Мониторинг целостности файлов
Функция мониторинга целостности файлов в Defender для серверов плана 2 в Microsoft Defender для облака помогает обеспечить безопасность корпоративных ресурсов и ресурсов путем сканирования и анализа файлов операционной системы, реестров Windows, программного обеспечения приложений и системных файлов Linux для изменений, которые могут указывать на атаку. Мониторинг целостности файлов помогает:
- соответствуют нормативным требованиям. Мониторинг целостности файлов часто требуется нормативным стандартам соответствия, таким как PCI-DSS и ISO 17799.
- Улучшение состояния и выявление потенциальных проблем безопасности путем обнаружения подозрительных изменений в файлах.
Мониторинг подозрительного действия
Мониторинг целостности файлов проверяет файлы операционной системы, реестры Windows, программное обеспечение приложений и системные файлы Linux для обнаружения подозрительных действий, таких как:
- Создание или удаление раздела файла и реестра.
- Изменения файлов, такие как изменения размера файла, списки управления доступом и хэш содержимого.
- Изменения реестра, такие как изменения размера, списки управления доступом, тип и содержимое.
сбор данных
Мониторинг целостности файлов использует агент Microsoft Defender для конечной точки для сбора данных с компьютеров.
- Агент Defender для конечной точки собирает данные с компьютеров в соответствии с файлами и ресурсами, определенными для мониторинга целостности файлов.
- Данные, собранные агентом Defender для конечной точки, хранятся для доступа и анализа в рабочей области Log Analytics.
- Собранные данные мониторинга целостности файлов являются частью преимущества 500 МБ, включенных в План 2 Defender для серверов.
- Мониторинг целостности файлов предоставляет сведения об изменениях файлов и ресурсов, включая источник изменений, сведения об учетной записи, сведения о том, кто внес изменения и сведения о процессе инициации.
Переход на новую версию
Мониторинг целостности файлов ранее использовал агент Log Analytics (также известный как агент Microsoft Monitoring Agent (MMA)) или агент Azure Monitor (AMA) для сбора данных. Если вы используете мониторинг целостности файлов с одним из этих устаревших методов, можно перенести мониторинг целостности файлов для использования Defender для конечной точки.
Настройка мониторинга целостности файлов
После включения Defender для серверов плана 2 включите и настройте мониторинг целостности файлов. Он по умолчанию не включен.
- Вы выбираете рабочую область Log Analytics, в которой хранятся события изменения для отслеживаемых файлов или ресурсов. Можно использовать существующую рабочую область или определить новую.
- Defender для облака рекомендует ресурсам отслеживать мониторинг целостности файлов.
Выбор того, что следует отслеживать
Defender для облака рекомендует сущностям отслеживаться с помощью мониторинга целостности файлов. Вы можете выбрать элементы из рекомендаций. При выборе файлов для отслеживания:
- Рассмотрим файлы, критически важные для системы и приложений.
- Выполняйте мониторинг файлов, которые не должны меняться без предварительного планирования.
- Если вы выберете файлы, которые часто изменяются приложениями или операционной системой (например, файлы журналов и текстовые файлы), будет генерироваться большой объем лишней информации, что усложнит выявление атак.
Рекомендуемые элементы для мониторинга
При использовании мониторинга целостности файлов с агентом Defender для конечной точки рекомендуется отслеживать эти элементы на основе известных шаблонов атак.
| Файл Linux | Файлы Windows | Разделы реестра Windows (HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe | Ключ: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Значения: loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe | Ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Папки Значения: распространенный запуск, запуск |
| /etc/cron.daily | C:\autoexec.bat | Ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Папки Значения: распространенный запуск, запуск |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | Ключ: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Значения: appinit_dlls, loadappinit_dlls |
|
| /etc/init.d | Ключ: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Папки Значения: распространенный запуск, запуск |
|
| /opt/sbin | Ключ: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Папки Значения: распространенный запуск, запуск |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRET | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Следующие шаги
Включение мониторинга целостности файлов с помощью Defender для конечной точки