Мониторинг целостности файлов с помощью агента Log Analytics

Чтобы обеспечить мониторинг целостности файлов (FIM), агент Log Analytics отправляет данные в рабочую область Log Analytics. Сравнивая текущее состояние этих элементов с состоянием во время предыдущей проверки, FIM сообщает вам обо всех подозрительных изменениях.

Примечание.

Так как агент Log Analytics (также известный как MMA) установлен на пенсию в августе 2024 года, все функции Defender для серверов, которые в настоящее время зависят от него, включая описанные на этой странице, будут доступны через Microsoft Defender для конечной точки интеграцию или проверку без агента до даты выхода на пенсию. Дополнительные сведения о схеме развития для каждой из функций, которые в настоящее время зависят от агента Log Analytics, см . в этом объявлении.

В этой статье вы узнаете, как выполнять следующие задачи.

Примечание.

Мониторинг целостности файлов может создать следующую учетную запись на отслеживаемых серверах SQL Server: NT Service\HealthService
Если удалить учетную запись, она будет автоматически воссоздана.

Availability

Аспект Сведения
Состояние выпуска: Общедоступная версия
Цены. Требуется Microsoft Defender для серверов, план 2.
С помощью агента Log Analytics FIM передает данные в рабочую область Log Analytics. За эту операцию взимается плата, размер которой зависит от объема передаваемых данных. Дополнительные сведения см. на странице цен на Log Analytics.
Требуемые роли и разрешения Владелец рабочей области может включать и отключать функцию FIM (дополнительные сведения см. в разделе Роли Azure для Log Analytics).
Читатель может просматривать результаты.
Облако. Коммерческие облака
National (Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet)
Поддерживается только в регионах, где доступно решение для отслеживания изменений службы автоматизации Azure.
Устройства с поддержкой Azure Arc.
Дополнительную информацию см. в статье Регионы, в которых поддерживается связанная рабочая область Log Analytics.
Дополнительные сведения об отслеживании изменений.
подключенные учетные записи AWS.

Включение монитора целостности файлов с помощью агента Log Analytics

Функция FIM доступна только на страницах Defender для облака на портале Azure. В настоящее время НЕТ REST API для работы с FIM.

  1. На панели мониторинга Защита рабочих нагрузок в области Расширенная защита выберите Мониторинг целостности файлов.

    Снимок экрана: открытие панели мониторинга целостности файлов.

    Для каждой рабочей области предоставляется следующая информация:

    • Общее количество изменений, произошедших на прошлой неделе (может появиться тире "-", если FIM не включен в рабочей области)
    • общее число компьютеров и виртуальных машин, передающих сведения в эту рабочую область;
    • географическое расположение рабочей области;
    • подписка Azure, к которой относится рабочая область.
  2. Используйте эту страницу, чтобы:

    • Получить доступ к состоянию и параметрам каждой рабочей области, а также просмотреть их.

    • Значок плана обновления. Обновите рабочую область, чтобы использовать расширенные функции безопасности. Этот значок указывает, что рабочая область или подписка не защищены средством Microsoft Defender для серверов. Чтобы использовать функции FIM, ваша подписка должна быть защищена с помощью этого плана. Узнайте, как включить Defender для серверов.

    • Значок включения Включите FIM на всех компьютерах в рабочей области и настройте параметры FIM. Этот значок указывает, что FIM не включен для рабочей области. Если кнопка "Включить" или "Обновить" отсутствует, а поле пустое, функция FIM уже включена для этой рабочей области.

      Снимок экрана: включение FIM для определенной рабочей области.

  3. Выберите ВКЛЮЧИТЬ. Будут показаны сведения о рабочей области, включая число компьютеров Windows и Linux для этой рабочей области.

    Снимок экрана: страница сведений о рабочей области FIM.

    Также здесь приводятся рекомендуемые параметры для Windows и Linux. Разверните узлы Файлы Windows, Реестр и Файлы Linux, чтобы просмотреть полный список рекомендаций.

  4. Снимите флажки для любых рекомендуемых сущностей, которые вы не хотите отслеживать с помощью FIM.

  5. Выберите Применение мониторинга целостности файлов, чтобы включить FIM.

Эти параметры вы можете изменить в любое время. См. дополнительные сведения об изменении отслеживаемых сущностей.

Отключение мониторинга целостности файлов

FIM использует решение "Отслеживание изменений" Azure, чтобы отслеживать и обнаруживать изменения в среде. После отключения FIM решение для отслеживания изменений будет удалено из выбранной рабочей области.

Отключение FIM

  1. На панели мониторинга целостности файлов для рабочей области щелкните Отключить.

    Снимок экрана: отключение мониторинга целостности файлов на странице параметров.

  2. Выберите Удалить.

Мониторинг рабочих областей, сущностей и файлов

Аудит отслеживаемых рабочих областей

Панель мониторинга целостности файлов отображается для рабочих областей с включенной функцией FIM. Панель мониторинга FIM открывается, когда вы включаете FIM для рабочей области или выбираете в окне Мониторинг целостности файла рабочую область, для которой уже включена функция FIM.

Снимок экрана: панель мониторинга FIM и ее информационные панели.

На панели мониторинга FIM для рабочей области отображаются следующие данные:

  • общее число компьютеров, подключенных к рабочей области;
  • общее число изменений, произошедших за выбранный период времени;
  • разбивка изменений по типам (файлы, реестр);
  • разбивка изменений по категориям (изменение, добавление, удаление).

Выберите Фильтр в верхней части панели мониторинга, чтобы изменить период времени, в течение которого отображаются изменения.

Снимок экрана: фильтр по периоду для панели мониторинга FIM.

Вкладка Серверы содержит полный список компьютеров, передающих сведения в эту рабочую область. Для каждого компьютера на панели мониторинга предоставляются такие сведения:

  • число изменений, произошедших за выбранный период времени;
  • разбивка изменений на изменения файлов и реестра.

При выборе компьютера отображается запрос с результатами, которые обозначают изменения, внесенные в течение выбранного периода для компьютера. Вы можете развернуть любое изменение, чтобы получить дополнительную информацию.

Снимок экрана: запрос Log Analytics, отражающий изменения, обнаруженные мониторингом целостности файлов в Microsoft Defender для облака.

Вкладка Изменения (см. ниже) содержит список всех изменений в рабочей области за выбранный период времени. Для каждой сущности, в которой произошли изменения, на панели мониторинга отображается следующее:

  • идентификатор компьютера, на котором произошло изменение;
  • тип изменения (реестр или файл);
  • категория изменения (изменено, добавлено, удалено);
  • дата и время изменения.

Снимок экрана: вкладка изменений мониторинга целостности файлов в Microsoft Defender для облака.

Страница Сведения об изменении открывается, когда вы вводите изменение в поле поиска или выбираете сущность из списка на вкладке Изменения.

Снимок экрана: мониторинг целостности файлов в Microsoft Defender для облака с областью сведений об изменении.

Изменение списка отслеживаемых сущностей

  1. На панели мониторинга целостности файлов для рабочей области щелкните Параметры на панели инструментов.

    Снимок экрана: доступ к параметрам мониторинга целостности файлов для рабочей области.

    Откроется конфигурация рабочей области с вкладками для каждого типа элементов, которые можно отслеживать:

    • Реестр Windows
    • Файлы Windows
    • Файлы Linux
    • Содержимое файла
    • Службы Windows

    На каждой вкладке перечислены сущности, которые можно изменять для этой категории. Для каждой сущности Defender для облака предоставляет информацию о том, включена ли для нее функция FIM (true или false). Измените сущность, чтобы включить или отключить FIM.

    Снимок экрана: настройка рабочей области для мониторинга целостности файлов в Microsoft Defender для облака.

  2. Выберите запись на одной из вкладок и измените любое из доступных полей в области Изменение для отслеживания изменений. Возможные варианты:

    • включить (True) или отключить (False) мониторинг целостности файлов;
    • назначить или изменить имя сущности;
    • указать или изменить значение или путь;
    • удалить сущность;
  3. отменить или сохранить изменения.

Добавление новой сущности для мониторинга

  1. На панели мониторинга целостности файлов для рабочей области щелкните Параметры на панели инструментов.

    Откроется страница Конфигурация рабочей области.

  2. В конфигурации рабочей области:

    1. Откройте на вкладку, соответствующую типу добавляемой сущности: реестр Windows, файлы Window, файлы Linux, содержимое файлов или службы Windows.

    2. Выберите Добавить.

      В нашем примере выбран вариант Файлы Linux.

      Снимок экрана: добавление элемента для мониторинга целостности файлов Microsoft Defender для облака.

  3. Выберите Добавить. Открывается окно Добавление файла Linux для отслеживания изменений.

  4. Введите необходимые сведения и выберите Сохранить.

Мониторинг папки и пути мониторинга с использованием подстановочных знаков

Используйте подстановочные знаки для упрощения отслеживания в каталогах. При настройке мониторинга папки с использованием подстановочных знаков применяются следующие правила:

  • Для отслеживания нескольких файлов необходимы подстановочные знаки.
  • Подстановочные знаки можно использовать только в последнем сегменте пути, например C:\folder\file или /etc/*.conf
  • Если переменная среды содержит путь, который недействителен, проверка завершается успешно, но путь завершается ошибкой при выполнении инвентаризации.
  • При настройке пути избегайте общих путей, таких как c:\*.*, что приводит к слишком большому количестве папок, передаваемых.

Сравнение базовых показателей с помощью мониторинга целостности файлов

Мониторинг целостности файлов (FIM) информирует о том, что изменения происходят в конфиденциальных областях ресурсов. Это позволяет исследовать несанкционированные действия и устранять их последствия. FIM наблюдает за файлами Windows, реестрами Windows и файлами Linux.

Включение встроенных рекурсивных проверок реестра

Параметры куста реестра FIM по умолчанию позволяют удобно отслеживать рекурсивные изменения в общих областях безопасности. Например, злоумышленник может настроить скрипт для выполнения в LOCAL_SYSTEM контексте, настроив выполнение при запуске или завершении работы. Чтобы отслеживать изменения этого типа, включите встроенную проверку.

Реестр.

Примечание.

Рекурсивные проверки применяются только к рекомендуемым кустам безопасности, а не к пользовательским путям реестра.

Добавление пользовательской проверки реестра

Базовые показатели FIM начинаются с определения характеристик известного рабочего состояния операционной системы и поддерживающего приложения. В этом примере мы сосредоточимся на конфигурациях политики паролей для Windows Server 2008 и более поздних версий.

Имя политики Параметр реестра
Контроллер домена: запретить изменение пароля учетных записей компьютера MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RefusePasswordChange
Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal
Член домена: шифрование данных безопасного канала, когда это возможно MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel
Член домена: цифровая подпись данных безопасного канала, когда это возможно MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel
Член домена: отключить изменение пароля учетных записей компьютера MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange
Член домена: максимальный срок действия пароля учетных записей компьютера MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge
Член домена: требовать стойкий сеансовый ключ (Windows 2000 или выше) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey
Сетевая безопасность: ограничения NTLM — проверка подлинности NTLM на этом домене MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain
Сетевая безопасность: ограничения NTLM: добавить исключения для серверов в этом домене MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers
Сетевая безопасность: ограничения NTLM — аудит проверки подлинности NTLM на этом домене MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain

Примечание.

Дополнительные сведения о параметрах реестра, поддерживаемых различными версиями операционных систем, см. в справочной таблице параметров групповой политики.

Чтобы настроить отслеживание базовых показателей реестра с помощью FIM, сделайте следующее.

  1. В окне "Добавление реестра Windows для Отслеживание изменений" выберите текстовое поле раздела реестра Windows.

  2. Введите следующий раздел реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    

    Снимок экрана: включение FIM в реестре.

Отслеживание изменений в файлах Windows

  1. В окне Добавление файла Windows для Отслеживания изменений в текстовом поле Введите путь укажите папку, содержащую файлы, которые требуется отслеживать. В примере на следующем рисунке веб-приложение Contoso находится на диске D:\ в структуре папок ContosWebApp.

  2. Создайте настраиваемую запись файла Windows, указав имя класса параметров, включив рекурсию и указав верхнюю папку с подстановочным знаком (*) в качестве суффикса.

    Снимок экрана: включение FIM в файле.

Получение данных изменений

Данные мониторинга целостности файлов доступны в наборе таблиц Azure Log Analytics/ConfigurationChange.

  1. Задайте диапазон времени, чтобы получить сводку изменений по ресурсам.

    В следующем примере мы извлекаем все изменения за последние 14 дней в категориях реестра и файлов:

    ConfigurationChange
    | where TimeGenerated > ago(14d)
    | where ConfigChangeType in ('Registry', 'Files')
    | summarize count() by Computer, ConfigChangeType
    
  2. Чтобы просмотреть сведения об изменениях в реестре, сделайте следующее.

    1. Удалите файлы из предложения where .
    2. Удалите строку формирования сводных данных и замените ее предложением упорядочивания:
    ConfigurationChange
    | where TimeGenerated > ago(14d)
    | where ConfigChangeType in ('Registry')
    | order by Computer, RegistryKey
    

Отчеты можно экспортировать в CSV для архивирования или передачи в отчет Power BI.

Данные FIM.

Следующие шаги

См. дополнительные сведения о Defender для облака: