Microsoft Defender for Cloud 中的文件完整性监视

文件完整性监控 (FIM) 检查操作系统文件、Windows 注册表、应用程序软件和 Linux 系统文件是否存在可能表明存在攻击的更改。

Defender for Cloud 会建议要使用 FIM 监视的实体，你也可以定义自己的 FIM 策略或要监视的实体。发生如下所述的可疑活动时，FIM 将通知你：

许多法规遵从标准要求实施 FIM 控制，例如 PCI-DSS。

应监视哪些文件？

选择要监视的文件时，请考虑对系统和应用程序至关重要的文件。监视预期不会在计划外发生更改的文件。如果你选择经常被应用程序或操作系统更改的文件（例如日志文件和文本文件），则会产生干扰，从而难以识别攻击。

Defender for Cloud 提供以下建议项列表，以根据已知的攻击模式进行监视：

注意

有关在 FIM 中通过 Log Analytics 监视的建议项，请参阅要监视的建议项。

Linux 文件	Windows 文件	Windows 注册表项 (HKLM = HKEY_LOCAL_MACHINE)
bin/	C:\config.sys	SOFTWARE\Microsoft\Cryptography\OID*
/bin/passwd	C:\Windows\regedit.exe	SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID*
/boot	C:\Windows\System32\userinit.exe	HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
/etc/*.conf	C:\Windows\explorer.exe	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
/etc/cron.daily	C:\autoexec.bat	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell 文件夹
/etc/cron.hourly	C:\boot.ini	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/etc/cron.monthly	C:\Windows\system.ini	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/etc/cron.weekly	C:\Windows\win.ini	SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab		SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows\
/etc/init.d		SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
/opt/sbin		SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
/sbin		SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
/usr/bin		SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/bin		SECURITY\POLICY\SECRETS
/usr/local/sbin
/usr/sbin
/bin/login
/opt/bin