Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Функция мониторинга целостности файлов в Microsoft Defender для облачных серверов, план 2, проверяет файлы операционной системы, реестры Windows, приложения и системные файлы Linux. Он анализирует эти файлы для изменений, которые могут указывать на атаку.
Мониторинг целостности файлов помогает:
- соответствуют нормативным требованиям. Нормативные стандарты соответствия, такие как PCI-DSS и ISO 17799, часто требуют мониторинга целостности файлов.
- Улучшите положение и выявите потенциальные проблемы безопасности, обнаруживая подозрительные изменения в файлах.
Мониторинг подозрительного действия
Мониторинг целостности файлов проверяет файлы операционной системы, реестры Windows, программное обеспечение приложений и системные файлы Linux для обнаружения подозрительных действий, таких как:
- Создание или удаление файла и ключа реестра.
- Изменения файлов, такие как изменения размера файла, списки управления доступом и хэш содержимого.
- Изменения реестра, такие как изменения размера, списки управления доступом, тип и содержимое.
сбор данных
Мониторинг целостности файлов использует Microsoft Defender for Endpoint и безагентную проверку для сбора данных с устройств.
- Данные, собранные агентом Defender для конечной точки и безагентным сканированием, анализируются для изменений в файлах и реестре, а журналы изменений хранятся для доступа и анализа в рабочей области Log Analytics.
- Агент Defender для конечной точки собирает данные с компьютеров в соответствии с файлами и ресурсами, определенными для мониторинга целостности файлов. События изменения, собранные через Defender для Endpoint, переадресовываются в ваш выбранный рабочий пространство практически в режиме реального времени.
- Сканирование без агента предоставляет аналитические сведения о событиях мониторинга целостности файлов в соответствии с файлами и ресурсами, определенными для мониторинга целостности файлов. События изменения, собранные с помощью сканирования без агента, передаются в выбранную рабочую область в 24-часовом интервале.
- Собранные данные мониторинга целостности файлов являются частью пакета 500 МБ, предусмотренного в Defender for Servers Plan 2.
- Мониторинг целостности файлов предоставляет сведения об изменениях файлов и ресурсов. Он включает источник изменений, сведения об учетной записи, сведения о том, кто внес изменения и сведения о процессе инициации.
Требования к версии
Чтобы обеспечить правильную функцию мониторинга целостности файлов, компьютеры должны запускать клиент Defender для серверов Windows (агент Microsoft Defender для конечной точки) версии 10.8799 или более поздней. Это требование особенно важно для:
- Устаревшие компьютеры Windows (клиенты нижнего уровня)
- Среды, переходящие от основанных на MMA или AMA систем FIM
Это важно
Из-за изменения конвейера в Microsoft Defender для конечной точки пользователи с существующими развертываниями FIM на устаревших компьютерах Windows должны обновить свой агент MDE до версии 10.8799 или более поздней, чтобы продолжить получение данных мониторинга целостности файлов.
Миграция устаревших клиентов AMA/MMA на мониторинг целостности файлов на основе MDE.
Если вы используете мониторинг целостности файлов с устаревшими методами на основе агента (агент Log Analytics/Microsoft Monitoring Agent (MMA) или Агент Azure Monitor (AMA)), следует перейти к подходу на основе MDE (Microsoft Defender для конечной точки). Эта миграция обеспечивает непрерывную функциональность и доступ к расширенным возможностям. Узнайте, как перенести мониторинг целостности файлов из устаревших клиентов AMA/MMA в решение на основе MDE.
Настройка мониторинга целостности файлов
После включения Defender для серверов плана 2 включите и настройте мониторинг целостности файлов. Он по умолчанию не включен.
- Вы выбираете рабочую область Log Analytics, в которой хранятся события изменения для отслеживаемых файлов или ресурсов. Можно использовать существующую рабочую область или определить новую.
- Defender для облака рекомендует ресурсы для мониторинга целостности файлов. С помощью безагентного сканирования можно определить пользовательские пути для мониторинга в дополнение к рекомендуемым ресурсам.
Выбор того, что следует отслеживать
Defender для облака рекомендует объекты для мониторинга целостности файлов. Вы можете выбрать элементы из рекомендаций. При выборе файлов для отслеживания:
- Рассмотрим файлы, критически важные для системы и приложений.
- Выполняйте мониторинг файлов, которые не должны меняться без предварительного планирования.
- Выберите файлы, которые приложения или операционная система часто изменяют (например, файлы журналов и текстовые файлы), создают шум и затрудняют идентификацию атаки.
- Отслеживайте любой файл, расположенный в папке
/folder/path/*.
Замечание
Максимальное число правил, которые можно применить, равно 500.
Рекомендуемые элементы для мониторинга
При использовании мониторинга целостности файлов с агентом Defender для конечной точки рекомендуется отслеживать эти элементы на основе известных шаблонов атак.
| Файл Linux | Файлы Windows | Ключи реестра Windows (HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe |
Ключ: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Значения: loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe |
Ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Значения: распространенный запуск, запуск |
| /etc/cron.daily | C:\autoexec.bat |
Ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Значения: распространенный запуск, запуск |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab |
Ключ: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Значения: appinit_dlls, loadappinit_dlls |
|
| /etc/init.d |
Ключ: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Значения: распространенный запуск, запуск |
|
| /opt/sbin |
Ключ: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Папки Значения: распространенный запуск, запуск |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Настраиваемые правила
Пользовательские правила можно создавать для мониторинга определенных файлов или папок, если они соответствуют следующим критериям проверки:
В пути допускается не более трех звездочек
*(максимальная глубина). Подстановочные знаки (*) разрешены только в начале или конце сегмента пути.Пути с тремя звездочками не должны заканчиваться
/или\.Пути реестра Windows должны начинаться с
HKLMhklmили содержать только буквы, цифры, пробелы,_,., ,\.:Подстановочные знаки (*) разрешены только в начале или конце сегмента пути.Пути к файлам Windows могут содержать только буквы, цифры, пробелы,
_,.,\,*,?,:и не должны содержать/. Подстановочные знаки (*) разрешены только в начале или конце сегмента пути.Пути к файлам Linux должны быть абсолютными (начинаются с
/) и могут содержать только буквы, цифры, пробелы,_,.,/,*, .:Подстановочные знаки (*) разрешены только в начале или конце сегмента пути.Все пути должны соответствовать максимальной длине пути системы (260 символов) и максимальной глубине (три звездочки).
Проверки определений правил
Требуется имя правила.
Имя правила должно содержать только буквы (a–z, A–Z), цифры (0–9) и символы подчеркивания (_) и могут содержать до 128 символов.
Имя правила и идентификатор правила должны быть уникальными.
Описание правила является необязательным. Если указано:
- Максимальная длина — 260 символов.
- Допустимые символы:
letters,digitsи? ! ) ( . ,.
Необходимо выбрать по крайней мере один тип изменения (из управления изменениями и документации rRequest (CMDR)).
Поддерживается от 1 до 500 пользовательских правил для каждой подписки.
Следующие шаги
Включение мониторинга целостности файлов с помощью Defender для конечной точки