使用適用於端點的 Microsoft Defender 進行檔案完整性監視
為提供檔案完整性監視 (FIM),適用於端點的 Microsoft Defender 會根據收集規則從電腦收集資料。 當系統檔案的目前狀態與先前掃描期間的狀態進行比較時,FIM 會通知您可疑的修改。
使用 FIM,您可以:
- 從預先定義的清單即時監視對重要檔案和 Windows 登錄所做的變更。
- 存取並分析指定工作區中已稽核的變更。
- 利用適用於伺服器的 Defender 方案 2 中包含的 500MB 權益。
- 維護合規性:FIM 針對相關的安全性法規合規性標準 (例如 PCI-DSS、CIS、NIST 及其他) 提供內建支援
FIM 會警示您留意所有潛在的可疑活動。 這些活動包括:
- 建立或刪除檔案和登錄機碼
- 修改檔案,例如檔案大小、名稱、位置或其內容雜湊的變更
- 更改登錄,包括其大小、類型和內容的變更
- 變更的詳細資料,包括變更的來源。 其中包括帳戶的詳細資料,該資料指出變更者,並提供起始流程的相關資訊。
如需應監視哪些檔案的指引,請參閱我應該監視哪些檔案?一文。
可用性
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 預覽 |
| 定價: | 需要適用於伺服器的 Microsoft Defender 方案 2 |
| 必要的角色和權限: | 工作區擁有者或安全性系統管理員可以啟用和停用 FIM。 如需詳細資訊,請參閱適用於 Log Analytics 的 Azure 角色。 「讀者」可以檢視結果。 |
| 雲端: |  商業雲端 已啟用 Azure Arc 的裝置。 已連線的 AWS 帳戶 已連線的 GCP 帳戶 |
必要條件
若要使用適用於端點的 Defender 追蹤電腦上檔案和登錄的變更,您需要:
在您想要監視的電腦上啟用適用於端點的 Defender
啟用檔案完整性監視
在 Azure 入口網站中啟用
若要在 Azure 入口網站中啟用 FIM,請執行以下步驟:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]。
選取相關的訂用帳戶。
找出適用於伺服器的 Microsoft Defender 方案,然後選取 [設定]。
在 [檔案完整性監視] 區段中,將切換開關切換為 [開啟]。 然後選取 [編輯設定]。
[FIM 設定] 窗格會開啟。 在 [工作區選取] 下拉式清單中,選取您要儲存 FIM 資料的工作區。 如果要建立新的工作區,請選取 [建立新的]。
重要
由適用於端點的 Defender 支援的 FIM 所收集到的事件,包含在適用於伺服器的 Defender 方案 2 客戶的 500 MB 權益的資料類型中。 如需詳細資訊,請參閱每日額度中包含哪些資料類型?一文。
在 [FIM 設定] 窗格的區段下半部,選取 [Windows 登錄]、[Windows 檔案] 和 [Linux 檔案] 索引標籤,以選擇要監視的檔案和登錄。 若選擇每個索引標籤中最上方的選取項目,則會監視所有的檔案和登錄。 選取 [套用] 以儲存變更。
選取繼續。
選取 [儲存]。
停用檔案完整性監視
停用 FIM 之後,不會再收集任何新的事件。 不過,停用此功能之前所收集的資料會根據工作區的保留原則保留在工作區中。 如需詳細資訊,請參閱在 Log Analytics 工作區中管理資料保留。
在 Azure 入口網站停用
若要在 Azure 入口網站中停用 FIM,請執行以下步驟:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]。
選取相關的訂用帳戶。
找出適用於伺服器的 Microsoft Defender 方案,然後選取 [設定]。
在 [檔案完整性監視] 區段中,將切換開關切換為 [關閉]。
選取套用。
選取繼續。
選取 [儲存]。
監視實體和檔案
若要監視實體和檔案,請執行以下步驟:
注意
若尚未啟用 FIM,您會看到一則訊息,指出檔案完整性監視未啟用。 若要啟用 FIM,請選取 [上線訂用帳戶],然後依照啟用檔案完整性監視中的指示進行。
從適用於雲端的 Defender 的側邊欄,前往 [工作負載保護]>[檔案完整性監視]。
一個視窗隨即開啟,顯示所有包含已追蹤到變更之檔案和登錄的資源。
若選取一個資源,便會開啟一個查詢視窗,顯示對該資源上追蹤之檔案和登錄所做的變更。
若選取資源的訂用帳戶 (在 [訂用帳戶名稱] 資料行底下底下),便會開啟一個查詢,其中包含該訂用帳戶中所有追蹤的檔案和登錄。
注意
如果您之前使用 [基於 MMA 的檔案完整性監視],可以選取 [變更為先前的體驗],回到使用該方法。 在基於 MMA 的 FIM 功能被淘汰之前,仍可使用此方法。 如需關於淘汰方案的詳細資訊,請參閱準備淘汰 Log Analytics 代理程式。
擷取和分析 FIM 資料
檔案完整性監視資料位於 Azure Log Analytics 工作區的 MDCFileIntegrityMonitoringEvents 資料表中。 該資料表顯示在 Log Analytics 工作區中的 LogManagment 資料表底下。
設定時間範圍,以依資源擷取變更的摘要。 在以下範例中,我們擷取登錄和檔案類別中在過去 14 天內的所有變更:
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType in ('Registry', 'File') | summarize count() by Computer, MonitoredEntityType若要檢視登錄變更的詳細資訊:
將
Files從where子句中移除。將摘要行取代為排序子句:
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType == 'Registry' | order by Computer, RegistryKey報告可以匯出為 CSV 供存檔之用,並引導至 Power BI 報表做進一步分析。
相關內容
在以下位置深入了解適用於雲端的 Defender:
- 設定安全性原則 - 了解如何為您的 Azure 訂用帳戶及資源群組設定安全性原則。
- 管理安全性建議 - 了解建議如何協助保護您的 Azure 資源。
- Azure 安全性部落格:取得最新的 Azure 安全性新聞和資訊。