Мониторинг целостности файлов в Microsoft Defender для облака
Мониторинг целостности файлов (FIM) проверяет файлы операционной системы, реестры Windows, программное обеспечение и системные файлы Linux на наличие изменений, которые могут свидетельствовать об атаке.
FIM (мониторинг целостности файлов) использует решение Azure Отслеживание изменений для отслеживания и выявления изменений в вашей среде. Если FIM включен, у вас есть Отслеживание изменений ресурс типа Solution. Если удалить ресурс Отслеживание изменений, вы также отключите функцию мониторинга целостности файлов в Defender для облака. FIM позволяет воспользоваться преимуществами Отслеживания изменений непосредственно в Defender для облака. Сведения о частоте сбора данных см. в разделе "Сведения о сборе данных отслеживания изменений".
Defender для облака предоставляет рекомендации о том, какие сущности следует отслеживать с помощью функции FIM. Вы всегда можете определить собственные политики FIM и выбрать сущности для мониторинга. FIM предупреждает вас о такой подозрительной активности, как:
- создание или удаление файлов и разделов реестра;
- изменение файлов (изменения размера файла, списков управления доступом или хэша содержимого);
- Изменение реестра (изменение размера, списков управления доступом, типа или содержимого)
Для многих стандартов соответствия нормативным требованиям, таких как PCI-DSS и ISO 17799, требуется реализация элементов управления FIM.
Для каких файлов нужно применять мониторинг?
Для мониторинга следует выбирать файлы, которые критически важны для системы и приложений. Выполняйте мониторинг файлов, которые не должны меняться без предварительного планирования. Если вы выберете файлы, которые часто изменяются приложениями или операционной системой (например, файлы журналов и текстовые файлы), будет генерироваться большой объем лишней информации, что усложнит выявление атак.
Defender для облака предоставляет следующий список рекомендуемых элементов для выполнения мониторинга на основе известных шаблонов атак.
| Файлы Linux | Файлы Windows | Разделы реестра Windows (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} |
| /bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
| /etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
| /usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| /bin | C:\Windows\regedit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
| /sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
| /boot | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /usr/local/bin | C:\Program Files\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
| /opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
| /opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
| /etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
| /etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
| /etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
| /etc/cron.daily | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
| /etc/cron.weekly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
| /etc/cron.monthly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
| HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
| HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Следующие шаги
Из этой статьи вы узнали, как использовать мониторинг целостности файлов (FIM) в Defender для облака.
Далее вы можете выполнить такую задачу: