你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
文件完整性监视
Microsoft Defender for Cloud 中的文件完整性监视功能可通过扫描和分析操作系统文件、Windows 注册表、应用程序软件和 Linux 系统文件以查找其中可能反映存在攻击情况的更改来帮助保障企业资产和资源的安全。 文件完整性监视功能可帮助:
- 满足符合性要求。 通常合规性标准(如 PCI-DSS 和 ISO 17799)会要求配置文件完整性监视功能。
- 通过检测对文件的可疑更改来改善安全状况和识别潜在的安全问题。
监视可疑活动
文件完整性监视功能会检查操作系统文件、Windows 注册表、应用程序软件和 Linux 系统文件,以检测可疑活动,例如:
- 创建或删除文件和注册表项。
- 修改文件,如更改文件大小、访问控制列表和内容哈希。
- 修改注册表,如更改大小、访问控制列表、类型和内容。
数据收集
文件完整性监视功能使用 Microsoft Defender for Endpoint 代理从计算机收集数据。
- Defender for Endpoint 代理根据为文件完整性监视功能定义的文件和资源从计算机收集数据。
- Defender for Endpoint 代理收集的数据存储在 Log Analytics 工作区中供访问和分析。
- 收集的文件完整性监视数据是 Defender for Servers 计划 2 中包含的 500 MB 权益的一部分。
- 文件完整性监视功能提供有关文件/资源更改的详细信息,包括更改源、帐户详细信息、谁进行了更改以及有关发起过程的信息。
迁移到新收集方法
按照步骤将文件完整性监视功能从使用 MMA 迁移到使用 Defender for Endpoint 代理。
配置文件完整性监视
启用 Defender for Servers 计划 2 后,启用和配置文件完整性监视。 它默认不启用。
- 选择要在其中存储受监视文件/资源的更改事件的 Log Analytics 工作区。 可以使用现有工作区,也可以定义一个新工作区。
- Defender for Cloud 会建议要使用文件完整性监视功能来监视的资源,可以自定义更多监视内容。
- 选择工作区后,查看并自定义要监视的内容。 Defender for Cloud 会建议默认包含在文件完整性监视列表中的资源,你可以定义自己的资源。
选择要监视的内容
Defender for Cloud 会建议要使用文件完整性监视功能监视的实体,你可以定义自己的实体。 选择要监视的文件时:
- 考虑对系统和应用程序至关重要的文件。
- 监视预期不会在计划外发生更改的文件。
- 如果你选择经常被应用程序或操作系统更改的文件(例如日志文件和文本文件),则会产生干扰,从而难以识别攻击。
要监视的建议项
将文件完整性监视功能与 Defender for Endpoing 代理配合使用时,建议根据已知的攻击模式监视这些项目。
| Linux 文件 | Windows 文件 | Windows 注册表项 (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| bin/ | C:\config.sys | SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /etc/*.conf | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
| /etc/cron.daily | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell 文件夹 |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows\ | |
| /etc/init.d | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
| /opt/sbin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | |
| /sbin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /bin/login | ||
| /opt/bin |