啟用檔案完整性監視

在 適用於雲端的 Microsoft Defender 的 Defender for Servers Plan 1 中，檔案完整性監視功能會檢查操作系統檔案、Windows 登錄、應用程式軟體及 Linux 系統檔案，以偵測可疑的竄改活動，例如檔案和登錄修改，以提供計算機變更的可見度。

啟用適用於伺服器的 Defender 方案 2 之後，本文說明如何使用 適用於端點的 Microsoft Defender 代理程式來收集數據來設定檔案完整性監視。

注意

• 如果您使用 Log Analytics 代理程式來使用較舊的已取代資料收集方法，請 移轉至使用適用於端點的 Defender 代理程式的新檔案完整性監視體驗 。
• 從 2025 年 6 月起，檔案完整性監視需要最低版本的適用於端點的 Defender 用戶端。
  • Windows：10.8760
  • Linux：30.124082

必要條件

• 應啟用適用於伺服器的 Defender 方案 2 。
• 適用於端點的 Defender 代理程式應該安裝在您想要監視的機器上。
• 您需要 工作區擁有者 或 安全性系統管理員 許可權，才能啟用和停用檔案完整性監視。 讀者 許可權可以檢視結果。
• Azure VM、已啟用 Azure Arc 的 VM、連線的 AWS 帳戶和 GCP 專案都支援使用適用於端點的 Defender 進行檔案完整性監視。
• 如需應監視哪些檔案的指引，請參閱我應該監視哪些檔案？一文。

驗證適用於端點的Defender用戶端

計算機應執行適用於端點的Defender用戶端版本：- Windows：10.8760 - Linux：30.124082

1. 若要確保您在執行 Windows Server 2019 或更新版本的電腦上擁有最新版本，請參閱最新的 Windows 更新。 深入瞭解如何使用 Windows Server Update Service 大規模安裝機器。
2. 若要在 Windows Server 2016 和 Windows Server 2012 R2 或 2016 上更新 適用於端點的 Microsoft Defender 代理程式，請使用 Microsoft 更新目錄中的 KB 5005292 進行安裝。
3. 在 適用於雲端的 Defender 中啟用適用於端點的Defender自動布建時，會自動更新Linux機器。 您也可以 手動更新。

啟用檔案完整性監視

1. 登入 Azure 入口網站。

2. 搜尋並選取 [適用於雲端的 Microsoft Defender]。

3. 在適用於雲端的 Microsoft Defender 功能表，選取 [環境設定]。

4. 選取相關的訂用帳戶。

5. 找出適用於伺服器的 Microsoft Defender 方案，然後選取 [設定]。

6. 在 [檔案完整性監視] 區段中，將切換開關切換為 [開啟]。 然後選取 [編輯設定]。

   

7. [FIM 設定] 窗格會開啟。 在 [ 工作區] 選取 下拉式清單中，選取您要在其中儲存檔案完整性監視數據的工作區。 如果要建立新的工作區，請選取 [建立新的]。

   

   重要

   針對檔案完整性監視收集的事件包含在適用於伺服器之 Defender 方案 2 客戶的 500 MB 權益的資料類型中。

8. 在 [FIM 設定] 窗格的區段下半部，選取 [Windows 登錄]、[Windows 檔案] 和 [Linux 檔案] 索引標籤，以選擇要監視的檔案和登錄。 若選擇每個索引標籤中最上方的選取項目，則會監視所有的檔案和登錄。 選取 [套用] 以儲存變更。

   

9. 選取繼續。

10. 選取儲存。

停用檔案完整性監視

如果您停用檔案完整性監視，則不會收集任何新事件。 不過，停用此功能之前收集的數據會根據工作區保留原則保留在Log Analytics工作區中。

停用，如下所示：

1. 登入 Azure 入口網站。

2. 搜尋並選取 [適用於雲端的 Microsoft Defender]。

3. 在適用於雲端的 Microsoft Defender 功能表，選取 [環境設定]。

4. 選取相關的訂用帳戶。

5. 找出適用於伺服器的 Microsoft Defender 方案，然後選取 [設定]。

6. 在 [檔案完整性監視] 區段中，將切換開關切換為 [關閉]。

   

7. 選取套用。

8. 選取繼續。

9. 選取 [儲存]。

下一步

檢閱檔案完整性監視中的變更 。