Migración desde Microsoft Monitoring Agent o el Agente de Azure Monitor

La supervisión de la integridad de los archivos en Defender para servidores Plan 2 usa el agente de Microsoft Defender for Endpoint para recopilar datos de las máquinas de acuerdo con las reglas de recopilación.

La versión anterior de la supervisión de la integridad de los archivos usó el agente de Log Analytics (también conocido como Microsoft Monitoring Agent (MMA) o el Agente de Azure Monitor (AMA) para la recopilación de datos. En este artículo se describe cómo migrar versiones anteriores de MMA y AMA a la nueva versión.

Requisitos previos

• Debe habilitar Defender for Servers Plan 2 para usar la supervisión de la integridad de los archivos.
• La migración es relevante si la supervisión de la integridad de los archivos está habilitada actualmente mediante MMA o AMA.
• Las máquinas protegidas por el plan 2 de Defender para servidores deben ejecutar el agente de Microsoft Defender para punto de conexión. Para comprobar el estado del agente en las máquinas de su entorno, utilice este cuaderno de trabajo para realizar dicha comprobación.

Migración desde MMA

Si usa una versión anterior de la supervisión de la integridad de los archivos con MMA, puede migrar mediante la funcionalidad de migración integrada en el producto. Con la experiencia en el producto, puede hacer lo siguiente:

• Revise el entorno actual antes de migrar.
• Exporte las reglas de supervisión de integridad de archivos actuales que usan MMA en un área de trabajo de Log Analytics.
• Migre a la nueva experiencia si Defender for Servers Plan 2 está activo.

Antes de comenzar

Observe lo siguiente:

• Solo puede ejecutar la herramienta de migración una vez por suscripción. No se puede volver a ejecutar para migrar reglas de varias áreas de trabajo de la misma suscripción.
• La migración dentro del producto requiere permisos de administrador de seguridad en la suscripción de destino y permisos de propietario en el área de trabajo de Log Analytics de destino.
• La herramienta le permite transferir reglas de supervisión existentes a la nueva experiencia.
• No puede migrar reglas integradas personalizadas y heredadas que no forman parte de la nueva experiencia, pero puede exportarlas a un archivo JSON.
• La herramienta de migración enumera todas las máquinas de una suscripción, no solo las incorporadas a la supervisión de la integridad de los archivos con MMA.
  • La versión heredada requería MMA conectada al área de trabajo de Log Analytics. Las máquinas protegidas por Defender for Servers Plan 2, pero no ejecutando MMA, no se beneficiaron de la supervisión de la integridad de los archivos.
  • Con la nueva experiencia, todas las máquinas del ámbito habilitado se benefician de la supervisión de la integridad de los archivos.
• Aunque la nueva experiencia no necesita un agente de MMA, debe especificar un área de trabajo de origen y destino en la herramienta de migración.
  • El origen es el área de trabajo desde la que se transfieren las reglas existentes a la nueva experiencia.
  • El objetivo es el espacio de trabajo donde se escriben los registros de cambios cuando los archivos y registros supervisados cambian.
• Después de habilitar la nueva experiencia en una suscripción, las máquinas del ámbito habilitado están cubiertas por las mismas reglas de supervisión de integridad de archivo.
• Para excluir máquinas individuales de la supervisión de la integridad de los archivos, cámbielas al Plan 1 de Defender para servidores mediante habilitar Defender para servidores en el nivel de recurso

Migración con la experiencia en el producto

1. En Defender for Cloud, vaya a Protección de cargas de trabajo>Supervisión de la integridad de los archivos.

2. En el mensaje de banner, seleccione Haga clic aquí para migrar los entornos.

   

3. En la página Preparar los entornos en desuso de MMA, inicie la migración.

4. En la pestaña Migrar a la nueva FIM , en Migrar a la nueva versión de FIM a través de MDE, seleccione Realizar acción.

   

5. En la pestaña Migrar a la nueva FIM, puede ver todas las suscripciones que hospedan máquinas con habilitada la supervisión de integridad de archivos heredada.

   • El total de máquinas en la suscripción muestra todas las máquinas virtuales de Azure y las máquinas virtuales habilitadas para Azure Arc en la suscripción.
   • Máquinas configuradas para FIM muestra el número de máquinas con la supervisión de integridad de archivos heredada habilitada.

6. En la columna Acción junto a cada suscripción, seleccione Migrar.

7. En Actualizar suscripción>Revisión de las máquinas de la suscripción, verá una lista de las máquinas que tienen habilitada la monitorización de integridad de archivos obsoleta y el área de trabajo relacionada de Log Analytics. Seleccione Siguiente.

8. En la pestaña Migrar configuración , seleccione un área de trabajo como origen de migración.

9. Revise la configuración del área de trabajo, incluidos el Registro de Windows y los archivos de Windows/Linux. Hay una indicación de si se pueden migrar la configuración y los archivos.

10. Si tiene archivos y configuraciones que no se pueden migrar, seleccione Guardar configuración del área de trabajo como archivo.

11. En Elegir área de trabajo de destino para almacenar datos FIM, especifique el área de trabajo de Log Analytics donde desea almacenar los cambios con la nueva experiencia de supervisión de la integridad de los archivos. Puede usar la misma área de trabajo o seleccionar una diferente.

12. Seleccione Siguiente.

13. En la pestaña Revisar y aprobar , revise el resumen de la migración. Seleccione Migrar para iniciar el proceso de migración.

Una vez finalizada la migración, se elimina la suscripción del asistente de migración y se aplican las reglas de monitoreo de integridad de archivos migrados.

Deshabilitar la solución MMA heredada

Siga estos pasos para deshabilitar la supervisión de la integridad de los archivos con MMA manualmente.

1. Quitar la solución Azure ChangeTracking del área de trabajo de Log Analytics.

   Después de la eliminación, no se recopilan nuevos eventos de supervisión de integridad de archivos. Los eventos históricos permanecen almacenados en el área de trabajo de Log Analytics pertinente en la sección Change Tracking de la tabla ConfigurationChange. Los eventos se almacenan según la configuración de retención de datos del área de trabajo.

2. Si ya no necesita MMA en las máquinas, deshabilite el uso del agente de Log Analytics.

   • Si no necesita el agente en ninguna máquina, desactive el aprovisionamiento automático de agentes en la suscripción.
   • Para una máquina específica, quite el agente mediante la Utilidad de detección y eliminación de Azure Monitor.

Migrar desde AMA

Siga estos pasos para migrar desde la supervisión de la integridad de los archivos con AMA.

1. Quite las reglas de recopilación de datos (DCR) de Change Tracking de archivos relacionadas.

2. Para ello, siga las instrucciones de Remove-AzDataCollectionRuleAssociation y Remove-AzDataCollectionRule.

   Después de la eliminación, no se recopilan nuevos eventos de supervisión de integridad de archivos. Los eventos históricos permanecen almacenados en el área de trabajo pertinente en la tabla ConfigurationChange de la sección Change Tracking. Los eventos se almacenan según la configuración de retención de datos del área de trabajo.

Si desea seguir usando AMA para consumir eventos de supervisión de integridad de archivos, conéctese manualmente al área de trabajo pertinente y vea los cambios en la tabla Change Tracking con esta consulta.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Para continuar incorporando un nuevo ámbito o configurando reglas de supervisión, trabaje manualmente con reglas de recopilación de datos y personalice la recopilación de datos.

Revise los cambios en la supervisión de la integridad de los archivos.