Aktivera övervakning av filintegritet

I Defender för servrar, plan 2 i Microsoft Defender för molnet, hjälper funktionen för övervakning av filintegritet till att skydda företagets tillgångar och resurser genom att skanna och analysera operativsystemfiler, Windows-register, programprogramvara och Linux-systemfiler för ändringar som kan tyda på ett angrepp.

När du har aktiverat Defender for Servers Plan 2 följer du anvisningarna i den här artikeln för att konfigurera övervakning av filintegritet med hjälp av Microsoft Defender för Endpoint-agenten för att samla in data.

Förutsättningar

• Defender for Servers Plan 2 ska vara aktiverat.
• Defender för Endpoint-agenten bör installeras på datorer som du vill övervaka.
• Du behöver behörigheter för arbetsytans ägare eller säkerhetsadministratör för att aktivera och inaktivera övervakning av filintegritet. Läsbehörigheter kan visa resultat.

Verifiera klientversionen av Defender för Endpoint

1. För datorer som kör Windows Server 2019 eller senare uppdateras Defender för Endpoint-agenten som en del av kontinuerliga uppdateringar av operativsystemet. Kontrollera att Windows-datorerna har den senaste uppdateringen installerad. Läs mer om hur du använder Windows Servers Update Service för att installera datorer i stor skala.
2. För datorer som kör Windows Servers 2016 och Windows Server 2012 R2 uppdaterar du datorerna manuellt till den senaste agentversionen. Du kan installera KB-5005292 från Microsoft Update Catalog. KB-5005292 uppdateras regelbundet med den senaste agentversionen.
3. För Linux-datorer uppdateras Defender för Endpoint-agenten automatiskt om automatisk avetablering är aktiverat för datorerna i Defender för molnet. Efter MDE. Linux-tillägget installeras på en Linux-dator och försöker uppdatera agentversionen varje gång den virtuella datorn startas om. Du kan också uppdatera agentversionen manuellt.

Aktivera övervakning av filintegritet

1. Logga in på Azure-portalen.

2. Sök efter och välj Microsoft Defender för molnet.

3. På menyn Defender för molnet väljer du Miljöinställningar.

4. Välj relevant prenumeration.

5. Leta upp planen Defenders for Servers (Försvarare för servrar) och välj Inställningar.

6. I avsnittet Övervakning av filintegritet växlar du växlingsknappen till På. Välj sedan Redigera konfiguration.

   

7. FÖNSTRET FIM-konfiguration öppnas. I listrutan Arbetsyta väljer du den arbetsyta där du vill lagra data för övervakning av filintegritet. Om du vill skapa en ny arbetsyta väljer du Skapa ny.

   

8. I det nedre avsnittet i FIM-konfigurationsfönstret väljer du flikarna Windows-register, Windows-filer och Linux-filer för att välja de filer och register som du vill övervaka. Om du väljer den översta markeringen på varje flik övervakas alla filer och register. Tryck på Apply (Verkställ) för att spara ändringarna.

   

9. Välj Fortsätt.

10. Välj Spara.

Inaktivera övervakning av filintegritet

Om du inaktiverar övervakning av filintegritet samlas inga nya händelser in. De data som samlas in innan du inaktiverade funktionen finns dock kvar på Log Analytics-arbetsytan i enlighet med kvarhållningsprincipen för arbetsytan.

Inaktivera på följande sätt:

1. Logga in på Azure-portalen.

2. Sök efter och välj Microsoft Defender för molnet.

3. På menyn Defender för molnet väljer du Miljöinställningar.

4. Välj relevant prenumeration.

5. Leta upp planen Defenders for Servers (Försvarare för servrar) och välj Inställningar.

6. I avsnittet Övervakning av filintegritet växlar du växlingsknappen till Av.

   

7. Välj Använd.

8. Välj Fortsätt.

9. Välj Spara.

Nästa steg

• Händelser som samlas in för övervakning av filintegritet ingår i de datatyper som är berättigade till 500 MB-förmånen för Defender för servrar plan 2-kunder. Läs mer om förmånen.
• Granska ändringar i övervakning av filintegritet.