Bestandsintegriteitscontrole in Microsoft Defender for Cloud
Fim (File Integrity Monitoring) onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware en Linux-systeembestanden op wijzigingen die kunnen duiden op een aanval.
FIM (bewaking van bestandsintegriteit) maakt gebruik van de Azure Wijzigingen bijhouden-oplossing om wijzigingen in uw omgeving bij te houden en te identificeren. Wanneer FIM is ingeschakeld, hebt u een Wijzigingen bijhouden resource van het type Oplossing. Als u de Wijzigingen bijhouden resource verwijdert, schakelt u ook de functie Bewaking van bestandsintegriteit uit in Defender voor Cloud. Met FIM kunt u rechtstreeks profiteren van Wijzigingen bijhouden in Defender voor Cloud. Zie Details van gegevensverzamelingsgegevens bijhouden voor meer informatie over de frequentie van gegevensverzameling.
Defender voor Cloud raadt entiteiten aan om te controleren met FIM en u kunt ook uw eigen FIM-beleid of entiteiten definiƫren die moeten worden bewaakt. FIM informeert u over verdachte activiteiten, zoals:
- Bestand en registersleutel maken of verwijderen
- Bestandswijzigingen (wijzigingen in bestandsgrootte, toegangsbeheerlijsten en hash van de inhoud)
- Registerwijzigingen (wijzigingen in grootte, toegangsbeheerlijsten, type en inhoud)
Veel nalevingsstandaarden voor regelgeving vereisen het implementeren van FIM-controles, zoals PCI-DSS en ISO 17799.
Welke bestanden moet ik controleren?
Wanneer u kiest welke bestanden u wilt bewaken, moet u rekening houden met de bestanden die essentieel zijn voor uw systeem en toepassingen. Bewaak bestanden die u niet verwacht te wijzigen zonder planning. Als u bestanden kiest die vaak worden gewijzigd door toepassingen of het besturingssysteem (zoals logboekbestanden en tekstbestanden), wordt er ruis gemaakt, waardoor het lastig is om een aanval te identificeren.
Defender voor Cloud bevat de volgende lijst met aanbevolen items die moeten worden bewaakt op basis van bekende aanvalspatronen.
| Linux-bestanden | Windows-bestanden | Windows-registersleutels (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} |
| /bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
| /etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
| /usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| /Bin | C:\Windows\regedit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell-mappen |
| /Sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Gebruikersshell-mappen |
| / Boot | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /usr/local/bin | C:\Program Files\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
| /opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
| /opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
| /etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
| /etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
| /etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
| /etc/cron.daily | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
| /etc/cron.wekelijks | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
| /etc/cron.monthly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
| HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
| HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Volgende stappen
In dit artikel hebt u meer geleerd over FIM (File Integrity Monitoring) in Defender voor Cloud.
Vervolgens kunt u het volgende doen: