你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
启用文件完整性监视
在 Microsoft Defender for Cloud 中的 Defender for Servers 计划 1 中,文件完整性监视功能将检查操作系统文件、Windows 注册表、应用程序软件和 Linux 系统文件,以检测可疑篡改活动(如文件和注册表修改),帮助用户了解计算机更改情况。
本文假设已启用 Defender for Servers 计划 2,介绍了如何配置文件完整性监视体验,以使用 Microsoft Defender for Endpoint 代理来收集数据。
注意
- 如果你使用的是较旧的已弃用数据收集方法(即使用 Log Analytics 代理),请迁移到全新的文件完整性监视体验,改为使用 Defender for Endpoint 代理。
- 从 2025 年 6 月起,文件完整性监视至少需要使用以下版本的 Defender for Endpoint 客户端。
- Windows:10.8760
- Linux:30.124082
先决条件
- 应启用Defender for Servers 计划 2。
- 应在要监视的计算机上安装 Defender for Endpoint 代理。
- 你需要具有“工作区所有者”或“安全管理员”权限才能启用和禁用文件完整性监视。 “读取者”权限可以查看结果。
- Azure VM、依托于 Azure Arc 的 VM、连接的 AWS 帐户和 GCP 项目支持基于 Defender for Endpoint 的文件完整性监视。
- 有关要监视哪些文件的指南,请参阅应监视哪些文件?。
验证 Defender for Endpoint 客户端
计算机应运行 Defender for Endpoint 客户端版本:- Windows: 10.8760 - Linux: 30.124082
- 若要确保使用的是最新版本,在运行 Windows Server 2019 或更高版本的计算机上,请参阅最新的 Windows 更新。 详细了解如何使用Windows Server 更新服务大规模安装计算机。
- 若要在 Windows Server 2016 和 Windows Server 2012 R2 或 2016 上更新 Microsoft Defender for Endpoint 代理,请使用 Microsoft 更新目录中的 KB 5005292 进行安装。
- 如果在 Defender for Cloud 中启用了 Defender for Endpoint 自动预配,Linux 计算机会自动更新。 你也可以手动更新。
启用文件完整性监视
登录到 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关订阅。
找到 Defenders for Servers 计划并选择“设置”。
在文件完整性监视部分中,将开关切换到打开。 然后,选择编辑配置。
此时将打开 FIM 配置窗格。 在“工作区选择”下拉列表中,选择要在存储文件完整性监视数据的工作区。 如果要创建新工作区,请选择新建。
重要
为文件完整性监视收集的事件是可享受 500 MB 权益(面向 Defender for Servers 计划 2 客户提供)的数据类型。
在 FIM 配置窗格的下半部分,选择 Windows 注册表、Windows 文件和 Linux 文件选项卡,选择要监视的文件和注册表。 如果在每个选项卡中选择顶部选项,则会监视所有文件和注册表。 选择“应用”以保存所做的更改。
选择“继续”。
选择“保存”。
禁用文件完整性监视
如果禁用文件完整性监视,则不会收集任何新事件。 但是,在禁用该功能之前收集的数据会根据工作区保留策略保留在 Log Analytics 工作区中。
请按如下所示禁用:
登录到 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关订阅。
找到 Defenders for Servers 计划并选择“设置”。
在文件完整性监视部分中,将开关切换到关闭。
选择“应用”。
选择“继续”。
选择“保存” 。
后续步骤
在文件完整性监视中查看更改。