Dateiintegritätsüberwachung
Die Funktion zur Überwachung der Dateiintegrität in Microsoft Defender for Cloud trägt zur Sicherheit von Unternehmensressourcen bei, indem sie Betriebssystemdateien, Windows-Registrierungsdaten, Anwendungssoftware und Linux-Systemdateien auf Änderungen überprüft, die auf einen Angriff hindeuten könnten. Die Dateiintegritätsüberwachung hilft Ihnen bei:
- Konformitätsvorgaben einhalten. Die Dateiintegritätsüberwachung wird häufig von Standards zur Einhaltung gesetzlicher Vorschriften wie PCI-DSS und ISO 17799 gefordert.
- Verbessern Sie den Status und erkennen Sie potenzielle Sicherheitsprobleme, indem Sie verdächtige Änderungen an Dateien erkennen.
Überwachen verdächtiger Aktivitäten
Die Überwachung der Dateiintegrität untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware und Linux-Systemdateien, um verdächtige Aktivität zu erkennen, wie z. B.:
- Erstellen und Löschen von Dateien und Registrierungsschlüsseln.
- Änderungen an Dateien, wie z. B. an der Dateigröße, der Zugriffssteuerungsliste und dem Hash des Inhalts.
- Änderungen an Registrierungen, wie z. B. Zugriffssteuerungslisten, Typ und Inhalt.
Datensammlung
Die Dateiintegritätsüberwachung verwendet den Microsoft Defender for Endpoint-Agenten, um Daten von Computern zu sammeln.
- Der Defender for Endpoint-Agent sammelt Daten von Computern gemäß den für die Dateiintegritätsüberwachung definierten Dateien und Ressourcen.
- Die vom Defender for Endpoint-Agenten gesammelten Daten werden für den Zugriff und die Analyse in einem Log Analytics-Arbeitsbereich gespeichert.
- Die gesammelten Daten zur Überwachung der Dateiintegrität sind Teil des 500-MB-Vorteils, der im Defender for Servers Plan 2 enthalten ist.
- Die Dateiintegritätsüberwachung liefert Details über die Datei-/Ressourcenänderung, einschließlich der Quelle der Änderung, Kontodetails, Angaben darüber, wer die Änderungen vorgenommen hat, und Informationen über den auslösenden Prozess.
Migrieren zur neuen Auflistungsmethode
Führen Sie die Schritte aus, um die Dateiintegritätsüberwachung von der Verwendung der MMA zur Verwendung des Defender for Endpunkt-Agenten zu migrieren.
Konfigurieren der Überwachung der Dateiintegrität
Nachdem Sie den Defender for Servers Plan 2 aktiviert haben, aktivieren und konfigurieren Sie die Dateiintegritätsüberwachung. Die Aktivierung erfolgt nicht standardmäßig.
- Sie wählen einen Log Analytics-Arbeitsbereich aus, in dem Änderungsereignisse für überwachte Dateien/Ressourcen gespeichert werden. Sie können einen bestehenden Arbeitsbereich nutzen oder einen neuen festlegen.
- Defender for Cloud empfiehlt Ressourcen, die mit der Dateiintegritätsüberwachung überwacht werden sollten, und Sie können zusätzliche Überwachungen anpassen.
- Nachdem Sie einen Arbeitsbereich ausgewählt haben, überprüfen und passen Sie an, was Sie überwachen möchten. Defender for Cloud empfiehlt Ressourcen, die standardmäßig in die Liste zur Überwachung der Dateiintegrität aufgenommen werden sollten, und Sie können Ihre eigenen festlegen.
Zu überwachende Elemente auswählen
Defender for Cloud empfiehlt, Entitäten mit Dateiintegritätsüberwachung zu überwachen, und Sie können Ihre eigenen Entitäten festlegen. Bei der Auswahl der zu überwachenden Dateien:
- Berücksichtigen Sie die Dateien, die für Ihr System und Ihre Anwendungen unentbehrlich sind.
- Überwachen Sie Dateien, bei denen Sie keine ungeplanten Änderungen erwarten.
- Wenn Sie Dateien auswählen, die von Anwendungen oder vom Betriebssystem häufig geändert werden (z. B. Protokoll- und Textdateien), werden viele überflüssige Meldungen generiert, die das Identifizieren eines Angriffs erschweren.
Empfohlene zu überwachende Elemente
Bei der Verwendung der Dateiintegritätsüberwachung mit dem Defender for Endpoint-Agenten empfehlen wir, diese Elemente anhand bekannter Angriffsmuster zu überwachen.
| Linux-Dateien | Windows-Dateien | Windows-Registrierungsschlüssel (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| bin/ | C:\config.sys | SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /etc/*.conf | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
| /etc/cron.daily | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows\ | |
| /etc/init.d | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
| /opt/sbin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | |
| /sbin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /bin/login | ||
| /opt/bin |
Nächste Schritte
Aktivieren der Dateiintegritätsüberwachung mit Defender for Endpoint