Monitorização de Integridade de Ficheiros no Microsoft Defender para Cloud
O Monitoramento de Integridade de Arquivos (FIM) examina arquivos do sistema operacional, registros do Windows, software de aplicativo e arquivos do sistema Linux em busca de alterações que possam indicar um ataque.
O FIM (monitoramento de integridade de arquivos) usa a solução de Controle de Alterações do Azure para controlar e identificar alterações em seu ambiente. Quando o FIM está habilitado, você tem um recurso de controle de alterações do tipo Solução. Se você remover o recurso Controle de Alterações , também desativará o recurso Monitoramento da Integridade de Arquivos no Defender for Cloud. O FIM permite-lhe tirar partido do Controlo de Alterações diretamente no Defender for Cloud. Para obter detalhes sobre a frequência de coleta de dados, consulte Detalhes da coleta de dados de controle de alterações.
O Defender for Cloud recomenda entidades para monitorar com FIM, e você também pode definir suas próprias políticas de FIM ou entidades para monitorar. A FIM informa-o sobre atividades suspeitas, tais como:
- Criação ou remoção de ficheiros e chaves de registo
- Modificações de ficheiros (alterações ao tamanho do ficheiro, listas de controlo de acesso e hash do conteúdo)
- Modificações do Registro (alterações no tamanho, listas de controle de acesso, tipo e conteúdo)
Muitas normas de conformidade regulatória exigem a implementação de controles FIM, como PCI-DSS e ISO 17799.
Que ficheiros devo monitorizar?
Ao escolher quais arquivos monitorar, considere os arquivos que são críticos para seu sistema e aplicativos. Monitore arquivos que você não espera alterar sem planejamento. Se você escolher arquivos que são frequentemente alterados por aplicativos ou sistema operacional (como arquivos de log e arquivos de texto), isso criará ruído, dificultando a identificação de um ataque.
O Defender for Cloud fornece a seguinte lista de itens recomendados para monitorar com base em padrões de ataque conhecidos.
| Arquivos Linux | Ficheiros do Windows | Chaves de registo do Windows (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} |
| /bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
| /etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
| /usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| /caixote do lixo | C:\Windows\regedit.exe | Pastas HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell |
| /sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Pastas |
| /boot | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /usr/local/bin | C:\Arquivos de Programas\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
| /opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
| /opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
| /etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
| /etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
| /etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
| /etc/cron.diário | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
| /etc/cron.semanal | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
| /etc/cron.monthly | Pastas HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell | |
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Pastas | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
| HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
| HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Próximos passos
Neste artigo, você aprendeu sobre o monitoramento de integridade de arquivos (FIM) no Defender for Cloud.
Em seguida, você pode: