Partilhar via

Habilite o monitoramento da integridade de arquivos

  • Artigo

No Defender for Servers Plan 2 no Microsoft Defender for Cloud, o recurso de monitoramento da integridade de arquivos ajuda a manter os ativos e recursos da empresa seguros, verificando e analisando arquivos do sistema operacional, registros do Windows, software de aplicativos e arquivos do sistema Linux em busca de alterações que possam indicar um ataque.

Depois de habilitar o Plano 2 do Defender for Servers, siga as instruções neste artigo para configurar o monitoramento da integridade de arquivos usando o agente do Microsoft Defender for Endpoint para coletar dados.

Nota

  • Se você estiver usando uma versão anterior do monitoramento de integridade de arquivos que usava o agente do Log Analytics (também conhecido como agente de monitoramento da Microsoft (MMA)) ou o agente do Azure Monitor (AMA), você pode migrar para a nova experiência de monitoramento de integridade de arquivos.
  • A partir de junho de 2025, o monitoramento da integridade dos arquivos exige uma versão mínima. Atualize o agente conforme necessário.
    • Windows: 10.8760 ou posterior.
    • Linux: 30.124082 ou posterior.

Pré-requisitos

  • O Plano 2 do Defender for Servers deve ser habilitado.
  • O agente do Defender for Endpoint deve ser instalado em máquinas que você deseja monitorar.
  • Você precisa de permissões de proprietário do espaço de trabalho ou administrador de segurança para habilitar e desabilitar o monitoramento da integridade de arquivos. As permissões de leitor podem visualizar os resultados.

Verificar a versão do cliente Defender for Endpoint

  1. Para máquinas que executam o Windows Server 2019 ou posterior, o agente do Defender for Endpoint é atualizado como parte das atualizações contínuas do sistema operacional. Certifique-se de que as máquinas Windows têm a atualização mais recente instalada. Saiba mais sobre como usar o Windows Servers Update Service para instalar máquinas em escala.
  2. Para máquinas que executam o Windows Servers 2016 e o Windows Server 2012 R2, atualize as máquinas manualmente para a versão mais recente do agente. Você pode instalar o KB 5005292 a partir do Catálogo do Microsoft Update. O KB 5005292 é atualizado periodicamente com a versão mais recente do agente.
  3. Para máquinas Linux, o agente do Defender for Endpoint é atualizado automaticamente se o provisionamento automático estiver ativado para as máquinas no Defender for Cloud. Depois do MDE. A extensão Linux é instalada em uma máquina Linux, ela tenta atualizar a versão do agente cada vez que a VM é reinicializada. Você também pode atualizar a versão do agente manualmente.

Habilite o monitoramento da integridade de arquivos

  1. Inicie sessão no portal do Azure.

  2. Procure e selecione Microsoft Defender para a Cloud.

  3. No menu do Defender for Cloud, selecione Configurações do ambiente.

  4. Selecione a subscrição relevante.

  5. Localize o plano Defenders for Servers e selecione Configurações.

  6. Na seção Monitoramento de Integridade de Arquivos, alterne para Ativado. Em seguida, selecione Editar configuração.

    Captura de ecrã de como ativar a Monitorização da Integridade de Ficheiros.

  7. O painel de configuração do FIM é aberto. Na lista suspensa Seleção de espaço de trabalho, selecione o espaço de trabalho onde deseja armazenar os dados de monitoramento da integridade do arquivo. Se quiser criar um novo espaço de trabalho, selecione Criar novo.

    Captura de tela do painel de configuração de monitoramento de integridade de arquivos.

  8. Na seção inferior do painel de configuração do FIM, selecione as guias Registro do Windows, Arquivos do Windows e Arquivos do Linux para escolher os arquivos e registros que deseja monitorar. Se escolher a seleção superior em cada separador, todos os ficheiros e registos são monitorizados. Selecione Aplicar para guardar as alterações.

    Captura de ecrã dos separadores de configuração de monitorização da integridade do ficheiro.

  9. Selecione Continuar.

  10. Selecione Guardar.

Desativar o monitoramento da integridade de arquivos

Se você desabilitar o monitoramento de integridade de arquivos, nenhum novo evento será coletado. No entanto, os dados coletados antes de desabilitar o recurso permanecem no espaço de trabalho do Log Analytics, de acordo com a política de retenção do espaço de trabalho.

Desative da seguinte forma:

  1. Inicie sessão no portal do Azure.

  2. Procure e selecione Microsoft Defender para a Cloud.

  3. No menu do Defender for Cloud, selecione Configurações do ambiente.

  4. Selecione a subscrição relevante.

  5. Localize o plano Defenders for Servers e selecione Configurações.

  6. Na seção Monitoramento de Integridade de Arquivos, alterne para Desativado.

    Captura de ecrã de como desativar a Monitorização da Integridade de Ficheiros.

  7. Selecione Aplicar.

  8. Selecione Continuar.

  9. Selecione Guardar.

Próximos passos

  • Os eventos coletados para monitoramento da integridade de arquivos são incluídos nos tipos de dados qualificados para o benefício de 500 MB para clientes do Plano 2 do Defender for Servers. Saiba mais sobre o benefício.
  • Revise as alterações no monitoramento de integridade de arquivos.