你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 的 Defender for Servers Plan 2 中的文件完整性监控功能会扫描操作系统文件、Windows 注册表、应用程序软件和 Linux 系统文件。 它会分析这些文件,查找可能表明遭受攻击的更改。
文件完整性监视功能可帮助:
- 满足符合性要求。 法规合规性标准(如 PCI-DSS 和 ISO 17799)通常需要文件完整性监视。
- 通过检测对文件的可疑更改来改善安全状况和识别潜在的安全问题。
监视可疑活动
文件完整性监视功能会检查操作系统文件、Windows 注册表、应用程序软件和 Linux 系统文件,以检测可疑活动,例如:
- 创建或删除文件和注册表项。
- 修改文件,如更改文件大小、访问控制列表和内容哈希。
- 修改注册表,如更改大小、访问控制列表、类型和内容。
数据收集
文件完整性监控使用 Microsoft Defender for Endpoint 代理和无代理扫描技术,从计算机中收集数据。
- 针对文件和注册表更改分析了 Defender for Endpoint 代理和无代理扫描收集的数据,并存储更改日志,以便在 Log Analytics 工作区中访问和分析。
- Defender for Endpoint 代理根据为文件完整性监视功能定义的文件和资源从计算机收集数据。 Defender for Endpoint 所收集的更改事件将在近实时流式传输到您所选择的工作区。
- 无代理扫描 根据为文件完整性监视定义的文件和资源,深入了解文件完整性监视事件。 通过无代理扫描收集的更改事件按 24 小时节奏流式传输到所选工作区。
- 收集的文件完整性监视数据是 Defender for Servers 计划 2 中包含的 500 MB 权益的一部分。
- 文件完整性监视提供有关文件和资源更改的信息。 它包括更改的来源、帐户详细信息、更改者指示以及有关发起过程的信息。
迁移到新版本
文件完整性监视之前使用 Log Analytics 代理(也称为 Microsoft 监视代理 (MMA)) 或 Azure Monitor 代理 (AMA) 来收集数据。 如果对这些旧方法之一使用文件完整性监视,则可以迁移文件完整性监视以使用 Defender for Endpoint。
配置文件完整性监视
启用 Defender for Servers 计划 2 后,启用和配置文件完整性监视。 它默认不启用。
- 选择要在其中存储受监视文件/资源的更改事件的 Log Analytics 工作区。 可以使用现有工作区,也可以定义一个新工作区。
- Defender for Cloud 建议使用文件完整性监视来监视资源。 使用无代理扫描,除了建议的资源外,还可以定义用于监视的自定义路径。
选择要监视的内容
Defender for Cloud 建议使用文件完整性监视来监视实体。 你可以从建议中选择项。 选择要监视的文件时:
- 考虑对系统和应用程序至关重要的文件。
- 监视预期不会在计划外发生更改的文件。
- 选择应用程序或操作系统经常更改的文件(例如日志文件和文本文件)会产生干扰,使攻击难以识别。
- 监视文件夹
/folder/path/*中的全部文件。
注释
可应用的最大规则数为 500。
要监视的建议项
将文件完整性监视功能与 Defender for Endpoint 代理配合使用时,建议根据已知的攻击模式监视这些项目。
| Linux 文件 | Windows 文件 | Windows 注册表项 (HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe |
密钥:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 值:loadappinit_dlls、appinit_dlls、iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe |
密钥:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 值:common startup、startup |
| /etc/cron.daily | C:\autoexec.bat |
密钥:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell 文件夹 值:common startup、startup |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab |
密钥:HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows 值:appinit_dlls、loadappinit_dlls |
|
| /etc/init.d |
密钥:HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell 文件夹 值:common startup、startup |
|
| /opt/sbin |
密钥:HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell 文件夹 值:common startup、startup |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
自定义规则
可以创建自定义规则来监视特定文件或文件夹,前提是它们满足以下验证条件:
路径中最多允许有三个星号
*(最大深度)。 仅允许在路径段的开头或末尾使用通配符(*)。带有三个星号的路径不能以
/或\结尾。Windows 注册表路径必须以
HKLM或hklm开头,并且只能包含字母、数字、空格、_、.、\、:。 仅允许在路径段的开头或末尾使用通配符(*)。Windows 文件路径只能包含字母、数字、空格、
_、.\、*和?:不能包含/。 仅允许在路径段的开头或末尾使用通配符(*)。Linux 文件路径必须是绝对路径(以
/开头),并且只能包含字母、数字、空格、_、.、、/、*。:仅允许在路径段的开头或末尾使用通配符(*)。所有路径必须符合系统的最大路径长度(260 个字符)和最大深度(三个星号)规则。
规则定义验证
规则名称是必填项。
规则名称必须仅包含字母(a-z,A-Z)、数字(0-9)和下划线(_),最多可包含 128 个字符。
规则名称和规则 ID 必须是唯一的。
规则说明是可选项。 提供的说明需要满足以下条件:
- 最大长度为 260 个字符。
- 允许的字符:
letters、digits和? ! ) ( . ,。
必须选择至少一种变更类型(来自变更管理和文档请求 (CMDR))。
每个订阅支持 1 到 500 条自定义规则。