你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Microsoft Defender for Endpoint 的文件完整性监视
为了提供文件完整性监视 (FIM),Microsoft Defender for Endpoint 会根据收集规则从计算机收集数据。 将系统文件的当前状态与上次扫描期间的状态进行比较时,FIM 会通知你可疑的修改。
使用 FIM,你可以:
- 从预定义的列表实时监视对关键文件和 Windows 注册表所做的更改。
- 在指定的工作区中访问和分析已审核的更改。
- 利用 Defender for Servers 计划 2 中包含的 500 MB 权益。
- 保持合规性:FIM 为相关的安全法规合规性标准(如 PCI-DSS、CIS、NIST 等)提供内置支持
FIM 会提醒你任何潜在的可疑活动。 这些活动包括:
- 创建或删除文件和注册表项
- 对文件的修改,例如文件的大小、名称、位置或内容哈希的更改
- 注册表的更改,包括其大小、类型和内容的更改
- 有关更改的详细信息,包括更改的来源。 其中包括帐户详细信息,这些详细信息指示谁进行了更改,以及有关发起过程的信息。
有关要监视哪些文件的指南,请参阅应监视哪些文件?。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 预览 |
| 定价: | 需要 Microsoft Defender for Servers 计划 2 |
| 所需角色和权限: | 工作区所有者或安全管理员可以启用或禁用 FIM。 有关更多信息,请参阅 Log Analytics 的 Azure 角色。 读取者可以查看结果。 |
| 云: |  商用云已启用 Azure Arc 的设备。 连接的 AWS 帐户 连接的 GCP 帐户 |
先决条件
若要使用 Defender for Endpoint 跟踪计算机上文件和注册表的更改,你需要:
在要监视的计算机上启用 Defender for Endpoint
启用文件完整性监视
在 Azure 门户中启用
若要在 Azure 门户中启用 FIM,请执行以下步骤:
登录到 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关订阅。
找到 Defenders for Servers 计划并选择“设置”。
在文件完整性监视部分中,将开关切换到打开。 然后,选择编辑配置。
此时将打开 FIM 配置窗格。 在工作区选择下拉列表中,选择要在其中存储 FIM 数据的工作区。 如果要创建新工作区,请选择新建。
重要
由 Defender for Endpoint 支持的 FIM 收集的事件包含在符合 Defender for Servers 计划 2 客户的 500 MB 权益的数据类型中。 有关详细信息,请参阅每日限额中包含哪些数据类型?。
在 FIM 配置窗格的下半部分,选择 Windows 注册表、Windows 文件和 Linux 文件选项卡,选择要监视的文件和注册表。 如果在每个选项卡中选择顶部选项,则会监视所有文件和注册表。 选择“应用”以保存所做的更改。
选择“继续”。
选择“保存”。
禁用文件完整性监视
禁用 FIM 后,不会收集任何新事件。 但是,根据工作区的保留策略,禁用该功能之前收集的数据将保留在工作区中。 有关详细信息,请参阅在 Log Analytics 工作区中管理数据保留。
在 Azure 门户中禁用
若要在 Azure 门户中禁用 FIM,请执行以下步骤:
登录到 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关订阅。
找到 Defenders for Servers 计划并选择“设置”。
在文件完整性监视部分中,将开关切换到关闭。
选择“应用”。
选择“继续”。
选择“保存”。
监视实体和文件
若要监视实体和文件,请执行以下步骤:
注意
如果你尚未启用 FIM,你将看到一条消息,显示文件完整性监视未启用。 若要启用 FIM,请选择加入订阅,然后按照启用文件完整性监视中的说明进行操作。
从 Defender for Cloud 的侧栏中,转到工作负载保护>文件完整性监视。
此时会打开一个窗口,其中包含已跟踪的已更改文件和注册表的所有资源。
如果选择资源,将打开一个窗口,其中显示对该资源上的跟踪文件和注册表所做的更改。
如果选择资源的订阅(列订阅名称下),将打开一个查询,其中包含该订阅中的所有跟踪文件和注册表。
注意
如果以前使用过通过 MMA 进行文件完整性监视,可以通过选择更改到以前的体验返回到该方法。 在弃用通过 MMA 的 FIM 功能之前,此功能将可用。 有关弃用计划的详细信息,请参阅为停用 Log Analytics 代理做好准备。
检索和分析 FIM 数据
文件完整性监视数据驻留在 MDCFileIntegrityMonitoringEvents 表中的 Azure Log Analytics 工作区中。 该表出现在 Log Analytics 工作区的 LogManagment 表下。
设置时间范围以按资源检索更改摘要。 在下面的示例中,我们将检索过去 14 天内注册表和文件类别中的所有更改:
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType in ('Registry', 'File') | summarize count() by Computer, MonitoredEntityType若要查看有关注册表更改的详细信息,请执行以下操作:
从
where子句中删除Files。将摘要行替换为排序子句:
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType == 'Registry' | order by Computer, RegistryKey这些报表可以导出为 CSV 以供存档,并传送到 Power BI 报表以供进一步分析。
相关内容
在以下文章中详细了解 Defender for Cloud:
- 设置安全策略 - 了解如何为 Azure 订阅和资源组配置安全策略。
- 管理安全建议 - 了解建议如何帮助你保护 Azure 资源。
- Azure 安全博客 - 获取最新的 Azure 安全新闻和信息。