Migrieren von Microsoft Monitoring Agent oder Azure Monitor Agent

Die Dateiintegritätsüberwachung in Defender für Server Plan 2 verwendet den Microsoft Defender für Endpunkt-Agent, um Daten von Computern gemäß Sammlungsregeln zu sammeln.

Die vorherige Version der Dateiintegritätsüberwachung verwendete den Log Analytics-Agent (auch bekannt als Microsoft Monitoring Agent (MMA) oder den Azure Monitor Agent (AMA) für die Datensammlung. In diesem Artikel wird beschrieben, wie Sie frühere Versionen von MMA und AMA zur neuen Version migrieren.

Voraussetzungen

• Sie müssen Defender für Server Plan 2 für die Verwendung der Dateiintegritätsüberwachung aktivieren.
• Die Migration ist relevant, wenn die Dateiintegritätsüberwachung derzeit mithilfe von MMA oder AMA aktiviert ist.
• Computer, die durch Defender für Server Plan 2 geschützt sind, müssen den Microsoft Defender für Endpunkt-Agent ausführen. Verwenden Sie diese Arbeitsmappe , um den Agentstatus auf Computern in Ihrer Umgebung zu überprüfen.

Migrieren von MMA

Wenn Sie eine frühere Version der Dateiintegritätsüberwachung mit MMA verwenden, können Sie die Migration mithilfe der Produktmigrationsfunktion durchführen. Mit der produktinternen Oberfläche können Sie Folgendes tun:

• Überprüfen Sie die aktuelle Umgebung vor der Migration.
• Exportieren Sie aktuelle Regeln für die Dateiintegritätsüberwachung, die MMA in einem Log Analytics-Arbeitsbereich verwenden.
• Migrieren Sie zu der neuen Oberfläche, wenn Defender für Server Plan 2 aktiv ist.

Vor der Installation

Beachten Sie dabei Folgendes:

• Sie können das Migrationstool nur einmal pro Abonnement ausführen. Sie können sie nicht erneut ausführen, um Regeln aus mehreren Arbeitsbereichen im selben Abonnement zu migrieren.
• Für die Produktmigration sind Sicherheitsadministratorberechtigungen für das Zielabonnement und besitzerberechtigungen für den Log Analytics-Zielarbeitsbereich erforderlich.
• Mit dem Tool können Sie vorhandene Überwachungsregeln auf die neue Oberfläche übertragen.
• Sie können keine benutzerdefinierten und älteren integrierten Regeln migrieren, die nicht Teil der neuen Oberfläche sind, aber Sie können sie in eine JSON-Datei exportieren.
• Das Migrationstool listet alle Computer in einem Abonnement auf, nicht nur diejenigen, die in die Dateiintegritätsüberwachung mit MMA integriert sind.
  • Die Legacy-Version erforderte eine Verbindung von MMA mit dem Log Analytics-Arbeitsbereich. Computer, die durch Defender für Server Plan 2 geschützt sind, aber keine MMA ausführen, profitierten nicht von der Dateiintegritätsüberwachung.
  • Mit der neuen Erfahrung profitieren alle Maschinen im aktivierten Bereich von der Dateiintegritätsüberwachung.
• Obwohl die neue Erfahrung keinen MMA-Agenten benötigt, müssen Sie im Migrationstool einen Quell- und Zielarbeitsbereich(e) angeben.
  • Die Quelle ist der Arbeitsbereich, aus dem Sie vorhandene Regeln in die neue Oberfläche übertragen.
  • Das Ziel ist der Arbeitsbereich, in dem Änderungsprotokolle geschrieben werden, wenn überwachte Dateien und Registrierungen geändert werden.
• Nach dem Aktivieren des neuen Erlebnisses bei einem Abonnement werden Maschinen im aktivierten Bereich von den gleichen Regeln für die Dateiintegritätsüberwachung abgedeckt.
• Um einzelne Maschinen von der Dateiintegritätsüberwachung auszunehmen, führen Sie ein Downgrade auf Defender für Servers Plan 1 durch, indem Sie Defender für Server auf Ressourcenebene aktivieren.

Migrieren mit der produktinternen Oberfläche

1. Wechseln Sie in Defender für Cloud zu Workload-Schutz für dieDateiintegritätsüberwachung>.

2. Wählen Sie in der Bannermeldung Hier klicken, um Ihre Umgebungen zu migrieren.

   

3. Starten Sie auf der Seite Vorbereitung Ihrer Umgebungen auf die Einstellung von MMA die Migration.

4. Wählen Sie auf der Registerkarte "Migrieren zur neuen FIM" unter "Zur neuen Version von FIM migrieren über MDE""Aktion ausführen" aus.

   

5. Auf der Registerkarte "Migrieren zur neuen FIM" können Sie alle Abonnements sehen, die Computer beherbergen, auf denen die Legacy-Dateiintegritätsüberwachung aktiviert ist.

   • Die Gesamtzahl der Computer im Abonnement zeigt alle virtuellen Azure-Computer und azure Arc-fähige VMs im Abonnement an.
   • Computer, die für FIM konfiguriert sind zeigt die Anzahl der Computer an, auf denen die Legacy-Dateiintegritätsüberwachung aktiviert ist.

6. Wählen Sie in der Spalte Aktion neben jedem Abonnement Migrieren aus.

7. Unter Abonnement aktualisieren>Überprüfen von Computern des Abonnements wird eine Liste der Computer angezeigt, auf denen die Legacy-Dateiintegritätsüberwachung aktiviert ist, und der zugehörige Log Analytics-Arbeitsbereich. Wählen Sie Weiter aus.

8. Wählen Sie auf der Registerkarte "Einstellungen migrieren " einen Arbeitsbereich als Migrationsquelle aus.

9. Überprüfen Sie die Konfiguration des Arbeitsbereichs, einschließlich der Windows-Registrierung und der Windows/Linux-Dateien. Es gibt einen Hinweis darauf, ob Einstellungen und Dateien migriert werden können.

10. Wenn Sie Dateien und Einstellungen haben, die nicht migriert werden können, wählen Sie " Arbeitsbereichseinstellungen als Datei speichern" aus.

11. Geben Sie unter "Zielarbeitsbereich auswählen" für die SPEICHERUNG von FIM-Daten den Log Analytics-Arbeitsbereich an, in dem Sie Änderungen mit der neuen Dateiintegritätsüberwachung speichern möchten. Sie können denselben Arbeitsbereich verwenden oder einen anderen Arbeitsbereich auswählen.

12. Wählen Sie Weiter aus.

13. Überprüfen Sie auf der Registerkarte " Überprüfen und genehmigen " die Migrationszusammenfassung. Klicken Sie auf Migrieren, um den Migrationsvorgang zu starten.

Nach Abschluss der Migration wird das Abonnement aus dem Migrations-Assistenten entfernt, und die migrierten Dateiintegritätsüberwachungsregeln werden angewendet.

Deaktivieren der älteren MMA-Lösung

Führen Sie die folgenden Schritte aus, um die Dateiintegritätsüberwachung manuell mit MMA zu deaktivieren.

1. Entfernen Sie die Azure ChangeTracking-Lösung aus dem Log Analytics-Arbeitsbereich.

   Nach dem Entfernen werden keine neuen Ereignisse zur Dateiintegritätsüberwachung erfasst. Historische Ereignisse bleiben in dem entsprechenden Log Analytics-Arbeitsbereich im Abschnitt Änderungsverfolgung in der Tabelle ConfigurationChange gespeichert. Ereignisse werden gemäß den Aufbewahrungseinstellungen für Arbeitsbereichsdaten gespeichert.

2. Wenn Sie MMA nicht mehr auf Computern benötigen, deaktivieren Sie die Verwendung des Log Analytics-Agents.

   • Wenn Sie den Agent auf keinem Computer benötigen, schalten Sie die automatische Bereitstellung des Agent im Abonnement aus.
   • Für einen bestimmten Computer entfernen Sie den Agent mit dem Azure Monitor Discovery and Removal-Hilfsprogramm.

Migrieren von AMA

Führen Sie die folgenden Schritte aus, um von der Dateiintegritätsüberwachung mit AMA zu migrieren.

1. Entfernen Sie die zugehörigen Datensammlungsregeln (Data Collection Rules, DCR) der Dateiänderungsnachverfolgung.

2. Folgen Sie dazu den Anweisungen unter Remove-AzDataCollectionRuleAssociation und Remove-AzDataCollectionRule.

   Nach dem Entfernen werden keine neuen Ereignisse zur Dateiintegritätsüberwachung erfasst. Historische Ereignisse bleiben im relevanten Arbeitsbereich unter der Tabelle ConfigurationChange im Abschnitt "Änderungsnachverfolgung" gespeichert. Ereignisse werden gemäß den Aufbewahrungseinstellungen für Arbeitsbereichsdaten gespeichert.

Wenn Sie weiterhin AMA verwenden möchten, um Dateiintegritätsüberwachungsereignisse zu nutzen, stellen Sie mit dieser Abfrage manuell eine Verbindung mit dem relevanten Arbeitsbereich her und zeigen Änderungen in der Tabelle "Änderungsnachverfolgung " an.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Um das Onboarding neuer Bereiche fortzusetzen oder Überwachungsregeln zu konfigurieren, bearbeiten Sie manuell die Datensammlungsregeln und passen Sie die Datensammlung an.

Überprüfen Sie die Änderungen der Dateiintegritätsüberwachung.