Compartir a través de

Microsoft Defender for Cloud 中的文件完整性监视

文件完整性监控 (FIM) 检查操作系统文件、Windows 注册表、应用程序软件和 Linux 系统文件是否存在可能表明存在攻击的更改。

Defender for Cloud 会建议要使用 FIM 监视的实体,你也可以定义自己的 FIM 策略或要监视的实体。 发生如下所述的可疑活动时,FIM 将通知你:

  • 创建或删除文件和注册表项
  • 文件修改(文件大小、访问控制列表和内容哈希的更改)
  • 注册表修改(大小、访问控制列表、类型和内容的更改)

许多法规遵从标准要求实施 FIM 控制,例如 PCI-DSS。

应监视哪些文件?

选择要监视的文件时,请考虑对系统和应用程序至关重要的文件。 监视预期不会在计划外发生更改的文件。 如果你选择经常被应用程序或操作系统更改的文件(例如日志文件和文本文件),则会产生干扰,从而难以识别攻击。

Defender for Cloud 提供以下建议项列表,以根据已知的攻击模式进行监视:

注意

有关在 FIM 中通过 Log Analytics 监视的建议项,请参阅要监视的建议项

Linux 文件 Windows 文件 Windows 注册表项 (HKLM = HKEY_LOCAL_MACHINE)
bin/ C:\config.sys SOFTWARE\Microsoft\Cryptography\OID*
/bin/passwd C:\Windows\regedit.exe SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID*
/boot C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/etc/*.conf C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
/etc/cron.daily C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell 文件夹
/etc/cron.hourly C:\boot.ini HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/etc/cron.monthly C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/etc/cron.weekly C:\Windows\win.ini SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows\
/etc/init.d SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
/opt/sbin SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
/sbin SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
/usr/bin SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/bin SECURITY\POLICY\SECRETS
/usr/local/sbin
/usr/sbin
/bin/login
/opt/bin