Fájlintegritási monitorozás a Microsoft Defender for Cloudban

Ebből az útmutatóból megtudhatja, hogyan konfigurálhatja a fájlintegritási monitorozást (FIM) a Microsoft Defender for Cloudban.

Rendelkezésre állás

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Árképzés: A Microsoft Defender for Servers 2. csomagra van szüksége.
A Log Analytics-ügynök használatával a FIM adatokat tölt fel a Log Analytics-munkaterületre. Az adatköltségek a feltöltött adatok mennyisége alapján érvényesek. További információért tekintse meg a Log Analytics díjszabását .
Szükséges szerepkörök és engedélyek: A munkaterület tulajdonosa engedélyezheti vagy letilthatja a FIM-et (további információ: Azure-szerepkörök a Log Analyticshez).
Az olvasó megtekintheti az eredményeket.
Felhők: Kereskedelmi felhők
Nemzeti (Azure Government, Azure China 21Vianet)
Csak olyan régiókban támogatott, ahol Azure Automation változáskövetési megoldása elérhető.
Azure Arc-kompatibilis eszközök.
Tekintse meg a csatolt Log Analytics-munkaterület támogatott régióit.
További információ a változáskövetésről.
Csatlakoztatott AWS-fiókok

Mi az a FIM a Defender for Cloudban?

A fájlintegritási monitorozás (FIM), más néven változásfigyelés, az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket vizsgálja, hogy milyen módosítások jelezhetnek támadást.

A Defender for Cloud a FIM használatával történő monitorozást javasolja az entitásoknak, és saját FIM-szabályzatokat vagy entitásokat is meghatározhat a monitorozáshoz. A FIM tájékoztatja Önt a gyanús tevékenységekről, például:

  • Fájl- és beállításkulcs létrehozása vagy eltávolítása
  • Fájlmódosítások (a fájlméret módosítása, a hozzáférés-vezérlési listák és a tartalom kivonata)
  • Beállításjegyzék-módosítások (méretváltozások, hozzáférés-vezérlési listák, típus és tartalom)

Ezen oktatóanyag segítségével megtanulhatja a következőket:

  • Tekintse át a FIM használatával monitorozandó javasolt entitások listáját
  • Saját, egyéni FIM-szabályok definiálása
  • A figyelt entitások változásainak naplózása
  • Helyettesítő karakterek használata a könyvtárak közötti nyomon követés egyszerűsítéséhez

Hogyan működik a FIM?

A Log Analytics-ügynök adatokat tölt fel a Log Analytics-munkaterületre. Ha összehasonlítja ezeknek az elemeknek az aktuális állapotát az előző vizsgálat során az állapottal, a FIM értesíti Önt, ha gyanús módosításokat hajtottak végre.

A fájlintegritási monitorozás (FIM) az Azure Change Tracking megoldást használja a környezetében történt változások követésére és azonosítására. Ha engedélyezve van a fájlintegritási monitorozás, Change Tracking megoldástípusú erőforrással rendelkezik. Az adatgyűjtés gyakoriságának részleteiért lásd Change Tracking adatgyűjtési adatokat.

Megjegyzés

Ha eltávolítja a Change Tracking erőforrást, letiltja a fájlintegritási figyelési funkciót is a Defender for Cloudban.

Mely fájlokat kell monitorozni?

A monitorozni kívánt fájlok kiválasztásakor vegye figyelembe a rendszer és az alkalmazások szempontjából kritikus fontosságú fájlokat. Figyelheti azokat a fájlokat, amelyek várhatóan nem változnak tervezés nélkül. Ha olyan fájlokat választ, amelyeket gyakran módosítanak az alkalmazások vagy az operációs rendszer (például naplófájlok és szövegfájlok), az sok zajt okoz, ami megnehezíti a támadások azonosítását.

A Defender for Cloud az alábbi listát tartalmazza az ismert támadási minták alapján monitorozni kívánt ajánlott elemekről.

Linux-fájlok Windows-fájlok Windows beállításkulcsok (HKLM = HKEY_LOCAL_MACHINE)
/bin/login C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/bin/passwd C:\boot.ini HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/*.conf C:\config.sys HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot
/usr/bin C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/usr/sbin C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
/bin C:\Windows\regedit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
/sbin C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell-mappák
/boot C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/usr/local/bin C:\Program Files\Microsoft Security Client\msseces.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
/opt/bin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/opt/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/etc/init.d HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/cron.hourly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
/etc/cron.daily HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows
/etc/cron.weekly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
/etc/cron.monthly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Fájlintegritási monitorozás engedélyezése

A FIM csak a Defender for Cloud Azure Portal oldalain érhető el. Jelenleg nincs REST API a FIM használatához.

  1. A Munkaterhelés-védelem irányítópult Speciális védelmi területén válassza a Fájlintegritási monitorozás lehetőséget.

    A FIM indítása.

    Megnyílik a Fájlintegritási monitorozás konfigurációs lapja.

    Az egyes munkaterületek esetében a következő információk találhatók:

    • Az elmúlt héten történt módosítások teljes száma (a "-" kötőjel jelenhet meg, ha a FIM nincs engedélyezve a munkaterületen)
    • A munkaterületnek jelentett számítógépek és virtuális gépek teljes száma
    • A munkaterület földrajzi helye
    • Azure-előfizetés, amely alatt a munkaterület található
  2. Ezen a lapon a következőt használhatja:

    • Az egyes munkaterületek állapotának és beállításainak elérése és megtekintése

    • Frissítési terv ikon. Frissítse a munkaterületet a továbbfejlesztett biztonsági funkciók használatára. Ez az ikon azt jelzi, hogy a munkaterület vagy az előfizetés nem védett a Microsoft Defender for Servers szolgáltatással. A FIM-szolgáltatások használatához az előfizetést ezzel a csomaggal kell védeni. További információt a Microsoft Defender for Cloud továbbfejlesztett biztonsági funkcióiban talál.

    • Engedélyezés ikon Engedélyezze a FIM-et a munkaterület összes gépén, és konfigurálja a FIM-beállításokat. Ez az ikon azt jelzi, hogy a FIM nincs engedélyezve a munkaterületen.

      A FIM engedélyezése egy adott munkaterülethez.

    Tipp

    Ha nincs engedélyező vagy frissítési gomb, és a terület üres, az azt jelenti, hogy a FIM már engedélyezve van a munkaterületen.

  3. Válassza az ENGEDÉLYEZÉS lehetőséget. Megjelenik a munkaterület részletei, beleértve a munkaterület alatti Windows- és Linux-gépek számát.

    A FIM-munkaterület részletes lapja.

    A windowsos és linuxos ajánlott beállítások is szerepelnek a listában. Bontsa ki a Windows-,a Beállításjegyzék- és a Linux-fájlokat az ajánlott elemek teljes listájának megtekintéséhez.

  4. Törölje azoknak az ajánlott entitásoknak a jelölőnégyzetét, amelyeket a FIM nem szeretne monitorozni.

  5. A FIM engedélyezéséhez válassza a Fájlintegritási figyelés alkalmazása lehetőséget.

Megjegyzés

A beállításokat bármikor módosíthatja. További információt a figyelt entitások szerkesztése című témakörben talál.

Figyelt munkaterületek naplózása

A Fájlintegritási figyelési irányítópult azon munkaterületek esetében jelenik meg, ahol a FIM engedélyezve van. A FIM-irányítópult akkor nyílik meg, ha engedélyezi a FIM-et egy munkaterületen, vagy amikor kiválaszt egy olyan munkaterületet a fájlintegritási monitorozási ablakban, amelyen már engedélyezve van a FIM.

A FIM-irányítópult és annak különböző információs paneljei.

A munkaterület FIM-irányítópultja a következő adatokat jeleníti meg:

  • A munkaterülethez csatlakoztatott gépek teljes száma
  • A kijelölt időszakban történt módosítások teljes száma
  • A változástípus (fájlok, beállításjegyzék) lebontása
  • A változáskategória lebontása (módosítva, hozzáadva, eltávolítva)

Válassza az irányítópult tetején található Szűrő lehetőséget a módosítások megjelenési idejének módosításához.

A FIM-irányítópult időszakszűrője.

A Kiszolgálók lap felsorolja azokat a gépeket, amelyek erre a munkaterületre jelentenek. Az irányítópult az egyes gépekhez a következőket listázza:

  • A kijelölt időszakban történt összes változás
  • A fájl- vagy beállításjegyzék-módosítások összes módosításának részletezése

Amikor kiválaszt egy gépet, a lekérdezés megjelenik azokkal az eredményekkel együtt, amelyek azonosítják a gép kiválasztott időszakában végrehajtott módosításokat. További információkért kibonthat egy módosítást.

Log Analytics-lekérdezés a Microsoft Defender for Cloud fájlintegritási monitorozása által azonosított változásokról

A Módosítások lap (alább látható) felsorolja a munkaterületen a kiválasztott időszakban történt összes módosítást. Minden módosított entitás esetében az irányítópult a következőt sorolja fel:

  • A gép, amelyen a módosítás történt
  • A módosítás típusa (beállításjegyzék vagy fájl)
  • A változás kategóriája (módosítva, hozzáadva, eltávolítva)
  • A módosítás dátuma és időpontja

A Microsoft Defender for Cloud fájlintegritási monitorozási módosításainak lapja

A módosítás részletei akkor nyílnak meg, ha módosítást ír be a keresőmezőbe, vagy kiválaszt egy entitást a Módosítások lapon.

A Microsoft Defender for Cloud fájlintegritási monitorozása a módosítás részleteit megjelenítő panelen

Figyelt entitások szerkesztése

  1. A munkaterület Fájlintegritási monitorozási irányítópultján válassza az eszköztár Beállítások elemét .

    Hozzáférés a munkaterület fájlintegritási figyelési beállításaihoz.

    Megnyílik a munkaterület konfigurációja, és minden monitorozni kívánt elemtípushoz lapfülek találhatók:

    • Windows beállításjegyzék
    • Windows-fájlok
    • Linux-fájlok
    • Fájl tartalma
    • Windows-szolgáltatások

    Minden lap felsorolja azokat az entitásokat, amelyeket az adott kategóriában szerkeszthet. Minden felsorolt entitás esetében a Defender for Cloud azonosítja, hogy a FIM engedélyezve van-e (igaz), vagy nincs engedélyezve (hamis). Szerkessze az entitást a FIM engedélyezéséhez vagy letiltásához.

    Munkaterület-konfiguráció a fájlintegritási monitorozáshoz a Microsoft Defender for Cloudban.

  2. Jelöljön ki egy bejegyzést az egyik lapról, és szerkessze a Szerkesztés Change Tracking panelen elérhető mezők bármelyikét. A lehetőségek a következők:

    • Fájlintegritási figyelés engedélyezése (igaz) vagy letiltása (hamis)
    • Adja meg vagy módosítsa az entitás nevét
    • Adja meg vagy módosítsa az értéket vagy az elérési utat
    • Az entitás törlése
  3. A módosítások elvetése vagy mentése.

Új entitás hozzáadása a monitorozáshoz

  1. A munkaterület Fájlintegritási monitorozási irányítópultján válassza az eszköztár Beállítások elemét .

    Megnyílik a munkaterület konfigurációja .

  2. A munkaterület konfigurációja:

    1. Válassza ki a hozzáadni kívánt entitástípus lapját: Windows-beállításjegyzék, Windows-fájlok, Linux-fájlok, fájltartalom vagy Windows-szolgáltatások.

    2. Válassza a Hozzáadás lehetőséget.

      Ebben a példában a Linux-fájlokat választottuk ki.

      Elem hozzáadása a Microsoft Defender for Cloud fájlintegritási monitorozásához

  3. Válassza a Hozzáadás lehetőséget. Megnyílik a Hozzáadás Change Tracking.

  4. Adja meg a szükséges adatokat, és válassza a Mentés lehetőséget.

Mappa- és elérésiút-figyelés helyettesítő karakterek használatával

Helyettesítő karakterek használatával egyszerűsítheti a könyvtárak közötti nyomon követést. A következő szabályok érvényesek, ha a mappafigyelést helyettesítő karakterek használatával konfigurálja:

  • Több fájl nyomon követéséhez helyettesítő karakterekre van szükség.
  • Helyettesítő karakterek csak az elérési út utolsó szegmensében használhatók, például C:\folder\file vagy /etc/*.conf
  • Ha egy környezeti változó érvénytelen elérési utat tartalmaz, az ellenőrzés sikeres lesz, de a készlet futtatásakor az elérési út sikertelen lesz.
  • Az elérési út beállításakor kerülje az olyan általános elérési utakat, mint a c:*.*, ami túl sok mappát fog átjárni.

FIM letiltása

A FIM letiltható. A fájlintegritási monitorozás (FIM) az Azure Change Tracking megoldást használja a környezetében történt változások követésére és azonosítására. A FIM letiltásával eltávolítja a Change Tracking megoldást a kijelölt munkaterületről.

A FIM letiltása:

  1. A munkaterület Fájlintegritási monitorozási irányítópultján válassza a Letiltás lehetőséget.

    Tiltsa le a fájlintegritási monitorozást a beállítások lapon.

  2. Válassza az Eltávolítás lehetőséget.

Következő lépések

Ebből a cikkből megismerhette a fájlintegritási monitorozás (FIM) használatát a Defender for Cloudban. Ha többet szeretne megtudni a Defender for Cloudról, tekintse meg az alábbi oldalakat: