檔案完整性監視
適用於雲端的 Microsoft Defender 中的檔案完整性監視功能可藉由掃描和分析操作系統檔案、Windows 登錄、應用程式軟體和 Linux 系統檔案,以取得可能表示攻擊的變更,協助保護企業資產和資源的安全。 檔案完整性監視可協助您:
- 符合規範需求。 法規合規性標準通常需要檔案完整性監視,例如PCI-DSS和ISO 17799。
- 藉由偵測檔案的可疑變更,改善狀態並找出潛在的安全性問題。
監視可疑的活動
檔案完整性監視會檢查作業系統檔案、Windows 登錄、應用程式軟體和 Linux 系統檔案,以偵測可疑活動,例如:
- 建立或刪除檔案和登錄機碼。
- 檔案修改,例如檔案大小變更、訪問控制清單和內容的哈希。
- 登錄修改,例如大小變更、訪問控制清單、類型和內容。
資料集合
檔案完整性監視會使用 適用於端點的 Microsoft Defender 代理程式從計算機收集數據。
- 適用於端點的 Defender 代理程式會根據針對檔案完整性監視所定義的檔案和資源,從計算機收集數據。
- 適用於端點的 Defender 代理程式收集的數據會儲存在 Log Analytics 工作區中的存取和分析。
- 收集的檔案完整性監視數據是適用於伺服器之 Defender 方案 2 中 500 MB 權益的一部分。
- 檔案完整性監視提供檔案/資源變更的詳細數據,包括變更的來源、帳戶詳細數據、誰進行變更的指示,以及起始程式的相關信息。
移轉至新的集合方法
請遵循步驟, 將檔案完整性監視 從使用 MMA 移轉至使用適用於端點的 Defender 代理程式。
設定檔案完整性監視
啟用適用於伺服器的 Defender 方案 2 之後,您可以啟用和設定檔案完整性監視。 依預設不會加以啟用。
- 您可以選取 Log Analytics 工作區,在其中儲存受監視檔案/資源的變更事件。 您可以使用現有的工作區,或定義新的工作區。
- 適用於雲端的 Defender 建議使用檔案完整性監視來監視資源,而且您可以自定義其他監視。
- 選取工作區之後,您可以檢閱並自定義您想要監視的專案。 適用於雲端的 Defender 建議資源預設包含在檔案完整性監視清單中,而且您可以定義自己的資源。
選擇要監視的專案
適用於雲端的 Defender 建議使用檔案完整性監視來監視實體,而且您可以定義自己的實體。 選擇要監視的檔案時:
- 請考慮對於系統和應用程式而言非常重要的檔案。
- 監視不會未經計劃就變更的檔案。
- 如果您選擇應用程式或作業系統經常變更的檔案 (例如記錄檔和文字檔),變更追蹤會建立不必要的資訊,導致難以識別攻擊。
要監視的建議專案
搭配適用於端點的 Defender 代理程式使用檔案完整性監視時,建議您根據已知的攻擊模式監視這些專案。
| Linux 檔案 | Windows 檔案 | Windows 登錄機碼 (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| bin/ | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe | 機碼:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 值:loadappinit_dlls、appinit_dlls、iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe | 機碼:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell 資料夾 值:一般啟動、啟動 |
| /etc/cron.daily | C:\autoexec.bat | 機碼:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell 資料夾 值:一般啟動、啟動 |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | 機碼:HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows 值:appinit_dlls、loadappinit_dlls |
|
| /etc/init.d | 機碼:HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell 資料夾 值:一般啟動、啟動 |
|
| /opt/sbin | 機碼:HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell 資料夾 值:一般啟動、啟動 |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /bin/login | ||
| /opt/bin |