Share via

Monitorování integrity souborů pomocí agenta Log Analytics

  • Článek

Aby agent Log Analytics zajistil monitorování integrity souborů (FIM), nahraje data do pracovního prostoru služby Log Analytics. Porovnáním aktuálního stavu těchto položek se stavem během předchozí kontroly vás FIM upozorní, pokud byly provedeny podezřelé změny.

Poznámka:

Vzhledem k tomu, že agent Log Analytics (označovaný také jako MMA) je nastavený na vyřazení z provozu v srpnu 2024, budou všechny funkce Defenderu pro servery, které na ní aktuálně závisejí, včetně funkcí popsaných na této stránce, k dispozici prostřednictvím integrace microsoft Defenderu pro koncové body nebo kontroly bez agentů před datem vyřazení z provozu. Další informace o roadmapě jednotlivých funkcí, které jsou aktuálně závislé na agentu Log Analytics, najdete v tomto oznámení.

V tomto článku se naučíte:

Poznámka:

Monitorování integrity souborů může na monitorovaných SQL Serverech vytvořit následující účet: NT Service\HealthService
Pokud účet odstraníte, automaticky se vytvoří znovu.

Dostupnost

Aspekt Detaily
Stav vydání: Všeobecná dostupnost (GA)
Ceny: Vyžaduje Program Microsoft Defender for Servers Plan 2.
FiM pomocí agenta Log Analytics nahraje data do pracovního prostoru služby Log Analytics. Poplatky za data se vztahují na základě množství dat, která nahrajete. Další informace najdete na stránce s cenami Log Analytics.
Požadované role a oprávnění: Vlastník pracovního prostoru může FIM povolit nebo zakázat (další informace najdete v tématu Role Azure pro Log Analytics).
Čtenář může zobrazit výsledky.
Mraky: Komerční cloudy
National (Azure Government, Microsoft Azure provozovaný společností 21Vianet)
Podporuje se jenom v oblastech, kde je k dispozici řešení pro sledování změn ve službě Azure Automation.
Zařízení s podporou Služby Azure Arc .
Viz Podporované oblasti pro propojený pracovní prostor služby Log Analytics.
Přečtěte si další informace o sledování změn.
Připojení účtů AWS

Povolení monitorování integrity souborů pomocí agenta Log Analytics

FIM je k dispozici jenom na stránkách Defenderu for Cloud na webu Azure Portal. V současné době není k dispozici žádné rozhraní REST API pro práci s FIM.

  1. V oblasti Rozšířené ochrany úloh na řídicím panelu Ochrany úloh vyberte Monitorování integrity souborů.

    Screenshot of screenshot of opening the File Integrity Monitoring dashboard.

    Pro každý pracovní prostor jsou k dispozici následující informace:

    • Celkový počet změn, ke kterým došlo v posledním týdnu (pokud fim není v pracovním prostoru povolený, může se zobrazit pomlčka -).
    • Celkový počet počítačů a virtuálníchpočítačůchch
    • Zeměpisné umístění pracovního prostoru
    • Předplatné Azure, ve které je pracovní prostor

  2. Na této stránce můžete:

    • Přístup a zobrazení stavu a nastavení jednotlivých pracovních prostorů

    • Upgrade plan icon. Upgradujte pracovní prostor tak, aby používal vylepšené funkce zabezpečení. Tato ikona označuje, že pracovní prostor nebo předplatné nejsou chráněné pomocí programu Microsoft Defender for Servers. Abyste mohli používat funkce FIM, musí být vaše předplatné chráněné tímto plánem. Přečtěte si, jak povolit Defender for Servers.

    • Enable icon Povolte FIM na všech počítačích v pracovním prostoru a nakonfigurujte možnosti FIM. Tato ikona značí, že pro pracovní prostor není povolený FIM. Pokud tlačítko povolit nebo upgradovat neexistuje a místo je prázdné, znamená to, že FIM je už v pracovním prostoru povolené.

      Screenshot of enabling FIM for a specific workspace.

  3. Vyberte POVOLIT. Zobrazí se podrobnosti o pracovním prostoru, včetně počtu počítačů s Windows a Linuxem v pracovním prostoru.

    Screenshot of FIM workspace details page.

    Uvedená jsou také doporučená nastavení pro Windows a Linux. Rozbalte soubory systému Windows, registr a soubory Linuxu a zobrazte úplný seznam doporučených položek.

  4. Zrušte zaškrtnutí políček u všech doporučených entit, které fim nechcete monitorovat.

  5. Výběrem možnosti Použít monitorování integrity souborů povolte FIM.

Nastavení můžete kdykoli změnit. Přečtěte si další informace o úpravách monitorovaných entit.

Zakázání monitorování integrity souborů

Monitorování integrity souborů využívá ke sledování a identifikaci změn ve vašem prostředí řešení Azure Change Tracking. Zakázáním FIM odeberete řešení Change Tracking z vybraného pracovního prostoru.

Zakázání FIM:

  1. Na řídicím panelu Monitorování integrity souborů pro pracovní prostor vyberte Zakázat.

    Screenshot of disabling file integrity monitoring from the settings page.

  2. Vyberte Odstranit.

Monitorování pracovních prostorů, entit a souborů

Audit monitorovaných pracovních prostorů

Řídicí panel monitorování integrity souborů se zobrazuje pro pracovní prostory, ve kterých je povolené FIM. Řídicí panel FIM se otevře po povolení FIM v pracovním prostoru nebo při výběru pracovního prostoru v okně monitorování integrity souboru, které už má povolené FIM.

Screenshot of the FIM dashboard and its various informational panels.

Řídicí panel FIM pro pracovní prostor zobrazuje následující podrobnosti:

  • Celkový počet počítačů připojených k pracovnímu prostoru
  • Celkový počet změn, ke kterým došlo během vybraného časového období
  • Rozpis typu změn (soubory, registr)
  • Rozpis kategorie změn (změněno, přidáno, odebráno)

Výběrem možnosti Filtr v horní části řídicího panelu můžete změnit časové období, pro které se změny zobrazují.

Screenshot of time period filter for the FIM dashboard.

Na kartě Servery jsou uvedeny počítače, které se hlásí do tohoto pracovního prostoru. Pro každý počítač se zobrazí seznam řídicích panelů:

  • Celkové změny, ke kterým došlo během vybraného časového období
  • Rozpis celkových změn při změnách souboru nebo změn registru

Když vyberete počítač, zobrazí se dotaz spolu s výsledky, které identifikují změny provedené během vybraného časového období počítače. Pokud chcete získat další informace, můžete tuto změnu rozšířit.

Screenshot of log Analytics query showing the changes identified by Microsoft Defender for Cloud's file integrity monitoring.

Na kartě Změny (viz níže) jsou uvedeny všechny změny pracovního prostoru během vybraného časového období. Pro každou změněnou entitu zobrazí řídicí panel seznam:

  • Počítač, na který došlo ke změně
  • Typ změny (registr nebo soubor)
  • Kategorie změny (změněno, přidáno, odebráno)
  • Datum a čas změny

Screenshot of Microsoft Defender for Cloud's file integrity monitoring changes tab.

Změny podrobností se otevře, když zadáte změnu do vyhledávacího pole nebo vyberete entitu uvedenou na kartě Změny .

Screenshot of Microsoft Defender for Cloud's file integrity monitoring showing the details pane for a change.

Úprava monitorovaných entit

  1. Na řídicím panelu Monitorování integrity souborů pro pracovní prostor vyberte Nastavení z panelu nástrojů.

    Screenshot of accessing the file integrity monitoring settings for a workspace.

    Otevře se konfigurace pracovního prostoru s kartami pro každý typ prvku, který lze monitorovat:

    • Registr Systému Windows
    • Soubory Windows
    • Soubory Linuxu
    • Obsah souboru
    • Služby systému Windows

    Každá karta obsahuje seznam entit, které můžete upravit v dané kategorii. Pro každou uvedenou entitu Defender for Cloud identifikuje, jestli je fiM povolené (true) nebo není povolené (false). Upravte entitu a povolte nebo zakažte FIM.

    Screenshot of workspace configuration for file integrity monitoring in Microsoft Defender for Cloud.

  2. Vyberte položku z jedné z karet a upravte všechna dostupná pole v podokně Upravit pro sledování změn . K dispozici jsou následující možnosti:

    • Povolení (True) nebo zakázání monitorování integrity souborů (False)
    • Zadejte nebo změňte název entity.
    • Zadejte nebo změňte hodnotu nebo cestu.
    • Odstranění entity

  3. Zahoďte nebo uložte změny.

Přidání nové entity pro monitorování

  1. Na řídicím panelu Monitorování integrity souborů pro pracovní prostor vyberte Nastavení z panelu nástrojů.

    Otevře se konfigurace pracovního prostoru.

  2. V konfiguraci pracovního prostoru:

    1. Vyberte kartu pro typ entity, kterou chcete přidat: registr Systému Windows, soubory Systému Windows, Soubory Linuxu, obsah souborů nebo služby systému Windows.

    2. Vyberte Přidat.

      V tomto příkladu jsme vybrali soubory Linuxu.

      Screenshot of adding an element to monitor in Microsoft Defender for Cloud's file integrity monitoring.

  3. Vyberte Přidat. Otevře se doplněk Change Tracking .

  4. Podle potřeby vložte potřebné informace a vyberte Uložit.

Monitorování složek a cest pomocí zástupných znaků

Použití zástupných znaků ke zjednodušení sledování napříč adresáři Při konfiguraci monitorování složek pomocí zástupných znaků platí následující pravidla:

  • Pro sledování více souborů se vyžadují zástupné cardy.
  • Zástupné cardy lze použít pouze v posledním segmentu cesty, například C:\folder\file nebo /etc/*.conf
  • Pokud proměnná prostředí obsahuje cestu, která není platná, ověření proběhne úspěšně, ale cesta selže při spuštění inventáře.
  • Při nastavování cesty se vyhněte obecným cestám, jako c:\*.*je například , což vede k příliš velkému počtu procházení složek.

Porovnání standardních hodnot s využitím monitorování Integrity souborů

Monitorování integrity souborů (FIM) vás informuje, když dojde ke změnám citlivých oblastí ve vašich prostředcích, abyste mohli prozkoumat a řešit neoprávněnou aktivitu. FIM monitoruje soubory Windows, registry Windows a linuxové soubory.

Povolení integrovaných rekurzivních kontrol registru

Výchozí nastavení registru FIM poskytuje pohodlný způsob, jak monitorovat rekurzivní změny v rámci běžných oblastí zabezpečení. Nežádoucí osoba může například nakonfigurovat skript, který se má spustit v LOCAL_SYSTEM kontextu konfigurací spuštění při spuštění nebo vypnutí. Pokud chcete monitorovat změny tohoto typu, povolte integrovanou kontrolu.

Registry.

Poznámka:

Rekurzivní kontroly platí pouze pro doporučené podregistry zabezpečení, a ne pro vlastní cesty registru.

Přidání vlastní kontroly registru

Směrné plány FIM začínají tím, že identifikují charakteristiky známého dobrého stavu operačního systému a podpůrné aplikace. V tomto příkladu se zaměříme na konfigurace zásad hesel pro Windows Server 2008 a vyšší.

Název zásady Nastavení registru
Řadič domény: Nepovolit změnu hesla účtu počítače MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RefusePasswordChange
Člen domény: Vždy digitálně zašifrovat nebo podepsat data zabezpečeného kanálu MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal
Člen domény: Je-li možno, digitálně zašifrovat data zabezpečeného kanálu MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel
Člen domény: Je-li možno, digitálně podepsat data zabezpečeného kanálu MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel
Člen domény: Nepovolit změnu hesla účtu počítače MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange
Člen domény: Maximální doba platnosti hesla účtu počítače MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge
Člen domény: Vyžadovat silný klíč relace (Windows 2000 nebo vyšší) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey
Zabezpečení sítě: Omezení protokolu NTLM: Ověřování NTLM v této doméně MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain
Zabezpečení sítě: Omezit protokol NTLM: Přidat výjimky pro servery v této doméně MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers
Zabezpečení sítě: Omezení protokolu NTLM: Audit ověřování NTLM v této doméně MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain

Poznámka:

Další informace o nastavení registru podporovaných různými verzemi operačního systému najdete v referenční tabulce zásad skupiny Nastavení.

Konfigurace FIM pro monitorování standardních hodnot registru:

  1. V okně Přidat registr systému Windows pro sledování změn vyberte textové pole Klíč registru systému Windows.

  2. Zadejte následující klíč registru:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    Screenshot of enable FIM on a registry.

Sledování změn souborů Windows

  1. V okně Přidat soubor systému Windows pro sledování změn zadejte do textového pole Zadat cestu složku obsahující soubory, které chcete sledovat. V příkladu na následujícím obrázku se webová aplikace Contoso nachází v jednotce D:\ ve struktuře složek ContosWebApp .

  2. Vytvořte vlastní položku souboru systému Windows zadáním názvu třídy nastavení, povolením rekurze a zadáním horní složky s příponou se zástupným znakem (*).

    Screenshot of enable FIM on a file.

Načtení dat o změnách

Data monitorování integrity souborů se nacházejí v sadě tabulek Azure Log Analytics/ConfigurationChange.

  1. Nastavte časový rozsah pro načtení souhrnu změn podle prostředku.

    V následujícím příkladu načítáme všechny změny za posledních 14 dnů v kategoriích registru a souborů:

    ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry', 'Files')
| summarize count() by Computer, ConfigChangeType

  2. Zobrazení podrobností o změnách registru:

    1. Odeberte soubory z klauzule where .
    2. Odeberte řádek souhrnu a nahraďte ho klauzulí ordering:
    ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry')
| order by Computer, RegistryKey

Sestavy je možné exportovat do souboru CSV pro archivaci nebo kanály do sestavy Power BI.

FIM data.

Další kroky

Další informace o defenderu pro cloud v:

  • Nastavení zásad zabezpečení – Zjistěte, jak nakonfigurovat zásady zabezpečení pro předplatná a skupiny prostředků Azure.
  • Správa doporučení zabezpečení – Zjistěte, jak vám doporučení pomáhají chránit vaše prostředky Azure.
  • Blog o zabezpečení Azure – Získejte nejnovější novinky a informace o zabezpečení Azure.