Migrer à partir de Microsoft Monitoring Agent ou d’Azure Monitor Agent

La surveillance de l’intégrité des fichiers dans Defender pour serveurs Plan 2 utilise l’agent Microsoft Defender pour point de terminaison pour collecter des données à partir de machines en fonction des règles de collecte.

La version précédente de la surveillance de l’intégrité des fichiers a utilisé l’agent Log Analytics (également appelé Microsoft Monitoring Agent (MMA) ou l’agent Azure Monitor (AMA) pour la collecte de données. Cet article explique comment migrer les versions précédentes de MMA et AMA vers la nouvelle version.

Prérequis

• Vous devez activer Defender pour serveurs Plan 2 pour utiliser la surveillance de l’intégrité des fichiers.
• La migration est pertinente si la surveillance de l’intégrité des fichiers est actuellement activée à l’aide de MMA ou AMA.
• Les machines protégées par Defender pour serveurs Plan 2 doivent exécuter l’agent Microsoft Defender pour point de terminaison. Pour vérifier l’état de l’agent sur les machines de votre environnement, utilisez ce classeur pour ce faire.

Effectuer une migration à partir de l’agent MMA

Si vous utilisez une version précédente de la surveillance de l’intégrité des fichiers avec MMA, vous pouvez migrer à l’aide de l’expérience de migration dans le produit. Avec l'expérience intégrée au produit, vous pouvez :

• Passez en revue l’environnement actuel avant la migration.
• Exportez les règles de surveillance de l’intégrité des fichiers actuelles qui utilisent MMA dans un espace de travail Log Analytics.
• Migrez vers la nouvelle expérience si Defender pour serveurs Plan 2 est actif.

Avant de commencer

Notez les points suivants :

• Vous ne pouvez exécuter l’outil de migration qu’une seule fois par abonnement. Vous ne pouvez pas l’exécuter à nouveau pour migrer des règles à partir de plusieurs espaces de travail dans le même abonnement.
• La migration dans le produit nécessite des autorisations d’administrateur de sécurité sur l’abonnement cible et les autorisations Propriétaire sur l’espace de travail Log Analytics cible.
• L’outil vous permet de transférer des règles de supervision existantes vers la nouvelle expérience.
• Vous ne pouvez pas migrer des règles intégrées personnalisées et héritées qui ne font pas partie de la nouvelle expérience, mais vous pouvez les exporter dans un fichier JSON.
• L’outil de migration répertorie toutes les machines d’un abonnement, pas seulement celles intégrées à la surveillance de l’intégrité des fichiers avec MMA.
  • La version héritée exigeait que l’agent MMA soit connecté à l’espace de travail Log Analytics. Les machines protégées par Defender pour serveurs Plan 2, mais qui n’exécutent pas MMA n’ont pas bénéficié de la surveillance de l’intégrité des fichiers.
  • Avec la nouvelle expérience, toutes les machines de l’étendue activée bénéficient de la surveillance de l’intégrité des fichiers.
• Bien que la nouvelle expérience n’ait pas besoin d’un agent MMA, vous devez spécifier un espace de travail source et cible dans l’outil de migration.
  • La source est l’espace de travail à partir duquel vous transférez des règles existantes dans la nouvelle expérience.
  • La cible est l’espace de travail où sont consignés les journaux des modifications lorsque les fichiers et les registres surveillés changent.
• Après avoir activé la nouvelle expérience sur un abonnement, les machines de l’étendue activée sont couvertes par les mêmes règles d’analyse de l’intégrité des fichiers.
• Pour exempter les ordinateurs individuels de la surveillance de l’intégrité des fichiers, passez-les à Defender pour serveurs Plan 1 en activant Defender pour serveurs au niveau de la ressource

Migrer avec l’expérience intégrée au produit

1. Dans Defender pour Cloud, accédez à Protections de charge de travail ainsi qu'à Surveillance de l’intégrité des fichiers.

2. Dans le message de bannière, sélectionnez Cliquez ici pour migrer vos environnements.

   

3. Dans la page Préparer vos environnements à la dépréciation de l’agent MMA, démarrez la migration.

4. Sous l’onglet Migrer vers le nouvel onglet FIM , sous Migrer vers la nouvelle version de FIM sur MDE, sélectionnez Effectuer une action.

   

5. Sous l’onglet Migrer vers le nouveau FIM, vous pouvez voir tous les abonnements qui hébergent des machines avec la surveillance de l’intégrité des fichiers anciens activée.

   • Le nombre total de machines sur abonnement affiche toutes les machines virtuelles Azure et les machines virtuelles avec Azure Arc dans l’abonnement.
   • Machines configurées pour FIM indique le nombre de machines pour lesquelles la surveillance de l’intégrité des fichiers est activée.

6. Dans la colonne Action située à côté de chaque abonnement, sélectionnez Migrer.

7. Sur Mise à jour de l'abonnement>Examen des machines de l'abonnement, vous voyez une liste des machines qui ont la surveillance de l'intégrité des fichiers ancienne version activée et leur espace de travail Log Analytics associé. Cliquez sur Suivant.

8. Sous l’onglet Migrer les paramètres , sélectionnez un espace de travail comme source de migration.

9. Passez en revue la configuration de l’espace de travail, y compris le Registre Windows et les fichiers Windows/Linux. Il existe une indication indiquant si les paramètres et les fichiers peuvent être migrés.

10. Si vous avez des fichiers et des paramètres qui ne peuvent pas être migrés, sélectionnez Enregistrer les paramètres de l’espace de travail en tant que fichier.

11. Sous Choisir l’espace de travail de destination pour le stockage des données FIM, spécifiez l’espace de travail Log Analytics dans lequel vous souhaitez stocker les modifications avec la nouvelle expérience de surveillance de l’intégrité des fichiers. Vous pouvez utiliser le même espace de travail ou en sélectionner un autre.

12. Cliquez sur Suivant.

13. Sous l’onglet Révision et approbation , passez en revue le résumé de la migration. Sélectionnez Migrer pour commencer le processus de migration.

Une fois la migration terminée, l’abonnement est supprimé de l’Assistant Migration et les règles de surveillance de l’intégrité des fichiers migrées sont appliquées.

Désactiver la solution MMA héritée

Suivez ces étapes pour désactiver la surveillance de l’intégrité des fichiers avec MMA manuellement.

1. Supprimez la solution Azure ChangeTracking de l’espace de travail Log Analytics.

   Après la suppression, aucun nouvel événement de surveillance de l’intégrité des fichiers n’est collecté. Les événements historiques restent stockés dans l’espace de travail Log Analytics correspondant, dans la section Suivi des modifications de la table ConfigurationChange. Les événements sont stockés en fonction des paramètres de rétention des données de l’espace de travail.

2. Si vous n’avez plus besoin de MMA sur les machines, désactivez l’utilisation de l’agent Log Analytics.

   • Si vous n’avez besoin de l’agent sur aucune machine, désactivez l’approvisionnement automatique de l’agent dans l’abonnement.
   • Pour une machine spécifique, supprimez l’agent à l’aide de l’Utilitaire de découverte et de suppression d’Azure Monitor.

Effectuer une migration à partir de l’agent AMA

Suivez ces étapes pour migrer à partir de la surveillance de l’intégrité des fichiers avec AMA.

1. Supprimez les règles de collecte de données de suivi des modifications de fichiers associées.

2. Pour ce faire, suivez les instructions dans Remove-AzDataCollectionRuleAssociation et Remove-AzDataCollectionRule.

   Après la suppression, aucun nouvel événement de surveillance de l’intégrité des fichiers n’est collecté. Les événements historiques restent stockés dans l’espace de travail approprié sous la table ConfigurationChange de la section Suivi des modifications. Les événements sont stockés en fonction des paramètres de rétention des données de l’espace de travail.

Si vous souhaitez continuer à utiliser AMA pour consommer des événements d’analyse de l’intégrité des fichiers, connectez-vous manuellement à l’espace de travail approprié et affichez les modifications dans la table Change Tracking avec cette requête.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Pour continuer à intégrer de nouvelles étendues ou à configurer des règles de surveillance, travaillez manuellement avec des règles de collecte de données et personnalisez la collecte de données.

Passez en revue les modifications apportées à la surveillance de l’intégrité des fichiers.