Pemantauan integritas file di Microsoft Defender untuk Cloud

  • Artikel
  • 6 menit untuk membaca

Pelajari cara mengonfigurasi pemantauan integritas file (FIM) di Microsoft Defender untuk Cloud menggunakan panduan ini.

Ketersediaan

Aspek Detail
Status rilis: Ketersediaan umum (GA)
Harga: Memerlukan Microsoft Defender for Server Paket 2.
Menggunakan agen Log Analytics, FIM mengunggah data ke ruang kerja Log Analytics. Biaya data berlaku, berdasarkan jumlah data yang Anda unggah. Lihat harga Analitik Log untuk mempelajari lebih lanjut.
Peran dan izin yang diperlukan: Pemilik ruang kerja dapat mengaktifkan/menonaktifkan FIM (untuk informasi selengkapnya, lihat Peran Azure untuk Analitik Log).
Pembaca dapat melihat hasil.
Cloud: Cloud komersial
Nasional (Azure Government, Azure Tiongkok)
Hanya didukung di wilayah di mana solusi pelacakan perubahan Azure Automation tersedia.
Perangkat yang diaktifkan Azure Arc.
Lihat Wilayah yang didukung untuk ruang kerja Analitik Log tertaut.
Pelajari lebih lanjut tentang pelacakan perubahan.
Akun AWS yang tersambung

Apa itu FIM di Defender untuk Cloud?

Pemantauan integritas file (FIM), juga dikenal sebagai pemantauan perubahan, memeriksa file sistem operasi, pendaftar Windows, perangkat lunak aplikasi, file sistem Linux, dan banyak lagi, untuk perubahan yang mungkin mengindikasikan serangan.

Defender untuk Cloud merekomendasikan entitas untuk dipantau dengan FIM, dan Anda juga dapat menentukan kebijakan atau entitas FIM Anda sendiri untuk dipantau. FIM memberi tahu Anda aktivitas mencurigakan seperti:

  • Pembuatan atau penghapusan kunci file dan registri
  • Modifikasi file (perubahan ukuran file, daftar kontrol akses, dan hash konten)
  • Modifikasi registri (perubahan ukuran, daftar kontrol akses, jenis, dan konten)

Dalam tutorial ini Anda akan belajar cara:

  • Meninjau daftar entitas yang disarankan untuk dipantau dengan FIM
  • Menentukan sendiri, aturan FIM kustom Anda
  • Mengaudit perubahan pada entitas Anda yang dipantau
  • Menggunakan kartubebas untuk menyederhanakan pelacakan di seluruh direktori

Bagaimana cara kerja FIM?

Agen Log Analytics mengunggah data ke ruang kerja Log Analytics. Dengan membandingkan status item ini saat ini dengan status selama pemindaian sebelumnya, FIM memberi tahu Anda jika ada modifikasi yang mencurigakan.

FIM menggunakan solusi Pelacakan Perubahan Azure untuk melacak dan mengidentifikasi perubahan di lingkungan Anda. Saat pemantauan integritas file diaktifkan, Anda memiliki sumber daya Pelacakan Perubahan dengan jenis Solusi. Untuk detail frekuensi pengumpulan data, lihat Mengubah detail pengumpulan data Pelacakan.

Catatan

Jika Anda menghapus sumber daya Ubah Pelacakan, Anda juga akan menonaktifkan fitur pemantauan integritas file di Defender untuk Cloud.

File mana yang harus saya pantau?

Saat memilih file mana yang akan dipantau, pertimbangkan file yang penting untuk sistem dan aplikasi Anda. Pantau file yang tidak Anda harapkan berubah tanpa perencanaan. Jika Anda memilih file yang sering diubah oleh aplikasi atau sistem operasi (seperti file log dan file teks), file akan menimbulkan banyak noise, sehingga sulit untuk mengidentifikasi serangan.

Defender untuk Cloud menyediakan daftar item yang direkomendasikan berikut untuk dipantau berdasarkan pola serangan yang diketahui.

File Linux File Windows Kunci registri Windows (HKLM = HKEY_LOCAL_MACHINE)
/bin/info masuk C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/bin/passwd C:\boot.ini HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/*.conf C:\config.sys HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot
/usr/bin C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/usr/sbin C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
/bin C:\Windows\regedit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
/sbin C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
/boot C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/usr/local/bin C:\Program Files\Microsoft Security Client\msseces.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
/opt/bin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/opt/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/etc/init.d HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/cron.hourly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
/etc/cron.daily HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows
/etc/cron.weekly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
/etc/cron.monthly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Mengaktifkan pemantauan integritas file

FIM hanya tersedia dari halaman Defender untuk Cloud di portal Microsoft Azure. Saat ini tidak ada REST API untuk bekerja dengan FIM.

  1. Dari area Perlindungan lanjutan dasbor Perlindungan beban kerja, pilih Pemantauan integritas file.

    Meluncurkan FIM.

    Hahalaman konfigurasi Pemantauan integritas file terbuka.

    Informasi berikut disediakan untuk setiap ruang kerja:

    • Jumlah total perubahan yang terjadi dalam seminggu terakhir (Anda mungkin melihat tanda hubung "-“ jika FIM tidak diaktifkan di ruang kerja)
    • Jumlah total komputer dan VM yang melapor ke ruang kerja
    • Lokasi geografis ruang kerja
    • Langganan Azure yang ruang kerja berada di bawah

  2. Gunakan halaman ini untuk:

    • Mengakses dan melihat status dan pengaturan setiap ruang kerja

    • Ikon rencana peningkatan. Tingkatkan ruang kerja untuk menggunakan fitur keamanan yang ditingkatkan. Ikon ini menunjukkan bahwa ruang kerja atau langganan tidak dilindungi dengan Microsoft Defender for Server. Untuk menggunakan fitur FIM, langganan Anda harus dilindungi dengan paket ini. Untuk informasi lebih lanjut, lihat Fitur keamanan Microsoft Defender untuk Cloud yang disempurnakan.

    • Menfaktifkan ikon Aktifkan FIM di semua mesin di bawah ruang kerja dan konfigurasikan opsi FIM. Ikon ini menunjukkan bahwa FIM tidak diaktifkan untuk ruang kerja.

      Mengaktifkan FIM untuk ruang kerja tertentu.

    Tip

    Jika tidak ada tombol aktifkan atau tingkatkan, dan ruang kosong, itu berarti FIM sudah diaktifkan di ruang kerja.

  3. Pilih AKTIFKAN. Detail ruang kerja termasuk jumlah komputer Windows dan Linux di bawah ruang kerja ditunjukkan.

    Halaman detail ruang kerja FIM.

    Pengaturan yang disarankan untuk Windows dan Linux juga dicantumkan. Luaskan file Windows, Registri, dan file Linux untuk melihat daftar lengkap item yang disarankan.

  4. Bersihkan kotak centang untuk entitas yang disarankan yang tidak ingin Anda pantau oleh FIM.

  5. Pilih Terapkan pemantauan integritas file untuk mengaktifkan FIM.

Catatan

Anda dapat mengubah pengaturan kapan saja. Lihat Mengedit entitas yang dipantau di bawah untuk mempelajari lebih lanjut.

Mengaudit ruang kerja yang dipantau

Dasbor Pemantauan integritas file ditampilkan untuk ruang kerja tempat FIM diaktifkan. Dasbor FIM terbuka setelah Anda mengaktifkan FIM di ruang kerja atau saat Anda memilih ruang kerja di jendela pemantauan integritas file yang sudah mengaktifkan FIM.

Dasbor FIM dan berbagai panel informasinya.

Dasbor FIM untuk ruang kerja menampilkan detail berikut:

  • Jumlah total komputer yang tersambung ke ruang kerja
  • Jumlah total perubahan yang terjadi selama periode waktu yang dipilih
  • Perincian jenis perubahan (file, registri)
  • Perincian kategori perubahan (diubah, ditambahkan, dihapus)

Pilih Filter di bagian atas dasbor untuk mengubah periode waktu di mana perubahan ditampilkan.

Filter periode waktu untuk dasbor FIM.

Tab Server mencantumkan komputer yang melapor ke ruang kerja ini. Untuk setiap komputer, dasbor mencantumkan:

  • Perubahan total yang terjadi selama periode waktu yang dipilih
  • Rincian perubahan total sebagai perubahan file atau perubahan registri

Saat Anda memilih komputer, kueri muncul bersama dengan hasil yang mengidentifikasi perubahan yang dibuat selama periode waktu yang dipilih untuk komputer. Anda dapat memperluas perubahan untuk informasi selengkapnya.

Kueri Analitik Log yang menampilkan perubahan yang diidentifikasi oleh pemantauan integritas file Microsoft Defender untuk Cloud

Tab Perubahan (ditampilkan di bawah) mencantumkan semua perubahan untuk ruang kerja selama jangka waktu yang dipilih. Untuk setiap entitas yang diubah, dasbor mencantumkan:

  • Komputer tempat perubahan terjadi
  • Jenis perubahan (registri atau file)
  • Kategori perubahan (diubah, ditambahkan, dihapus)
  • Tanggal dan waktu perubahan

tab perubahan pemantauan integritas file Microsoft Defender untuk Cloud

Perubahan detail terbuka saat Anda memasukkan perubahan di bidang pencarian atau memilih entitas yang tercantum di bawah tab Perubahan.

Pemantauan integritas file Microsoft Defender untuk Cloud menampilkan panel detail untuk perubahan

Mengedit entitas yang dipantau

  1. Dari Dasbor pemantauan integritas file untuk ruang kerja, pilih Pengaturan dari toolbar.

    Mengakses pengaturan pemantauan integritas file untuk ruang kerja.

    Konfigurasi Ruang Kerja terbuka dengan tab untuk setiap jenis elemen yang dapat dipantau:

    • Registri Windows
    • File Windows
    • File Linux
    • Konten file
    • Layanan Windows

    Setiap tab mencantumkan entitas yang dapat Anda edit dalam kategori tersebut. Untuk setiap entitas yang terdaftar, Defender untuk Cloud mengidentifikasi apakah FIM diaktifkan (benar) atau tidak diaktifkan (salah). Edit entitas untuk mengaktifkan atau menonaktifkan FIM.

    Konfigurasi ruang kerja untuk pemantauan integritas file di Microsoft Defender untuk Cloud.

  2. Pilih entri dari salah satu tab dan edit salah satu bidang yang tersedia di panel Edit untuk Pelacakan Perubahan. Pilihan meliputi:

    • Aktifkan (Benar) atau nonaktifkan (Salah) pemantauan integritas file
    • Berikan atau ubah nama entitas
    • Berikan atau ubah nilai atau jalur
    • Hapus entitas

  3. Buang atau simpan perubahan Anda.

Tambahkan entitas baru untuk dipantau

  1. Dari Dasbor pemantauan integritas file untuk ruang kerja, pilih Pengaturan dari toolbar.

    Konfigurasi Ruang Kerja terbuka.

  2. Salah satunya adalah Konfigurasi Ruang Kerja:

    1. Pilih tab untuk jenis entitas yang ingin Anda tambahkan: registri Windows, file Windows, File Linux, konten file, atau layanan Windows.

    2. Pilih Tambahkan.

      Dalam contoh ini, kami memilih File Linux.

      Menambahkan elemen untuk dipantau di Microsoft Defender untuk pemantauan integritas file Cloud

  3. Pilih Tambahkan. Tambahkan untuk Pelacakan Perubahan terbuka.

  4. Masukkan informasi yang diperlukan dan pilih Simpan.

Pemantauan folder dan jalur menggunakan kartubebas

Gunakan kartubebas untuk menyederhanakan pelacakan di seluruh direktori. Aturan berikut berlaku saat Anda mengonfigurasi pemantauan folder menggunakan kartubebas:

  • Kartubebas diperlukan untuk melacak banyak file.
  • Kartubebas hanya dapat digunakan di segmen terakhir dari sebuah jalur, seperti C:\folder\file atau /etc/*.conf
  • Jika variabel lingkungan menyertakan jalur yang tidak valid, validasi akan berhasil tetapi jalur akan gagal saat inventaris berjalan.
  • Saat mengatur jalur, hindari jalur umum seperti c:*.* yang akan mengakibatkan terlalu banyak folder yang dilintasi.

Nonaktifkan FIM

Anda dapat menonaktifkan FIM. FIM menggunakan solusi Pelacakan Perubahan Azure untuk melacak dan mengidentifikasi perubahan di lingkungan Anda. Dengan menonaktifkan FIM, Anda menghapus solusi Pelacakan Perubahan dari ruang kerja yang dipilih.

Untuk menonaktifkan FIM:

  1. Dari Dasbor pemantauan integritas file untuk ruang kerja, pilih Nonaktifkan.

    Nonaktifkan pemantauan integritas file dari halaman pengaturan.

  2. Pilih Hapus.

Langkah berikutnya

Dalam artikel ini, Anda telah mempelajari cara menggunakan pemantauan integritas file (FIM) di Defender untuk Cloud. Untuk mempelajari lebih lanjut tentang Defender untuk Cloud, lihat halaman berikut: