Defender for Cloud: יישום והגדרת FIM
דמיינו שהסביבה הארגונית שלך היא מוזיאון מלא בחפצים יקרי ערך. כל קובץ קריטי במערכת הוא כמו יצירת אמנות – ייחודי, חיוני ובעל ערך. אבל מה אם מישהו סידר מחדש בחשאי חפץ כלשהוא? איך תדע? זה המקום שבו ניטור תקינות קבצים (FIM) נכנס. FIM פועל כמו אוצר התראה, ועוקב אחר כל פרט באוסף שלך. הוא מזהה כל שינוי שאינו מורשה, ומתריע באופן מיידי אם משהו – לא משנה כמה קטן – התעסק בו. בדיוק כפי שמערכת האבטחה של מוזיאון מגנה על האוצרות שלו, FIM מגן על הקבצים, שומר על תקינות ושלמות כל "חפץ" במרחב הדיגיטלי.
המאמר, ״Defender for Cloud: יישום והגדרת FIM״ נוגע באפשרויות של FIM, איך מפעילים, הגדרות וטיפים. המאמר אינו מתמקד במיגרציה מתצורות שונות/אחרות.
מבט מלמעלה
בעבר, התכונה של File Integrity Monitoring או בקצרה FIM עבור שרתים התבססה על סוכן מסוג MMA או Azure Monitor Agent. מכיוון שהסוכן של MMA יצא מכלל שימוש (EOL). מיקרוסופט החליטה לעבור לאסטרטגיה חדשה ולשחרר את התכונה של FileIntegrityMonitoring המבוססת על הסנסור של Defender for Endpoint עבור עמדות קצה. משמעות הדבר היא שאין דרישה לפריסות AMA כלשהן, המבוססות על שימוש כסוכן יחיד.
חוויית סוכן MMA תישאר נתמכת עד סוף נובמבר 2024. אפשר לומר, טוב לדעת ש FIM דרך AMA לא יהיה זמין עוד בפורטל של Defender for Cloud.
בהתאם לאסטרטגיה זו, חלק מהיכולות של Defender for Servers מסופקות באמצעות Defneder for Endpoint, ובפרט, בהתאם לאפשרויות של Cloud-Native (תלוי בתצורה). כמו, סריקה ללא סוכן עבור מכונות, וזאת מבלי להסתמך על Log Analytics Agent (MMA) או Azure Monitor Agent (AMA).
גישה היברידית זו משלבת את החוזקות של הגנה מבוססת סוכן והגנה ללא סוכן, ומציעה אבטחה רב-שכבתית לשרתים. בעוד שהסוכן מספק אבטחה מעמיקה וזיהוי ותגובה בזמן אמת, יכולות ללא סוכן מספקות כיסוי משופר, נראות מלאה טובה יותר, וכל זאת ללא השפעה על הביצועים של המכונות. ממצאי אבטחה משתי הגישות, המבוססות על סוכנים וללא סוכנים, משולבים בצורה חלקה בממשק Defender for Cloud, ומותאמים להגנה על שרתים בסביבות מרובות עננים.
היכולת של FIM שמבוסס על Defender for Endpoint מציע ניטור בזמן אמת של נתיבי קבצים, רישומי מערכת וקובצי מערכת קריטיים, ומבטיח שכל שינוי המצביע על התקפה פוטנציאלית יזוהה באופן מיידי. בנוסף, FIM מציעה תמיכה מוכללת בתקני תאימות רגולטוריים רלוונטיים, כגון PCI-DSS, CIS, NIST ואחרים, ומאפשר לשמור על תאימות.
ניטור תקינות קבצים (FIM) הוא תהליך אבטחה המנטר ומנתח את התקינות של נכסים ומיקומים קריטיים. שינויים במבנים קריטיים יכולים להצביע על סימנים של עקיפה, שינוי קונפיגורציה, או כל השחתה שהיא, ואלה יכולים לשמש כאינדיקציה לתקיפת סייבר.
FIM אינו שימושי רק לטובת זיהוי תקיפות סייבר. שינויים מסוימים שבוצעו על ידי אדמינים יכולים להעלות סיכונים מסויימים. באמצעות FIM, ניתן לזהות נקודות תורפה ולתקן אותן לפני שניתן יהיה לנצל אותן. ניטור תקינות קבצים (FIM) מסייע לנטר את הרישום של Windows או לינוקס ואת הקבצים ואת כל השינויים שעשויים להצביע על תקיפת סייבר ואפילו תצורה שגויה.
מקרי שימוש
מקרי השימוש הפוטנציאלים יכולים להיות בין היתר:
זיהוי שינויים לא מורשים: FIM יכול להתריע בפני צוותי אבטחה על שינויים לא מורשים בקבצים רגישים, כגון קבצי תצורה, שעלולים להצביע על הפרה אפשרית.
ניטור תצורות מערכת: על ידי מעקב אחר שינויים בתצורות מערכת ויישומים, FIM עוזר להבטיח שרק עדכונים מורשים מבוצעים, ומפחית את הסיכון לתצורות שגויות.
ביקורת שינויים: ניתן להשתמש ב FIM כדי לשמור על ביקורת שינויים, אשר חיוני לחקירות משפטיות לאחר תקרית אבטחה.
שלמות קבצים: FIM יכולה לפקח על קבצי יישומים בינאריים וספריות כדי לוודא שלא טופלו בהם, ולהגן מפני הזרקת תוכנות זדוניות.
זיהוי איומים: על ידי ניטור שינויים שבוצעו על ידי משתמשים בקבצים רגישים, FIM יכול לעזור לזהות איומים פוטנציאליים פנימיים או ניסיונות חילוץ נתונים.
אימות גיבוי: FIM יכול לאמת שקובצי גיבוי לא שונו או נפגמו, מה שמבטיח שלמות הנתונים במהלך תהליכי השחזור.
רגולציה: FIM מסייע לארגונים לעמוד בדרישות של Regulatory Compliance,למשל, PCI DSS, HIPAA ועוד, ועל ידי ניטור קבצים קריטיים וביקורת על כל שינוי שנעשה.
באופן כללי ניתן לומר כי זיהוי בעיות אבטחה פוטנציאליות על ידי זיהוי שינויים בקבצים הוא באמת מעניין ותחתיו ישנם הרבה מקרי שימוש, עם זה ניתן לפקח על קבצים חשובים המקושרים ליישומים / שרתים. כאשר אלה משתנים, הוא ידווח ישירות על השינוי ויודיע על כך. דוגמאות ספציפיות:
- מעקב אחר מחיקת קבצי רישום
- מעקב אחר מחיקת קבצים במערכות Windows/ Linux
- מעקב אחר שינויים בקבצים/ הרישום של Windows
איזה נכסים מנוטרים
הנכסים המנוטרים באמצעות FIM הם נכסים ממוקדים. בעת יישום ניטור תקינות קבצים (FIM), חיוני להתמקד ברישומים, קבצים ובספריות שהם קריטיים לאבטחה. ניטור קבצים שאינם צפויים להשתנות לעתים קרובות מסייע בזיהוי מיידי של שינויים לא מורשים. לעומת זאת, הכללת קבצים שעוברים שינויים קבועים עלולה ליצור התראות מוגזמות, מה שהופך את זה למאתגר לזהות איומים אמיתיים.
איזה סוגי מידע מנוטרים?
- Windows Registry
- Windows Files
- Linux Files
- File Content
- Windows Services
מידע נוסף בקישור הבא: Which files should I monitor?.
הפעלת FIM
הפעלת FIM איננה פעולה מורכבת, יחד עם זאת ישנם מספר הגדרות שאינן נגישות בצורה הרגילה, ולכן צריך להפעייל אותן בצורה מלאה בכדי ש FIM יעבוד ללא פערים עם כלל היכולות.
דרישות מוקדמות
תחילה יש לוודא את הדרישות המוקדמות:
- Defender עבור נקודת קצה חייב להיות זמין ועדכני
- מומלץ להשתמש בגרסאות האחרונות של MDE עם התכונות העדכניות ביותר
- פלאן 2 של Defender for Servers
עלות אחסון
אחסון האירועים אינו נמצא ב Defender for Cloud בצורה ישירה, והוא ממוקם בסביבת העבודה המחוברת של Log Analytics ומחויב באמצעות עלות Log Analytics. עם השימוש בפלטפורמת SIEM + XDR (נקרא גם חווית SecOps) המאוחדת, ניתן לשלב את Microsoft Sentinel וכן Defender for Endpoint יחד עם Defender for Cloud ולהשתמש בטבלאות לטובת הרצת שאילתות, קבלת התראות ותחקורם, ובפרט, עבודה מתוך ממשק אחד בלבד.
הפעלת Defender for Servers
ניטור תקינות קבצים (FIM) הוא חלק מפלאן 2 של Defender for Cloud עבור שרתים. ההפעלה של Defender for Servers זמינה ואפשרית ישירות בבממשק Defender for Cloud.
בפורטל הניהול של Defender for Cloud, בהגדרות Environment settings של הניהול צריך לבחור את החשבון (Subscription) הנדרש ומשם להפעיל את Defender for Server.
בעת הפעלת Defender for Servers צריך לוודא שפלאן 2 זמין ומופעל. כאשר פלאן 2 אינו זמין אפשר לשנות את התוכנית ולחבור Defender for Server פלאן 2. לאחר מכן היכולות יופעלועבור כל המשאבים הנתמכים בפלאן.
שילוב FIM וקביעת תצורה
לאחר הפעלת התוכנית, יש להפעיל ולהגדיר את FIM. לצורך כך, צריך להיכנס אל הגדרות וניטור, ולהפעיל ניטור תקינות קבצים – FIM. יש להעביר את ההגדרה למצב מופעל.
תצורה
לאחר הגדרות ראשוניות אנחנו יכולים לערוך את התצורה ולהגדיר את סביבת העבודה. האירועים יאוחסנו בסביבת העבודה של Log Analytics, ולכן, צריך לבחור את סביבת העבודה של Log Analytics עבור האירועים. בסביבות בהן יש את השילוב של SIEM + XDR המאוחד זה נותן את היתרון של מינוף נתוני FIM בביצוע פעולות Hunting בסיסי ומתקדם עם טבלאות אחרות.
מומלץ לעקוב אחר הפריטים הבאים באמצעות FIM. ההמלצות הן כברירת מחדל חלק מהתצורה. בתצוגת התצורה לעיל. מי שרוצה לשנות או להוסיף ערכים, ניתן לעשות זאת מתוך הגדרה אחרת בממשק.
יש לוודא את המשאב של Log Analytics שהוא חלק מתוך Defender for Cloud בכדי לקבל נראות מלאה על כלל השרתים הנדרשים.
לאחר מכן אפשר לוודא את ההגדרות המומלצות כולל הוספת ערכים מותאמים ברמת קבצים, רישומים וכן הלאה.
התצוגה מטה היא אופציונלית ואין צורך לעבוד דרכה ביומיום. עדיין, אפשר לוודא שההגדרות נמצאות במקום ואין פערים דרך השרתים המנוטרים, שינויים וכן הלאה.
לבסוף, התצוגה שאיתה עובדים ביומיום היא FIM מתוך Workload Protections שם נוכל לראות את כלל השרתים, שינויים ונוכל לעקוב אחר הדברים הקטנים.
סימולציה
כמו בכל מערכת וסביבה אנו צריכים לבדוק שהבקרות נמצאות במקומן ואין פערים, או מיסקונפיגורציות ושלל בעיות אבטחה שעלולות להפתיע אותנו בזמן אמת.. לצורך כך, צריך להריץ סימולציות ולתקף את תקינות ההגדרות.
סימולציה לקובץ hosts
# Define the path to a monitored file
$monitoredFile = "C:\Windows\System32\drivers\etc\hosts"# Step 1: Modify the file content
Write-Host "Modifying the content of the monitored file…"
Add-Content -Path $monitoredFile -Value "`n# Added for simulation purposes"# Step 2: Change file permissions
Write-Host "Changing permissions of the monitored file…"
$acl = Get-Acl $monitoredFile
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Everyone", "FullControl", "Allow")
$acl.SetAccessRule($rule)
Set-Acl -Path $monitoredFile -AclObject $acl# Step 3: Delete the file
Write-Host "Deleting the monitored file…"
Remove-Item -Path $monitoredFile -Force# Step 4: Restore the file for future use
Write-Host "Restoring the monitored file…"
New-Item -Path $monitoredFile -ItemType File
Set-Content -Path $monitoredFile -Value "# Restored for integrity monitoring simulation"# Wait for a moment to allow Defender for Cloud to detect and alert
Start-Sleep -Seconds 60
סימולציה לקובץ userinit.exe
# Define the path to the monitored file
$monitoredFile = "C:\Windows\System32\userinit.exe"
$backupFile = "C:\Windows\System32\userinit_backup.exe"# Step 1: Check if backup exists and create one if it doesn't
if (!(Test-Path $backupFile)) {
Write-Host "Creating a backup of userinit.exe…"
Copy-Item -Path $monitoredFile -Destination $backupFile -Force
}# Step 2: Simulate file modification by renaming and then restoring it
Write-Host "Simulating modification by renaming userinit.exe…"
Rename-Item -Path $monitoredFile -NewName "userinit_temp.exe"# Wait for a few seconds to ensure the rename action is registered by FIM
Start-Sleep -Seconds 10# Step 3: Restore the original file
Write-Host "Restoring userinit.exe…"
Rename-Item -Path "C:\Windows\System32\userinit_temp.exe" -NewName "userinit.exe"# Step 4: Change permissions of the file temporarily
Write-Host "Changing permissions of userinit.exe to simulate unauthorized access…"
$acl = Get-Acl $monitoredFile
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Everyone", "FullControl", "Allow")
$acl.SetAccessRule($rule)
Set-Acl -Path $monitoredFile -AclObject $acl# Wait for a few seconds to register permission change
Start-Sleep -Seconds 10# Step 5: Restore original permissions
Write-Host "Restoring original permissions of userinit.exe…"
$acl.RemoveAccessRule($rule)
Set-Acl -Path $monitoredFile -AclObject $acl# Step 6: Revert to original state if needed (optional)
Write-Host "Ensuring userinit.exe is in original state…"
Copy-Item -Path $backupFile -Destination $monitoredFile -Force# Optional: Delete backup if no longer needed
# Remove-Item -Path $backupFile -ForceWrite-Host "Simulation complete. Check Defender for Cloud alerts for FIM events."
בסיום נוכל לקבל התראה בממשק Defender XDR, לתחקר אותה, ולאחר מכן לגשת ל FIM ולהבין את השינויים שנעשו. התחקור יכול לכלול בתוכו את Microsoft Sentinel עם הרצת שאילתות מבוססות קוסטו.
לסיכום
טוב לראות שמיקרוסופט הסירה את המורכבות של סוכנים נוספים והשתמשה ברכיב Defender for Endpoint כדי למנף את פונקציות FIM. ניטור תקינות קבצים נועד לעקוב אחר שינויים ולהתריע על כל שינוי בלתי צפוי.
בשני מאמרים הבאים אתמקד בלתקוף ולהגן על FIM, וכן מאמר נוסף של תחקור FIM באמצעות SIEM + XDR.
קישורים
Introducing the new File Integrity Monitoring with Defender for Endpoint integration
File Integrity Monitoring in Microsoft Defender for Cloud
File Integrity Monitoring using Microsoft Defender for Endpoint
