Fájlintegritási monitorozás engedélyezése az Azure Monitor-ügynök használatakor
A fájlintegritási monitorozás (FIM) biztosításához az Azure Monitor Agent (AMA) adatgyűjtési szabályok szerint gyűjt adatokat a gépekről. Ha a rendszerfájlok aktuális állapotát hasonlítja össze az előző vizsgálat során az állapottal, a FIM értesíti Önt a gyanús módosításokról.
Feljegyzés
A Felhőhöz készült Defender frissített stratégiánk részeként az Azure Monitor-ügynökre már nem lesz szükség a Defender for Servers összes funkciójának fogadásához. Az Azure Monitor-ügynökre jelenleg támaszkodó összes funkció, beleértve az ezen a lapon ismertetetteket is, 2024 augusztusára Végponthoz készült Microsoft Defender integrációs vagy ügynök nélküli vizsgálattal lesz elérhető. Az SQL Serverhez készült Defender teljes képességeinek eléréséhez a gépeken az Azure monitorozási ügynökre (más néven AMA-ra) van szükség. A funkció ütemtervével kapcsolatos további információkért tekintse meg ezt a bejelentést.
Fájlintegritási monitorozás az Azure Monitor-ügynök ajánlataival:
- Kompatibilitás az egyesített monitorozási ügynökkel – Kompatibilis az Azure Monitor-ügynökkel, amely javítja a biztonságot, a megbízhatóságot, és megkönnyíti a többhelyes adattárolást.
- Kompatibilitás a követési eszközzel– Kompatibilis az ügyfél virtuális gépén az Azure Policy használatával üzembe helyezett Változáskövetési (CT) bővítménysel. Válthat az Azure Monitor Agentre (AMA), majd a CT-bővítmény leküldi a szoftvert, a fájlokat és a beállításjegyzéket az AMA-ba.
- Egyszerűbb előkészítés – A FIM-et Felhőhöz készült Microsoft Defender is előkészítheti.
- Többhelyes kezelés – A felügyelet egységesítését biztosítja egy központi munkaterületről. A Log Analyticsről (LA) áttérhet az AMA-ra , hogy az összes virtuális gép egyetlen munkaterületre mutasson adatgyűjtés és karbantartás céljából.
- Szabályok kezelése – Adatgyűjtési szabályok használatával konfigurálja vagy testre szabja az adatgyűjtés különböző aspektusait. Módosíthatja például a fájlgyűjtés gyakoriságát.
Ebből a cikkből megtudhatja, hogyan:
- Fájlintegritási monitorozás engedélyezése az AMA-val
- A követett fájlok és a beállításkulcsok listájának szerkesztése
- Gépek kizárása a fájlintegritási monitorozásból
Elérhetőség
Szempont | Részletek |
---|---|
Kiadási állapot: | Előnézet |
Díjszabás: | A Microsoft Defender for Servers 2. csomagjának megköveteléséhez |
Szükséges szerepkörök és engedélyek: | Tulajdonos Közreműködő |
Felhők: | Kereskedelmi felhők – Csak régiókban támogatottak: australiaeast , , australiasoutheast , canadacentral , centralindia centralus , eastus2euap eastus eastasia , eastus2 , francecentral , , switzerlandnorth uksouth westus northeurope westcentralus southeastasia southcentralus westeurope japaneast koreacentral northcentralus westus2 National (Azure Government, Microsoft Azure által üzemeltetett 21Vianet) Azure Arc-kompatibilis eszközök. Csatlakozás AWS-fiókok Csatlakozás GCP-fiókok |
Előfeltételek
A fájlok módosításainak nyomon követése gépeken az AMA használatával:
A Defender for Servers 2. csomagjának engedélyezése.
Telepítse az AMA-t a figyelni kívánt gépekre.
Fájlintegritási monitorozás engedélyezése az AMA-val
A fájlintegritási monitorozás (FIM) engedélyezéséhez a FIM-javaslat segítségével válassza ki a figyelendő gépeket:
Felhőhöz készült Defender oldalsávján nyissa meg a Javaslatok lapot.
Válassza ki a javaslatot , hogy a fájlintegritási monitorozást engedélyezni kell a gépeken. További információ Felhőhöz készült Defender javaslatokról.
Jelölje ki a fájlintegritási monitorozást használni kívánt gépeket, válassza a Javítás lehetőséget, és válassza az X-erőforrások javítása lehetőséget.
A javaslat javítása:
- Telepíti a
ChangeTracking-Windows
bővítményt aChangeTracking-Linux
gépekre. - Létrehoz egy adatgyűjtési szabályt (DCR) a nevesített
Microsoft-ChangeTracking-[subscriptionId]-default-dcr
előfizetéshez, amely meghatározza, hogy mely fájlokat és adatbázisokat kell figyelni az alapértelmezett beállítások alapján. A javítás csatolja a DCR-t az előfizetés összes olyan gépéhez, amely rendelkezik az AMA telepítve és a FIM engedélyezve van. - Létrehoz egy új Log Analytics-munkaterületet az elnevezési konvencióval
defaultWorkspace-[subscriptionId]-fim
és az alapértelmezett munkaterület-beállításokkal.
Később frissítheti a DCR és a Log Analytics munkaterület beállításait.
- Telepíti a
A Felhőhöz készült Defender oldalsávján lépjen a Számítási feladatok védelmének>fájlintegritási monitorozására, és válassza ki a szalagcímet az Azure Monitor-ügynökkel rendelkező gépek eredményeinek megjelenítéséhez.
Megjelennek a fájlintegritási monitorozást engedélyező gépek.
Láthatja a korrektúrákon végrehajtott módosítások számát, és a Módosítások megtekintése lehetőséget választva megtekintheti a számítógépen lévő korrektúrák módosításait.
A követett fájlok és a beállításkulcsok listájának szerkesztése
Az Azure Monitor-ügynökkel rendelkező gépek fájlintegritási monitorozása (FIM) adatgyűjtési szabályok (DCRs) használatával határozza meg a nyomon követendő fájlok és beállításkulcsok listáját. Minden előfizetés rendelkezik egy DCR-sel az adott előfizetésben lévő gépekhez.
A FIM a nyomon követett fájlok és beállításkulcsok alapértelmezett konfigurációjával hozza létre a DCR-eket. A DCR-ek szerkesztésével hozzáadhatja, eltávolíthatja vagy frissítheti a FIM által nyomon követett fájlok és nyilvántartások listáját.
A korrektúrák és a nyilvántartások listájának szerkesztése:
A Fájlintegritási monitorozásban válassza az Adatgyűjtési szabályokat.
Megtekintheti azoknak az előfizetéseknek a szabályait, amelyekhez hozzáféréssel rendelkezik.
Válassza ki az előfizetéshez frissíteni kívánt DCR-t.
A Windows-beállításkulcsok, a Windows-fájlok és a Linux-fájlok listájában szereplő fájlok mindegyike tartalmaz egy fájl vagy beállításkulcs definícióját, beleértve a nevet, az elérési utat és az egyéb beállításokat. Az Engedélyezve érték false (Hamis) értékre állításával a definíció eltávolítása nélkül is kivonhatja a forgalomból a fájlt vagy a beállításkulcsot.
További információ a rendszerfájl- és beállításkulcs-definíciókról.
Jelöljön ki egy fájlt, majd adja hozzá vagy szerkessze a fájl vagy a beállításkulcs definícióját.
Válassza a Hozzáadás lehetőséget a módosítások mentéséhez.
Gépek kizárása a fájlintegritási monitorozásból
A DCR-hez csatolt előfizetés minden gépét figyeli a rendszer. Leválaszthat egy gépet a DCR-ről, hogy a fájlok és a beállításkulcsok ne lesznek nyomon követve.
Gép kizárása a fájlintegritási monitorozásból:
- A FIM-eredmények monitorozott gépeinek listájában válassza ki a gép menüjét (...)
- Válassza az Adatgyűjtési szabály leválasztása lehetőséget.
A gép a nem figyelt gépek listájára kerül, és a fájlmódosításokat a rendszer már nem követi nyomon.
Következő lépések
További információ a Felhőhöz készült Defender:
- Biztonsági szabályzatok beállítása – Ismerje meg, hogyan konfigurálhat biztonsági szabályzatokat az Azure-előfizetésekhez és az erőforráscsoportokhoz.
- Biztonsági javaslatok kezelése – Megtudhatja, hogyan segíthetnek a javaslatok az Azure-erőforrások védelmében.
- Azure Security blog – Az Azure legfrissebb biztonsági hírei és információi.