Überwachung der Datenintegrität in Microsoft Azure Defender Center
Die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware und Linux-Systemdateien auf Änderungen, die auf einen Angriff hinweisen können.
Für die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) wird die Azure-Lösung „Änderungsnachverfolgung“ verwendet, um Änderungen in Ihrer Umgebung nachzuverfolgen und zu identifizieren. Wenn FIM aktiviert ist, verfügen Sie über eine Ressource für die Änderungsnachverfolgung vom Typ Lösung. Wenn Sie die Ressource Änderungsnachverfolgung entfernen, deaktivieren Sie damit auch das Feature „Überwachung der Dateiintegrität“ in Defender for Cloud. Mit FIM können Sie die Änderungsnachverfolgung direkt in Defender für Cloud nutzen. Ausführliche Informationen zur Häufigkeit der Datensammlung finden Sie unter Details zur Datensammlung für die Änderungsnachverfolgung.
Defender für Cloud empfiehlt Entitäten zur Überwachung mit FIM. Sie können auch eigene FIM-Richtlinien oder Entitäten für die Überwachung definieren. Die Überwachung der Dateiintegrität informiert Sie über verdächtige Aktivitäten wie z. B.:
- Erstellen und Löschen von Dateien und Registrierungsschlüsseln
- Änderungen an Dateien (an der Dateigröße, der Zugriffssteuerungsliste und dem Hash des Inhalts)
- Änderungen an Registrierungen (Größe, Zugriffssteuerungslisten, Typ und Inhalt)
Viele Standards für die Einhaltung gesetzlicher Bestimmungen, wie z. B. PCI-DSS und ISO 17799, erfordern die Implementierung von FIM-Kontrollen.
Welche Dateien sollten überwacht werden?
Beim Auswählen der zu überwachenden Dateien sollten Sie die Dateien berücksichtigen, die für Ihr System und Ihre Anwendungen unentbehrlich sind. Überwachen Sie Dateien, bei denen Sie keine ungeplanten Änderungen erwarten. Wenn Sie Dateien auswählen, die von Anwendungen oder vom Betriebssystem häufig geändert werden (z. B. Protokoll- und Textdateien), werden viele überflüssige Meldungen generiert, die das Identifizieren eines Angriffs erschweren.
Defender für Cloud bietet die folgende Liste empfohlener Elemente zur Überwachung auf der Grundlage bekannter Angriffsmuster.
| Linux-Dateien | Windows-Dateien | Windows-Registrierungsschlüssel (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} |
| /bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
| /etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
| /usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| /bin | C:\Windows\regedit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
| /sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
| /boot | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /usr/local/bin | C:\Programme\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
| /opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
| /opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
| /etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
| /etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
| /etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
| /etc/cron.daily | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
| /etc/cron.weekly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
| /etc/cron.monthly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
| HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
| HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie die Überwachung der Datenintegrität (File Integrity Monitoring, FIM) in Defender für Cloud verwenden.
Als Nächstes haben Sie folgende Möglichkeiten: