Log Analytics aracısını kullanarak Dosya Bütünlüğünü İzleme

  • Makale

Dosya Bütünlüğünü İzleme (FIM) sağlamak için Log Analytics aracısı verileri Log Analytics çalışma alanına yükler. FiM, bu öğelerin geçerli durumunu önceki tarama sırasındaki durumla karşılaştırarak şüpheli değişiklikler yapılıp yapılmadığını size bildirir.

Not

Log Analytics aracısı (MMA olarak da bilinir) Ağustos 2024'te kullanımdan kaldırılacak şekilde ayarlandığından, bu sayfada açıklananlar da dahil olmak üzere şu anda buna bağımlı olan tüm Sunucular için Defender özellikleri, kullanımdan kaldırma tarihinden önce Uç Nokta için Microsoft Defender tümleştirme veya aracısız tarama aracılığıyla kullanılabilir. Şu anda Log Analytics Aracısı'na bağlı olan özelliklerin her biri için yol haritası hakkında daha fazla bilgi için bu duyuruya bakın.

Bu makalede şunları yapmayı öğreneceksiniz:

Not

Dosya Bütünlüğünü İzleme, izlenen SQL Sunucularında aşağıdaki hesabı oluşturabilir: NT Service\HealthService
Hesabı silerseniz, otomatik olarak yeniden oluşturulur.

Kullanılabilirlik

Görünüş Ayrıntılar
Sürüm durumu: Genel kullanılabilirlik (GA)
Fiyatlandırma: Sunucular için Microsoft Defender Plan 2 gerektirir.
FIM, Log Analytics aracısını kullanarak verileri Log Analytics çalışma alanına yükler. Karşıya yüklediğiniz veri miktarına bağlı olarak veri ücretleri uygulanır. Daha fazla bilgi edinmek için bkz . Log Analytics fiyatlandırması .
Gerekli roller ve izinler: Çalışma alanı sahibi FIM'yi etkinleştirebilir/devre dışı bırakabilir (daha fazla bilgi için bkz . Log Analytics için Azure Rolleri).
Okuyucu sonuçları görüntüleyebilir.
Bulut: Ticari bulutlar
National (Azure Kamu, 21Vianet tarafından sağlanan Microsoft Azure)
Yalnızca Azure Otomasyonu değişiklik izleme çözümünün kullanılabildiği bölgelerde desteklenir.
Azure Arc özellikli cihazlar.
Bkz . Bağlantılı Log Analytics çalışma alanı için desteklenen bölgeler.
Değişiklik izleme hakkında daha fazla bilgi edinin.
Bağlı AWS hesapları

Log Analytics aracısı ile Dosya Bütünlüğünü İzlemeyi Etkinleştirme

FIM yalnızca Azure portalındaki Bulut için Defender sayfalarında kullanılabilir. Şu anda FIM ile çalışmak için REST API yoktur.

  1. İş yükü korumaları panosunun Gelişmiş koruma alanından Dosya bütünlüğü izleme'yi seçin.

    Dosya Bütünlüğünü İzleme panosunu açma işleminin ekran görüntüsü.

    Her çalışma alanı için aşağıdaki bilgiler sağlanır:

    • Geçen hafta gerçekleşen toplam değişiklik sayısı (FIM çalışma alanında etkinleştirilmediyse "-" tiresini görebilirsiniz)
    • Çalışma alanına rapor eden toplam bilgisayar ve VM sayısı
    • Çalışma alanının coğrafi konumu
    • Çalışma alanının altında olduğu Azure aboneliği

  2. Bu sayfayı kullanarak:

    • Her çalışma alanının durumuna ve ayarlarına erişme ve bu ayarları görüntüleme

    • Planı yükselt simgesi. Gelişmiş güvenlik özelliklerini kullanmak için çalışma alanını yükseltin. Bu simge, çalışma alanının veya aboneliğin Sunucular için Microsoft Defender ile korunmadığını gösterir. FIM özelliklerini kullanmak için aboneliğinizin bu planla korunması gerekir. Sunucular için Defender'ı etkinleştirme hakkında bilgi edinin.

    • Etkinleştir simgesi Çalışma alanı altındaki tüm makinelerde FIM'i etkinleştirin ve FIM seçeneklerini yapılandırın. Bu simge, FIM'in çalışma alanı için etkinleştirilmediğini gösterir. Etkinleştirme veya yükseltme düğmesi yoksa ve alan boşsa, fim çalışma alanında zaten etkin demektir.

      Belirli bir çalışma alanı için FIM'yi etkinleştirme işleminin ekran görüntüsü.

  3. ETKİnLEŞTİr'i seçin. Çalışma alanı altındaki Windows ve Linux makinelerinin sayısı da dahil olmak üzere çalışma alanının ayrıntıları gösterilir.

    FIM çalışma alanı ayrıntıları sayfasının ekran görüntüsü.

    Windows ve Linux için önerilen ayarlar da listelenir. Önerilen öğelerin tam listesini görmek için Windows dosyaları, Kayıt Defteri ve Linux dosyaları'nı genişletin.

  4. FIM tarafından izlenmesini istemediğiniz önerilen varlıkların onay kutularını temizleyin.

  5. FIM'yi etkinleştirmek için Dosya bütünlüğünü izleme uygula'yı seçin.

Ayarları istediğiniz zaman değiştirebilirsiniz. İzlenen varlıkları düzenleme hakkında daha fazla bilgi edinin.

Dosya Bütünlüğünü İzlemeyi Devre Dışı Bırak

FIM, Azure Değişiklik İzleme çözümünü kullanarak ortamınızdaki değişiklikleri izler ve tespit eder. FIM'yi devre dışı bırakarak, Değişiklik İzleme çözümünü seçili çalışma alanından kaldırırsınız.

FIM'yi devre dışı bırakmak için:

  1. Çalışma alanının Dosya Bütünlüğünü İzleme panosundan Devre Dışı Bırak'ı seçin.

    Ayarlar sayfasından dosya bütünlüğü izlemeyi devre dışı bırakma işleminin ekran görüntüsü.

  2. Kaldır seçeneğini belirleyin.

Çalışma alanlarını, varlıkları ve dosyaları izleme

İzlenen çalışma alanlarını denetleme

FIM'nin etkinleştirildiği çalışma alanları için Dosya bütünlüğü izleme panosu görüntülenir. FIM panosu, bir çalışma alanında FIM'yi etkinleştirdikten sonra veya fim'in zaten etkin olduğu dosya bütünlüğü izleme penceresinde bir çalışma alanı seçtiğinizde açılır.

FIM panosunun ve çeşitli bilgilendirme panellerinin ekran görüntüsü.

Bir çalışma alanının FIM panosu aşağıdaki ayrıntıları görüntüler:

  • Çalışma alanına bağlı toplam makine sayısı
  • Seçili zaman aralığında gerçekleşen toplam değişiklik sayısı
  • Değişiklik türünün (dosyalar, kayıt defteri) dökümü
  • Değişiklik kategorisinin dökümü (değiştirildi, eklendi, kaldırıldı)

Değişikliklerin gösterildiği süreyi değiştirmek için panonun üst kısmındaki Filtre'yi seçin.

FIM panosu için zaman aralığı filtresinin ekran görüntüsü.

Sunucular sekmesinde bu çalışma alanına rapor eden makineler listelenir. Pano, her makine için şunları listeler:

  • Seçilen süre boyunca gerçekleşen toplam değişiklik sayısı
  • Dosya değişiklikleri veya kayıt defteri değişiklikleri olarak toplam değişikliklerin dökümü

Bir makine seçtiğinizde, makine için seçilen zaman aralığında yapılan değişiklikleri tanımlayan sonuçlarla birlikte sorgu görüntülenir. Daha fazla bilgi için bir değişikliği genişletebilirsiniz.

Bulut için Microsoft Defender dosya bütünlüğünü izleme tarafından tanımlanan değişiklikleri gösteren Log Analytics sorgusunun ekran görüntüsü.

Değişiklikler sekmesi (aşağıda gösterilmiştir) seçilen zaman aralığında çalışma alanı için tüm değişiklikleri listeler. Değiştirilen her varlık için pano şunları listeler:

  • Değişikliğin gerçekleştiği makine
  • Değişiklik türü (kayıt defteri veya dosya)
  • Değişiklik kategorisi (değiştirildi, eklendi, kaldırıldı)
  • Değişiklik tarihi ve saati

Bulut için Microsoft Defender dosya bütünlüğünü izleme değişiklikleri sekmesinin ekran görüntüsü.

Değişiklik ayrıntıları, arama alanına bir değişiklik girdiğinizde veya Değişiklikler sekmesinde listelenen bir varlığı seçtiğinizde açılır.

Değişiklik için ayrıntılar bölmesini gösteren Bulut için Microsoft Defender dosya bütünlüğü izlemesinin ekran görüntüsü.

İzlenen varlıkları düzenleme

  1. Çalışma alanının Dosya Bütünlüğünü İzleme panosundan araç çubuğundan Ayarlar'ı seçin.

    Çalışma alanının dosya bütünlüğü izleme ayarlarına erişme işleminin ekran görüntüsü.

    Çalışma Alanı Yapılandırması , izlenebilen her öğe türü için sekmelerle açılır:

    • Windows kayıt defteri
    • Windows dosyaları
    • Linux Dosyaları
    • Dosya içeriği
    • Windows hizmetleri

    Her sekme, bu kategoride düzenleyebileceğiniz varlıkları listeler. Listelenen her varlık için Bulut için Defender FIM'nin etkin (true) veya etkin olmadığını (false) belirler. FIM'yi etkinleştirmek veya devre dışı bırakmak için varlığı düzenleyin.

    Bulut için Microsoft Defender'da dosya bütünlüğü izleme için çalışma alanı yapılandırmasının ekran görüntüsü.

  2. Sekmelerden birinden bir girdi seçin ve Değişiklik İzleme için düzenle bölmesindeki kullanılabilir alanlardan herhangi birini düzenleyin. Seçenekler arasında bulunanlar:

    • Dosya bütünlüğünü izlemeyi etkinleştirme (True) veya devre dışı bırakma (Yanlış)
    • Varlık adını belirtin veya değiştirin
    • Değeri veya yolu sağlama veya değiştirme
    • Varlığı silme

  3. Değişikliklerinizi atın veya kaydedin.

İzlemek için yeni bir varlık ekleme

  1. Çalışma alanının Dosya Bütünlüğünü İzleme panosundan araç çubuğundan Ayarlar'ı seçin.

    Çalışma Alanı Yapılandırması açılır.

  2. Çalışma Alanı Yapılandırması'nda:

    1. Eklemek istediğiniz varlık türünün sekmesini seçin: Windows kayıt defteri, Windows dosyaları, Linux Dosyaları, dosya içeriği veya Windows hizmetleri.

    2. Ekle'yi seçin.

      Bu örnekte Linux Dosyalar'ı seçtik.

      Bulut için Microsoft Defender'nin dosya bütünlüğü izlemesinde izlenecek öğe ekleme işleminin ekran görüntüsü.

  3. Ekle'yi seçin. Değişiklik İzleme için ekle açılır.

  4. Gerekli bilgileri girin ve Kaydet'i seçin.

Joker karakterler kullanarak klasör ve yol izleme

Dizinler arasında izlemeyi basitleştirmek için joker karakterler kullanın. Joker karakterler kullanarak klasör izlemeyi yapılandırırken aşağıdaki kurallar geçerlidir:

  • Birden çok dosyayı izlemek için joker karakterler gereklidir.
  • Joker karakterler yalnızca veya gibi C:\folder\file bir yolun son kesiminde kullanılabilir /etc/*.conf
  • Ortam değişkeni geçerli olmayan bir yol içeriyorsa doğrulama başarılı olur ancak envanter çalıştırıldığında yol başarısız olur.
  • Yolu ayarlarken, gibi c:\*.*çok fazla klasör geçişiyle sonuçlanan genel yollardan kaçının.

Dosya Bütünlüğünü İzleme kullanarak ana hatları karşılaştırma

Dosya Bütünlüğünü İzleme (FIM), kaynaklarınızdaki hassas alanlarda değişiklik olduğunda sizi bilgilendirerek yetkisiz etkinlikleri araştırabilir ve ele alabilirsiniz. FIM, Windows dosyalarını, Windows kayıt defterlerini ve Linux dosyalarını izler.

Yerleşik özyinelemeli kayıt defteri denetimlerini etkinleştirme

FIM kayıt defteri kovanı varsayılanları, ortak güvenlik alanlarında özyinelemeli değişiklikleri izlemek için kullanışlı bir yol sağlar. Örneğin, saldırgan başlatma veya kapatma sırasında yürütme yapılandırarak bir betiği LOCAL_SYSTEM bağlamda yürütülecek şekilde yapılandırabilir. Bu türdeki değişiklikleri izlemek için yerleşik denetimi etkinleştirin.

Geldiniz.

Not

Özyinelemeli denetimler özel kayıt defteri yollarına değil yalnızca önerilen güvenlik kovanlarına uygulanır.

Özel kayıt defteri denetimi ekleme

FIM temelleri, işletim sistemi ve destekleyici uygulama için bilinen iyi bir durumun özelliklerini belirleyerek başlar. Bu örnekte, Windows Server 2008 ve üzeri için parola ilkesi yapılandırmalarına odaklanacağız.

İlke Adı Kayıt Defteri Ayarı
Etki alanı denetleyicisi: Makine hesabı parola değişikliklerini reddet MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RefusePasswordChange
Etki alanı üyesi: Güvenli kanal verisini dijital olarak şifrele veya imzala (her zaman) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal
Etki alanı üyesi: Güvenli kanal verisini dijital olarak şifrele (uygun olduğunda) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel
Etki alanı üyesi: Güvenli kanal verisini dijital olarak imzala (uygun olduğunda) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel
Etki alanı üyesi: Makine hesabı parola değişikliklerini devreden çıkar MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange
Etki alanı üyesi: En uzun hesap parolası yaşı MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge
Etki alanı üyesi: Güçlü (Windows 2000 veya daha sonraki) oturum anahtarı gerektir MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey
Ağ güvenliği: NTLM'i kısıtla: Bu etki alanında NTLM kimlik doğrulaması MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain
Ağ güvenliği: NTLM'yi kısıtla: Bu etki alanında sunucu özel durumları ekle MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers
Ağ güvenliği: NTLM'i kısıtla: Bu etki alanında NTLM kimlik doğrulamayı denetle MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain

Not

Çeşitli işletim sistemi sürümleri tarafından desteklenen kayıt defteri ayarları hakkında daha fazla bilgi edinmek için Grup İlkesi Ayarları başvuru elektronik tablosuna bakın.

FIM'i kayıt defteri temellerini izleyecek şekilde yapılandırmak için:

  1. Değişiklik İzleme için Windows Kayıt Defteri Ekle penceresinde Windows Kayıt Defteri Anahtarı metin kutusunu seçin.

  2. Aşağıdaki kayıt defteri anahtarını girin:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    Kayıt defterinde FIM'yi etkinleştirmenin ekran görüntüsü.

Windows dosyalarındaki değişiklikleri izleme

  1. Değişiklik İzleme için Windows Dosyası Ekle penceresindeki Yol girin metin kutusuna, izlemek istediğiniz dosyaları içeren klasörü girin. Aşağıdaki şekildeki örnekte Contoso Web App, ContosWebApp klasör yapısı içindeki D:\ sürücüsünde yer alır.

  2. Ayar sınıfının adını sağlayarak, özyineleni etkinleştirerek ve joker karakter (*) son ekiyle üst klasörü belirterek özel bir Windows dosya girişi oluşturun.

    Dosyada FIM'yi etkinleştirmenin ekran görüntüsü.

Değişiklik verilerini alma

Dosya Bütünlüğünü İzleme verileri Azure Log Analytics/ConfigurationChange tablo kümesinde bulunur.

  1. Kaynağa göre değişikliklerin özetini almak için bir zaman aralığı ayarlayın.

    Aşağıdaki örnekte, kayıt defteri ve dosya kategorilerinde son 14 gün içindeki tüm değişiklikleri alıyoruz:

    ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry', 'Files')
| summarize count() by Computer, ConfigChangeType

  2. Kayıt defteri değişikliklerinin ayrıntılarını görüntülemek için:

    1. Where yan tümcesinden Dosyaları kaldırın.
    2. Özetleme satırını kaldırın ve bir sıralama yan tümcesiyle değiştirin:
    ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry')
| order by Computer, RegistryKey

Raporlar arşivlenmek üzere CSV'ye aktarılabilir ve/veya Power BI raporuna kanallandırılabilir.

FIM verileri.

Sonraki adımlar

Bulut için Defender hakkında daha fazla bilgi için:

  • Güvenlik ilkelerini ayarlama - Azure abonelikleriniz ve kaynak gruplarınız için güvenlik ilkelerini yapılandırmayı öğrenin.
  • Güvenlik önerilerini yönetme - Önerilerin Azure kaynaklarınızı korumanıza nasıl yardımcı olduğunu öğrenin.
  • Azure Güvenlik blogu - En son Azure güvenlik haberlerini ve bilgilerini alın.