Monitoraggio dell'integrità dei file
La funzionalità di monitoraggio dell'integrità dei file in Microsoft Defender per il cloud consente di proteggere asset e risorse aziendali analizzando e analizzando i file del sistema operativo, i registri windows, il software dell'applicazione e i file di sistema Linux per le modifiche che potrebbero indicare un attacco. Il monitoraggio dell'integrità dei file consente di:
- Soddisfano i requisiti di conformità. Il monitoraggio dell'integrità dei file è spesso richiesto dagli standard di conformità alle normative, ad esempio PCI-DSS e ISO 17799.
- Migliorare il comportamento e identificare potenziali problemi di sicurezza rilevando modifiche sospette ai file.
Monitorare le attività sospette
Il monitoraggio dell'integrità dei file esamina i file del sistema operativo, i registri Windows, il software dell'applicazione e i file di sistema Linux per rilevare attività sospette, ad esempio:
- Creazione o eliminazione di chiavi del file e del Registro di sistema.
- Modifiche ai file, ad esempio modifiche alle dimensioni del file, agli elenchi di controllo di accesso e all'hash del contenuto.
- Modifiche del Registro di sistema, ad esempio modifiche di dimensioni, elenchi di controllo di accesso, tipo e contenuto.
Raccolta dati
Il monitoraggio dell'integrità dei file usa l'agente Microsoft Defender per endpoint per raccogliere dati dai computer.
- L'agente di Defender per endpoint raccoglie i dati dai computer in base ai file e alle risorse definiti per il monitoraggio dell'integrità dei file.
- I dati raccolti dall'agente di Defender per endpoint vengono archiviati per l'accesso e l'analisi in un'area di lavoro Log Analytics.
- I dati di monitoraggio dell'integrità dei file raccolti fanno parte del vantaggio 500 MB incluso in Defender per server piano 2.
- Il monitoraggio dell'integrità dei file fornisce informazioni dettagliate sulla modifica di file/risorse, tra cui l'origine della modifica, i dettagli dell'account, l'indicazione di chi ha apportato le modifiche e informazioni sul processo di avvio.
Eseguire la migrazione al nuovo metodo di raccolta
Seguire la procedura per eseguire la migrazione del monitoraggio dell'integrità dei file dall'uso di MMA all'uso dell'agente di Defender per endpoint.
Configurare il monitoraggio dell’integrità dei file
Dopo aver abilitato Defender per server piano 2, abilitare e configurare il monitoraggio dell'integrità dei file. Non è abilitato per impostazione predefinita.
- Selezionare un'area di lavoro Log Analytics in cui archiviare gli eventi di modifica per file/risorse monitorati. È possibile usare un'area di lavoro esistente o definirne una nuova.
- Defender per il cloud consiglia di monitorare le risorse con il monitoraggio dell'integrità dei file ed è possibile personalizzare un monitoraggio aggiuntivo.
- Dopo aver selezionato un'area di lavoro, rivedere e personalizzare gli elementi da monitorare. Defender per il cloud consiglia di includere le risorse per impostazione predefinita nell'elenco di monitoraggio dell'integrità dei file ed è possibile definire le proprie risorse.
Scegliere cosa monitorare
Defender per il cloud consiglia alle entità di monitorare con il monitoraggio dell'integrità dei file ed è possibile definire entità personalizzate. Quando si scelgono i file da monitorare:
- Prendere in considerazione i file critici per il sistema e le applicazioni.
- Monitorare i file che non si prevede di modificare senza pianificazione.
- Se si scelgono file che vengono modificati frequentemente dalle applicazioni o dal sistema operativo (ad esempio file di log e file di testo) creerà rumore, rendendo difficile identificare un attacco.
Elementi consigliati da monitorare
Quando si usa il monitoraggio dell'integrità dei file con l'agente Defender for Endpoing, è consigliabile monitorare questi elementi in base a modelli di attacco noti.
| File di Linux | File di Windows | Chiavi del Registro di sistema di Windows (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| bin/ | C:\config.sys | SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /Boot | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /etc/*.conf | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
| /etc/cron.daily | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows\ | |
| /etc/init.d | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
| /opt/sbin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | |
| /sbin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /bin/login | ||
| /opt/bin |
Passaggi successivi
Abilitare il monitoraggio dell'integrità dei file con Defender per endpoint)