Проверка изменений в мониторинге целостности файлов
В Defender for Server Plan 2 в Microsoft Defender для облака функция мониторинга целостности файлов помогает обеспечить безопасность корпоративных ресурсов и ресурсов путем сканирования и анализа файлов и сравнения их текущего состояния с предыдущими проверками.
Мониторинг целостности файлов использует агент Microsoft Defender для конечной точки для сбора данных с компьютеров в соответствии с правилами сбора. Defender для конечной точки по умолчанию интегрирован с Defender для облака.
Примечание.
Старый метод сбора данных использует агент Log Analytics (также известный как агент Microsoft Monitoring Agent (MMA)). Поддержка использования MMA завершится в ноябре 2024 года.
В этой статье показано, как просмотреть изменения файлов.
Необходимые компоненты
- Защитник для серверов плана 2 должен быть включен.
- Необходимо включить мониторинг целостности файлов с помощью агента Defender для конечной точки. Если это сообщение не включено, то мониторинг целостности файлов не включен. Чтобы включить выбор подписок на подключение, а затем включите эту функцию.
Мониторинг сущностей и файлов
Чтобы отслеживать сущности и файлы, выполните следующие действия.
На боковой панели Defender для облака перейдите к мониторингу целостности файлов защиты рабочих>нагрузок.
Откроется окно со всеми ресурсами, содержащими отслеживаемые измененные файлы и реестры.
При выборе ресурса откроется окно с запросом, в котором отображаются изменения, внесенные в отслеживаемые файлы и реестры этого ресурса.
Если выбрать подписку ресурса (под именем подписки столбца), запрос откроется со всеми отслеживаемых файлами и реестрами в этой подписке.
Примечание.
Если вы ранее использовали мониторинг целостности файлов по MMA, вы можете вернуться к такому методу, выбрав "Изменить" на предыдущий интерфейс. Это будет доступно до тех пор, пока функция FIM по MMA не рекомендуется. Сведения о плане отмены см. в статье "Подготовка к выходу" агента Log Analytics.
Получение и анализ данных мониторинга целостности файлов
Данные мониторинга целостности файлов находятся в рабочей области Azure Log Analytics в MDCFileIntegrityMonitoringEvents таблице.
Задайте диапазон времени, чтобы получить сводку изменений по ресурсам. В следующем примере мы извлекаем все изменения за последние 14 дней в категориях реестра и файлов:
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeTypeЧтобы просмотреть подробные сведения об изменениях реестра, выполните следующие действия.
Удалите
Filesизwhereпредложения.Замените строку суммирования предложением упорядочивания:
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where ConfigChangeType == 'Registry' | order by Computer, RegistryKeyОтчеты можно экспортировать в CSV для архивации и передавать их в отчет Power BI для дальнейшего анализа.