Monitoramento da integridade de arquivos usando o agente do Log Analytics
Para fornecer o FIM (File Integrity Monitoring), o agente do Log Analytics carrega dados no espaço de trabalho do Log Analytics. Ao comparar o estado atual desses itens com o estado durante a verificação anterior, o FIM notifica você se modificações suspeitas foram feitas.
Nota
Como o agente do Log Analytics (também conhecido como MMA) está programado para se aposentar em agosto de 2024, todos os recursos do Defender for Servers que dependem dele atualmente, incluindo os descritos nesta página, estarão disponíveis por meio da integração do Microsoft Defender for Endpoint ou da verificação sem agente, antes da data de desativação. Para obter mais informações sobre o roteiro para cada um dos recursos que dependem atualmente do Log Analytics Agent, consulte este anúncio.
O FIM (monitoramento de integridade de arquivos) usa a solução de Controle de Alterações do Azure para controlar e identificar alterações em seu ambiente. Quando o FIM está habilitado, você tem um recurso de controle de alterações do tipo Solução. Se você remover o recurso Controle de Alterações , também desativará o recurso Monitoramento da Integridade de Arquivos no Defender for Cloud. O FIM permite-lhe tirar partido do Controlo de Alterações diretamente no Defender for Cloud. Para obter detalhes sobre a frequência de coleta de dados, consulte Detalhes da coleta de dados de controle de alterações.
Nota
O Monitoramento de Integridade de Arquivos pode criar a seguinte conta em SQL Servers monitorados: NT Service\HealthService
Se você excluir a conta, ela será recriada automaticamente.
Disponibilidade
Aspeto | Detalhes |
---|---|
Estado de lançamento: | Disponibilidade geral (GA) |
Preços: | Requer o Plano 2 do Microsoft Defender for Servers. Usando o agente do Log Analytics, o FIM carrega dados no espaço de trabalho do Log Analytics. Aplicam-se taxas de dados, com base na quantidade de dados que carrega. Consulte os preços do Log Analytics para saber mais. |
Funções e permissões necessárias: | O proprietário do espaço de trabalho pode habilitar/desabilitar o FIM (para obter mais informações, consulte Azure Roles for Log Analytics). O leitor pode ver os resultados. |
Nuvens: | Nuvens comerciais Nacional (Azure Government, Microsoft Azure operado pela 21Vianet) Com suporte apenas em regiões onde a solução de controle de alterações da Automação do Azure está disponível. Dispositivos habilitados para Azure Arc . Consulte Regiões suportadas para espaço de trabalho vinculado do Log Analytics. Saiba mais sobre o controlo de alterações. Contas da AWS conectadas |
Habilite o monitoramento da integridade de arquivos com o agente do Log Analytics
O FIM só está disponível nas páginas do Defender for Cloud no portal do Azure. Atualmente, não há nenhuma API REST para trabalhar com o FIM.
Na área Proteção avançada do painel Proteções de carga de trabalho, selecione Monitoramento de integridade de arquivos.
As seguintes informações são fornecidas para cada espaço de trabalho:
- Número total de alterações que ocorreram na última semana (poderá ver um traço "-" se o FIM não estiver ativado na área de trabalho)
- Número total de computadores e VMs que se reportam ao espaço de trabalho
- Localização geográfica do espaço de trabalho
- Subscrição do Azure em que o espaço de trabalho se encontra
Use esta página para:
Acesse e visualize o status e as configurações de cada espaço de trabalho
Atualize o espaço de trabalho para usar recursos de segurança aprimorados. Este ícone indica que a área de trabalho ou a subscrição não está protegida com o Microsoft Defender for Servers. Para utilizar as funcionalidades da FIM, a sua subscrição tem de estar protegida com este plano. Saiba mais sobre como ativar o Defender for Servers.
Habilite o FIM em todas as máquinas no espaço de trabalho e configure as opções do FIM. Esse ícone indica que o FIM não está habilitado para o espaço de trabalho. Se não houver um botão de ativação ou atualização e o espaço estiver em branco, isso significa que o FIM já está habilitado no espaço de trabalho.
Selecione ATIVAR. Os detalhes do espaço de trabalho, incluindo o número de máquinas Windows e Linux sob o espaço de trabalho, são mostrados.
As configurações recomendadas para Windows e Linux também estão listadas. Expanda arquivos do Windows, Registro e Linux para ver a lista completa de itens recomendados.
Desmarque as caixas de seleção de todas as entidades recomendadas que você não deseja que sejam monitoradas pela FIM.
Selecione Aplicar monitoramento de integridade de arquivo para habilitar o FIM.
Você pode alterar as configurações a qualquer momento. Saiba mais sobre como editar entidades monitoradas.
Desativar monitoramento de integridade de arquivos
O FIM utiliza a solução Controlo de Alterações do Azure para monitorizar e identificar as alterações no seu ambiente. Ao desativar o FIM, você remove a solução de controle de alterações do espaço de trabalho selecionado.
Para desativar o FIM:
No painel Monitoramento da Integridade de Arquivos de um espaço de trabalho, selecione Desabilitar.
Selecione Remover.
Monitorar espaços de trabalho, entidades e arquivos
Auditar espaços de trabalho monitorados
O painel de monitoramento da integridade de arquivos é exibido para espaços de trabalho onde o FIM está habilitado. O painel do FIM é aberto depois que você habilita o FIM em um espaço de trabalho ou quando você seleciona um espaço de trabalho na janela de monitoramento de integridade de arquivo que já tem o FIM habilitado.
O painel do FIM para um espaço de trabalho exibe os seguintes detalhes:
- Número total de máquinas conectadas ao espaço de trabalho
- Número total de alterações que ocorreram durante o período de tempo selecionado
- Uma discriminação do tipo de alteração (ficheiros, registo)
- Uma discriminação da categoria de alteração (modificada, adicionada, removida)
Selecione Filtrar na parte superior do painel para alterar o período de tempo durante o qual as alterações são mostradas.
A guia Servidores lista as máquinas que se reportam a esse espaço de trabalho. Para cada máquina, o painel lista:
- Total de alterações que ocorreram durante o período de tempo selecionado
- Um detalhamento do total de alterações como alterações de arquivo ou alterações de registro
Quando você seleciona uma máquina, a consulta aparece junto com os resultados que identificam as alterações feitas durante o período de tempo selecionado para a máquina. Você pode expandir uma alteração para obter mais informações.
A guia Alterações (mostrada abaixo) lista todas as alterações no espaço de trabalho durante o período selecionado. Para cada entidade que foi alterada, o painel lista:
- Máquina em que a alteração ocorreu
- Tipo de alteração (registo ou ficheiro)
- Categoria de alteração (modificada, adicionada, removida)
- Data e hora da alteração
Alterar detalhes é aberto quando você insere uma alteração no campo de pesquisa ou seleciona uma entidade listada na guia Alterações .
Editar entidades monitoradas
No painel Monitoramento da Integridade de Arquivos de um espaço de trabalho, selecione Configurações na barra de ferramentas.
A Configuração do Espaço de Trabalho é aberta com guias para cada tipo de elemento que pode ser monitorado:
- Registro do Windows
- Ficheiros do Windows
- Arquivos Linux
- Conteúdo do ficheiro
- Serviços do Windows
Cada guia lista as entidades que você pode editar nessa categoria. Para cada entidade listada, o Defender for Cloud identifica se o FIM está habilitado (true) ou não (false). Edite a entidade para habilitar ou desabilitar o FIM.
Selecione uma entrada em uma das guias e edite qualquer um dos campos disponíveis no painel Editar para Controle de Alterações . As opções incluem:
- Habilitar (True) ou desabilitar (False) o monitoramento da integridade de arquivos
- Fornecer ou alterar o nome da entidade
- Fornecer ou alterar o valor ou caminho
- Excluir a entidade
Descarte ou salve as alterações.
Adicionar uma nova entidade para monitorar
No painel Monitoramento da Integridade de Arquivos de um espaço de trabalho, selecione Configurações na barra de ferramentas.
A Configuração do Espaço de Trabalho é aberta.
Na configuração do espaço de trabalho:
Selecione Adicionar. Adicionar para Controlo de Alterações abre.
Introduza as informações necessárias e selecione Guardar.
Monitoramento de pastas e caminhos usando curingas
Use curingas para simplificar o rastreamento entre diretórios. As regras a seguir se aplicam quando você configura o monitoramento de pastas usando curingas:
- Os curingas são necessários para rastrear vários arquivos.
- Os curingas só podem ser usados no último segmento de um caminho, como
C:\folder\file
ou/etc/*.conf
- Se uma variável de ambiente incluir um caminho que não é válido, a validação será bem-sucedida, mas o caminho falhará quando o inventário for executado.
- Ao definir o caminho, evite caminhos gerais, como
c:\*.*
, que resultam em muitas pastas sendo percorridas.
Comparar linhas de base com a Monitorização da Integridade de Ficheiros
O Monitoramento de Integridade de Arquivos (FIM) informa quando ocorrem alterações em áreas confidenciais em seus recursos, para que você possa investigar e abordar atividades não autorizadas. O FIM monitora arquivos do Windows, registros do Windows e arquivos do Linux.
Habilitar verificações de registro recursivas internas
Os padrões de hive do registro FIM fornecem uma maneira conveniente de monitorar alterações recursivas dentro de áreas de segurança comuns. Por exemplo, um adversário pode configurar um script para ser executado em LOCAL_SYSTEM contexto, configurando uma execução na inicialização ou no desligamento. Para monitorar alterações desse tipo, habilite a verificação interna.
Nota
As verificações recursivas aplicam-se apenas a hives de segurança recomendados e não a caminhos de registo personalizados.
Adicionar uma verificação de registo personalizada
As linhas de base do FIM começam identificando características de um estado em boas condições para o sistema operacional e o aplicativo de suporte. Neste exemplo, vamos nos concentrar nas configurações de diretiva de senha para o Windows Server 2008 e superior.
Nome da Política | Configuração do Registro |
---|---|
Controlador de domínio: recusar as alterações de palavra-passe de conta de computador | MACHINE\System\CurrentControlSet\Serviços \Netlogon\Parameters\RefusePasswordChange |
Membro de domínio: encriptar digitalmente ou assinar dados de canal seguro (sempre) | MÁQUINA\Sistema\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal |
Membro de domínio: encriptar digitalmente dados de canal seguro (quando possível) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel |
Membro de domínio: assinar digitalmente dados de canal seguro (quando possível) | MÁQUINA\Sistema\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel |
Membro de domínio: desativar as alterações de palavra-passe de conta de computador | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange |
Membro de domínio: idade máxima de palavra-passe de conta de computador | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge |
Membro de domínio: requerer chave de sessão forte (Windows 2000 ou posterior) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey |
Segurança de rede: Restringir NTLM: autenticação NTLM neste domínio | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain |
Segurança de rede: restringir NTLM: adicionar exceções de servidor neste domínio | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers |
Segurança de rede: Restringir NTLM: Auditar a autenticação NTLM neste domínio | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain |
Nota
Para saber mais sobre as configurações do Registro suportadas por várias versões do sistema operacional, consulte a planilha de referência Configurações de Diretiva de Grupo.
Para configurar o FIM para monitorar as linhas de base do Registro:
Na janela Adicionar Registro do Windows para Controle de Alterações, selecione a caixa de texto Chave do Registro do Windows.
Introduza a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Controlar alterações em arquivos do Windows
Na janela Adicionar Ficheiro do Windows para Controlo de Alterações , na caixa de texto Introduzir caminho , introduza a pasta que contém os ficheiros que pretende controlar. No exemplo da figura a seguir, o Contoso Web App reside na unidade D:\ dentro da estrutura de pastas ContosWebApp .
Crie uma entrada de arquivo personalizada do Windows fornecendo um nome da classe de configuração, habilitando a recursão e especificando a pasta superior com um sufixo curinga (*).
Recuperar dados de alteração
Os dados do Monitoramento da Integridade de Arquivos residem no conjunto de tabelas do Azure Log Analytics/ConfigurationChange.
Defina um intervalo de tempo para recuperar um resumo das alterações por recurso.
No exemplo a seguir, estamos recuperando todas as alterações nos últimos 14 dias nas categorias de registro e arquivos:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeType
Para exibir detalhes das alterações do Registro:
- Remova Arquivos da cláusula where .
- Remova a linha de resumo e substitua-a por uma cláusula de ordenação:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry') | order by Computer, RegistryKey
Os relatórios podem ser exportados para CSV para arquivamento e/ou canalizados para um relatório do Power BI.
Itens recomendados para monitorar
O Defender for Cloud fornece a seguinte lista de itens recomendados para monitorar com base em padrões de ataque conhecidos.
Arquivos Linux | Ficheiros do Windows | Chaves de registo do Windows (HKLM = HKEY_LOCAL_MACHINE) |
---|---|---|
/bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} |
/bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
/etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
/usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
/usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
/caixote do lixo | C:\Windows\regedit.exe | Pastas HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell |
/sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Pastas |
/boot | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
/usr/local/bin | C:\Arquivos de Programas\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
/usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
/opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
/opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
/etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
/etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
/etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
/etc/cron.diário | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
/etc/cron.semanal | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
/etc/cron.monthly | Pastas HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell | |
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Pastas | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Próximos passos
Saiba mais sobre o Defender for Cloud em:
- Definindo políticas de segurança - Saiba como configurar políticas de segurança para suas assinaturas do Azure e grupos de recursos.
- Gerir recomendações de segurança - Saiba como as recomendações o ajudam a proteger os seus recursos do Azure.
- Blogue de Segurança do Azure - Obtenha as últimas notícias e informações de segurança do Azure.