Fájlintegritási monitorozás engedélyezése az Azure Monitor-ügynök használatakor

  • Cikk

A fájlintegritási monitorozás (FIM) biztosításához az Azure Monitor Agent (AMA) adatgyűjtési szabályok szerint gyűjt adatokat a gépekről. Ha a rendszerfájlok aktuális állapotát hasonlítja össze az előző vizsgálat során az állapottal, a FIM értesíti Önt a gyanús módosításokról.

Feljegyzés

A Felhőhöz készült Defender frissített stratégiánk részeként az Azure Monitor-ügynökre már nem lesz szükség a Defender for Servers összes funkciójának fogadásához. Az Azure Monitor-ügynökre jelenleg támaszkodó összes funkció, beleértve az ezen a lapon ismertetetteket is, 2024 augusztusára Végponthoz készült Microsoft Defender integrációs vagy ügynök nélküli vizsgálattal lesz elérhető. Az SQL Serverhez készült Defender teljes képességeinek eléréséhez a gépeken az Azure monitorozási ügynökre (más néven AMA-ra) van szükség. A funkció ütemtervével kapcsolatos további információkért tekintse meg ezt a bejelentést.

Fájlintegritási monitorozás az Azure Monitor-ügynök ajánlataival:

  • Kompatibilitás az egyesített monitorozási ügynökkel – Kompatibilis az Azure Monitor-ügynökkel, amely javítja a biztonságot, a megbízhatóságot, és megkönnyíti a többhelyes adattárolást.
  • Kompatibilitás a követési eszközzel– Kompatibilis az ügyfél virtuális gépén az Azure Policy használatával üzembe helyezett Változáskövetési (CT) bővítménysel. Válthat az Azure Monitor Agentre (AMA), majd a CT-bővítmény leküldi a szoftvert, a fájlokat és a beállításjegyzéket az AMA-ba.
  • Egyszerűbb előkészítés – A FIM-et Felhőhöz készült Microsoft Defender is előkészítheti.
  • Többhelyes kezelés – A felügyelet egységesítését biztosítja egy központi munkaterületről. A Log Analyticsről (LA) áttérhet az AMA-ra , hogy az összes virtuális gép egyetlen munkaterületre mutasson adatgyűjtés és karbantartás céljából.
  • Szabályok kezelése – Adatgyűjtési szabályok használatával konfigurálja vagy testre szabja az adatgyűjtés különböző aspektusait. Módosíthatja például a fájlgyűjtés gyakoriságát.

Ebből a cikkből megtudhatja, hogyan:

Elérhetőség

Szempont Részletek
Kiadási állapot: Előnézet
Díjszabás: A Microsoft Defender for Servers 2. csomagjának megköveteléséhez
Szükséges szerepkörök és engedélyek: Tulajdonos
Közreműködő
Felhők: Kereskedelmi felhők – Csak régiókban támogatottak: australiaeast, , australiasoutheast, canadacentral, centralindiacentralus, eastus2euapeastuseastasia, eastus2, francecentral, , switzerlandnorthuksouthwestusnortheuropewestcentralussoutheastasiasouthcentraluswesteuropejapaneastkoreacentralnorthcentraluswestus2
National (Azure Government, Microsoft Azure által üzemeltetett 21Vianet)
Azure Arc-kompatibilis eszközök.
Csatlakozás AWS-fiókok
Csatlakozás GCP-fiókok

Előfeltételek

A fájlok módosításainak nyomon követése gépeken az AMA használatával:

Fájlintegritási monitorozás engedélyezése az AMA-val

A fájlintegritási monitorozás (FIM) engedélyezéséhez a FIM-javaslat segítségével válassza ki a figyelendő gépeket:

  1. Felhőhöz készült Defender oldalsávján nyissa meg a Javaslatok lapot.

  2. Válassza ki a javaslatot , hogy a fájlintegritási monitorozást engedélyezni kell a gépeken. További információ Felhőhöz készült Defender javaslatokról.

  3. Jelölje ki a fájlintegritási monitorozást használni kívánt gépeket, válassza a Javítás lehetőséget, és válassza az X-erőforrások javítása lehetőséget.

    A javaslat javítása:

    • Telepíti a ChangeTracking-Windows bővítményt a ChangeTracking-Linux gépekre.
    • Létrehoz egy adatgyűjtési szabályt (DCR) a nevesített Microsoft-ChangeTracking-[subscriptionId]-default-dcr előfizetéshez, amely meghatározza, hogy mely fájlokat és adatbázisokat kell figyelni az alapértelmezett beállítások alapján. A javítás csatolja a DCR-t az előfizetés összes olyan gépéhez, amely rendelkezik az AMA telepítve és a FIM engedélyezve van.
    • Létrehoz egy új Log Analytics-munkaterületet az elnevezési konvencióval defaultWorkspace-[subscriptionId]-fim és az alapértelmezett munkaterület-beállításokkal.

    Később frissítheti a DCR és a Log Analytics munkaterület beállításait.

  4. A Felhőhöz készült Defender oldalsávján lépjen a Számítási feladatok védelmének>fájlintegritási monitorozására, és válassza ki a szalagcímet az Azure Monitor-ügynökkel rendelkező gépek eredményeinek megjelenítéséhez.

    Screenshot of banner in File integrity monitoring to show the results for machines with Azure Monitor Agent.

  5. Megjelennek a fájlintegritási monitorozást engedélyező gépek.

    Screenshot of File integrity monitoring results for machines with Azure Monitor Agent.

    Láthatja a korrektúrákon végrehajtott módosítások számát, és a Módosítások megtekintése lehetőséget választva megtekintheti a számítógépen lévő korrektúrák módosításait.

A követett fájlok és a beállításkulcsok listájának szerkesztése

Az Azure Monitor-ügynökkel rendelkező gépek fájlintegritási monitorozása (FIM) adatgyűjtési szabályok (DCRs) használatával határozza meg a nyomon követendő fájlok és beállításkulcsok listáját. Minden előfizetés rendelkezik egy DCR-sel az adott előfizetésben lévő gépekhez.

A FIM a nyomon követett fájlok és beállításkulcsok alapértelmezett konfigurációjával hozza létre a DCR-eket. A DCR-ek szerkesztésével hozzáadhatja, eltávolíthatja vagy frissítheti a FIM által nyomon követett fájlok és nyilvántartások listáját.

A korrektúrák és a nyilvántartások listájának szerkesztése:

  1. A Fájlintegritási monitorozásban válassza az Adatgyűjtési szabályokat.

    Megtekintheti azoknak az előfizetéseknek a szabályait, amelyekhez hozzáféréssel rendelkezik.

  2. Válassza ki az előfizetéshez frissíteni kívánt DCR-t.

    A Windows-beállításkulcsok, a Windows-fájlok és a Linux-fájlok listájában szereplő fájlok mindegyike tartalmaz egy fájl vagy beállításkulcs definícióját, beleértve a nevet, az elérési utat és az egyéb beállításokat. Az Engedélyezve érték false (Hamis) értékre állításával a definíció eltávolítása nélkül is kivonhatja a forgalomból a fájlt vagy a beállításkulcsot.

    További információ a rendszerfájl- és beállításkulcs-definíciókról.

  3. Jelöljön ki egy fájlt, majd adja hozzá vagy szerkessze a fájl vagy a beállításkulcs definícióját.

  4. Válassza a Hozzáadás lehetőséget a módosítások mentéséhez.

Gépek kizárása a fájlintegritási monitorozásból

A DCR-hez csatolt előfizetés minden gépét figyeli a rendszer. Leválaszthat egy gépet a DCR-ről, hogy a fájlok és a beállításkulcsok ne lesznek nyomon követve.

Gép kizárása a fájlintegritási monitorozásból:

  1. A FIM-eredmények monitorozott gépeinek listájában válassza ki a gép menüjét (...)
  2. Válassza az Adatgyűjtési szabály leválasztása lehetőséget.

Screenshot of the option to detach a machine from a data collection rule and exclude the machines from File Integrity Monitoring.

A gép a nem figyelt gépek listájára kerül, és a fájlmódosításokat a rendszer már nem követi nyomon.

Következő lépések

További információ a Felhőhöz készült Defender:

  • Biztonsági szabályzatok beállítása – Ismerje meg, hogyan konfigurálhat biztonsági szabályzatokat az Azure-előfizetésekhez és az erőforráscsoportokhoz.
  • Biztonsági javaslatok kezelése – Megtudhatja, hogyan segíthetnek a javaslatok az Azure-erőforrások védelmében.
  • Azure Security blog – Az Azure legfrissebb biztonsági hírei és információi.