Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Функция мониторинга целостности файлов в Microsoft Defender для облачных серверов, план 2, проверяет файлы операционной системы, реестры Windows, приложения и системные файлы Linux. Он анализирует эти файлы для изменений, которые могут указывать на атаку.
Мониторинг целостности файлов помогает:
- соответствуют нормативным требованиям. Нормативные стандарты соответствия, такие как PCI-DSS и ISO 17799, часто требуют мониторинга целостности файлов.
- Улучшение состояния и выявление потенциальных проблем безопасности путем обнаружения подозрительных изменений в файлах.
Мониторинг подозрительного действия
Мониторинг целостности файлов проверяет файлы операционной системы, реестры Windows, программное обеспечение приложений и системные файлы Linux для обнаружения подозрительных действий, таких как:
- Создание или удаление раздела файла и реестра.
- Изменения файлов, такие как изменения размера файла, списки управления доступом и хэш содержимого.
- Изменения реестра, такие как изменения размера, списки управления доступом, тип и содержимое.
сбор данных
Мониторинг целостности файлов использует Microsoft Defender for Endpoint и безагентную проверку для сбора данных с устройств.
- Данные, собранные агентом Defender для конечной точки и безагентным сканированием, анализируются для изменений в файлах и реестре, а журналы изменений хранятся для доступа и анализа в рабочей области Log Analytics.
- Агент Defender для конечной точки собирает данные с компьютеров в соответствии с файлами и ресурсами, определенными для мониторинга целостности файлов. События изменения, собранные через Defender для Endpoint, переадресовываются в ваш выбранный рабочий пространство практически в режиме реального времени.
- Сканирование без агента предоставляет аналитические сведения о событиях мониторинга целостности файлов в соответствии с файлами и ресурсами, определенными для мониторинга целостности файлов. События изменения, собранные с помощью сканирования без агента, передаются в выбранную рабочую область в 24-часовом интервале.
- Собранные данные мониторинга целостности файлов являются частью пакета 500 МБ, предусмотренного в Defender for Servers Plan 2.
- Мониторинг целостности файлов предоставляет сведения об изменениях файлов и ресурсов. Он включает источник изменений, сведения об учетной записи, сведения о том, кто внес изменения и сведения о процессе инициации.
Переход на новую версию
Мониторинг целостности файлов ранее использовал агент Log Analytics (также известный как агент Microsoft Monitoring Agent (MMA)) или агент Azure Monitor (AMA) для сбора данных. Если вы используете мониторинг целостности файлов с одним из этих устаревших методов, можно перенести мониторинг целостности файлов для использования Defender для конечной точки.
Настройка мониторинга целостности файлов
После включения Defender для серверов плана 2 включите и настройте мониторинг целостности файлов. Он по умолчанию не включен.
- Вы выбираете рабочую область Log Analytics, в которой хранятся события изменения для отслеживаемых файлов или ресурсов. Можно использовать существующую рабочую область или определить новую.
- Defender для облака рекомендует ресурсам отслеживать мониторинг целостности файлов. С помощью безагентного сканирования можно определить пользовательские пути для мониторинга в дополнение к рекомендуемым ресурсам.
Выбор того, что следует отслеживать
Defender для облака рекомендует сущностям отслеживаться с помощью мониторинга целостности файлов. Вы можете выбрать элементы из рекомендаций. При выборе файлов для отслеживания:
- Рассмотрим файлы, критически важные для системы и приложений.
- Выполняйте мониторинг файлов, которые не должны меняться без предварительного планирования.
- Выберите файлы, которые приложения или операционная система часто изменяют (например, файлы журналов и текстовые файлы), создают шум и затрудняют идентификацию атаки.
- Отслеживайте любой файл, расположенный в папке
/folder/path/*.
Замечание
Максимальное число правил, которые можно применить, равно 500.
Рекомендуемые элементы для мониторинга
При использовании мониторинга целостности файлов с агентом Defender для конечной точки рекомендуется отслеживать эти элементы на основе известных шаблонов атак.
| Файл Linux | Файлы Windows | Разделы реестра Windows (HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /ботинок | C:\Windows\System32\userinit.exe |
Ключ: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Значения: loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe |
Ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Папки Значения: распространенный запуск, запуск |
| /etc/cron.daily | C:\autoexec.bat |
Ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Папки Значения: распространенный запуск, запуск |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab |
Ключ: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Значения: appinit_dlls, loadappinit_dlls |
|
| /etc/init.d |
Ключ: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Папки Значения: распространенный запуск, запуск |
|
| /opt/sbin |
Ключ: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Папки Значения: распространенный запуск, запуск |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRET | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Настраиваемые правила
Пользовательские правила можно создавать для мониторинга определенных файлов или папок, если они соответствуют следующим критериям проверки:
В пути допускается не более трех звездочек
*(максимальная глубина). Подстановочные знаки (*) разрешены только в начале или конце сегмента пути.Пути с тремя звездочками не должны заканчиваться
/или\.Пути реестра Windows должны начинаться с
HKLMhklmили содержать только буквы, цифры, пробелы,_,., ,\.:Подстановочные знаки (*) разрешены только в начале или конце сегмента пути.Пути к файлам Windows могут содержать только буквы, цифры, пробелы,
_,.,\,*,?,:и не должны содержать/. Подстановочные знаки (*) разрешены только в начале или конце сегмента пути.Пути к файлам Linux должны быть абсолютными (начинаются с
/) и могут содержать только буквы, цифры, пробелы,_,.,/,*, .:Подстановочные знаки (*) разрешены только в начале или конце сегмента пути.Все пути должны соответствовать максимальной длине пути системы (260 символов) и максимальной глубине (три звездочки).
Проверки определений правил
Требуется имя правила.
Имя правила должно содержать только буквы (a–z, A–Z), цифры (0–9) и символы подчеркивания (_) и могут содержать до 128 символов.
Имя правила и идентификатор правила должны быть уникальными.
Описание правила является необязательным. Если указано:
- Максимальная длина — 260 символов.
- Допустимые символы:
letters,digitsи? ! ) ( . ,.
Необходимо выбрать по крайней мере один тип изменения (из управления изменениями и документации rRequest (CMDR)).
Поддерживается от 1 до 500 пользовательских правил для каждой подписки.
Следующие шаги
Включение мониторинга целостности файлов с помощью Defender для конечной точки