Přehled sledování změn a inventáře pomocí agenta Monitorování Azure

  • Článek

Platí pro: ✔️ Virtuální počítače s Linuxem ✔️ ✔️ virtuální počítače s Windows Registry ✔️ Windows Files Linux Files ✔️ ✔️ Windows Software ✔️ Windows Services & Linux démony

Důležité

  • Řešení Change Tracking a inventory v současné době používá agenta Log Analytics a plánuje se 31. srpna 2024 vyřadit. Jako nového podpůrného agenta doporučujeme používat agenta Azure Monitoring Agent.
  • Pokyny k migraci z řešení Change Tracking a Inventory pomocí agenta Log Analytics na agenta monitorování Azure budou k dispozici, jakmile bude obecně dostupná. Další informace.
  • Pro přístup k verzi ga této služby doporučujeme použít řešení Change Tracking s agentem Azure Monitoring Agent s rozšířením Change Tracking verze 2.20.0.0 (nebo vyšší).

Tento článek vysvětluje nejnovější verzi podpory sledování změn pomocí agenta Azure Monitoring Agent jako jednotného agenta pro shromažďování dat.

Poznámka:

Aktuální verze GA monitorování integrity souborů založená na agentu Log Analytics bude v srpnu 2024 zastaralá a brzy bude k dispozici nová verze přes MDE.  FiM Public Preview na základě agenta služby Azure Monitor (AMA) se po poskytnutí alternativy přes MDE přestane používat. Proto se fim s verzí AMA Public Preview neplánuje pro ga. Tady si přečtěte oznámení.

Klíčové výhody

  • Kompatibilita s jednotným agentem monitorování – Kompatibilní s agentem služby Azure Monitor, který vylepšuje zabezpečení, spolehlivost a usnadňuje práci s více naváděnými daty.
  • Kompatibilita s nástrojem pro sledování – Kompatibilní s rozšířením Change Tracking (CT) nasazeným prostřednictvím služby Azure Policy na virtuálním počítači klienta. Můžete přepnout na agenta Služby Azure Monitor (AMA) a pak rozšíření CT odešle software, soubory a registr do AMA.
  • Prostředí pro vícenásobné navádání – poskytuje standardizaci správy z jednoho centrálního pracovního prostoru. Můžete přejít z Log Analytics (LA) na AMA , aby všechny virtuální počítače ukazovaly na jeden pracovní prostor pro shromažďování a údržbu dat.
  • Správa pravidel – používá pravidla shromažďování dat ke konfiguraci nebo přizpůsobení různých aspektů shromažďování dat. Můžete například změnit frekvenci shromažďování souborů.

Aktuální omezení

Sledování změn a inventář používání agenta Azure Monitoring Agent nepodporuje nebo má následující omezení:

  • Rekurze pro sledování registru Windows
  • Síťové systémy souborů
  • Různé metody instalace
  • *Soubory .exe uložené ve Windows
  • Sloupec Maximální velikost souboru a hodnoty se v aktuální implementaci nepoužívají.
  • Pokud sledujete změny souboru, je omezena na velikost souboru o velikosti 5 MB nebo méně.
  • Pokud se velikost souboru zobrazí >1,25 MB, pak fileContentChecksum je nesprávný z důvodu omezení paměti ve výpočtu kontrolního součtu.
  • Pokud se pokusíte shromáždit více než 2500 souborů v 30minutovém cyklu kolekce, může dojít ke snížení výkonu Sledování změn a inventář.
  • Pokud je síťový provoz vysoký, může zobrazení záznamů změn trvat až šest hodin.
  • Pokud upravíte konfiguraci, když se počítač nebo server vypne, může se stát, že se změní, které patří do předchozí konfigurace.
  • Shromažďování aktualizací oprav hotfix na počítačích s Windows Serverem 2016 Core RS3
  • Démoni Linuxu můžou zobrazit změněný stav, i když nedošlo k žádné změně. K tomuto problému dochází kvůli tomu, jak SvcRunLevels se data v tabulce ConfigurationChange služby Azure Monitor zapisují.
  • Rozšíření Change Tracking nepodporuje žádné standardy posílení zabezpečení pro žádné operační systémy Linux ani distribuce.

Limity

Následující tabulka uvádí limity sledovaných položek na počítač pro sledování změn a inventář.

Prostředek Omezení Poznámky
Soubor 500
Velikost souboru 5 MB
Registr 250
Software pro Windows 250 Nezahrnuje aktualizace softwaru.
Linuxové balíčky 1,250
Služby Windows 250
Démony Linuxu 250

Podporované operační systémy

Sledování změn a inventář se podporuje ve všech operačních systémech, které splňují požadavky agenta služby Azure Monitor. Seznam verzí operačního systému Windows a Linux, které aktuálně podporuje agent Služby Azure Monitor, najdete v podporovaných operačních systémech .

Pokud chcete porozumět požadavkům klientů na tls 1.2 nebo vyšší, přečtěte si téma TLS 1.2 nebo vyšší pro Azure Automation.

Povolení řešení Change Tracking a Inventory

Sledování změn a inventář můžete povolit následujícími způsoby:

  • Ručně pro počítače, které nejsou s podporou Azure Arc, najdete v tématu Povolení iniciativy Sledování změn a inventář pro virtuální počítače s podporou Arc v definicích > zásad > Vyberte kategorii = ChangeTrackingAndInventory. Pokud chcete povolit Sledování změn a inventář ve velkém měřítku, použijte řešení založené na zásadách DINE. Další informace najdete v tématu Povolení Sledování změn a inventář pomocí agenta Azure Monitoring Agent (Preview).

  • Pro jeden virtuální počítač Azure ze stránky virtuálního počítače na webu Azure Portal. Tento scénář je k dispozici pro virtuální počítače s Linuxem a Windows.

  • Pro více virtuálních počítačů Azure jejich výběrem na stránce Virtuální počítače na webu Azure Portal.

Sledování změn souborů

Pro sledování změn v souborech ve Windows i Linuxu Sledování změn a inventář používá hodnoty hash SHA256 souborů. Tato funkce pomocí hodnot hash zjistí, jestli byly provedeny změny od posledního inventáře.

Sledování změn obsahu souboru

Sledování změn a inventář umožňuje zobrazit obsah souboru systému Windows nebo Linux. Pro každou změnu souboru Sledování změn a inventář ukládá obsah souboru do účtu Azure Storage. Když sledujete soubor, můžete jeho obsah zobrazit před nebo po změně. Obsah souboru se dá zobrazit buď přímo, nebo vedle sebe. Další informace.

Screenshot of viewing changes in a Windows or Linux file.

Sledování klíčů registru

Sledování změn a inventář umožňuje monitorování změn klíčů registru Systému Windows. Monitorování umožňuje určit body rozšiřitelnosti, kde se může aktivovat kód a malware třetích stran. Následující tabulka uvádí předem nakonfigurované (ale nepovolené) klíče registru. Pokud chcete tyto klíče sledovat, musíte je povolit.

Klíč registru Účel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Monitoruje skripty, které se spouští při spuštění.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Monitoruje skripty, které běží při vypnutí.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Monitoruje klíče načtené před přihlášením uživatele k účtu Systému Windows. Klíč se používá pro 32bitové aplikace běžící na 64bitových počítačích.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Monitoruje změny nastavení aplikace.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Monitoruje obslužné rutiny místní nabídky, které se připojují přímo do Průzkumníka Windows a obvykle běží v procesu pomocí explorer.exe.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Monitoruje obslužné rutiny háku kopírování, které se připojují přímo do Průzkumníka Windows a obvykle běží v procesu pomocí explorer.exe.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitoruje registraci obslužné rutiny překrytí ikon.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitoruje registraci obslužné rutiny překrytí ikon pro 32bitové aplikace spuštěné na 64bitových počítačích.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitory pro nové moduly plug-in pomocných objektů prohlížeče pro Internet Explorer. Používá se pro přístup k modelu DOM (Document Object Model) aktuální stránky a k řízení navigace.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitory pro nové moduly plug-in pomocných objektů prohlížeče pro Internet Explorer. Používá se pro přístup k modelu DOM (Document Object Model) aktuální stránky a k řízení navigace pro 32bitové aplikace spuštěné na 64bitových počítačích.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions Monitory pro nová rozšíření Internet Exploreru, například vlastní nabídky nástrojů a tlačítka vlastního panelu nástrojů.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Monitory pro nová rozšíření Internet Exploreru, jako jsou vlastní nabídky nástrojů a tlačítka vlastních panelů nástrojů pro 32bitové aplikace spuštěné na 64bitových počítačích.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitoruje 32bitové ovladače asociované s wavemapperem, wave1 a wave2, msacm.imaadpcm, .msadpcm, .msgsm610 a vidc. Podobá se části [ovladače] v souboru system.ini .
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitoruje 32bitové ovladače asociované s wavemapperem, wave1 a wave2, msacm.imaadpcm, .msadpcm, .msgsm610 a vidc pro 32bitové aplikace běžící na 64bitových počítačích. Podobá se části [ovladače] v souboru system.ini .
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Monitoruje seznam známých nebo běžně používaných systémových knihoven DLL. Monitorování brání uživatelům v zneužití slabých oprávnění adresářů aplikací vyřazením v trojských verzích systémových knihoven DLL.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Monitoruje seznam balíčků, které mohou přijímat oznámení událostí z winlogon.exe, interaktivní model podpory přihlášení pro Windows.

Podpora rekurze

Sledování změn a inventář podporuje rekurz, což umožňuje zadat zástupné cardy pro zjednodušení sledování napříč adresáři. Rekurze také poskytuje proměnné prostředí, které umožňují sledovat soubory napříč prostředími s názvy více nebo dynamických jednotek. Následující seznam obsahuje běžné informace, které byste měli vědět při konfiguraci rekurze:

  • Pro sledování více souborů se vyžadují zástupné cardy.

  • Zástupné znaky můžete použít pouze v posledním segmentu cesty k souboru, například c:\folder\file* nebo /etc/*.conf.

  • Pokud má proměnná prostředí neplatnou cestu, ověření proběhne úspěšně, ale cesta se během provádění nezdaří.

  • Při nastavování cesty byste se měli vyhnout obecným názvům cest, protože tento typ nastavení může způsobit procházení příliš velkého počtu složek.

Sledování změn a inventář shromažďování dat

Následující tabulka ukazuje frekvenci shromažďování dat pro typy změn podporovaných Sledování změn a inventář. Pro každý typ se také aktualizuje snímek dat aktuálního stavu alespoň každých 24 hodin.

Změnit typ Četnost
Registr Systému Windows 50 min
Soubor Windows 30 až 40 minut
Soubor s Linuxem 15 minut
Služby systému Windows Výchozí hodnota: 10 minut až 30 minut
: 30 minut
Software pro Windows 30 minut
Software pro Linux 5 minut
Démony Linuxu 5 minut

Následující tabulka uvádí limity sledovaných položek na počítač pro Sledování změn a inventář.

Prostředek Omezení
Soubor 500
Registr 250
Software systému Windows (nezahrnuje opravy hotfix) 250
Linuxové balíčky 1250
Služby Windows 250
Démony Linuxu 500

Data služeb systému Windows

Požadavky

Pokud chcete povolit sledování dat služeb systému Windows, musíte upgradovat rozšíření CT a použít rozšíření větší nebo rovno 2.11.0.0.

- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true

Konfigurace frekvence

Výchozí frekvence shromažďování pro služby Windows je 30 minut. Pokud chcete nakonfigurovat frekvenci,

  • v části Upravit Nastavení použijte posuvník na kartě Služby systému Windows.

Screenshot of frequency slider.

Podpora upozornění na stav konfigurace

Klíčovou funkcí Sledování změn a inventář je upozorňování na změny stavu konfigurace vašeho hybridního prostředí. K dispozici je mnoho užitečných akcí, které se dají aktivovat v reakci na výstrahy. Například akce ve službě Azure Functions, runbooky Automation, webhooky a podobné akce. Upozorňování na změny souboru c:\windows\system32\drivers\etc\hosts pro počítač je jednou z vhodných aplikací výstrah pro Sledování změn a inventář data. Existuje mnoho dalších scénářů pro upozorňování, včetně scénářů dotazů definovaných v další tabulce.

Dotaz Popis
ConfigurationChange
| where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\"		 Užitečné pro sledování změn v systémově důležitých souborech.
ConfigurationChange
| where FieldsChanged obsahuje "FileContentChecksum" a FileSystemPath == "c:\windows\system32\drivers\etc\hosts"		 Užitečné pro sledování změn klíčových konfiguračních souborů.
ConfigurationChange
| where ConfigChangeType == "WindowsServices" a SvcName obsahuje "w3svc" a SvcState == "Zastaveno"		 Užitečné pro sledování změn systémově důležitých služeb.
ConfigurationChange
| where ConfigChangeType == "Daemons" a SvcName obsahuje "ssh" a SvcState!= "Running"		 Užitečné pro sledování změn systémově důležitých služeb.
ConfigurationChange
| where ConfigChangeType == "Software" a ChangeCategory == "Added"		 Užitečné pro prostředí, která potřebují uzamčené konfigurace softwaru.
ConfigurationData
| where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"		 Užitečné pro zjištění, které počítače mají nainstalovanou zastaralou nebo nekompatibilní verzi softwaru. Tento dotaz hlásí poslední hlášený stav konfigurace, ale nehlásí změny.
ConfigurationChange
| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"		 Užitečné pro sledování změn zásadních antivirových klíčů.
ConfigurationChange
| where RegistryKey contains @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"		 Užitečné pro sledování změn nastavení brány firewall.

Další kroky