Examinar as alterações no monitoramento de integridade de arquivos
No Defender para servidores Plano 2 do Microsoft Defender para Nuvem, o recurso de monitoramento de integridade de arquivos ajuda a manter os ativos e recursos da empresa seguros, verificando e analisando arquivos e comparando seu estado atual com verificações anteriores.
O monitoramento de integridade de arquivos usa o agente do Microsoft Defender para Ponto de Extremidade para coletar dados de computadores, de acordo com as regras de coleta. O Defender para Ponto de Extremidade é integrado por padrão ao Defender para Nuvem.
Observação
O método mais antigo da coleta de dados usa o agente do Log Analytics (também conhecido como MMA (Microsoft Monitoring Agent)). O suporte para usar o MMA terminará em novembro de 2024.
Este artigo mostra como examinar alterações em arquivos.
Pré-requisitos
- O Defender para servidores Plano 2 deve estar habilitado.
- O monitoramento de integridade de arquivos com o agente do Defender para Ponto de Extremidade deve estar habilitado. Se não estiver habilitado, essa mensagem será exibida: O Monitoramento de Integridade de Arquivos não está habilitado. Para habilitar, selecione Assinaturas de integração e, em seguida, habilite o recurso.
Monitorar entidades e arquivos
Para monitorar entidades e arquivos, siga estas etapas:
Na barra lateral do Defender para Nuvem, acesse Proteção de cargas de trabalho>Monitoramento de integridade do arquivo.
Uma janela é aberta com todos os recursos que contêm arquivos e registros alterados rastreados.
Se você selecionar um recurso, uma janela será aberta com uma consulta mostrando as alterações feitas nos arquivos e registros rastreados nesse recurso.
Se você selecionar a assinatura do recurso (na coluna Nome da assinatura), uma consulta será aberta com todos os arquivos e registros rastreados nessa assinatura.
Observação
Se já tiver usado Monitoramento de Integridade de Arquivos sobre MMA, você poderá retornar a esse método selecionando Alterar para experiência anterior. Isso estará disponível até que o recurso FIM sobre MMA seja descontinuado. Para obter mais informações sobre o plano de depreciação, consulte Preparar-se para a aposentadoria do agente Log Analytics.
Recuperar e analisar dados de monitoramento de integridade de arquivos
Os dados de monitoramento da integridade do arquivo residem no workspace do Azure Log Analytics na tabela MDCFileIntegrityMonitoringEvents.
Defina um intervalo de tempo para recuperar um resumo das alterações por recurso. No exemplo a seguir, recuperamos todas as alterações nos últimos 14 dias nas categorias de registro e de arquivos:
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeTypePara exibir informações detalhadas sobre alterações no Registro:
Remova
Filesda funçãowherecláusula.Substitua a linha de resumo por uma cláusula de ordenação:
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where ConfigChangeType == 'Registry' | order by Computer, RegistryKeyOs relatórios podem ser exportados para CSV para fins de arquivamento e canalizados para um relatório do Power BI para análise posterior.