Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В плане 2 Defender для серверов в Microsoft Defender для облака функция мониторинга целостности файлов помогает обеспечить безопасность корпоративных активов и ресурсов. Он сканирует и анализирует файлы операционной системы, реестры Windows, программное обеспечение приложений и системные файлы Linux для изменений, которые могут указывать на атаку.
После включения Defender для серверов плана 2 следуйте инструкциям в этой статье, чтобы настроить мониторинг целостности файлов с помощью агента Microsoft Defender для конечной точки и сканирования без агента для сбора данных.
Замечание
- Если вы используете предыдущую версию мониторинга целостности файлов с агентом Log Analytics (microsoft Monitoring Agent (MMA)) или агентом Azure Monitor (AMA), вы можете перейти к новому интерфейсу мониторинга целостности файлов.
- Начиная с июня 2025 г. мониторинг целостности файлов, управляемый Microsoft Defender для конечной точки, требует минимальной версии.
При необходимости обновите агент .
- Windows: 10.8760 или более поздней версии.
- Linux: 30.124082 или более поздней версии.
Предпосылки
В вашей подписке необходимо включить Defender для серверных планов 2.
Необходимо установить агент Defender для конечной точки с помощью расширений Defender для серверов на компьютерах , которые необходимо отслеживать.
Необходимо подключить независимые от Azure машины при помощи Azure Arc.
Необходимо включить сканирование без агента в вашей подписке, чтобы получить дополнительную защиту и возможность отслеживать пользовательские пути.
Вам нужны разрешения владельца рабочей области и администратора безопасности для включения и отключения мониторинга целостности файлов. Разрешения на доступ к считывателю безопасности могут просматривать результаты.
Проверка версии клиента Defender для конечных точек
Прежде чем начать, убедитесь, что версия клиента Defender для конечной точки на компьютерах не ниже минимальной версии, необходимой для мониторинга целостности файлов.
Windows Server 2019 или более поздней версии — агент Defender для конечной точки обновляется в рамках непрерывных обновлений операционной системы. Убедитесь, что на компьютерах Windows установлена последняя версия обновления.
Дополнительные сведения об использовании службы обновления Windows Server для установки компьютеров в большом масштабе.
Windows Server 2016 и Windows Server 2012 R2 — необходимо вручную обновить компьютеры до последней версии агента.
Вы можете установить KB 5005292 из каталога обновлений Майкрософт. KB 5005292 периодически обновляется до последней версии агента.
Компьютеры Linux — агент Defender для конечной точки автоматически обновляется, если автоматическая подготовка включена для компьютеров в Defender для облака. После установки расширения MDE.Linux на машине Linux, машина пытается обновить агент до обновленной версии при каждой перезагрузке виртуальной машины. Вы также можете вручную обновить версию агента.
Включение мониторинга целостности файлов
Мониторинг целостности файлов по умолчанию не включен. Его можно включить на портале Microsoft Defender для облака.
Войдите на портал Azure.
Перейдите в Microsoft Defender для облака>настройки среды>соответствующая подписка.
Найдите план Defenders для серверов и выберите параметры.
В разделе "Мониторинг целостности файлов " переключитесь на "Вкл.".
Выберите "Изменить конфигурацию".
Выберите рабочую область для хранения данных мониторинга целостности файлов. (Необязательно) Или нажмите кнопку "Создать" , чтобы создать новую рабочую область.
В разделе "Рекомендуемые для мониторинга правил" выберите "Изменить".
Выберите файлы и реестры , рекомендуемые для мониторинга.
Убедитесь, что переключатель "Состояние " имеет значение "Включено " и выберите типы изменений , которые требуется отслеживать. По умолчанию выбираются все сущности, рекомендуемые для мониторинга. Вы можете удалить сущности из мониторинга, нажав кнопку с тремя точками рядом с правилом мониторинга, а затем нажмите кнопку "Удалить".
Щелкните Применить, чтобы сохранить изменения.
(Необязательно) Нажмите кнопку +Добавить правило , чтобы создать настраиваемое правило.
В разделе "Добавление нового настраиваемого правила " введите имя правила и (необязательно) описание правила.
Убедитесь, что для переключателя состояния задано значение "Включено".
Выберите типы изменений и определите тип сущности и путь сущности для пользовательских правил.
Щелкните Применить, чтобы сохранить изменения.
(Необязательно) Выберите "Удалить правило ", чтобы удалить конфигурацию правила.
Нажмите кнопку "Применить".
Нажмите Продолжить.
Проверка статуса включенности для мониторинга целостности файлов
Проверьте возможность мониторинга целостности файлов, чтобы убедиться, что она правильна и выполнены все необходимые условия.
Перейдите к защите рабочих нагрузок, затем к мониторингу целостности файлов.
Выберите Параметры.
Проверьте наличие отсутствующих предварительных требований.
Выберите подписку и просмотрите корректирующие действия для требуемой рабочей области.
Установите флажок для всех необходимых исправлений.
Нажмите кнопку "Применить".
Отключение мониторинга целостности файлов
Если отключить мониторинг целостности файлов, новые события не собираются. Однако данные, собранные до отключения, остаются в рабочей области Log Analytics в соответствии с политикой хранения рабочей области.
Отключите следующее:
Войдите на портал Azure.
Перейдите в Microsoft Defender для облака>настройки среды>соответствующая подписка.
Найдите план Defenders для серверов и выберите параметры.
В разделе "Мониторинг целостности файлов" переключите переключатель на "Выкл.
Нажмите кнопку "Применить".
Нажмите Продолжить.
Нажмите кнопку "Сохранить".
Следующий шаг
- События, собранные для мониторинга целостности файлов, включены в типы данных, подходящие для преимущества 500 МБ для клиентов Defender для серверов плана 2. Узнайте больше о преимуществе.
- Просмотрите изменения в мониторинге целостности файлов.