다음을 통해 공유


파일 무결성 모니터링

클라우드용 Microsoft Defender Defender for Servers 계획 2파일 무결성 모니터링 기능은 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어 및 Linux 시스템 파일에서 공격을 나타낼 수 있는 변경 내용을 검사하고 분석하여 엔터프라이즈 자산 및 리소스를 안전하게 유지하는 데 도움이 됩니다. 파일 무결성 모니터링을 통해 다음을 수행할 수 있습니다.

  • 규정 준수 요구 사항 충족. 파일 무결성 모니터링은 종종 PCI-DSS 및 ISO 17799와 같은 규정 준수 표준에 필요합니다.
  • 파일의 의심스러운 변경 내용을 검색하여 자세를 개선하고 잠재적인 보안 문제를 식별합니다.

의심스러운 활동 모니터링

파일 무결성 모니터링은 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어 및 Linux 시스템 파일을 검사하여 다음과 같은 의심스러운 활동을 검색합니다.

  • 파일 및 레지스트리 키를 만들거나 삭제합니다.
  • 파일 크기 변경, 액세스 제어 목록 및 콘텐츠의 해시와 같은 파일 수정
  • 크기 변경, 액세스 제어 목록, 형식 및 콘텐츠와 같은 레지스트리 수정

데이터 수집

파일 무결성 모니터링은 엔드포인트용 Microsoft Defender 에이전트를 사용하여 컴퓨터에서 데이터를 수집합니다.

  • 엔드포인트용 Defender 에이전트는 파일 무결성 모니터링을 위해 정의된 파일 및 리소스에 따라 컴퓨터에서 데이터를 수집합니다.
  • 엔드포인트용 Defender 에이전트에서 수집한 데이터는 Log Analytics 작업 영역에서 액세스 및 분석을 위해 저장됩니다.
  • 수집된 파일 무결성 모니터링 데이터는 Defender for Servers 플랜 2에 포함된 500MB 혜택의 일부입니다.
  • 파일 무결성 모니터링은 변경 원본, 계정 세부 정보, 변경한 사용자 표시 및 시작 프로세스에 대한 정보를 포함하여 파일 및 리소스 변경에 대한 정보를 제공합니다.

새 버전으로 마이그레이션

파일 무결성 모니터링은 이전에 Log Analytics 에이전트(MMA(Microsoft Monitoring Agent)라고도 함) 또는 AMA(Azure Monitor 에이전트)를 사용하여 데이터를 수집했습니다. 이러한 레거시 방법 중 하나로 파일 무결성 모니터링을 사용하는 경우 엔드포인트용 Defender를 사용하도록 파일 무결성 모니터링을 마이그레이션할 수 있습니다.

파일 무결성 모니터링 구성

서버용 Defender 계획 2를 사용하도록 설정한 후 파일 무결성 모니터링을 사용하도록 설정하고 구성합니다. 기본적으로는 사용하도록 설정되어 있지 않습니다.

  • 모니터링되는 파일/리소스에 대한 변경 이벤트를 저장할 Log Analytics 작업 영역을 선택합니다. 기존 작업 영역을 사용하거나 새 작업 영역을 정의할 수 있습니다.
  • 클라우드용 Defender 파일 무결성 모니터링을 사용하여 모니터링할 리소스를 권장합니다.

모니터링할 내용 선택

클라우드용 Defender 파일 무결성 모니터링을 사용하여 모니터링할 엔터티를 권장합니다. 권장 사항에서 항목을 선택할 수 있습니다. 모니터링할 파일을 선택할 때:

  • 시스템 및 애플리케이션에 중요한 파일을 고려합니다.
  • 계획 없이 변경할 것으로 예상되지 않는 파일을 모니터링합니다.
  • 애플리케이션이나 운영 체제(예: 로그 파일 및 텍스트 파일)에서 자주 변경되는 파일을 선택하면 공격을 식별하기 어렵게 만드는 노이즈가 발생합니다.

엔드포인트용 Defender 에이전트에서 파일 무결성 모니터링을 사용하는 경우 알려진 공격 패턴을 기반으로 이러한 항목을 모니터링하는 것이 좋습니다.

Linux 파일 Windows 파일 Windows 레지스트리 키(HKEY_LOCAL_MACHINE)
bin/ C:\config.sys HKLM\SOFTWARE\Microsoft\Cryptography\OID*
/bin/passwd C:\Windows\regedit.exe HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID*
/boot C:\Windows\System32\userinit.exe : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
: loadappinit_dlls, appinit_dlls, iconservicelib
/etc/*.conf C:\Windows\explorer.exe : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell 폴더
: 일반 시작, 시작
/etc/cron.daily C:\autoexec.bat : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell 폴더
: 일반 시작, 시작
/etc/cron.hourly C:\boot.ini HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/etc/cron.monthly C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/etc/cron.weekly C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab : HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows
: appinit_dlls, loadappinit_dlls
/etc/init.d : HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell 폴더
: 일반 시작, 시작
/opt/sbin : HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell 폴더
: 일반 시작, 시작
/sbin HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
/usr/bin HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/bin HKLM\SECURITY\POLICY\SECRETS
/usr/local/sbin
/usr/sbin
/opt/bin

다음 단계

엔드포인트용 Defender를 사용하여 파일 무결성 모니터링 사용