Microsoft Defender for Cloud – File integrity monitoring

O que é FIM no Defender for Cloud?

O monitoramento de integridade de arquivos (FIM), também conhecido como monitoramento de alterações, examina arquivos do sistema operacional, registros do Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para alterações que possam indicar um ataque.

O Defender for Cloud recomenda que as entidades monitorem com o FIM, e você também pode definir suas próprias políticas ou entidades para monitorar. A FIM informa sobre atividades suspeitas como:

  • Criação ou remoção de chaves de arquivo e registro
  • Modificações de arquivo (alterações no tamanho do arquivo, listas de controle de acesso e hash do conteúdo)
  • Modificações de registro (alterações de tamanho, listas de controle de acesso, tipo e conteúdo)

Como funciona o FIM?

O agente Log Analytics carrega dados para o Log Analytics workspace. Ao comparar o estado atual desses itens com o estado durante a varredura anterior, a FIM notifica se foram feitas modificações suspeitas.

A FIM usa a solução Azure Change Tracking para rastrear e identificar alterações em seu ambiente. Quando o monitoramento da integridade do arquivo é ativado, você tem um recurso de rastreamento de alterações do tipo Solução.

Observação: Se você remover o recurso Alterar rastreamento, você também desativará o recurso de monitoramento de integridade do arquivo no Defender for Cloud.

Quais arquivos devo monitorar?

Ao escolher quais arquivos monitorar, considere os arquivos que são críticos para o seu sistema e aplicativos. Monitore arquivos que você não espera mudar sem planejamento. Se você escolher arquivos que são frequentemente alterados por aplicativos ou sistema operacional (como arquivos de registro e arquivos de texto), ele criará muito ruído, dificultando a identificação de um ataque.

O Defender for Cloud fornece a seguinte lista de itens recomendados para monitorar com base em padrões de ataque conhecidos.

Disponibilidade

DISPONIBILIDADE
AspectoDetalhes
Estado de liberação:Disponibilidade geral (GA)
Precificação:Requer o Microsoft Defender para servidores.
Usando o agente Log Analytics, o FIM envia dados para o espaço de trabalho Log Analytics. Os encargos de dados são aplicados, com base na quantidade de dados que você carrega. Consulte os preços do Log Analytics para saber mais.
Funções e permissões necessárias:O proprietário do espaço de trabalho pode ativar/desativar FIM (para obter mais informações, consulte Funções do Azure para Log Analytics).
O leitor pode visualizar resultados.
Nuvem: Nuvens
comerciais Nacional (Governo Azure, Azure China 21Vianet)
Suportado apenas em regiões onde a solução de rastreamento de mudanças da Azure Automation está disponível.
Dispositivos habilitados para o Azure Arc.
Consulte regiões suportadas para obter espaço de trabalho vinculado ao Log Analytics.
Saiba mais sobre rastreamento de alterações.
Contas AWS conectadas

Ativar o file integrity monitoring

Por padrão, o Monitoramento de Integridade de Arquivos será desativado em seu log analytics workspace e você terá que habilitá-lo manualmente. Quando você habilita o Monitoramento de integridade de arquivos, você está mirando todas as máquinas virtuais que pertencem a um log analytics workspace específico. É por isso que quando você tem vários espaços de trabalho, você tem que habilitar o Monitoramento de Integridade de Arquivos em cada um dos espaços de trabalho.

01 – Faça login no portal do Azure.

02 – No portal do Azure pesquise por Microsoft Defender for Cloud.

03 – Na tela Microsoft Defender for Cloud | Overview clique em Workload protections.

04 – Na tela Microsoft Defender for Cloud | Workload protections clique em File integraty monitoring.

05 – Na tela File Integrity Monitoring temos as seguintes informações:

  • Número total de alterações que ocorreram na última semana (você pode ver um traço “-” se o FIM não estiver ativado no espaço de trabalho).
  • Número total de computadores e VMs reportando-se ao espaço de trabalho.
  • Localização geográfica do espaço de trabalho.
  • A assinatura do Azure que o espaço de trabalho está sob.

Escolha o log Analytics worpace que deseja ativar o File Integrity Monitoring para suas VMs. Isso depende da sua configuração porque, neste momento, o File Integrity Monitoring mostra todos os Log Analytics workspace associados a assinatura, o log analytics workspace criados que não foram associados ao Microsoft Defender for Cloud estão com a opção UPGRADE PLAN, o que significa que primeiro você precisa atualizar o log analytics workspace, em seguida, o botão mudará e você terá a opção de ‘ATIVAR‘.

  • Atualizar ícone do plano. Atualize o log analytics workspace para usar recursos de segurança aprimorados. Este ícone indica que o espaço de trabalho ou assinatura não está protegido com o Microsoft Defender para servidores. Para usar os recursos da FIM, sua assinatura deve ser protegida com este plano. Para obter mais informações, consulte os recursos de segurança aprimorados do Microsoft Defender for Cloud.
  • Ativar ícone Habilite o FIM em todas as máquinas sob o log analytics workspace e configure as opções FIM. Este ícone indica que o FIM não está habilitado para o espaço de trabalho.

Vamos utilizar o log analytics workspace “loganalyticsteste”, clique em ENABLE.

06 – Na tela Enable File Integrity Monitoring temos a quantidade de servidores com o sistema operacional Windows Server e Linux, em Recommended settings temos Windows Files, Registry e Linux Files, expanda essas opções para ver uma lista completa de itens recomendados.

Windows Files

Registry

Linux Files

Não vamos desativar nenhuma das recomendações em Windows files, Registry e Linux Files, clique em Enable File Integrity Monitoring.

07 – Uma vez habilitado e iniciado o monitoramento de integridade de arquivos em seu log analytics workspace, levará até uma hora para ser concluído.

08 – Na tela File Integrity Monitoring percebam que temos a quantidade de registros, arquivos modificados, adicionados e removidos, selecione o servidor “VM-Teste-EDR-Wi”.

09 – Após selecionar o servidor VM-Teste-EDR-Wi fomos direcionados para os Logs no Log Analytics workspace, onde uma query foi executada que traz todas as informações de registros que foram adicionados, modificados e removidos.

ConfigurationChange
| where Computer == “VM-Teste-EDR-Wi”
| where ConfigChangeType in(“Files”, “Registry”)
| order by TimeGenerated
| render table

10 – De volta a tela do File Integrity Monitoring clique em Changes, também podemos visualizar todos os registros que foram adicionados, removidos e modificados.

12 – Selecione um dos registros que sofreu modificação, e podemos comparar o valor antes e
valor após.

13 – Ainda na tela File Integrity em Filter selecione para alterar o período de tempo para o qual as alterações são mostradas.

14 – Na tela File Integrity Monitoring clique em Settings.

15 – Na tela Workspace Configuration temos as opções Windows Registry, Windows Files, Linux Files, File Content e Windows Services. Paras as opões Windows Registry, Windows Files, Linux Files podemos adicionar uma nova entidade para monitorar.

16 – Na tela Workspace Configuration na opção File Content podemos configurar o File Content Change Trancking.

O Rastreamento de Alteração de Conteúdo de Arquivo permite que você visualize o conteúdo de um arquivo alterado antes e depois da alteração. Para fornecer este serviço, os dados de conteúdo do arquivo devem ser armazenados em uma conta de armazenamento após cada alteração nesse arquivo ser relatada.

17 – Na tela Workspace Configuration na opção Windows services podemos ajustar a frequência de coleta para alterações nos Serviços do Windows, a frequência de coleta pode ser entre 10 segundo as 30 minutos.

Agora temos que fazer algumas alterações de registro do Windows para que o FIM possa detectá-los e mostrá-los ao painel. Por exemplo, adicione um novo valor de registro. Vamos  adicionar um novo valor ao registro chamado testejadson e testejadson2.

18 – Abra o Registry Editor navegue até HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist e adicione os valores testejadson e testejadson2, conforme vídeo abaixo.

19 – Como o Registro do Windows HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist está sendo monitorado pelo FIM qualquer alteração será exibida.

20 – Como podemos observar os valores que adicionamos em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist estão sendo exibidos no FIM, temos algumas informações importantes como o tipo e a categoria e o tempo que a alteração ocorreu.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.