啟用檔案完整性監視

在 適用於雲端的 Microsoft Defender的 Defender for Servers Plan 2 中，檔案完整性監視功能可藉由掃描和分析操作系統檔案、Windows 登錄、應用程式軟體和 Linux 系統檔案，以協助保護企業資產和資源的安全，以取得可能表示攻擊的變更。

啟用適用於伺服器的 Defender 方案 2 之後，請依照本文中的指示，使用 適用於端點的 Microsoft Defender 代理程式來收集數據來設定檔案完整性監視。

注意

• 如果您使用舊版的檔案完整性監視，而使用 Log Analytics 代理程式（也稱為 Microsoft Monitoring agent（MMA）），或 Azure 監視器代理程式（AMA），您可以 移轉至新的檔案完整性監視體驗。
• 從 2025 年 6 月起，檔案完整性監視需要最低版本。 視需要更新代理程式 。
  • Windows：10.8760 或更新版本。
  • Linux：30.124082 或更新版本。

必要條件

• 應啟用適用於伺服器的 Defender 方案 2 。
• 適用於端點的 Defender 代理程式應該安裝在您想要監視的機器上。
• 您需要 工作區擁有者 或 安全性系統管理員 許可權，才能啟用和停用檔案完整性監視。 讀者 許可權可以檢視結果。

確認適用於端點的 Defender 用戶端版本

1. 對於執行 Windows Server 2019 或更新版本的機器，適用於端點的 Defender 代理程式會更新為持續操作系統更新的一部分。 請確定 Windows 電腦已安裝最新的更新。 深入瞭解如何使用 Windows Server Update Service 大規模安裝機器。
2. 對於執行 Windows Server 2016 和 Windows Server 2012 R2 的機器， 請手動將機器更新為最新的代理程式版本。 您可以從Microsoft更新類別目錄安裝 KB 5005292。 KB 5005292會以最新的代理程式版本定期更新。
3. 針對 Linux 機器，如果已針對 適用於雲端的 Defender 中的機器開啟自動布建，適用於端點的 Defender 代理程式會自動更新。 MDE 之後。Linux 擴充功能會安裝在 Linux 機器上，它會在每次 VM 重新啟動時嘗試更新代理程式版本。 您也可以 手動更新代理程式版本。

啟用檔案完整性監視

1. 登入 Azure 入口網站。

2. 搜尋並選取 [適用於雲端的 Microsoft Defender]。

3. 在適用於雲端的 Microsoft Defender 功能表，選取 [環境設定]。

4. 選取相關的訂用帳戶。

5. 找出適用於伺服器的 Microsoft Defender 方案，然後選取 [設定]。

6. 在 [檔案完整性監視] 區段中，將切換開關切換為 [開啟]。 然後選取 [編輯設定]。

   

7. [FIM 設定] 窗格會開啟。 在 [ 工作區] 選取 下拉式清單中，選取您要在其中儲存檔案完整性監視數據的工作區。 如果要建立新的工作區，請選取 [建立新的]。

   

8. 在 [FIM 設定] 窗格的區段下半部，選取 [Windows 登錄]、[Windows 檔案] 和 [Linux 檔案] 索引標籤，以選擇要監視的檔案和登錄。 若選擇每個索引標籤中最上方的選取項目，則會監視所有的檔案和登錄。 選取 [套用] 以儲存變更。

   

9. 選取繼續。

10. 選取儲存。

停用檔案完整性監視

如果您停用檔案完整性監視，則不會收集任何新事件。 不過，停用此功能之前收集的數據會根據工作區保留原則保留在Log Analytics工作區中。

停用，如下所示：

1. 登入 Azure 入口網站。

2. 搜尋並選取 [適用於雲端的 Microsoft Defender]。

3. 在適用於雲端的 Microsoft Defender 功能表，選取 [環境設定]。

4. 選取相關的訂用帳戶。

5. 找出適用於伺服器的 Microsoft Defender 方案，然後選取 [設定]。

6. 在 [檔案完整性監視] 區段中，將切換開關切換為 [關閉]。

   

7. 選取套用。

8. 選取繼續。

9. 選取 [儲存]。

下一步

• 針對檔案完整性監視收集的事件包含在適用於伺服器之 Defender 方案 2 客戶的 500 MB 權益的數據類型中。 深入了解權益。
• 檢閱檔案完整性監視中的變更 。