Condividi tramite

Abilita il monitoraggio dell'integrità dei file

  • Articolo

In Defender per server piano 1 in Microsoft Defender per il cloud, la funzionalità di monitoraggio dell'integrità dei file offre visibilità sulle modifiche del computer esaminando i file del sistema operativo, i registri di Windows, il software dell'applicazione e i file di sistema Linux per rilevare attività di manomissione sospette, ad esempio modifiche al file e al Registro di sistema.

Dopo aver abilitato Defender per server piano 2, questo articolo descrive come configurare il monitoraggio dell'integrità dei file usando l'agente Microsoft Defender per endpoint per raccogliere i dati.

Nota

  • Se si usa il metodo deprecato precedente della raccolta dati usando l'agente di Log Analytics, eseguire la migrazione alla nuova esperienza di monitoraggio dell'integrità dei file che usa l'agente defender per endpoint.
  • A partire da giugno 2025, il monitoraggio dell'integrità dei file richiede una versione minima del client defender per endpoint.
    • Windows: 10.8760
    • Linux: 30.124082

Prerequisiti

  • Defender per server Piano 2 deve essere abilitato.
  • L'agente di Defender per endpoint deve essere installato nei computer da monitorare.
  • Per abilitare e disabilitare il monitoraggio dell'integrità dei file, sono necessarie autorizzazioni di proprietario dell'area di lavoro o amministratore della sicurezza. Le autorizzazioni di lettura possono visualizzare i risultati.
  • Il monitoraggio dell'integrità dei file con Defender per endpoint è supportato per macchine virtuali di Azure, macchine virtuali abilitate per Azure Arc, account AWS connessi e progetti GCP.
  • Per indicazioni sui file da monitorare, vedere Quali file monitorare?

Verificare il client di Defender per endpoint

Il computer deve eseguire La versione client di Defender per endpoint: - Windows: 10.8760 - Linux: 30.124082

  1. Per assicurarsi di avere la versione più recente nei computer che eseguono Windows Server 2019 o versione successiva, vedere gli aggiornamenti più recenti di Windows. Altre informazioni sull'uso del servizio Windows Server Update per installare i computer su larga scala.
  2. Per aggiornare l'agente di Microsoft Defender per endpoint in Windows Server 2016 e Windows Server 2012 R2 o 2016, installare tramite kb 5005292 nel catalogo di Microsoft Update.
  3. I computer Linux vengono aggiornati automaticamente quando il provisioning automatico di Defender per endpoint è abilitato in Defender per il cloud. È anche possibile aggiornare manualmente.

Abilitare Monitoraggio dell'integrità dei file

  1. Accedere al portale di Azure.

  2. Cercare e selezionare Microsoft Defender per il cloud.

  3. Scegliere Impostazioni ambiente dal menu di Defender per il cloud.

  4. Selezionare la sottoscrizione pertinente.

  5. Individuare il Piano Defender per server e selezionare Impostazioni.

  6. Nella sezione Monitoraggio dell'integrità dei fie impostare l'interruttore su . Selezionare Modifica configurazione.

    Screenshot di come abilitare monitoraggio dell'integrità dei file.

  7. Viene aperto il riquadro di configurazione della rete FIM. Nell'elenco a discesa Selezione area di lavoro selezionare l'area di lavoro in cui archiviare i dati di monitoraggio dell'integrità dei file. Se si vuole creare una nuova area di lavoro, selezionare Crea nuovo.

    Screenshot del riquadro di configurazione del monitoraggio dell'integrità dei file.

    Importante

    Gli eventi raccolti per il monitoraggio dell'integrità dei file sono inclusi nei tipi di dati idonei per il vantaggio 500 MB per i clienti di Defender per server piano 2.

  8. Nella sezione inferiore del riquadro di configurazione FIM selezionare le schede Registro di sistema di Windows, File di Windows e File Linux per scegliere i file e i registri da monitorare. Se si sceglie la selezione superiore in ogni scheda, vengono monitorati tutti i file e i registri. Selezionare Applica per salvare le modifiche.

    Screenshot delle schede di configurazione di monitoraggio dell'integrità dei file.

  9. Seleziona Continua.

  10. Seleziona Salva.

Disabilitare il monitoraggio dell'integrità dei file

Se si disabilita il monitoraggio dell'integrità dei file, non vengono raccolti nuovi eventi. Tuttavia, i dati raccolti prima della disabilitazione della funzionalità rimangono nell'area di lavoro Log Analytics, in base ai criteri di conservazione dell'area di lavoro.

Disabilitare come indicato di seguito:

  1. Accedere al portale di Azure.

  2. Cercare e selezionare Microsoft Defender per il cloud.

  3. Scegliere Impostazioni ambiente dal menu di Defender per il cloud.

  4. Selezionare la sottoscrizione pertinente.

  5. Individuare il Piano Defender per server e selezionare Impostazioni.

  6. Nella sezione Monitoraggio dell'integrità dei fie impostare l'interruttore su No.

    Screenshot di come disabilitare monitoraggio dell'integrità dei file.

  7. Selezionare Applica.

  8. Seleziona Continua.

  9. Seleziona Salva.

Passaggi successivi

Esaminare le modifiche nel monitoraggio dell'integrità dei file.