다음을 통해 공유

파일 무결성 모니터링의 변경 내용 검토

  • 아티클

클라우드용 Microsoft Defender Defender for Servers 계획 2에서 파일 무결성 모니터링 기능은 파일을 검색 및 분석하고 현재 상태를 이전 검사와 비교하여 엔터프라이즈 자산 및 리소스를 안전하게 유지하는 데 도움이 됩니다.

파일 무결성 모니터링은 엔드포인트용 Microsoft Defender 에이전트를 사용하여 수집 규칙에 따라 컴퓨터에서 데이터를 수집합니다. 엔드포인트용 Defender는 기본적으로 클라우드용 Defender 통합됩니다.

참고 항목

이전 데이터 수집 방법은 Log Analytics 에이전트(MMA(Microsoft Monitoring Agent)라고도 함)를 사용합니다. MMA 사용에 대한 지원은 2024년 11월에 종료됩니다.

이 문서에서는 파일 변경 내용을 검토하는 방법을 보여줍니다.

필수 조건

  • 서버용 Defender 계획 2를 사용하도록 설정해야 합니다.
  • 엔드포인트용 Defender 에이전트 를 사용한 파일 무결성 모니터링을 사용하도록 설정해야 합니다. 사용하도록 설정되지 않은 경우 이 메시지가 나타납니다 . 파일 무결성 모니터링을 사용할 수 없습니다. 등록 구독을 선택하고 기능을 사용하도록 설정하려면

엔터티 및 파일 모니터링

다음과 같은 단계를 수행하여 엔터티 및 파일을 모니터링합니다.

  1. 클라우드용 Defender 사이드바에서 워크로드 보호>파일 무결성 모니터링으로 이동합니다.

    이 스크린샷은 워크로드 보호에서 파일 무결성 모니터링에 액세스하는 방법을 보여 줍니다.

  2. 변경된 파일 및 레지스트리가 추적된 모든 리소스를 포함하는 창이 열립니다.

    이 스크린샷은 파일 무결성 모니터링 결과를 보여 줍니다.

  3. 리소스를 선택하면, 해당 리소스의 추적된 파일 및 레지스트리에 관한 변경 내용을 표시하는 쿼리를 포함하는 창이 열립니다.

    이 스크린샷은 파일 무결성 모니터링 쿼리를 보여 줍니다.

  4. 해당 구독에서 추적된 모든 파일 및 레지스트리가 포함된 쿼리가 열려면, 리소스의 구독(구독 이름 열 아래)을 선택합니다.

참고 항목

MMA를 통한 파일 무결성 모니터링을 이전에 사용한 경우, 해당 메서드로 돌아가기 위해 이전 환경으로 변경을 선택할 수 있습니다. 이는 더 이상 MMA를 통한 FIM 기능이 사용되지 않을 때까지 사용 가능합니다. 로그 분석 에이전트 사용 중지 준비를 참조하여 사용 중단 계획에 대한 자세한 내용을 확인하세요.

파일 무결성 모니터링 데이터 검색 및 분석

MDCFileIntegrityMonitoringEvents 테이블의 Azure 로그 분석 작업 공간 내에 파일 무결성 모니터링 데이터가 있습니다.

  1. 리소스별로 변경 내용의 요약을 검색할 시간 범위를 설정합니다. 다음의 예시에서는 지난 14일 동안의 모든 변경 사항을 레지스트리 및 파일 범주에서 검색합니다.

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

  2. 다음을 수행하여 레지스트리 변경 내용에 관한 자세한 정보를 확인합니다.

    1. where 절에서 Files을(를) 제거하세요.

    2. 요약 줄을 순서 절로 바꾸세요.

    MDCFileIntegrityMonitoringEvents  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType == 'Registry'  
| order by Computer, RegistryKey

  3. CSV로 보고서를 내보내 보관하고, Power BI 보고서로 채널링하여 추가 분석을 할 수 있습니다.