Monitoraggio dell'integrità dei file in Microsoft Defender per Cloud

Articolo
05/03/2022
8 minuti per la lettura

Informazioni su come configurare il monitoraggio dell'integrità dei file (FIM) in Microsoft Defender for Cloud usando questa procedura dettagliata.

Disponibilità

Aspetto	Dettagli
Stato della versione:	Disponibilità generale (GA)
Prezzi:	Richiede Microsoft Defender per server Piano 2. Usando l'agente log analytics, FIM carica i dati nell'area di lavoro Log Analytics. Si applicano costi in base alla quantità di dati caricati. Per altre informazioni, vedere Prezzi di Log Analytics.
Autorizzazioni e ruoli obbligatori:	Il proprietario dell'area di lavoro può abilitare/disabilitare FIM (per altre informazioni, vedere Ruoli di Azure per Log Analytics). Il lettore può visualizzare i risultati.
Cloud:	Cloud commerciali Nazionale (Azure per enti pubblici, Azure China 21Vianet) Supportato solo nelle aree in cui è disponibile la soluzione di rilevamento delle modifiche di Automazione di Azure. Dispositivi abilitati per Azure Arc. Vedere Aree supportate per l'area di lavoro Log Analytics collegata. Altre informazioni sul rilevamento delle modifiche. Account AWS connessi

Che cos'è FIM in Defender for Cloud?

Monitoraggio dell'integrità dei file, noto anche come monitoraggio delle modifiche, esamina i file del sistema operativo, i registri Windows registri, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco.

Defender for Cloud consiglia alle entità di monitorare con FIM ed è anche possibile definire criteri o entità FIM personalizzati da monitorare. FIM informa l'utente sull'attività sospetta, ad esempio:

Creazione o rimozione di chiavi del Registro di sistema e file
Modifiche nei file (modifiche nelle dimensioni dei file, elenchi di controllo degli accessi e hash del contenuto)
Modifiche nei registri di sistema (modifiche nelle dimensioni, elenchi di controllo degli accessi, tipi e contenuti)

In questa esercitazione si apprenderà come:

Esaminare l'elenco di entità suggerite da monitorare con FIM
Definire regole FIM personalizzate personalizzate
Controllare le modifiche alle entità monitorate
Usare caratteri jolly per semplificare il rilevamento tra directory

Come funziona FIM?

L'agente di Log Analytics carica i dati nell'area di lavoro Log Analytics. Confrontando lo stato corrente di questi elementi con lo stato durante l'analisi precedente, FIM notifica se sono state apportate modifiche sospette.

Il monitoraggio dell'integrità dei file usa la soluzione Rilevamento modifiche di Azure per tenere traccia delle modifiche nell'ambiente e identificarle. Quando il monitoraggio dell'integrità dei file è abilitato, è disponibile una risorsa Rilevamento modifiche di tipo Soluzione. Per informazioni dettagliate sulla frequenza di raccolta dati, vedere Rilevamento modifiche dettagli della raccolta dati.

Nota

Se si rimuove la risorsa Rilevamento modifiche, si disabilita anche la funzionalità di monitoraggio dell'integrità dei file in Defender for Cloud.

Quali file è necessario monitorare?

Quando si sceglie quali file monitorare, considerare i file critici per il sistema e le applicazioni. Monitorare i file che non si prevede di modificare senza pianificazione. Se si sceglie file che vengono spesso modificati dalle applicazioni o dal sistema operativo (ad esempio i file di log e i file di testo) si creerà un sacco di rumore, rendendo difficile identificare un attacco.

Defender per Cloud fornisce l'elenco seguente di elementi consigliati da monitorare in base ai modelli di attacco noti.

File di Linux	File di Windows	Windows chiavi del Registro di sistema (HKLM = HKEY_LOCAL_MACHINE)
/bin/login	C:\autoexec.bat	HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/bin/passwd	C:\boot.ini	HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/*.conf	C:\config.sys	HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot
/usr/bin	C:\Windows\system.ini	HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/usr/sbin	C:\Windows\win.ini	HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
/bin	C:\Windows\regedit.exe	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Cartelle shell
/sbin	C:\Windows\System32\userinit.exe	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Cartelle
/Boot	C:\Windows\explorer.exe	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/usr/local/bin	C:\Programmi\Microsoft Security Client\msseces.exe	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/sbin		HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
/opt/bin		HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/opt/sbin		HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab		HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/etc/init.d		HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/cron.hourly		HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
/etc/cron.daily		HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows
/etc/cron.weekly		HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
/etc/cron.mensile		HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Cartelle shell
		HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folder
		HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
		HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
		HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
		HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices
		HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
		HKLM\SYSTEM\CurrentControlSet\Control\hivelist
		HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
		HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
		HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
		HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Abilita il monitoraggio dell'integrità dei file

FIM è disponibile solo dalle pagine di Defender for Cloud nel portale di Azure. Attualmente non è disponibile alcuna API REST per l'uso di FIM.

Nell'area Protezione avanzata del dashboard Protezione dei carichi di lavoro selezionare Monitoraggio dell'integrità dei file.

Verrà visualizzata la pagina Configurazione monitoraggio dell'integrità dei file .

Per ogni area di lavoro sono disponibili le informazioni seguenti:
- Numero totale di modifiche che sono state effettuate nell'ultima settimana (potrebbe essere visualizzato un trattino "-" se il monitoraggio dell'integrità dei file non è abilitato nell'area di lavoro)
- Numero totale di computer e macchine virtuali che creano report nell'area di lavoro
- Posizione geografica dell'area di lavoro
- Sottoscrizione di Azure in cui si trova l'area di lavoro
Utilizzare questa pagina per:
- Accedere e visualizzare lo stato e le impostazioni di ogni area di lavoro
- Aggiornare l'area di lavoro per usare funzionalità di sicurezza avanzate. Questa icona Indica che l'area di lavoro o la sottoscrizione non è protetta con Microsoft Defender per server. Per usare le funzionalità FIM, la sottoscrizione deve essere protetta con questo piano. Per altre informazioni, vedere Funzionalità di sicurezza avanzate di Microsoft Defender for Cloud.
- Abilitare FIM in tutti i computer nell'area di lavoro e configurare le opzioni FIM. Questa icona indica che FIM non è abilitato per l'area di lavoro.
Suggerimento

Se non è presente alcun pulsante di abilitazione o aggiornamento e lo spazio è vuoto, significa che FIM è già abilitato nell'area di lavoro.
Selezionare ABILITA. Vengono visualizzati i dettagli dell'area di lavoro, incluso il numero di computer Windows e Linux nell'area di lavoro.

Sono elencate anche le impostazioni consigliate per Windows e Linux. Espandere File Windows, Registro di sistema e File Linux per visualizzare l'elenco completo di elementi consigliati.
Deselezionare le caselle di controllo per le entità consigliate che non si desidera monitorare da FIM.
Selezionare Applica il monitoraggio dell'integrità dei file per abilitare il monitoraggio dell'integrità dei file.

Nota

È possibile modificare le impostazioni in qualsiasi momento. Per altre informazioni, vedere Modificare le entità monitorate di seguito.

Controllare le aree di lavoro monitorate

Viene visualizzato il dashboard Monitoraggio dell'integrità dei file per le aree di lavoro in cui è abilitata la funzionalità. Il dashboard FIM viene aperto dopo aver abilitato FIM in un'area di lavoro o quando si seleziona un'area di lavoro nella finestra di monitoraggio dell'integrità dei file in cui è già abilitato FIM.

The FIM dashboard and its various informational panels.

Il dashboard FIM per un'area di lavoro visualizza i dettagli seguenti:

Numero totale di macchine virtuali connesse all'area di lavoro
Numero totale di modifiche che sono state effettuate durante il periodo di tempo selezionato
Suddivisione per tipo di modifica (file, registro di sistema)
Suddivisione per categoria di modifica (modifica, aggiunta, rimozione)

Selezionare Filtro nella parte superiore del dashboard per modificare il periodo di tempo per cui vengono visualizzate le modifiche.

Time period filter for the FIM dashboard.

Nella scheda Server sono elencati i computer che segnalano a questa area di lavoro. Per ogni computer, il dashboard elenca:

Il numero totale di modifiche che sono state effettuate durante il periodo di tempo selezionato
Una suddivisione delle modifiche totali come modifiche al file o al registro di sistema

Quando si seleziona un computer, la query viene visualizzata insieme ai risultati che identificano le modifiche apportate durante il periodo di tempo selezionato per il computer. Per altre informazioni, è possibile espandere una modifica.

La scheda Modifiche (mostrata sotto) elenca tutte le modifiche per l'area di lavoro durante il periodo di tempo selezionato. Per ogni entità modificata, il dashboard elenca:

Computer in cui si è verificata la modifica
Il tipo di modifica (al registro di sistema o al file)
La categoria di modifica (modifica, aggiunta o rimozione)
Data e ora della modifica

Dettagli modifiche si apre quando si immette una modifica nel campo di ricerca oppure si seleziona un'entità elencata nella scheda Modifiche.

Modificare le entità monitorate

Nel dashboard Monitoraggio dell'integrità dei file per un'area di lavoro selezionare Impostazioni dalla barra degli strumenti.

Viene aperta la configurazione dell'area di lavoro con schede per ogni tipo di elemento che può essere monitorato:
- Registro di sistema di Windows
- File di Windows
- File di Linux
- Contenuto del file
- Servizi Windows
Ogni scheda elenca le entità che è possibile modificare nella categoria. Per ogni entità elencata, Defender for Cloud identifica se FIM è abilitato (true) o meno (false). Modificare l'entità per abilitare o disabilitare FIM.
Selezionare una voce da una delle schede e modificare uno dei campi disponibili nel riquadro Modifica per Rilevamento modifiche. Le opzioni includono:
- Abilitare (True) o disabilitare (False) il monitoraggio dell'integrità dei file
- Specificare o modificare il nome dell'entità
- Specificare o modificare il valore o il percorso
- Eliminare l'entità
Eliminare o salvare le modifiche.

Aggiungere una nuova entità da monitorare

Nel dashboard Monitoraggio dell'integrità dei file per un'area di lavoro selezionare Impostazioni dalla barra degli strumenti.

Verrà visualizzata la configurazione dell'area di lavoro .
Una configurazione dell'area di lavoro:
1. Selezionare la scheda per il tipo di entità da aggiungere: Windows Registro di sistema, Windows file, file Linux, contenuto di file o servizi di Windows.
2. Selezionare Aggiungi.
  
  In questo esempio è stato selezionato File Linux.
Selezionare Aggiungi. Si apre Aggiungi file Linux per Rilevamento modifiche.
Immettere le informazioni necessarie e selezionare Salva.

Monitoraggio di cartelle e percorsi con l'uso di caratteri jolly

Usare i caratteri jolly per semplificare le attività di rilevamento nelle directory. Quando viene configurato il monitoraggio delle cartelle con l'uso di caratteri jolly, si applicano le regole seguenti:

I caratteri jolly sono necessari per il rilevamento di più file.
I caratteri jolly possono essere usati solo nell'ultimo segmento di un percorso, as esempio C:\cartella\file o /etc/*.conf
Se una variabile di ambiente include un percorso non valido, la convalida avrà esito positivo ma il percorso avrà esito negativo quando si esegue l'inventario.
Quando si imposta il percorso, evitare percorsi generali, ad esempio c:*.* che comportano l'attraversamento di troppe cartelle.

Disabilitare il monitoraggio dell'integrità dei file

È possibile disabilitare il monitoraggio dell'integrità dei file. Il monitoraggio dell'integrità dei file usa la soluzione Rilevamento modifiche di Azure per tenere traccia delle modifiche nell'ambiente e identificarle. La disabilitazione rimuove la soluzione Rilevamento modifiche dall'area di lavoro selezionata.

Per disabilitare FIM:

Nel dashboard Monitoraggio dell'integrità dei file per un'area di lavoro selezionare Disabilita.
Selezionare Rimuovi.

Passaggi successivi

In questo articolo si è appreso come usare il monitoraggio dell'integrità dei file in Defender for Cloud. Per altre informazioni su Defender for Cloud, vedere le pagine seguenti:

Impostazione dei criteri di sicurezza : informazioni su come configurare i criteri di sicurezza per le sottoscrizioni e i gruppi di risorse di Azure.
Gestione dei consigli di sicurezza: informazioni su come i consigli semplificano la protezione delle risorse di Azure.
Blog sulla sicurezza di Azure: informazioni e notizie aggiornate sulla sicurezza di Azure.