Remover.

Monitorar espaços de trabalho, entidades e arquivos

Auditar espaços de trabalho monitorados

O painel de monitoramento da integridade de arquivos é exibido para espaços de trabalho onde o FIM está habilitado. O painel do FIM é aberto depois que você habilita o FIM em um espaço de trabalho ou quando você seleciona um espaço de trabalho na janela de monitoramento de integridade de arquivo que já tem o FIM habilitado.

Captura de tela do painel FIM e seus vários painéis informativos.

O painel do FIM para um espaço de trabalho exibe os seguintes detalhes:

  • Número total de máquinas conectadas ao espaço de trabalho
  • Número total de alterações que ocorreram durante o período de tempo selecionado
  • Uma discriminação do tipo de alteração (ficheiros, registo)
  • Uma discriminação da categoria de alteração (modificada, adicionada, removida)

Selecione Filtrar na parte superior do painel para alterar o período de tempo durante o qual as alterações são mostradas.

Captura de tela do filtro de período de tempo para o painel FIM.

A guia Servidores lista as máquinas que se reportam a esse espaço de trabalho. Para cada máquina, o painel lista:

  • Total de alterações que ocorreram durante o período de tempo selecionado
  • Um detalhamento do total de alterações como alterações de arquivo ou alterações de registro

Quando você seleciona uma máquina, a consulta aparece junto com os resultados que identificam as alterações feitas durante o período de tempo selecionado para a máquina. Você pode expandir uma alteração para obter mais informações.

Captura de tela da consulta do log Analytics mostrando as alterações identificadas pelo monitoramento de integridade de arquivos do Microsoft Defender for Cloud.

A guia Alterações (mostrada abaixo) lista todas as alterações no espaço de trabalho durante o período selecionado. Para cada entidade que foi alterada, o painel lista:

  • Máquina em que a alteração ocorreu
  • Tipo de alteração (registo ou ficheiro)
  • Categoria de alteração (modificada, adicionada, removida)
  • Data e hora da alteração

Captura de ecrã do separador de alterações de monitorização da integridade de ficheiros do Microsoft Defender for Cloud.

Alterar detalhes é aberto quando você insere uma alteração no campo de pesquisa ou seleciona uma entidade listada na guia Alterações .

Captura de ecrã da monitorização da integridade de ficheiros do Microsoft Defender for Cloud a mostrar o painel de detalhes de uma alteração.

Editar entidades monitoradas

  1. No painel Monitoramento da Integridade de Arquivos de um espaço de trabalho, selecione Configurações na barra de ferramentas.

    Captura de ecrã do acesso às definições de monitorização da integridade do ficheiro para uma área de trabalho.

    A Configuração do Espaço de Trabalho é aberta com guias para cada tipo de elemento que pode ser monitorado:

    • Registro do Windows
    • Ficheiros do Windows
    • Arquivos Linux
    • Conteúdo do ficheiro
    • Serviços do Windows

    Cada guia lista as entidades que você pode editar nessa categoria. Para cada entidade listada, o Defender for Cloud identifica se o FIM está habilitado (true) ou não (false). Edite a entidade para habilitar ou desabilitar o FIM.

    Captura de tela da configuração do espaço de trabalho para monitoramento da integridade de arquivos no Microsoft Defender for Cloud.

  2. Selecione uma entrada em uma das guias e edite qualquer um dos campos disponíveis no painel Editar para Controle de Alterações . As opções incluem:

    • Habilitar (True) ou desabilitar (False) o monitoramento da integridade de arquivos
    • Fornecer ou alterar o nome da entidade
    • Fornecer ou alterar o valor ou caminho
    • Excluir a entidade
  3. Descarte ou salve as alterações.

Adicionar uma nova entidade para monitorar

  1. No painel Monitoramento da Integridade de Arquivos de um espaço de trabalho, selecione Configurações na barra de ferramentas.

    A Configuração do Espaço de Trabalho é aberta.

  2. Na configuração do espaço de trabalho:

    1. Selecione a guia para o tipo de entidade que você deseja adicionar: registro do Windows, arquivos do Windows, arquivos do Linux, conteúdo do arquivo ou serviços do Windows.

    2. Selecione Adicionar.

      Neste exemplo, selecionamos Arquivos Linux.

      Captura de tela mostrando a adição de um elemento para monitorar no monitoramento de integridade de arquivos do Microsoft Defender for Cloud.

  3. Selecione Adicionar. Adicionar para Controlo de Alterações abre.

  4. Introduza as informações necessárias e selecione Guardar.

Monitoramento de pastas e caminhos usando curingas

Use curingas para simplificar o rastreamento entre diretórios. As regras a seguir se aplicam quando você configura o monitoramento de pastas usando curingas:

  • Os curingas são necessários para rastrear vários arquivos.
  • Os curingas só podem ser usados no último segmento de um caminho, como C:\folder\file ou /etc/*.conf
  • Se uma variável de ambiente incluir um caminho que não é válido, a validação será bem-sucedida, mas o caminho falhará quando o inventário for executado.
  • Ao definir o caminho, evite caminhos gerais, como c:\*.*, que resultam em muitas pastas sendo percorridas.

Comparar linhas de base com a Monitorização da Integridade de Ficheiros

O Monitoramento de Integridade de Arquivos (FIM) informa quando ocorrem alterações em áreas confidenciais em seus recursos, para que você possa investigar e abordar atividades não autorizadas. O FIM monitora arquivos do Windows, registros do Windows e arquivos do Linux.

Habilitar verificações de registro recursivas internas

Os padrões de hive do registro FIM fornecem uma maneira conveniente de monitorar alterações recursivas dentro de áreas de segurança comuns. Por exemplo, um adversário pode configurar um script para ser executado em LOCAL_SYSTEM contexto, configurando uma execução na inicialização ou no desligamento. Para monitorar alterações desse tipo, habilite a verificação interna.

Registry.

Nota

As verificações recursivas aplicam-se apenas a hives de segurança recomendados e não a caminhos de registo personalizados.

Adicionar uma verificação de registo personalizada

As linhas de base do FIM começam identificando características de um estado em boas condições para o sistema operacional e o aplicativo de suporte. Neste exemplo, vamos nos concentrar nas configurações de diretiva de senha para o Windows Server 2008 e superior.

Nome da Política Configuração do Registro
Controlador de domínio: recusar as alterações de palavra-passe de conta de computador MACHINE\System\CurrentControlSet\Serviços \Netlogon\Parameters\RefusePasswordChange
Membro de domínio: encriptar digitalmente ou assinar dados de canal seguro (sempre) MÁQUINA\Sistema\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal
Membro de domínio: encriptar digitalmente dados de canal seguro (quando possível) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel
Membro de domínio: assinar digitalmente dados de canal seguro (quando possível) MÁQUINA\Sistema\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel
Membro de domínio: desativar as alterações de palavra-passe de conta de computador MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange
Membro de domínio: idade máxima de palavra-passe de conta de computador MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge
Membro de domínio: requerer chave de sessão forte (Windows 2000 ou posterior) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey
Segurança de rede: Restringir NTLM: autenticação NTLM neste domínio MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain
Segurança de rede: restringir NTLM: adicionar exceções de servidor neste domínio MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers
Segurança de rede: Restringir NTLM: Auditar a autenticação NTLM neste domínio MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain

Nota

Para saber mais sobre as configurações do Registro suportadas por várias versões do sistema operacional, consulte a planilha de referência Configurações de Diretiva de Grupo.

Para configurar o FIM para monitorar as linhas de base do Registro:

  1. Na janela Adicionar Registro do Windows para Controle de Alterações, selecione a caixa de texto Chave do Registro do Windows.

  2. Introduza a seguinte chave de registo:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    

    Captura de ecrã de ativar o FIM num registo.

Controlar alterações em arquivos do Windows

  1. Na janela Adicionar Ficheiro do Windows para Controlo de Alterações , na caixa de texto Introduzir caminho , introduza a pasta que contém os ficheiros que pretende controlar. No exemplo da figura a seguir, o Contoso Web App reside na unidade D:\ dentro da estrutura de pastas ContosWebApp .

  2. Crie uma entrada de arquivo personalizada do Windows fornecendo um nome da classe de configuração, habilitando a recursão e especificando a pasta superior com um sufixo curinga (*).

    Captura de tela de habilitar o FIM em um arquivo.

Recuperar dados de alteração

Os dados do Monitoramento da Integridade de Arquivos residem no conjunto de tabelas do Azure Log Analytics/ConfigurationChange.

  1. Defina um intervalo de tempo para recuperar um resumo das alterações por recurso.

    No exemplo a seguir, estamos recuperando todas as alterações nos últimos 14 dias nas categorias de registro e arquivos:

    ConfigurationChange
    | where TimeGenerated > ago(14d)
    | where ConfigChangeType in ('Registry', 'Files')
    | summarize count() by Computer, ConfigChangeType
    
  2. Para exibir detalhes das alterações do Registro:

    1. Remova Arquivos da cláusula where .
    2. Remova a linha de resumo e substitua-a por uma cláusula de ordenação:
    ConfigurationChange
    | where TimeGenerated > ago(14d)
    | where ConfigChangeType in ('Registry')
    | order by Computer, RegistryKey
    

Os relatórios podem ser exportados para CSV para arquivamento e/ou canalizados para um relatório do Power BI.

Dados da FIM.

O Defender for Cloud fornece a seguinte lista de itens recomendados para monitorar com base em padrões de ataque conhecidos.

Arquivos Linux Ficheiros do Windows Chaves de registo do Windows (HKLM = HKEY_LOCAL_MACHINE)
/bin/login C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/bin/passwd C:\boot.ini HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/*.conf C:\config.sys HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot
/usr/bin C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/usr/sbin C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
/caixote do lixo C:\Windows\regedit.exe Pastas HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell
/sbin C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Pastas
/boot C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/usr/local/bin C:\Arquivos de Programas\Microsoft Security Client\msseces.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
/opt/bin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/opt/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/etc/init.d HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/cron.hourly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
/etc/cron.diário HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows
/etc/cron.semanal HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
/etc/cron.monthly Pastas HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Pastas
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Próximos passos

Saiba mais sobre o Defender for Cloud em:

  • Definindo políticas de segurança - Saiba como configurar políticas de segurança para suas assinaturas do Azure e grupos de recursos.
  • Gerir recomendações de segurança - Saiba como as recomendações o ajudam a proteger os seus recursos do Azure.
  • Blogue de Segurança do Azure - Obtenha as últimas notícias e informações de segurança do Azure.