Övervakning av filintegritet
Funktionen för övervakning av filintegritet i Defender för servrar, plan 2 i Microsoft Defender för molnet hjälper till att skydda företagets tillgångar och resurser genom att genomsöka och analysera operativsystemfiler, Windows-register, programprogramvara och Linux-systemfiler för ändringar som kan tyda på ett angrepp. Övervakning av filintegritet hjälper dig att:
- Uppfylla efterlevnadskraven. Övervakning av filintegritet krävs ofta av regelefterlevnadsstandarder som PCI-DSS och ISO 17799.
- Förbättra hållningen och identifiera potentiella säkerhetsproblem genom att identifiera misstänkta ändringar i filer.
Övervaka misstänkt aktivitet
Övervakning av filintegritet undersöker operativsystemfiler, Windows-register, programprogramvara och Linux-systemfiler för att identifiera misstänkt aktivitet, till exempel:
- Skapa eller ta bort fil- och registernyckeln.
- Filändringar, till exempel ändringar i filstorlek, åtkomstkontrollistor och hash för innehållet.
- Registerändringar som ändringar i storlek, åtkomstkontrollistor, typ och innehåll.
Datainsamling
Övervakning av filintegritet använder Microsoft Defender för Endpoint-agenten för att samla in data från datorer.
- Defender för Endpoint-agenten samlar in data från datorer i enlighet med de filer och resurser som definierats för övervakning av filintegritet.
- Data som samlas in av Defender för Endpoint-agenten lagras för åtkomst och analys på en Log Analytics-arbetsyta.
- Insamlade övervakningsdata för filintegritet ingår i den 500 MB-förmån som ingår i Defender för servrar plan 2.
- Övervakning av filintegritet innehåller information om fil- och resursändringar, inklusive källan till ändringen, kontoinformation, information om vem som gjorde ändringarna och information om den inledande processen.
Migrera till den nya versionen
Övervakning av filintegritet använde tidigare Log Analytics-agenten (även kallad Microsoft Monitoring Agent (MMA)) eller Azure Monitor-agenten (AMA) för att samla in data. Om du använder övervakning av filintegritet med någon av dessa äldre metoder kan du migrera övervakning av filintegritet för att använda Defender för Endpoint.
Konfigurera övervakning av filintegritet
När du har aktiverat Defender för servrar, plan 2, aktiverar och konfigurerar du övervakning av filintegritet. Den är inte aktiverad som standard.
- Du väljer en Log Analytics-arbetsyta där ändringshändelser ska lagras för övervakade filer/resurser. Du kan använda en befintlig arbetsyta eller definiera en ny.
- Defender för molnet rekommenderar resurser att övervaka med övervakning av filintegritet.
Välj vad som ska övervakas
Defender för molnet rekommenderar entiteter att övervaka med övervakning av filintegritet. Du kan välja objekt från rekommendationerna. När du väljer vilka filer som ska övervakas:
- Överväg de filer som är viktiga för ditt system och dina program.
- Övervaka filer som du inte förväntar dig att ändra utan att planera.
- Om du väljer filer som ändras ofta av program eller operativsystem (till exempel loggfiler och textfiler) skapar det brus, vilket gör det svårt att identifiera ett angrepp.
Rekommenderade objekt att övervaka
När du använder övervakning av filintegritet med Defender för Endpoint-agenten rekommenderar vi att du övervakar dessa objekt med baserat på kända attackmönster.
| Linux-fil | Windows-filer | Windows-registernycklar (HKEY_LOCAL_MACHINE) |
|---|---|---|
| /soptunna | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /stövel | C:\Windows\System32\userinit.exe | Nyckel: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Värden: loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe | Nyckel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell-mappar Värden: vanlig start, start |
| /etc/cron.daily | C:\autoexec.bat | Nyckel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell-mappar Värden: vanlig start, start |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | Nyckel: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Värden: appinit_dlls, loadappinit_dlls |
|
| /etc/init.d | Nyckel: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell-mappar Värden: vanlig start, start |
|
| /opt/sbin | Nyckel: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell-mappar Värden: vanlig start, start |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Nästa steg
Aktivera övervakning av filintegritet med Defender för Endpoint