使用 Log Analytics 代理程式進行檔案完整性監視
為提供檔案完整性監視 (FIM),Log Analytics 代理程式會將資料上傳至 Log Analytics 工作區。 比較這些項目的目前狀態與上一次掃描期間的狀態,FIM 就會向您通知是否有可疑的修改。
注意
由於 Log Analytics 代理程式 (也稱為 MMA) 設定為在 2024 年 8 月淘汰,目前相依於該代理程式的所有適用於伺服器的 Defender 功能,包括此頁面上所述的功能,在淘汰日期之前都可以透過適用於端點的 Microsoft Defender 整合或無代理程式掃描取用。 如需目前依賴 Log Analytics 代理程式的每個功能藍圖詳細資訊,請參閱此公告。
在本文中,您將學會如何:
注意
檔案完整性監視可能會在受監視的 SQL Server 上建立下列帳戶:NT Service\HealthService
如果您刪除帳戶,系統會自動重新建立帳戶。
可用性
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 公開上市 (GA) |
| 定價: | 需要適用於伺服器的 Microsoft Defender 方案 2。 使用 Log Analytics 代理程式,FIM 會將資料上傳至 Log Analytics 工作區。 根據您上傳的資料量,需要支付資料費用。 請參閱 Log Analytics 定價以深入了解。 |
| 必要的角色和權限: | 「工作區擁有者」可以啟用/停用 FIM (如需詳細資訊,請參閱 Log Analytics 的 Azure 角色)。 「讀者」可以檢視結果。 |
| 雲端: |  商業雲端 國家 (Azure Government、由 21Vianet 營運的 Microsoft Azure)僅支援可使用 Azure 自動化變更追蹤解決方案的區域。 已啟用 Azure Arc 的裝置。請參閱已連結 Log Analytics 工作區的支援區域。 深入了解變更追蹤。 已連線的 AWS 帳戶 |
使用 Log Analytics 代理程式啟用檔案完整性監視
FIM 只能從 Azure 入口網站中適用於雲端的 Defender 頁面取得。 目前沒有可使用 FIM 的 REST API。
從 [工作負載保護] 儀表板的 [進階保護] 區域中,選取 [檔案完整性監視]。
每個工作區會提供下列資訊:
- 過去一週發生的變更總數 (如果工作區上未啟用 FIM,您可能會看到虛線 "-")
- 向工作區報告的電腦和 VM 總數
- 工作區的地理位置
- 工作區依據的 Azure 訂用帳戶
使用此頁面以:
存取和檢視每個工作區的狀態和設定
升級工作區,以使用增強的安全性功能。 此圖示指出工作區或訂用帳戶未受到適用於伺服器的 Microsoft Defender 的保護。 若要使用 FIM 功能,您的訂用帳戶必須受到此方案的保護。 了解如何啟用適用於伺服器的 Defender。
在工作區下的所有電腦上啟用 FIM,並設定 FIM 選項。 此圖示指出工作區未啟用 FIM。 如果沒有 [啟用] 或 [升級] 按鈕,而且空間是空白的,則表示已在工作區上啟用 FIM。
選取 [啟用]。 工作區的詳細資料隨即顯示,包括工作區下的 Windows 和 Linux 電腦數目。
也會列出 Windows 和 Linux 的建議設定。 展開 [Windows 檔案]、[登錄] 和 [Linux 檔案],以查看完整的建議項目清單。
清除您不想受 FIM 監視之任何建議實體的核取方塊。
選取 [Apply file integrity monitoring] \(套用檔案完整性監視\) 以啟用 FIM。
您可以隨時變更設定。 深入了解編輯受監視的實體。
停用檔案完整性監視
FIM 使用 Azure 變更追蹤解決方案來追蹤及識別您環境中的變更。 您可以停用 FIM,從所選工作區移除變更追蹤解決方案。
若要停用 FIM:
從工作區的 [檔案完整性監視儀表板] 中,選取 [停用]。
選取 [移除]。
監視工作區、實體和檔案
稽核受監視的工作區
啟用 FIM 的工作區會顯示 [檔案完整性監視] 儀表板。 當您啟用工作區上的 FIM 之後,或在 [檔案完整性監視] 視窗中選取已啟用 FIM 的工作區時,會開啟 FIM 儀表板。
工作區的 FIM 儀表板會顯示下列詳細資料:
- 連線到工作區的電腦總數
- 所選時段內發生的變更總數
- 變更類型的細目 (檔案、登錄)
- 變更類別的細目 (已修改、已新增、已移除)
選取儀表板頂端的 [篩選],以變更顯示變更的時間週期。
[伺服器] 索引標籤會列出向此工作區報告的電腦。 針對每部電腦,儀表板會列出:
- 所選時段內發生的變更總計
- 檔案變更或登錄變更時的變更總計細目
當您選取電腦時,查詢會與結果一起顯示,以識別在所選時段期間對電腦所做的變更。 您可以展開某項變更,以取得詳細資訊。
[變更] 索引標籤 (如下所示) 會列出工作區在所選時段內的所有變更。 針對已變更的每個實體,儀表板會列出:
- 發生變更的電腦
- 變更的類型 (登錄或檔案)
- 變更的類別 (已修改、已新增、已移除)
- 變更的日期和時間
當您在搜尋欄位中輸入變更,或選取 [變更] 索引標籤下所列的實體時,[變更詳細資料] 會隨即開啟。
編輯受監視的實體
從工作區的 [檔案完整性監視儀表板] 中,從工具列中選取 [設定]。
[工作區設定]隨即開啟,其中包含所有可監視元素類型的索引標籤:
- Windows 登錄
- Windows 檔案
- Linux 檔案
- 檔案內容
- Windows 服務
每個索引標籤會列出您可以在該類別中編輯的實體。 針對每個列出的實體,適用於雲端的 Defender 會識別已啟用 (True) 還是未啟用 (False) FIM。 編輯實體,以啟用或停用 FIM。
從其中一個索引標籤中選取項目,然後編輯 [編輯以進行變更追蹤] 窗格中的任何可用欄位。 這些選項包括:
- 啟用 (True) 或停用 (False) 的檔案完整性監視
- 提供或變更實體名稱
- 提供或變更值或路徑
- 刪除實體
捨棄或儲存您的變更。
新增要監視的實體
從工作區的 [檔案完整性監視儀表板] 中,從工具列中選取 [設定]。
[工作區設定] 隨即開啟。
在 [工作區組態] 上:
選取您想要新增之實體類型的索引標籤:Windows 登錄、Windows 檔案、Linux 檔案、檔案內容或 Windows 服務。
選取 [新增]。
在此範例中,已選取 [Linux 檔案]。
選取 [新增]。 [Add for Change Tracking] \(新增變更追蹤項目\) 會隨即開啟。
輸入必要資訊並選取儲存。
使用萬用字元監視資料夾和路徑
您可以使用萬用字元來簡化跨目錄的追蹤。 當您使用萬用字元設定資料夾監視時,適用下列規則:
- 需要萬用字元才能追蹤多個檔案。
- 萬用字元只能在路徑的最後一個部分使用,例如
C:\folder\file或/etc/*.conf - 如果環境變數包含無效的路徑,驗證就會成功,但清查執行時路徑會失敗。
- 設定路徑時,請避免使用一般路徑 (例如
c:\*.*),因為這會導致過多的資料夾周遊。
使用檔案完整性監視比較基準
檔案完整性監視 (FIM) 會在資源中的敏感性區域發生變更時通知您,因此您可以調查並解決未經授權的活動。 FIM 會監視 Windows 檔案、Windows 登錄和 Linux 檔案。
啟用內建遞迴登錄檢查
FIM 登錄區預設值提供方便的方式,可監視常見安全性區域內的遞迴變更。 例如,敵人可以藉由在啟動或關機時設定執行,將指令碼設定為在 LOCAL_SYSTEM 內容中執行。 若要監視此類型的變更,請啟用內建檢查。
注意
遞迴檢查僅適用於建議的安全性登錄區,不適用於自訂登錄路徑。
新增自訂登錄檢查
FIM 基準首先會識別作業系統和支援應用程式已知良好狀態的特性。 在此範例中,我們將著重於 Windows Server 2008 和更新版本的密碼原則設定。
| 原則名稱 | 登錄設定 |
|---|---|
| 網域控制站: 拒絕電腦帳戶密碼變更 | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RefusePasswordChange |
| 網域成員: 安全通道資料加以數位加密或簽章 (自動) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal |
| 網域成員: 安全通道資料加以數位加密 (可能的話) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel |
| 網域成員: 安全通道資料加以數位簽章 (自動) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel |
| 網域成員: 停用電腦帳戶密碼變更 | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange |
| 網域成員: 最長電腦帳戶密碼有效期 | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge |
| 網域成員: 要求增強式 (Windows 2000 或更新) 工作階段金鑰 | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey |
| 網路安全性: 限制 NTLM: 這個網域中的 NTLM 驗證 | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain |
| 網路安全性: 限制 NTLM: 新增這個網域的伺服器例外 | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers |
| 網路安全性: 限制 NTLM: 稽核這個網域的 NTLM 驗證 | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain |
注意
若要深入了解各種作業系統版本支援的登錄設定,請參閱群組原則設定參考試算表 (英文)。
若要設定 FIM 以監視登錄基準:
在 [新增 Windows 登錄以進行變更追蹤] 視窗中,選取 [Windows 登錄機碼] 文字方塊。
輸入下列登錄機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
追蹤 Windows 檔案的變更
在 [新增 Windows 檔案以進行變更追蹤] 視窗中,於 [輸入路徑] 文字輸入框中,輸入包含您要追蹤之檔案的資料夾。在下圖的範例中,Contoso Web 應用程式位於 D:\ 磁碟機的 ContosWebApp 資料夾結構中。
提供設定類別的名稱、啟用遞迴,以及使用萬用字元 (*) 尾碼指定頂端資料夾,以建立自訂 Windows 檔案項目。
擷取變更資料
檔案完整性監視資料位於 Azure Log Analytics/ConfigurationChange 資料表集合中。
設定時間範圍,以依資源擷取變更的摘要。
在下列範例中,我們會擷取登錄和檔案類別中過去 14 天內的所有變更:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeType若要檢視登錄變更的詳細資料:
- 從 where 子句中移除 [檔案]。
- 移除摘要行,並以排序子句將其取代:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry') | order by Computer, RegistryKey
報表可以匯出至 CSV,以供封存和/或通道傳送至 Power BI 報表。
下一步
在以下位置深入了解適用於雲端的 Defender:
- 設定安全性原則 - 了解如何為您的 Azure 訂用帳戶及資源群組設定安全性原則。
- 管理安全性建議 - 了解建議如何協助保護您的 Azure 資源。
- Azure 安全性部落格:取得最新的 Azure 安全性新聞和資訊。