Dela via

Granska ändringar i övervakning av filintegritet

  • Artikel

I Defender för servrar, plan 2 i Microsoft Defender för molnet, hjälper funktionen för övervakning av filintegritet till att skydda företagstillgångar och resurser genom att skanna och analysera filer och jämföra deras aktuella tillstånd med tidigare genomsökningar.

Övervakning av filintegritet använder Microsoft Defender för Endpoint agenten för att samla in data från datorer i enlighet med insamlingsregler. Defender för Endpoint är som standard integrerat med Defender för molnet.

Kommentar

Den äldre metoden för datainsamling använder Log Analytics-agenten (även kallad Microsoft Monitoring Agent (MMA).) Stödet för att använda MMA upphör i november 2024.

Den här artikeln visar hur du granskar filändringar.

Förutsättningar

  • Defender for Servers Plan 2 måste vara aktiverat.
  • Övervakning av filintegritet med Defender för Endpoint-agenten måste vara aktiverat. Om det inte är aktiverat visas det här meddelandet – Övervakning av filintegritet är inte aktiverat. Om du vill aktivera väljer du Registrera prenumerationer och aktiverar sedan funktionen.

Övervaka entiteter och filer

Följ dessa steg för att övervaka entiteter och filer:

  1. Från Defender för molnet sidofält går du till Arbetsbelastningsskydd Filintegritetsövervakning>.

    Skärmbild av hur du kommer åt övervakning av filintegritet i arbetsbelastningsskydd.

  2. Ett fönster öppnas med alla resurser som innehåller spårade ändrade filer och register.

    Skärmbild av resultatet av övervakning av filintegritet.

  3. Om du väljer en resurs öppnas ett fönster med en fråga som visar de ändringar som gjorts i spårade filer och register på resursen.

    Skärmbild av frågan Övervakning av filintegritet.

  4. Om du väljer resursens prenumeration (under kolumnen Prenumerationsnamn) öppnas en fråga med alla spårade filer och register i den prenumerationen.

Kommentar

Om du tidigare använde övervakning av filintegritet via MMA kan du återgå till den metoden genom att välja Ändra till tidigare upplevelse. Detta kommer att vara tillgängligt tills FIM över MMA-funktionen är inaktuell. Information om utfasningsplanen finns i Förbereda för tillbakadragning av Log Analytics-agenten.

Hämta och analysera övervakningsdata för filintegritet

Övervakningsdata för filintegritet finns i Azure Log Analytics-arbetsytan i MDCFileIntegrityMonitoringEvents tabellen.

  1. Ange ett tidsintervall för att hämta en sammanfattning av ändringar per resurs. I följande exempel hämtar vi alla ändringar under de senaste 14 dagarna i kategorierna register och filer:

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

  2. Så här visar du detaljerad information om registerändringar:

    1. Ta bort Files från where -satsen.

    2. Ersätt sammanfattningsraden med en beställningssats:

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType == 'Registry'  
| order by Computer, RegistryKey

  3. Rapporterna kan exporteras till CSV i arkiveringssyfte och kanaliseras till en Power BI-rapport för ytterligare analys.