Monitorização da integridade do ficheiro
O recurso de monitoramento de integridade de arquivos no Defender for Servers Plan 2 no Microsoft Defender for Cloud ajuda a manter os ativos e recursos corporativos seguros, verificando e analisando arquivos do sistema operacional, registros do Windows, software de aplicativos e arquivos do sistema Linux em busca de alterações que possam indicar um ataque. A monitorização da integridade dos ficheiros ajuda-o a:
- Atenda aos requisitos de conformidade. O monitoramento da integridade de arquivos é frequentemente exigido por normas de conformidade regulatória, como PCI-DSS e ISO 17799.
- Melhore a postura e identifique possíveis problemas de segurança detetando alterações suspeitas nos arquivos.
Monitorar atividades suspeitas
O monitoramento da integridade de arquivos examina arquivos do sistema operacional, registros do Windows, software de aplicativo e arquivos do sistema Linux para detetar atividades suspeitas, como:
- Criação ou exclusão de arquivos e chaves de registro.
- Modificações de arquivo, como alterações no tamanho do arquivo, listas de controle de acesso e hash do conteúdo.
- Modificações do Registro, como alterações no tamanho, listas de controle de acesso, tipo e conteúdo.
Recolha de dados
O monitoramento da integridade de arquivos usa o agente do Microsoft Defender for Endpoint para coletar dados de máquinas.
- O agente do Defender for Endpoint coleta dados de máquinas de acordo com os arquivos e recursos definidos para o monitoramento da integridade de arquivos.
- Os dados coletados pelo agente do Defender for Endpoint são armazenados para acesso e análise em um espaço de trabalho do Log Analytics.
- Os dados de monitoramento de integridade de arquivos coletados fazem parte do benefício de 500 MB incluído no Plano 2 do Defender for Servers.
- O monitoramento da integridade de arquivos fornece informações sobre alterações de arquivos e recursos, incluindo a origem da alteração, detalhes da conta, indicação de quem fez as alterações e informações sobre o processo inicial.
Migrar para a nova versão
O monitoramento da integridade de arquivos usava anteriormente o agente do Log Analytics (também conhecido como agente de monitoramento da Microsoft (MMA)) ou o agente do Azure Monitor (AMA) para coletar dados. Se você estiver usando o monitoramento de integridade de arquivos com um desses métodos herdados, poderá migrar o monitoramento de integridade de arquivos para usar o Defender for Endpoint.
Configurar o monitoramento da integridade de arquivos
Depois de habilitar o Plano 2 do Defender for Servers, habilite e configure o monitoramento da integridade de arquivos. Ele não está habilitado por padrão.
- Selecione um espaço de trabalho do Log Analytics no qual armazenar eventos de alteração para arquivos/recursos monitorados. Você pode usar um espaço de trabalho existente ou definir um novo.
- O Defender for Cloud recomenda recursos para monitorar com monitoramento de integridade de arquivos.
Escolha o que monitorar
O Defender for Cloud recomenda que as entidades monitorem com monitoramento de integridade de arquivos. Você pode escolher itens das recomendações. Ao escolher quais arquivos monitorar:
- Considere os arquivos que são críticos para seu sistema e aplicativos.
- Monitore arquivos que você não espera alterar sem planejamento.
- Se você escolher arquivos que são frequentemente alterados por aplicativos ou sistema operacional (como arquivos de log e arquivos de texto), isso criará ruído, dificultando a identificação de um ataque.
Itens recomendados para monitorar
Ao usar o monitoramento da integridade de arquivos com o agente do Defender for Endpoint, recomendamos monitorar esses itens com base em padrões de ataque conhecidos.
| Arquivo Linux | Arquivos do Windows | Chaves de registo do Windows (HKEY_LOCAL_MACHINE) |
|---|---|---|
| /caixote do lixo | C:\config.sys | HKLM\SOFTWARE\Microsoft\Criptografia\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Criptografia\OID* |
| /boot | C:\Windows\System32\userinit.exe | Chave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Valores: loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe | Chave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Valores: startup comum, startup |
| /etc/cron.diário | C:\autoexec.bat | Chave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Valores: startup comum, startup |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.semanal | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | Chave: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Valores: appinit_dlls, loadappinit_dlls |
|
| /etc/init.d | Chave: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Valores: startup comum, startup |
|
| /opt/sbin | Chave: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Valores: startup comum, startup |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SEGURANÇA\POLÍTICA\SEGREDOS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Próximos passos
Habilite o monitoramento da integridade de arquivos com o Defender for Endpoint