Monitoraggio dell'integrità dei file in Microsoft Defender per Cloud

Informazioni su come configurare il monitoraggio dell'integrità dei file (FIM) in Microsoft Defender for Cloud usando questa procedura dettagliata.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Richiede Microsoft Defender per server Piano 2.
Usando l'agente log analytics, FIM carica i dati nell'area di lavoro Log Analytics. Si applicano costi in base alla quantità di dati caricati. Per altre informazioni, vedere Prezzi di Log Analytics.
Autorizzazioni e ruoli obbligatori: Il proprietario dell'area di lavoro può abilitare/disabilitare FIM (per altre informazioni, vedere Ruoli di Azure per Log Analytics).
Il lettore può visualizzare i risultati.
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China 21Vianet)
Supportato solo nelle aree in cui è disponibile la soluzione di rilevamento delle modifiche di Automazione di Azure.
Dispositivi abilitati per Azure Arc.
Vedere Aree supportate per l'area di lavoro Log Analytics collegata.
Altre informazioni sul rilevamento delle modifiche.
Account AWS connessi

Che cos'è FIM in Defender for Cloud?

Monitoraggio dell'integrità dei file, noto anche come monitoraggio delle modifiche, esamina i file del sistema operativo, i registri Windows registri, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco.

Defender for Cloud consiglia alle entità di monitorare con FIM ed è anche possibile definire criteri o entità FIM personalizzati da monitorare. FIM informa l'utente sull'attività sospetta, ad esempio:

  • Creazione o rimozione di chiavi del Registro di sistema e file
  • Modifiche nei file (modifiche nelle dimensioni dei file, elenchi di controllo degli accessi e hash del contenuto)
  • Modifiche nei registri di sistema (modifiche nelle dimensioni, elenchi di controllo degli accessi, tipi e contenuti)

In questa esercitazione si apprenderà come:

  • Esaminare l'elenco di entità suggerite da monitorare con FIM
  • Definire regole FIM personalizzate personalizzate
  • Controllare le modifiche alle entità monitorate
  • Usare caratteri jolly per semplificare il rilevamento tra directory

Come funziona FIM?

L'agente di Log Analytics carica i dati nell'area di lavoro Log Analytics. Confrontando lo stato corrente di questi elementi con lo stato durante l'analisi precedente, FIM notifica se sono state apportate modifiche sospette.

Il monitoraggio dell'integrità dei file usa la soluzione Rilevamento modifiche di Azure per tenere traccia delle modifiche nell'ambiente e identificarle. Quando il monitoraggio dell'integrità dei file è abilitato, è disponibile una risorsa Rilevamento modifiche di tipo Soluzione. Per informazioni dettagliate sulla frequenza di raccolta dati, vedere Rilevamento modifiche dettagli della raccolta dati.

Nota

Se si rimuove la risorsa Rilevamento modifiche, si disabilita anche la funzionalità di monitoraggio dell'integrità dei file in Defender for Cloud.

Quali file è necessario monitorare?

Quando si sceglie quali file monitorare, considerare i file critici per il sistema e le applicazioni. Monitorare i file che non si prevede di modificare senza pianificazione. Se si sceglie file che vengono spesso modificati dalle applicazioni o dal sistema operativo (ad esempio i file di log e i file di testo) si creerà un sacco di rumore, rendendo difficile identificare un attacco.

Defender per Cloud fornisce l'elenco seguente di elementi consigliati da monitorare in base ai modelli di attacco noti.

File di Linux File di Windows Windows chiavi del Registro di sistema (HKLM = HKEY_LOCAL_MACHINE)
/bin/login C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/bin/passwd C:\boot.ini HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/*.conf C:\config.sys HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot
/usr/bin C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/usr/sbin C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
/bin C:\Windows\regedit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Cartelle shell
/sbin C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Cartelle
/Boot C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/usr/local/bin C:\Programmi\Microsoft Security Client\msseces.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
/opt/bin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/opt/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/etc/init.d HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/cron.hourly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
/etc/cron.daily HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows
/etc/cron.weekly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
/etc/cron.mensile HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Cartelle shell
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folder
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Abilita il monitoraggio dell'integrità dei file

FIM è disponibile solo dalle pagine di Defender for Cloud nel portale di Azure. Attualmente non è disponibile alcuna API REST per l'uso di FIM.

  1. Nell'area Protezione avanzata del dashboard Protezione dei carichi di lavoro selezionare Monitoraggio dell'integrità dei file.

    Launching FIM.

    Verrà visualizzata la pagina Configurazione monitoraggio dell'integrità dei file .

    Per ogni area di lavoro sono disponibili le informazioni seguenti:

    • Numero totale di modifiche che sono state effettuate nell'ultima settimana (potrebbe essere visualizzato un trattino "-" se il monitoraggio dell'integrità dei file non è abilitato nell'area di lavoro)
    • Numero totale di computer e macchine virtuali che creano report nell'area di lavoro
    • Posizione geografica dell'area di lavoro
    • Sottoscrizione di Azure in cui si trova l'area di lavoro
  2. Utilizzare questa pagina per:

    • Accedere e visualizzare lo stato e le impostazioni di ogni area di lavoro

    • Upgrade plan icon. Aggiornare l'area di lavoro per usare funzionalità di sicurezza avanzate. Questa icona Indica che l'area di lavoro o la sottoscrizione non è protetta con Microsoft Defender per server. Per usare le funzionalità FIM, la sottoscrizione deve essere protetta con questo piano. Per altre informazioni, vedere Funzionalità di sicurezza avanzate di Microsoft Defender for Cloud.

    • Enable icon Abilitare FIM in tutti i computer nell'area di lavoro e configurare le opzioni FIM. Questa icona indica che FIM non è abilitato per l'area di lavoro.

      Enabling FIM for a specific workspace.

    Suggerimento

    Se non è presente alcun pulsante di abilitazione o aggiornamento e lo spazio è vuoto, significa che FIM è già abilitato nell'area di lavoro.

  3. Selezionare ABILITA. Vengono visualizzati i dettagli dell'area di lavoro, incluso il numero di computer Windows e Linux nell'area di lavoro.

    FIM workspace details page.

    Sono elencate anche le impostazioni consigliate per Windows e Linux. Espandere File Windows, Registro di sistema e File Linux per visualizzare l'elenco completo di elementi consigliati.

  4. Deselezionare le caselle di controllo per le entità consigliate che non si desidera monitorare da FIM.

  5. Selezionare Applica il monitoraggio dell'integrità dei file per abilitare il monitoraggio dell'integrità dei file.

Nota

È possibile modificare le impostazioni in qualsiasi momento. Per altre informazioni, vedere Modificare le entità monitorate di seguito.

Controllare le aree di lavoro monitorate

Viene visualizzato il dashboard Monitoraggio dell'integrità dei file per le aree di lavoro in cui è abilitata la funzionalità. Il dashboard FIM viene aperto dopo aver abilitato FIM in un'area di lavoro o quando si seleziona un'area di lavoro nella finestra di monitoraggio dell'integrità dei file in cui è già abilitato FIM.

The FIM dashboard and its various informational panels.

Il dashboard FIM per un'area di lavoro visualizza i dettagli seguenti:

  • Numero totale di macchine virtuali connesse all'area di lavoro
  • Numero totale di modifiche che sono state effettuate durante il periodo di tempo selezionato
  • Suddivisione per tipo di modifica (file, registro di sistema)
  • Suddivisione per categoria di modifica (modifica, aggiunta, rimozione)

Selezionare Filtro nella parte superiore del dashboard per modificare il periodo di tempo per cui vengono visualizzate le modifiche.

Time period filter for the FIM dashboard.

Nella scheda Server sono elencati i computer che segnalano a questa area di lavoro. Per ogni computer, il dashboard elenca:

  • Il numero totale di modifiche che sono state effettuate durante il periodo di tempo selezionato
  • Una suddivisione delle modifiche totali come modifiche al file o al registro di sistema

Quando si seleziona un computer, la query viene visualizzata insieme ai risultati che identificano le modifiche apportate durante il periodo di tempo selezionato per il computer. Per altre informazioni, è possibile espandere una modifica.

Log Analytics query showing the changes identified by Microsoft Defender for Cloud's file integrity monitoring

La scheda Modifiche (mostrata sotto) elenca tutte le modifiche per l'area di lavoro durante il periodo di tempo selezionato. Per ogni entità modificata, il dashboard elenca:

  • Computer in cui si è verificata la modifica
  • Il tipo di modifica (al registro di sistema o al file)
  • La categoria di modifica (modifica, aggiunta o rimozione)
  • Data e ora della modifica

Microsoft Defender for Cloud's file integrity monitoring changes tab

Dettagli modifiche si apre quando si immette una modifica nel campo di ricerca oppure si seleziona un'entità elencata nella scheda Modifiche.

Microsoft Defender for Cloud's file integrity monitoring showing the details pane for a change

Modificare le entità monitorate

  1. Nel dashboard Monitoraggio dell'integrità dei file per un'area di lavoro selezionare Impostazioni dalla barra degli strumenti.

    Accessing the file integrity monitoring settings for a workspace.

    Viene aperta la configurazione dell'area di lavoro con schede per ogni tipo di elemento che può essere monitorato:

    • Registro di sistema di Windows
    • File di Windows
    • File di Linux
    • Contenuto del file
    • Servizi Windows

    Ogni scheda elenca le entità che è possibile modificare nella categoria. Per ogni entità elencata, Defender for Cloud identifica se FIM è abilitato (true) o meno (false). Modificare l'entità per abilitare o disabilitare FIM.

    Workspace configuration for file integrity monitoring in Microsoft Defender for Cloud.

  2. Selezionare una voce da una delle schede e modificare uno dei campi disponibili nel riquadro Modifica per Rilevamento modifiche. Le opzioni includono:

    • Abilitare (True) o disabilitare (False) il monitoraggio dell'integrità dei file
    • Specificare o modificare il nome dell'entità
    • Specificare o modificare il valore o il percorso
    • Eliminare l'entità
  3. Eliminare o salvare le modifiche.

Aggiungere una nuova entità da monitorare

  1. Nel dashboard Monitoraggio dell'integrità dei file per un'area di lavoro selezionare Impostazioni dalla barra degli strumenti.

    Verrà visualizzata la configurazione dell'area di lavoro .

  2. Una configurazione dell'area di lavoro:

    1. Selezionare la scheda per il tipo di entità da aggiungere: Windows Registro di sistema, Windows file, file Linux, contenuto di file o servizi di Windows.

    2. Selezionare Aggiungi.

      In questo esempio è stato selezionato File Linux.

      Adding an element to monitor in Microsoft Defender for Cloud's file integrity monitoring

  3. Selezionare Aggiungi. Si apre Aggiungi file Linux per Rilevamento modifiche.

  4. Immettere le informazioni necessarie e selezionare Salva.

Monitoraggio di cartelle e percorsi con l'uso di caratteri jolly

Usare i caratteri jolly per semplificare le attività di rilevamento nelle directory. Quando viene configurato il monitoraggio delle cartelle con l'uso di caratteri jolly, si applicano le regole seguenti:

  • I caratteri jolly sono necessari per il rilevamento di più file.
  • I caratteri jolly possono essere usati solo nell'ultimo segmento di un percorso, as esempio C:\cartella\file o /etc/*.conf
  • Se una variabile di ambiente include un percorso non valido, la convalida avrà esito positivo ma il percorso avrà esito negativo quando si esegue l'inventario.
  • Quando si imposta il percorso, evitare percorsi generali, ad esempio c:*.* che comportano l'attraversamento di troppe cartelle.

Disabilitare il monitoraggio dell'integrità dei file

È possibile disabilitare il monitoraggio dell'integrità dei file. Il monitoraggio dell'integrità dei file usa la soluzione Rilevamento modifiche di Azure per tenere traccia delle modifiche nell'ambiente e identificarle. La disabilitazione rimuove la soluzione Rilevamento modifiche dall'area di lavoro selezionata.

Per disabilitare FIM:

  1. Nel dashboard Monitoraggio dell'integrità dei file per un'area di lavoro selezionare Disabilita.

    Disable file integrity monitoring from the settings page.

  2. Selezionare Rimuovi.

Passaggi successivi

In questo articolo si è appreso come usare il monitoraggio dell'integrità dei file in Defender for Cloud. Per altre informazioni su Defender for Cloud, vedere le pagine seguenti: