Включение мониторинга целостности файлов

В Defender for Server Plan 2 в Microsoft Defender для облака функция мониторинга целостности файлов помогает обеспечить безопасность корпоративных ресурсов и ресурсов путем сканирования и анализа файлов операционной системы, реестров Windows, программного обеспечения приложений и системных файлов Linux для изменений, которые могут указывать на атаку.

После включения Defender для серверов плана 2 следуйте инструкциям в этой статье, чтобы настроить мониторинг целостности файлов с помощью агента Microsoft Defender для конечной точки для сбора данных.

Примечание.

• Если вы используете предыдущую версию мониторинга целостности файлов, которая использовала агент Log Analytics (также известный как агент Microsoft Monitoring Agent(MMA)) или агент Azure Monitor (AMA), вы можете перейти на новый интерфейс мониторинга целостности файлов.
• С июня 2025 г. мониторинг целостности файлов требует минимальной версии. При необходимости обновите агент .
  • Windows: 10.8760 или более поздней версии.
  • Linux: 30.124082 или более поздней версии.

Необходимые компоненты

• Защитник для серверов план 2 должен быть включен.
• Агент Defender для конечной точки должен быть установлен на компьютерах, которые необходимо отслеживать.
• Вам нужны разрешения владельца рабочей области или администратора безопасности для включения и отключения мониторинга целостности файлов. Разрешения читателя могут просматривать результаты.

Проверка версии клиента Defender для конечной точки

1. Для компьютеров под управлением Windows Server 2019 или более поздней версии агент Defender для конечной точки обновляется в рамках непрерывных обновлений операционной системы. Убедитесь, что на компьютерах Windows установлена последняя версия обновления. Дополнительные сведения об использовании службы обновления Windows Server для установки компьютеров в большом масштабе.
2. Для компьютеров под управлением Windows Server 2016 и Windows Server 2012 R2 обновите компьютеры вручную до последней версии агента. Вы можете установить базу знаний 5005292 из каталога Центра обновления Майкрософт. 5005292 базы знаний периодически обновляется с помощью последней версии агента.
3. Для компьютеров Linux агент Defender для конечной точки автоматически обновляется, если автоматическая подготовка включена для компьютеров в Defender для облака. После MDE. Расширение Linux устанавливается на компьютере Linux, оно пытается обновлять версию агента при каждой перезагрузке виртуальной машины. Вы также можете вручную обновить версию агента.

Включение мониторинга целостности файлов

1. Войдите на портал Azure.

2. Найдите и выберите Microsoft Defender для облака.

3. В меню Defender для облака выберите параметры среды.

4. Выберите соответствующую подписку.

5. Найдите план Defenders для серверов и выберите параметры.

6. В разделе "Мониторинг целостности файлов" переключитесь на "Вкл.". Затем выберите "Изменить конфигурацию".

   

7. Откроется область конфигурации FIM. В раскрывающемся списке выбора рабочей области выберите рабочую область, в которой требуется хранить данные мониторинга целостности файлов. Если вы хотите создать новую рабочую область, нажмите кнопку "Создать".

   

8. В нижнем разделе области конфигурации FIM выберите реестр Windows, файлы Windows и файлы Linux, чтобы выбрать файлы и реестры, которые требуется отслеживать. Если выбрать верхний выбор на каждой вкладке, отслеживаются все файлы и реестры. Щелкните Применить, чтобы сохранить изменения.

   

9. Выберите Продолжить.

10. Выберите Сохранить.

Отключение мониторинга целостности файлов

Если отключить мониторинг целостности файлов, новые события не собираются. Однако собранные данные, прежде чем отключить эту функцию, остаются в рабочей области Log Analytics в соответствии с политикой хранения рабочей области.

Отключите следующее:

1. Войдите на портал Azure.

2. Найдите и выберите Microsoft Defender для облака.

3. В меню Defender для облака выберите параметры среды.

4. Выберите соответствующую подписку.

5. Найдите план Defenders для серверов и выберите параметры.

6. В разделе "Мониторинг целостности файлов" переключите переключатель на "Выкл.

   

7. Выберите Применить.

8. Выберите Продолжить.

9. Выберите Сохранить.

Следующие шаги

• События, собранные для мониторинга целостности файлов, включены в типы данных, подходящие для 500 МБ преимущества для клиентов Defender для серверов плана 2. Узнайте больше о преимуществе.
• Просмотрите изменения в мониторинге целостности файлов.