Habilitar o monitoramento de integridade de arquivo

No Plano 2 do Defender para Servidores no Microsoft Defender para Nuvem, o recurso Monitoramento de Integridade de Arquivos ajuda a manter os ativos e recursos corporativos seguros. Ele verifica e analisa arquivos do sistema operacional, registros do Windows, software de aplicativo e arquivos do sistema Linux para obter alterações que possam indicar um ataque.

Depois de habilitar o Plano 2 do Defender para Servidores, siga as instruções neste artigo para configurar o Monitoramento de Integridade de Arquivos usando o Microsoft Defender for Endpoint e a verificação de computador sem utilização de agente para coletar dados.

Pré-requisitos

• Você deve habilitar o Plano 2 do Defender para Servidores em sua assinatura.

• Você deve instalar o agente do Defender for Endpoint por meio das extensões do Defender for Servers em computadores que deseja monitorar.

• Você deve conectar computadores que não são do Azure com o Azure Arc.

• Você deve habilitar a verificação de computador sem agente em sua assinatura para obter cobertura extra e a capacidade de monitorar caminhos personalizados.

• Você precisa de permissões de administrador de segurança e proprietário do Workspace para habilitar e desabilitar o Monitoramento de Integridade do Arquivo. As permissões de Leitor de segurança podem exibir resultados.

Verificar a versão do cliente do Defender para Ponto de Extremidade

Antes de começar, verifique se a versão do cliente do Defender para Endpoint nos seus computadores é, pelo menos, a versão mínima necessária para o Monitoramento de Integridade de Arquivos.

• Windows Server 2019 ou posterior - o agente do Defender para Endpoint é atualizado como parte das atualizações contínuas do sistema operacional. Verifique se os computadores Windows têm a atualização mais recente instalada.

  Saiba mais sobre como usar o Serviço de Atualização Windows Servers para instalar computadores em escala.

• Windows Servers 2016 e Windows Server 2012 R2 – você deve atualizar os computadores manualmente para a versão mais recente do agente.

  Você pode instalar o KB 5005292 a partir do Catálogo do Microsoft Update. A KB 5005292 é atualizada periodicamente com a última versão do agente.

• Máquinas Linux – O agente do Microsoft Defender para Endpoint será atualizado automaticamente se o provisionamento automático estiver ativado para as máquinas no Microsoft Defender para Nuvem. Depois que a extensão MDE.Linux é instalada em uma máquina Linux, esta tenta atualizar a versão do agente toda vez que a Máquina Virtual (VM) reinicializa. Você também pode atualizar a versão do agente manualmente.

Habilitar o monitoramento de integridade de arquivo

O Monitoramento de Integridade do Arquivo não está habilitado por padrão. Você pode habilitá-lo no portal do Microsoft Defender para Nuvem.

1. Entre no portal do Azure.

2. Navegue para Microsoft Defender para a Nuvem>Configurações de Ambiente>assinatura relevante.

3. Localize o plano Defenders para Servidores e selecione Configurações.

4. Na seção Monitoramento de integridade de arquivos, vire o botão para Ativado.

   

5. Selecione Editar configuração.

6. Selecione um workspace para armazenar os dados de Monitoramento de Integridade do Arquivo. (Opcional) Ou selecione Criar novo para criar um novo workspace.

   

7. Na seção Regra recomendada para monitorar, selecione Editar.

8. Selecione os arquivos e registros recomendados para monitoramento.

   Verifique se a alternância de status está definida como Habilitada e selecione os tipos de alteração que você deseja monitorar. Por padrão, todas as entidades recomendadas para monitoramento são selecionadas. Você pode remover entidades do monitoramento selecionando o botão três pontos ao lado da regra de monitoramento e selecionando Excluir.

   

9. Selecione Aplicar para salvar as alterações.

   

10. (Opcional) Selecione + Adicionar regra para criar uma regra personalizada.

    

    1. Na seção Adicionar nova regra personalizada , insira um nome de regra e (opcional) uma descrição de regra.

    2. Verifique se a alternância de status está definida como Habilitada.

    3. Selecione os tipos De alteração e defina o tipo de entidade e o caminho da entidade para suas regras personalizadas.

    4. Selecione Aplicar para salvar as alterações.

    5. (Opcional) Selecione Excluir regra para excluir uma configuração de regra.

11. Escolha Aplicar.

12. Selecione Continuar.

Examinar o status de habilitação para monitoramento de integridade de arquivo

Examine a habilitação de Monitoramento de Integridade de Arquivo para garantir que ela esteja correta e que todos os pré-requisitos sejam atendidos.

1. Acesse Proteção de Carga de Trabalho>Monitoramento de Integridade de Arquivos.

   

2. Selecione Configurações.

   

3. Verifique se há pré-requisitos ausentes.

4. Selecione uma assinatura e analise as ações corretivas para o workspace necessário.

   

5. Marque a caixa de seleção para todas as correções necessárias.

6. Escolha Aplicar.

Desabilitar o monitoramento de integridade do arquivo

Se você desabilitar o Monitoramento de Integridade do Arquivo, nenhum novo evento será coletado. No entanto, os dados coletados antes da desativação permanecem no espaço de trabalho do Log Analytics, de acordo com a política de retenção do espaço de trabalho.

Desabilite da seguinte maneira:

1. Entre no portal do Azure.

2. Navegue até o Microsoft Defender para Nuvem, Configurações do Ambiente e assinatura relevante.

3. Localize o plano Defenders para Servidores e selecione Configurações.

4. Na seção Monitoramento de integridade de arquivos, vire o botão para Desligado.

   

5. Escolha Aplicar.

6. Selecione Continuar.

7. Selecione Salvar.

Próxima etapa

• Os eventos coletados para o Monitoramento de Integridade de Arquivos são incluídos nos tipos de dados qualificados para o benefício de 500 MB para clientes do Plano 2 do Defender para Servidores. Saiba mais sobre o benefício.
• Examine as alterações no Monitoramento de Integridade do Arquivo.