你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

启用文件完整性监视

在 Microsoft Defender for Cloud 的 Defender for Servers 计划 2 中，文件完整性监视功能有助于保护企业资产和资源的安全。它会扫描和分析作系统文件、Windows 注册表、应用程序软件和 Linux 系统文件，以查找可能表示攻击的更改。

启用 Defender for Servers 计划 2 后，请按照本文中的说明，使用 Microsoft Defender for Endpoint 代理和无代理机器扫描来配置文件完整性监视，并收集数据。

注意

如果您使用以前版本的文件完整性监控与 Log Analytics 代理（Microsoft 监视代理 (MMA)）或 Azure Monitor 代理 (AMA) 配合使用，则可以迁移到新的文件完整性监测体验。
从 2025 年 6 月开始，由 Microsoft Defender for Endpoint 提供支持的文件完整性监视需要最低版本。根据需要更新代理。
- Windows：10.8760 或更高版本。
- Linux：30.124082 或更高版本。

Prerequisites

在开始之前，请验证计算机上的 Defender for Endpoint 客户端版本是否至少是文件完整性监视所需的最低版本。

Windows Server 2019 或更高版本 - Defender for Endpoint 代理在持续的操作系统更新中被更新。确保 Windows 计算机已安装最新的更新。

详细了解如何使用Windows Server 更新服务大规模安装计算机。
Windows Server 2016 和 Windows Server 2012 R2 - 必须手动将计算机更新到最新的代理版本。

你可以从 Microsoft 更新目录安装 KB 5005292。 KB 5005292 会定期使用最新的代理版本进行更新。
Linux 计算机 - 如果为 Defender for Cloud 中的计算机启用了自动预配，则 Defender for Endpoint 代理会自动更新。在 MDE.Linux 扩展安装到 Linux 计算机上之后，每次虚拟机（VM）重新启动时，该计算机都会尝试更新代理版本。你还可以手动更新代理版本。

默认情况下，文件完整性监视未启用。可以在 Microsoft Defender for Cloud 门户中启用它。

登录 Azure 门户。
导航到 Microsoft Defender for Cloud>环境设置>相关订阅。
找到 Defenders for Servers 计划并选择“设置”。
在“文件完整性监视”部分中，将开关切换为“开”。
选择 “编辑配置”。
选择一个工作区来存储文件完整性监视数据。（可选）或者，选择“ 新建 ”以创建新工作区。
在 “建议监视 规则”部分下，选择“ 编辑”。
选择建议监视的文件和注册表。

确保状态切换设置为 “已启用” ，然后选择要监视的 更改类型 。默认情况下，建议监视的所有实体都处于选中状态。可以通过选择监视规则旁边的三个点按钮，然后选择 “删除”来从监视中删除实体。
选择“应用”以保存所做的更改。
（可选）选择 “+ 添加规则 ”以创建自定义规则。
1. 在 “添加新自定义规则 ”部分下，输入 规则名称和 （可选） 规则说明。
2. 确保状态切换设置为 “已启用”。
3. 选择“更改类型”并为自定义规则定义实体类型和实体路径。
4. 选择“应用”以保存所做的更改。
5. （可选）选择 “删除规则 ”以删除规则配置。
选择“应用”。
选择“继续”。