你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
文件完整性监视
在 Microsoft Defender for Cloud 的 Defender for Servers Plan 2 中,文件完整性监视功能可通过扫描和分析操作系统文件、Windows 注册表、应用程序软件和 Linux 系统文件以查找其中可能指示存在攻击的变化,从而帮助保障企业资产和资源的安全。 文件完整性监视功能可帮助:
- 满足符合性要求。 通常合规性标准(如 PCI-DSS 和 ISO 17799)会要求配置文件完整性监视功能。
- 通过检测对文件的可疑更改来改善安全状况和识别潜在的安全问题。
监视可疑活动
文件完整性监视功能会检查操作系统文件、Windows 注册表、应用程序软件和 Linux 系统文件,以检测可疑活动,例如:
- 创建或删除文件和注册表项。
- 修改文件,如更改文件大小、访问控制列表和内容哈希。
- 修改注册表,如更改大小、访问控制列表、类型和内容。
数据收集
文件完整性监视功能使用 Microsoft Defender for Endpoint 代理从计算机收集数据。
- Defender for Endpoint 代理根据为文件完整性监视功能定义的文件和资源从计算机收集数据。
- Defender for Endpoint 代理收集的数据存储在 Log Analytics 工作区中供访问和分析。
- 收集的文件完整性监视数据是 Defender for Servers Plan 2 中包含的 500 MB 权益的一部分。
- 文件完整性监视功能提供有关文件和资源更改的详细信息,包括更改源、帐户详细信息、谁进行了更改以及有关发起过程的信息。
迁移到新版本
文件完整性监视之前使用 Log Analytics 代理(也称为 Microsoft 监视代理 (MMA)) 或 Azure Monitor 代理 (AMA) 来收集数据。 如果对这些旧方法之一使用文件完整性监视,则可以迁移文件完整性监视以使用 Defender for Endpoint。
配置文件完整性监视
启用 Defender for Servers 计划 2 后,启用和配置文件完整性监视。 它默认不启用。
- 选择要在其中存储受监视文件/资源的更改事件的 Log Analytics 工作区。 可以使用现有工作区,也可以定义一个新工作区。
- Defender for Cloud 会建议要使用文件完整性监视功能来监视的资源。
选择要监视的内容
Defender for Cloud 会建议要使用文件完整性监视功能来监视的实体。 你可以从建议中选择项。 选择要监视的文件时:
- 考虑对系统和应用程序至关重要的文件。
- 监视预期不会在计划外发生更改的文件。
- 如果你选择经常被应用程序或操作系统更改的文件(例如日志文件和文本文件),则会产生干扰,从而难以识别攻击。
要监视的建议项
将文件完整性监视功能与 Defender for Endpoint 代理配合使用时,建议根据已知的攻击模式监视这些项目。
| Linux 文件 | Windows 文件 | Windows 注册表项 (HKEY_LOCAL_MACHINE) |
|---|---|---|
| bin/ | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe | 密钥:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 值:loadappinit_dlls、appinit_dlls、iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe | 密钥:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 值:常见的启动、启动 |
| /etc/cron.daily | C:\autoexec.bat | 密钥:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell 文件夹 值:常见的启动、启动 |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | 密钥:HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows 值:appinit_dlls、loadappinit_dlls |
|
| /etc/init.d | 密钥:HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell 文件夹 值:常见的启动、启动 |
|
| /opt/sbin | 密钥:HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell 文件夹 值:常见的启动、启动 |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |