Aracılığıyla paylaş

Dosya bütünlüğü izlemeyi etkinleştirme

  • Makale

Bulut için Microsoft Defender'deki Sunucular için Defender Plan 2'de dosya bütünlüğü izleme özelliği, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını ve Linux sistem dosyalarını bir saldırıyı gösterebilecek değişiklikler için tarayarak ve analiz ederek kurumsal varlıkların ve kaynakların güvenliğini korumaya yardımcı olur.

Sunucular için Defender Plan 2'yi etkinleştirdikten sonra, veri toplamak için Uç Nokta için Microsoft Defender aracısını kullanarak dosya bütünlüğü izlemeyi yapılandırmak için bu makaledeki yönergeleri izleyin.

Not

  • Log Analytics aracısını (Microsoft Monitoring agent (MMA) veya Azure İzleyici aracısını (AMA) kullanan önceki bir dosya bütünlüğü izleme sürümünü kullanıyorsanız, yeni dosya bütünlüğü izleme deneyimine geçirebilirsiniz.
  • Haziran 2025'ten itibaren dosya bütünlüğü izleme için en düşük sürüm gerekir. Aracıyı gerektiği gibi güncelleştirin.
    • Windows: 10.8760 veya üzeri.
    • Linux: 30.124082 veya üzeri.

Önkoşullar

  • Sunucular için Defender Plan 2 etkinleştirilmelidir.
  • Uç Nokta için Defender aracısı, izlemek istediğiniz makinelere yüklenmelidir.
  • Dosya bütünlüğü izlemeyi etkinleştirmek ve devre dışı bırakmak için Çalışma Alanı sahibi veya Güvenlik yöneticisi izinlerine sahip olmanız gerekir. Okuyucu izinleri sonuçları görüntüleyebilir.

Uç Nokta için Defender istemci sürümünü doğrulama

  1. Windows Server 2019 veya üzerini çalıştıran makineler için Uç Nokta için Defender aracısı sürekli işletim sistemi güncelleştirmelerinin bir parçası olarak güncelleştirilir. Windows makinelerinde en son güncelleştirmenin yüklü olduğundan emin olun. Makineleri uygun ölçekte yüklemek için Windows Sunucuları Güncelleştirme Hizmeti'ni kullanma hakkında daha fazla bilgi edinin.
  2. Windows Server 2016 ve Windows Server 2012 R2 çalıştıran makineler için makineleri el ile en son aracı sürümüne güncelleştirin. KB 5005292 Microsoft Update Kataloğu'ndan yükleyebilirsiniz. KB 5005292 düzenli aralıklarla en son aracı sürümüyle güncelleştirilir.
  3. Linux makineleri için, Bulut için Defender'daki makineler için otomatik sağlama açıksa Uç Nokta için Defender aracısı otomatik olarak güncelleştirilir. MDE'nin ardından. Linux uzantısı bir Linux makinesine yüklenir ve VM her yeniden başlatıldığında aracı sürümünü güncelleştirmeyi dener. Aracı sürümünü el ile de güncelleştirebilirsiniz.

Dosya bütünlüğü izlemeyi etkinleştirme

  1. Azure Portal’ında oturum açın.

  2. Bulut için Microsoft Defender'ı arayın ve seçin.

  3. Bulut için Defender menüsünde Ortam ayarları'nı seçin.

  4. Uygun aboneliği seçin.

  5. Sunucular için Defender planını bulun ve Ayarlar'ı seçin.

  6. Dosya Bütünlüğünü İzleme bölümünde iki durumlu düğmeyi Açık olarak değiştirin. Ardından Yapılandırmayı düzenle'yi seçin.

    Dosya Bütünlüğü İzleme'yi etkinleştirme işleminin ekran görüntüsü.

  7. FIM yapılandırma bölmesi açılır. Çalışma alanı seçimi açılan listesinde, dosya bütünlüğü izleme verilerini depolamak istediğiniz çalışma alanını seçin. Yeni bir çalışma alanı oluşturmak istiyorsanız Yeni oluştur'u seçin.

    Dosya bütünlüğünü izleme yapılandırma bölmesinin ekran görüntüsü.

  8. FIM yapılandırma bölmesinin alt bölümünde, izlemek istediğiniz dosyaları ve kayıt defterlerini seçmek için Windows kayıt defteri, Windows dosyaları ve Linux dosyaları sekmelerini seçin. Her sekmede en üstteki seçimi seçerseniz, tüm dosyalar ve kayıt defterleri izlenir. Yaptığınız değişiklikleri kaydetmek için Apply'ı (Uygula) seçin.

    Dosya bütünlüğünü izleme yapılandırma sekmelerinin ekran görüntüsü.

  9. Devam'ı seçin.

  10. Kaydet'i seçin.

Dosya bütünlüğü izlemeyi devre dışı bırakma

Dosya bütünlüğü izlemeyi devre dışı bırakırsanız, yeni olay toplanmaz. Ancak, özelliği devre dışı bırakmadan önce toplanan veriler, çalışma alanı bekletme ilkesine uygun olarak Log Analytics çalışma alanında kalır.

Aşağıdaki gibi devre dışı bırakın:

  1. Azure Portal’ında oturum açın.

  2. Bulut için Microsoft Defender'ı arayın ve seçin.

  3. Bulut için Defender menüsünde Ortam ayarları'nı seçin.

  4. Uygun aboneliği seçin.

  5. Sunucular için Defender planını bulun ve Ayarlar'ı seçin.

  6. Dosya Bütünlüğünü İzleme bölümünde iki durumlu düğmeyi Kapalı olarak değiştirin.

    Dosya Bütünlüğünü İzleme'yi devre dışı bırakma işleminin ekran görüntüsü.

  7. Uygula’yı seçin.

  8. Devam'ı seçin.

  9. Kaydet'i seçin.

Sonraki adımlar

  • Dosya bütünlüğünü izlemek için toplanan olaylar, Sunucular için Defender Plan 2 müşterileri için 500 MB'lık avantaja uygun veri türlerine dahil edilir. Avantaj hakkında daha fazla bilgi edinin.
  • Dosya bütünlüğü izlemedeki değişiklikleri gözden geçirin.