Monitoramento de integridade de arquivo no Microsoft Defender para Nuvem

Saiba como configurar o FIM (Monitoramento de Integridade de Arquivo) no Microsoft Defender para Nuvem usando este passo a passo.

Disponibilidade

Aspecto Detalhes
Estado da versão: Disponibilidade Geral (GA)
Preço: Requer o Plano 2 do Microsoft Defender para Servidores.
Usando o agente de Log Analytics, o FIM carrega dados para o espaço de trabalho Log Analytics. Encargos de dados se aplicam, com base na quantidade de dados que você carregar. Consulte Preço do Log Analytics para saber mais.
Funções e permissões necessárias: O proprietário do espaço de trabalho pode habilitar/desabilitar o FIM (para obter mais informações, consulte Funções do Azure para o Log Analytics).
O leitor pode visualizar os resultados.
Nuvens: Nuvens comerciais
Nacional (Azure Governamental, Azure China 21Vianet)
Com suporte somente em regiões em que a solução de controle de alterações da Automação do Azure está disponível.
Dispositivos habilitados para o Azure Arc.
Consulte Regiões compatíveis com o espaço de trabalho vinculado do Log Analytics.
Saiba mais sobre o controle de alterações.
Contas da AWS conectadas

O que é o FIM no Defender para Nuvem?

O monitoramento de integridade de arquivo (FIM), também conhecido como monitoramento de alterações, examina os arquivos do sistema operacional, os registros do Windows, o software do aplicativo, os arquivos do sistema do Linux, entre outros, em busca de alterações que podem indicar um ataque.

O Defender para Nuvem recomenda entidades a serem monitoradas com o FIM; você também pode definir as próprias políticas ou entidades de FIM a serem monitoradas. O FIM informa qualquer atividade suspeita, como:

  • Criação ou remoção de chave de arquivo e registro
  • Modificações de arquivo (alterações de tamanho do arquivo, listas de controle de acesso e hash do conteúdo)
  • Modificações de registro (alterações de tamanho, listas de controle de acesso, tipo e conteúdo)

Neste tutorial, você aprenderá a:

  • Examinar a lista de entidades sugeridas para o monitoramento com o FIM
  • Definir suas próprias regras de FIM customizadas
  • Auditar alterações em suas entidades monitoradas
  • Usar caracteres curinga para simplificar o rastreamento em diretórios

Como o FIM funciona?

O agente de Log Analytics carrega dados para o espaço de trabalho Log Analytics. Ao comparar o estado atual desses itens com o estado durante a verificação anterior, o FIM alerta você quando modificações suspeitas são feitas.

O FIM usa a solução de Controle de Alterações do Azure para controlar e identificar as alterações em seu ambiente. Quando o monitoramento de integridade de arquivo está habilitado, você tem um recurso de controle de alterações do tipo Solução. Para obter detalhes sobre a frequência de coleta de dados, consulte Detalhes de coleta de dados do controle de alterações.

Observação

Se você remover o recurso de controle de alterações, o recurso de monitoramento de integridade de arquivo também será desabilitado no Defender para Nuvem.

Quais arquivos devo monitorar?

Considere os arquivos que são críticos para seu sistema e seus aplicativos ao escolher quais deles serão monitorados. Monitore os arquivos que você não espera que tenham alterações sem planejamento. Escolher arquivos que são alterados com frequência por aplicativos ou pelo sistema operacional (como arquivos de log e de texto) cria muito ruído, o que dificulta a identificação de um ataque.

O Defender para Nuvem fornece a seguinte lista de itens recomendados para monitoramento com base em padrões de ataque conhecidos.

Arquivos do Linux Arquivos do Windows Chaves de registro do Windows (HKLM = HKEY_LOCAL_MACHINE)
/bin/login C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/bin/passwd C:\boot.ini HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/*.conf C:\config.sys HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot
/usr/bin C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/usr/sbin C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
/bin C:\Windows\regedit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
/sbin C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
/boot C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/usr/local/bin C:\Program Files\Microsoft Security Client\msseces.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
/opt/bin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/opt/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/etc/init.d HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/cron.hourly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
/etc/cron.daily HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows
/etc/cron.weekly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
/etc/cron.monthly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Habilitar o monitoramento de integridade de arquivo

O FIM só está disponível para as páginas do Defender para Nuvem no portal do Azure. Atualmente, não há uma API REST para trabalhar com o FIM.

  1. Na área Proteção Avançada das Proteções de cargas de trabalho do painel, selecione Monitoramento de integridade de arquivo.

    Launching FIM.

    A página de configuração Monitoramento de integridade de arquivo é aberta.

    As informações a seguir são fornecidas para cada workspace:

    • Número total de alterações que ocorreram na última semana (você poderá ver um traço "-" se o FIM não estiver habilitado no workspace)
    • Número total de computadores e VMs se reportando para o workspace
    • Localização geográfica do workspace
    • Assinatura do Azure sob a qual o workspace está
  2. Use essa página para:

    • Acessar e exibir o status e as configurações de cada espaço de trabalho

    • Upgrade plan icon. Faça upgrade do workspace para usar recursos de segurança aprimorados. O ícone Indica que o workspace ou a assinatura não está protegido com o Microsoft Defender para Servidores. Para usar os recursos do FIM, sua assinatura precisa ser protegida por esse plano. Para saber mais, confira Recursos de segurança aprimorados do Microsoft Defender para Nuvem.

    • Enable icon Habilite o FIM em todos os computadores no espaço de trabalho e configure as opções do FIM. Este ícone Indica que o FIM não está habilitado para o espaço de trabalho.

      Enabling FIM for a specific workspace.

    Dica

    Se não houver nenhum botão de habilitação ou atualização e o espaço estiver em branco, o FIM já estará habilitado no espaço de trabalho.

  3. Selecione HABILITAR. São mostrados detalhes do espaço de trabalho, incluindo o número de computadores Windows e Linux nele.

    FIM workspace details page.

    As configurações recomendadas para Windows e Linux também são listadas. Expanda Arquivos do Windows, Registro e Arquivos do Linux para ver a lista completa de itens recomendados.

  4. Desmarque as caixas de seleção de todas as entidades recomendadas que você não deseja que sejam monitoradas pelo FIM.

  5. Selecione Aplicar o monitoramento de integridade de arquivo para habilitar o FIM.

Observação

Você pode alterar as configurações a qualquer momento. Consulte Editar entidades monitoradas abaixo para saber mais.

Auditar espaços de trabalho monitorados

O painel do Monitoramento de integridade de arquivo é exibido para workspaces em que o FIM está habilitado. O painel do FIM é aberto depois que você habilita o FIM em um espaço de trabalho ou quando seleciona na janela Monitoramento de integridade de arquivo um espaço de trabalho que já tenha o FIM habilitado.

The FIM dashboard and its various informational panels.

O painel do FIM para um espaço de trabalho exibe o seguinte:

  • Número total de computadores conectados ao workspace
  • Número total de alterações que ocorreram durante o período selecionado
  • Uma divisão do tipo de alteração (arquivos, Registro)
  • Uma divisão da categoria da alteração (modificado, adicionado, removido)

Selecione Filtrar na parte superior do painel para alterar o período para o qual as alterações são mostradas.

Time period filter for the FIM dashboard.

A guia Servidores lista os computadores que criam relatórios para esse espaço de trabalho. Para cada computador, o painel lista:

  • Total de alterações que ocorreram durante o período selecionado
  • Uma divisão do total de alterações como alterações de arquivo ou do Registro

Ao selecionar um computador, a consulta é exibida com os resultados que identificam as alterações feitas durante o período selecionado para ele. Você pode expandir uma alteração para obter mais informações.

Log Analytics query showing the changes identified by Microsoft Defender for Cloud's file integrity monitoring

A guia Alterações (mostrada abaixo) lista todas as alterações no workspace durante o período selecionado. Para cada entidade que foi alterado, o painel lista:

  • Computador em que a alteração ocorreu
  • Tipo de alteração (Registro ou arquivo)
  • Categoria da alteração (modificado, adicionado, removido)
  • Data e hora da alteração

Microsoft Defender for Cloud's file integrity monitoring changes tab

Detalhes da alteração abre quando você insere uma alteração no campo de pesquisa ou seleciona uma entidade listada na guia Alterações.

Microsoft Defender for Cloud's file integrity monitoring showing the details pane for a change

Editar entidades monitoradas

  1. No painel Monitoramento de integridade de arquivo de um espaço de trabalho, selecione Configurações na barra de ferramentas.

    Accessing the file integrity monitoring settings for a workspace.

    A configuração do espaço de trabalho é aberta com guias para cada tipo de elemento que pode ser monitorado:

    • Registro do Windows
    • Arquivos do Windows
    • Arquivos do Linux
    • Conteúdo do arquivo
    • Serviços Windows

    Cada guia lista as entidades que você pode editar nessa categoria. Para cada entidade listada, o Defender para Nuvem identifica se o FIM está habilitado (verdadeiro) ou não (falso). Edite a entidade para habilitar ou desabilitar o FIM.

    Workspace configuration for file integrity monitoring in Microsoft Defender for Cloud.

  2. Selecione uma entrada em uma das guias e edite qualquer um dos campos disponíveis no painel Editar para controlar as alterações. As opções incluem:

    • Habilitar (True) ou desabilitar (false) o monitoramento de integridade de arquivo
    • Fornecer ou alterar o nome da entidade
    • Fornecer ou alterar o valor ou o caminho
    • Excluir a entidade
  3. Descarte ou salve suas alterações.

Adicionar uma nova entidade a ser monitorada

  1. No painel Monitoramento de integridade de arquivo de um espaço de trabalho, selecione Configurações na barra de ferramentas.

    Isso abrirá Configuração do espaço de trabalho.

  2. Na Configuração do espaço de trabalho:

    1. Selecione a guia do tipo de entidade que você deseja adicionar: registro do Windows, arquivos do Windows, arquivos do Linux, conteúdo de arquivo ou serviços do Windows.

    2. Selecione Adicionar.

      Neste exemplo, selecionamos Arquivos do Linux.

      Adding an element to monitor in Microsoft Defender for Cloud's file integrity monitoring

  3. Selecione Adicionar. Adicionar para Controle de Alterações é aberto.

  4. Insira as informações necessárias e selecione Salvar.

Pasta e o caminho de monitoramento usando caracteres curinga

Use caracteres curinga para simplificar o rastreamento em diretórios. As seguintes regras se aplicam quando você configura o monitoramento de pasta usando caracteres curinga:

  • Caracteres curinga são necessários para acompanhar vários arquivos.
  • Caracteres curinga só podem ser usados no último segmento de um caminho, como C:\folder\file ou /etc/*.conf
  • Se uma variável de ambiente incluir um caminho que não é válido, a validação terá êxito, mas o caminho falhará quando o inventário for executado.
  • Ao definir o caminho, evite caminhos gerais, como c:*.* que resultarão em muitas pastas sendo percorridas.

Desabilitar o FIM

Você pode desabilitar o FIM. O FIM usa a solução de Controle de Alterações do Azure para controlar e identificar as alterações em seu ambiente. Desabilitando o FIM, você pode remover a solução de Controle de Alterações do workspace selecionado.

Para desabilitar o FIM:

  1. No painel Monitoramento de integridade de arquivo de um espaço de trabalho, selecione Desabilitar.

    Disable file integrity monitoring from the settings page.

  2. Selecione Remover.

Próximas etapas

Neste artigo, você aprendeu a usar o FIM (monitoramento de integridade de arquivo) no Defender para Nuvem. Para saber mais sobre o Defender para Nuvem, confira as seguintes páginas: