Monitorování integrity souborů v Azure Security Center

Naučte se konfigurovat monitorování integrity souborů (FIM) v Azure Security Center pomocí tohoto návodu.

Dostupnost

Aspekt Podrobnosti
Stav vydaných verzí: Obecná dostupnost (GA)
Stanov Vyžaduje Azure Defender pro servery.
FIM nahrává data do pracovního prostoru Log Analytics. Poplatky za data platí na základě objemu dat, která nahráváte. Další informace najdete v tématu Log Analytics ceny .
Požadované role a oprávnění: Vlastník pracovního prostoru může povolit nebo zakázat FIM (Další informace najdete v tématu role Azure pro Log Analytics).
Čtenář může zobrazit výsledky.
Cloud Ano komerční cloudy
Ano National/svrchovan (US gov, Čína gov, jiný gov)
Podporováno pouze v oblastech, kde je k dispozici řešení sledování změn Azure Automation.
Ano , zařízení s podporou ARC Azure
Viz podporované oblasti pro propojený pracovní prostor Log Analytics.
Přečtěte si další informace o sledování změn.

Co je FIM v Security Center?

Monitorování integrity souborů (FIM), označované také jako sledování změn, kontroluje soubory operačního systému, Registry systému Windows, aplikační software, systémové soubory systému Linux a další pro změny, které mohou naznačovat útok.

Security Center doporučuje entity, které se mají monitorovat s produktem FIM, a můžete také definovat vlastní zásady FIM nebo entity, které se mají monitorovat. Produkt FIM vás upozorní na podezřelé aktivity, jako je například:

  • Vytvoření nebo odebrání klíče registru
  • Úpravy souborů (změny velikosti souboru, seznamy řízení přístupu a hodnota hash obsahu)
  • Změny registru (změny velikosti, seznamy řízení přístupu, typ a obsah)

V tomto kurzu se naučíte:

  • Projděte si seznam navrhovaných entit pro monitorování pomocí produktu FIM
  • Definování vlastních pravidel FIM
  • Auditovat změny monitorovaných entit
  • Zjednodušit sledování v adresářích pomocí zástupných znaků

Jak produkt FIM funguje?

Když porovnáte aktuální stav těchto položek se stavem během předchozí kontroly, FIM upozorní na to, že byly provedeny podezřelé změny.

Monitorování integrity souborů využívá ke sledování a identifikaci změn ve vašem prostředí řešení Azure Change Tracking. Když je povolené monitorování integrity souborů, máte Change Tracking prostředek typu řešení. Podrobnosti o četnosti shromažďování dat najdete v tématu Change Tracking podrobností o shromažďování dat.

Poznámka

Pokud odeberete prostředek Change Tracking , zakážete tím také funkci monitorování integrity souborů v Security Center.

Které soubory mám monitorovat?

Při volbě souborů, které se mají monitorovat, zvažte soubory, které jsou pro váš systém a aplikace kritické. Monitorujte soubory, které neočekáváte beze změny bez plánování. Pokud zvolíte soubory, které se často změnily aplikacemi nebo operačním systémem (například soubory protokolů a textové soubory), vytvoří se velký šum, což ztěžuje jeho identifikaci.

Security Center poskytuje následující seznam doporučených položek, které se mají monitorovat na základě známých vzorů útoků.

Soubory Linux Soubory Windows Klíče registru Windows (HKLM = HKEY_LOCAL_MACHINE)
/bin/login C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0 \ CryptSIPDllRemoveSignedDataMsg { C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/bin/passwd C:\boot.ini HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0 \ CryptSIPDllRemoveSignedDataMsg { 603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/*. conf C:\config.sys HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini \Boot.
/usr/bin C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/usr/sbin C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
/bin C:\Windows\regedit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell složky
/sbin C:\Windows\System32\userinit.exe Složky prostředí HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User
/boot C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/usr/local/bin C:\Program Files\Microsoft – Client\msseces.exe zabezpečení HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
/opt/bin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/opt/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0 \ CryptSIPDllRemoveSignedDataMsg { C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/etc/init.d HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0 \ CryptSIPDllRemoveSignedDataMsg { 603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/cron.hourly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini \Boot.
/etc/cron.daily HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows
/etc/cron.weekly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
/etc/cron.monthly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell složky
Složky prostředí HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Povolit monitorování integrity souborů

FIM je k dispozici pouze ze stránek Security Center v Azure Portal. V tuto chvíli není k dispozici REST API pro práci s produktem FIM.

  1. V oblasti Rozšířená ochrana řídicího panelu Azure Defenderu vyberte monitorování integrity souborů.

    Spouští se FIM

    Otevře se stránka konfigurace monitorování integrity souborů .

    Pro každý pracovní prostor jsou k dispozici následující informace:

    • Celkový počet změn, ke kterým došlo za poslední týden (pomlčka může být "–", pokud není v pracovním prostoru povolený produkt FIM)
    • Celkový počet počítačů a virtuálních počítačů, které vytvářejí sestavy do pracovního prostoru
    • Geografické umístění pracovního prostoru
    • Předplatné Azure, pod kterým je pracovní prostor
  2. Tato stránka slouží k těmto akcím:

    • Přístup a zobrazení stavu a nastavení jednotlivých pracovních prostorů

    • Ikona plánu upgradu upgradujte pracovní prostor tak, aby používal Azure Defender. Tato ikona označuje, že se pracovní prostor nebo předplatné nechrání pomocí Azure Defenderu. Pokud chcete používat funkce FIM, musí vaše předplatné chránit Azure Defender. Další informace najdete v tématu Azure Security Center bezplatné vs. Azure Defender povolený.

    • Ikona povolit Povolte FIM na všech počítačích v pracovním prostoru a nakonfigurujte možnosti FIM. Tato ikona označuje, že produkt FIM není pro tento pracovní prostor povolen.

      Povolení produktu FIM pro konkrétní pracovní prostor

    Tip

    Pokud není k dispozici tlačítko Povolit ani upgradovat a místo je prázdné, znamená to, že v pracovním prostoru již je produkt FIM povolen.

  3. Vyberte Povolit. Zobrazí se podrobnosti pracovního prostoru, včetně počtu počítačů se systémem Windows a Linux v pracovním prostoru.

    Stránka s podrobnostmi o pracovním prostoru FIM

    Jsou uvedena také doporučená nastavení pro systémy Windows a Linux. Pokud chcete zobrazit úplný seznam doporučených položek, rozbalte soubory Windows, Registry a Linux Files .

  4. Zrušte zaškrtnutí políček u všech doporučených entit, které nechcete monitorovat pomocí produktu FIM.

  5. Pokud chcete povolit FIM, vyberte použít monitorování integrity souborů .

Poznámka

Nastavení můžete kdykoli změnit. Další informace najdete v tématu Úprava monitorovaných entit níže.

Audit monitorovaných pracovních prostorů

Řídicí panel monitorování integrity souborů se zobrazí pro pracovní prostory, ve kterých je povolený FIM. Po povolení produktu FIM v pracovním prostoru nebo při výběru pracovního prostoru v okně monitorování integrity souborů , které už má povolený FIM, se otevře řídicí panel FIM.

Řídicí panel FIM a jeho různé informační panely

Řídicí panel FIM pro pracovní prostor zobrazuje následující podrobnosti:

  • Celkový počet počítačů připojených k pracovnímu prostoru
  • Celkový počet změn, ke kterým došlo během vybraného časového období
  • Rozpis typu změny (soubory, registr)
  • Rozpis kategorie změn (upraveno, přidáno, odebráno)

Výběrem filtru v horní části řídicího panelu můžete změnit časové období, pro které se zobrazují změny.

Filtr časového období pro řídicí panel FIM

Karta servery obsahuje seznam počítačů, které se hlásí do tohoto pracovního prostoru. Pro každý počítač řídicí panel uvádí:

  • Celkový počet změn, ke kterým došlo během vybraného časového období.
  • Rozpis celkového počtu změn změn v souboru nebo změny v registru

Když vyberete počítač, zobrazí se dotaz spolu s výsledky, které identifikují změny provedené během vybraného časového období pro daný počítač. Můžete rozšířit změnu pro další informace.

Log Analytics dotaz znázorňující změny zjištěné monitorováním integrity souborů Azure Security Center

Karta změny (uvedená níže) obsahuje seznam všech změn pracovního prostoru během vybraného časového období. Pro každou změněnou entitu zobrazuje řídicí panel:

  • Počítač, na kterém došlo ke změně
  • Typ změny (registr nebo soubor)
  • Kategorie změny (změněno, přidáno, odebráno)
  • Datum a čas změny

Karta změny monitorování integrity souborů Azure Security Center

Možnost změnit podrobnosti se otevře při zadání změny do vyhledávacího pole nebo vyberte entitu, která je uvedena na kartě změny .

Monitorování integrity souborů Azure Security Center zobrazuje podokno podrobností pro změnu

Upravit monitorované entity

  1. Z řídicího panelu monitorování integrity souborů v pracovním prostoru vyberte Nastavení z panelu nástrojů.

    Přístup k nastavení monitorování integrity souborů pro pracovní prostor

    Otevře se Konfigurace pracovního prostoru s kartami pro každý typ prvku, který se dá monitorovat:

    • Registr systému Windows
    • Soubory Windows
    • Soubory Linux
    • Obsah souboru
    • Služby pro Windows

    Každá karta obsahuje seznam entit, které můžete v této kategorii upravit. Pro každou uvedenou entitu Security Center určí, jestli je FIM povolený (true) nebo není povolený (false). Úprava entity umožňuje povolit nebo zakázat FIM.

    Konfigurace pracovního prostoru pro monitorování integrity souborů v Azure Security Center

  2. Vyberte položku z jedné z karet a v podokně Upravit pro Change Tracking upravte libovolné pole k dispozici. Vaše možnosti jsou:

    • Povolit (pravda) nebo zakázat (NEPRAVDA) monitorování integrity souborů
    • Zadejte nebo změňte název entity.
    • Zadejte nebo změňte hodnotu nebo cestu.
    • Odstranit entitu
  3. Zahodí nebo uloží změny.

Přidat novou entitu k monitorování

  1. Z řídicího panelu monitorování integrity souborů v pracovním prostoru vyberte Nastavení z panelu nástrojů.

    Otevře se Konfigurace pracovního prostoru .

  2. Jedna Konfigurace pracovního prostoru:

    1. Vyberte kartu pro typ entity, kterou chcete přidat: registr systému Windows, soubory Windows, soubory systému Linux, obsah souboru nebo služby systému Windows.

    2. Vyberte Přidat.

      V tomto příkladu jsme vybrali soubory pro Linux.

      Přidání prvku, který se má monitorovat v Azure Security Center monitorování integrity souborů

  3. Vyberte Přidat. Otevře se okno Přidat pro Change Tracking .

  4. Zadejte potřebné informace a vyberte Uložit.

Monitorování složek a cest pomocí zástupných znaků

Pomocí zástupných znaků můžete zjednodušit sledování v adresářích. Při konfiguraci monitorování složek pomocí zástupných znaků platí následující pravidla:

  • Pro sledování více souborů jsou vyžadovány zástupné znaky.
  • Zástupné znaky se dají použít jenom v posledním segmentu cesty, jako je například C:\folder\file nebo/etc/*. conf.
  • Pokud proměnná prostředí obsahuje cestu, která není platná, ověření proběhne úspěšně, ale při spuštění inventáře selže cesta.
  • Při nastavení cesty Vyhněte obecným cestám, jako je například c: * . *, což bude mít za následek příliš mnoho procházených složek.

Zakázat FIM

Můžete zakázat produkt FIM. Monitorování integrity souborů využívá ke sledování a identifikaci změn ve vašem prostředí řešení Azure Change Tracking. Zakázáním produktu FIM odeberete Change Tracking řešení z vybraného pracovního prostoru.

Zakázání produktu FIM:

  1. Z řídicího panelu monitorování integrity souborů v pracovním prostoru vyberte Zakázat.

    Zakázat monitorování integrity souborů na stránce nastavení

  2. Vyberte Odebrat.

Další kroky

V tomto článku jste se dozvěděli o použití monitorování integrity souborů (FIM) v Security Center. Další informace o Security Center najdete na následujících stránkách: