Povolení monitorování integrity souborů při použití agenta Azure Monitoru

  • Článek

K zajištění monitorování integrity souborů (FIM) shromažďuje agent služby Azure Monitor (AMA) data z počítačů podle pravidel shromažďování dat. Když se aktuální stav systémových souborů porovná se stavem během předchozí kontroly, FIM vás upozorní na podezřelé úpravy.

Poznámka:

V rámci aktualizované strategie Defenderu pro cloud už agent Azure Monitor nebude muset přijímat všechny funkce Defenderu pro servery. Všechny funkce, které se aktuálně spoléhají na agenta Azure Monitoru, včetně funkcí popsaných na této stránce, budou dostupné prostřednictvím integrace microsoft Defenderu for Endpoint nebo kontroly bez agentů do srpna 2024. Pro přístup k úplným funkcím Defenderu pro SQL server na počítačích se vyžaduje agent monitorování Azure (označovaný také jako AMA). Další informace o roadmapě funkcí najdete v tomto oznámení.

Monitorování integrity souborů pomocí nabídek agenta Služby Azure Monitor:

  • Kompatibilita s jednotným agentem monitorování – Kompatibilní s agentem služby Azure Monitor, který vylepšuje zabezpečení, spolehlivost a usnadňuje práci s více naváděnými daty.
  • Kompatibilita s nástrojem pro sledování – Kompatibilní s rozšířením Change Tracking (CT) nasazeným prostřednictvím služby Azure Policy na virtuálním počítači klienta. Můžete přepnout na agenta služby Azure Monitor (AMA) a pak rozšíření CT odesílá software, soubory a registr do AMA.
  • Zjednodušené onboarding– FIM můžete připojit z Microsoft Defenderu pro cloud.
  • Prostředí pro vícenásobné navádání – poskytuje standardizaci správy z jednoho centrálního pracovního prostoru. Můžete přejít z Log Analytics (LA) na AMA , aby všechny virtuální počítače ukazovaly na jeden pracovní prostor pro shromažďování a údržbu dat.
  • Správa pravidel – používá pravidla shromažďování dat ke konfiguraci nebo přizpůsobení různých aspektů shromažďování dat. Můžete například změnit frekvenci shromažďování souborů.

V tomto článku se dozvíte, jak:

Dostupnost

Aspekt Detaily
Stav vydání: Preview
Ceny: Vyžaduje Program Microsoft Defender for Servers Plan 2.
Požadované role a oprávnění: Vlastník
Přispěvatel
Mraky: Komerční cloudy – Podporováno pouze v oblastech: australiaeast, , canadacentralaustraliasoutheast, centralindia, centralus, , eastasia, eastus2euap, , japaneastwesteuropeswitzerlandnorthsoutheastasiauksouthwestcentraluseastus2koreacentralwestusfrancecentralnorthcentralusnortheuropesouthcentraluseastuswestus2
National (Azure Government, Microsoft Azure provozovaný společností 21Vianet)
Zařízení s podporou Služby Azure Arc .
Připojení účtů AWS
účty GCP Připojení

Požadavky

Sledování změn souborů na počítačích pomocí AMA:

Povolení monitorování integrity souborů pomocí AMA

Pokud chcete povolit monitorování integrity souborů (FIM), použijte doporučení FIM k výběru počítačů, které chcete monitorovat:

  1. Na bočním panelu Defenderu pro cloud otevřete stránku Doporučení .

  2. Na počítačích by se mělo povolit monitorování integrity souborů doporučení. Přečtěte si další informace o doporučeních defenderu pro cloud.

  3. Vyberte počítače, na které chcete použít monitorování integrity souborů, vyberte Opravit a vyberte Opravit prostředky X.

    Oprava doporučení:

    • Nainstaluje na ChangeTracking-Windows počítače rozšíření ChangeTracking-Linux .
    • Vygeneruje pravidlo shromažďování dat (DCR) pro předplatné, Microsoft-ChangeTracking-[subscriptionId]-default-dcr které definuje, jaké soubory a registry by se měly monitorovat na základě výchozího nastavení. Oprava připojí řadič domény ke všem počítačům v předplatném, na kterých je nainstalovaná služba AMA a je povolená fim.
    • Vytvoří nový pracovní prostor služby Log Analytics s konvencí defaultWorkspace-[subscriptionId]-fim pojmenování a s výchozím nastavením pracovního prostoru.

    Nastavení pracovního prostoru služby Log Analytics a DCR můžete aktualizovat později.

  4. Na bočním panelu Defenderu pro cloud přejděte na Monitorování integrity>souborů ochrany úloh a výběrem banneru zobrazte výsledky počítačů s agentem Azure Monitor.

    Screenshot of banner in File integrity monitoring to show the results for machines with Azure Monitor Agent.

  5. Zobrazí se počítače s povoleným monitorováním integrity souborů.

    Screenshot of File integrity monitoring results for machines with Azure Monitor Agent.

    Můžete zobrazit počet změn provedených ve sledovaných souborech a výběrem možnosti Zobrazit změny zobrazit změny provedené ve sledovaných souborech na tomto počítači.

Úprava seznamu sledovaných souborů a klíčů registru

Monitorování integrity souborů (FIM) pro počítače s agentem Azure Monitor používá pravidla shromažďování dat (DCR) k definování seznamu souborů a klíčů registru ke sledování. Každé předplatné má řadič domény pro počítače v daném předplatném.

FIM vytváří řadiče domény s výchozí konfigurací sledovaných souborů a klíčů registru. Žádosti o přijetí změn můžete upravit a přidat, odebrat nebo aktualizovat seznam souborů a registrů, které sleduje FIM.

Úprava seznamu sledovaných souborů a registrů:

  1. V monitorování integrity souborů vyberte pravidla shromažďování dat.

    Zobrazí se všechna pravidla vytvořená pro předplatná, ke kterým máte přístup.

  2. Vyberte řadič domény, který chcete aktualizovat pro předplatné.

    Každý soubor v seznamu klíčů registru Windows, souborů Windows a souborů Linuxu obsahuje definici souboru nebo klíče registru, včetně názvu, cesty a dalších možností. Můžete také nastavit Povoleno na False zrušit sledování souboru nebo klíče registru bez odebrání definice.

    Přečtěte si další informace o definicích systémových souborů a klíčů registru.

  3. Vyberte soubor a pak přidejte nebo upravte definici klíče souboru nebo registru.

  4. Výběrem možnosti Přidat uložte změny.

Vyloučení počítačů z monitorování integrity souborů

Monitoruje se každý počítač v předplatném připojeném k řadiči domény. Počítač můžete odpojit od řadiče domény, aby se soubory a klíče registru nesledovaly.

Vyloučení počítače z monitorování integrity souborů:

  1. V seznamu monitorovaných počítačů ve výsledcích FIM vyberte nabídku (...) pro počítač.
  2. Vyberte Odpojit pravidlo shromažďování dat.

Screenshot of the option to detach a machine from a data collection rule and exclude the machines from File Integrity Monitoring.

Počítač se přesune na seznam nesledovaných počítačů a změny souborů se už pro tento počítač nesledují.

Další kroky

Další informace o defenderu pro cloud v:

  • Nastavení zásad zabezpečení – Zjistěte, jak nakonfigurovat zásady zabezpečení pro předplatná a skupiny prostředků Azure.
  • Správa doporučení zabezpečení – Zjistěte, jak vám doporučení pomáhají chránit vaše prostředky Azure.
  • Blog o zabezpečení Azure – Získejte nejnovější novinky a informace o zabezpečení Azure.