Mengaktifkan Pemantauan Integritas File saat menggunakan Agen Azure Monitor
Untuk menyediakan Pemantauan Integritas File (FIM), Agen Azure Monitor (AMA) mengumpulkan data dari komputer sesuai dengan aturan pengumpulan data. Saat status file sistem Anda saat ini dibandingkan dengan status pemindaian sebelumnya, FIM memberi tahu Anda tentang perubahan yang mencurigakan.
Catatan
Sebagai bagian dari strategi kami yang diperbarui Defender untuk Cloud, Agen Azure Monitor tidak akan lagi diperlukan untuk menerima semua kemampuan Defender untuk Server. Semua fitur yang saat ini mengandalkan Agen Azure Monitor, termasuk yang dijelaskan di halaman ini, akan tersedia melalui integrasi Microsoft Defender untuk Titik Akhir atau pemindaian tanpa agen, pada Agustus 2024. Untuk mengakses kemampuan penuh Defender untuk server SQL pada komputer, agen pemantauan Azure (juga dikenal sebagai AMA) diperlukan. Untuk informasi selengkapnya tentang peta jalan fitur, lihat pengumuman ini.
Pemantauan Integritas File dengan Agen Azure Monitor menawarkan:
- Kompatibilitas dengan agen pemantauan terpadu - Kompatibel dengan Agen Azure Monitor yang meningkatkan keamanan,keandalan, dan memfasilitasi pengalaman multi-homing untuk menyimpan data.
- Kompatibilitas dengan alat pelacakan- Kompatibel dengan ekstensi pelacakan perubahan (CT) yang disebarkan melalui Azure Policy di mesin virtual klien. Anda dapat beralih ke Agen Azure Monitor (AMA), kemudian ekstensi CT mendorong perangkat lunak, file, dan registri ke AMA.
- Onboarding yang disederhanakan- Anda dapat melakukan onboard FIM dari Microsoft Defender untuk Cloud.
- Pengalaman multi-homing – Menyediakan standardisasi pengelolaan dari satu ruang kerja terpusat. Anda dapat beralih dari Analitik Log (LA) ke AMA sehingga semua mesin virtual menuju ke satu ruang kerja untuk pengumpulan dan pemeliharaan data.
- Manajemen aturan – Menggunakan Aturan Pengumpulan Data untuk mengonfigurasi atau menyesuaikan berbagai aspek pengumpulan data. Misalnya, Anda dapat mengubah frekuensi pengumpulan data.
Dalam artikel ini, Anda akan mempelajari cara:
- Mengaktifkan Pemantauan Integritas File dengan AMA
- Mengedit daftar file terlacak dan kunci registri
- Mengecualikan komputer dari Pemantauan Integritas File
Ketersediaan
Aspek | Detail |
---|---|
Status rilis: | Pratinjau |
Harga: | Memerlukan Microsoft Defender untuk Server Paket 2 |
Peran dan izin akses yang diperlukan: | Pemilik Kontributor |
Cloud: | Clouds komersial - Hanya didukung di wilayah: australiaeast , australiasoutheast , canadacentral , centralindia , centralus , eastasia , eastus2euap , eastus , eastus2 , francecentral , japaneast , koreacentral , northcentralus , northeurope , southcentralus , southeastasia , switzerlandnorth , uksouth , westcentralus , westeurope , westus , westus2 Nasional (Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet) Perangkat yang diaktifkan Azure Arc. Akun AWS yang terhubung Akun GCP yang tersambung |
Prasyarat
Untuk melacak perubahan pada file Anda di komputer dengan AMA:
Aktifkan Defender untuk Server Paket 2.
Instal AMA pada komputer yang ingin Anda pantau.
Mengaktifkan Pemantauan Integritas File dengan AMA
Untuk mengaktifkan Pemantauan Integritas File (FIM), gunakan rekomendasi FIM untuk memilih komputer untuk memantau:
Dari bar samping Defender untuk Cloud, buka halaman Rekomendasi.
Pilih rekomendasi Pemantauan integritas file harus diaktifkan di komputer. Pelajari selengkapnya tentang Rekomendasi Defender untuk Cloud.
Pilih komputer sebagai tempat Anda menggunakan Pemantauan Integritas File, pilih Perbaiki, lalu pilih Perbaiki sumber daya X.
Perbaikan rekomendasi:
- Instal ekstensi
ChangeTracking-Windows
atauChangeTracking-Linux
pada komputer. - Menghasilkan aturan pengumpulan data (DCR) untuk langganan bernama
Microsoft-ChangeTracking-[subscriptionId]-default-dcr
yang menentukan file dan registri apa yang harus dipantau berdasarkan pengaturan default. Perbaikan melampirkan DCR ke seluruh komputer di langganan dengan instalan AMA dan FIM yang aktif. - Buat ruang kerja Analitik Log baru dengan konvensi penamaan
defaultWorkspace-[subscriptionId]-fim
dan dengan pengaturan ruang kerja default.
Anda dapat memperbarui pengaturan ruang kerja DCR dan Analitik Log nanti.
- Instal ekstensi
Dari panel samping Defender untuk Cloud, buka Perlindungan beban kerja>Pemantauan integritas file, lalu pilih banner untuk menampilkan hasil untuk komputer dengan Agen Azure Monitor.
Komputer dengan Pemantauan Integritas File yang aktif ditampilkan.
Anda dapat melihat jumlah perubahan yang dibuat pada file yang dilacak, dan Anda dapat memilih Lihat perubahan untuk melihat perubahan yang dilakukan pada file terlacak pada komputer tersebut.
Mengedit daftar file terlacak dan kunci registri
Pemantauan Integritas File (FIM) untuk komputer dengan Agen Azure Monitor menggunakan Aturan Pengumpulan Data (DCR) untuk menentukan daftar file dan kunci registri untuk melacak. Setiap langganan memiliki DCR untuk komputer dalam langganan tersebut.
FIM membuat DCR dengan konfigurasi default dari file terlacak dan kunci registri. Anda dapat mengedit DRC untuk menambahkan, menghapus, atau memperbarui daftar file dan registri yang dilacak oleh FIM.
Untuk mengedit daftar file dan registri yang terlacak:
Di pemantauan integritas file, pilih Aturan pengumpulan data.
Anda dapat melihat setiap aturan yang dibuat untuk langganan yang dapat Anda akses.
Pilih DCR yang ingin Anda perbarui untuk langganan.
Setiap file dalam daftar kunci registri Windows, file Windows, dan file Linux berisi ketentuan untuk kunci file, termasuk nama, jalur, dan pihak lainnya. Anda juga dapat mengatur Diaktifkan ke Salah untuk membatalkan pelacakan file atau kunci registri tanpa menghapus definisi.
Pelajari lebih lanjut ketentuan kunci file dan registri.
Pilih file, lalu tambahkan atau edit ketentuan file atau kunci registri.
Pilih Tambah untuk menyimpan perubahan.
Mengecualikan komputer dari Pemantauan Integritas File
Setiap komputer dalam langganan yang dilampirkan ke DCR dipantau. Anda dapat melepaskan komputer dari DCR sehingga file dan kunci registri tidak dilacak.
Untuk mengecualikan komputer dari Pemantauan Integritas File:
- Dalam daftar komputer yang dipantau di hasil FIM, pilih menu (...) untuk komputer
- Pilih Lepaskan aturan pengumpulan data.
Komputer berpindah ke daftar komputer yang tidak terpantau, dan perubahan file tidak lagi terlacak untuk komputer tersebut.
Langkah berikutnya
Pelajari lebih lanjut Defender untuk Cloud di:
- Mengatur kebijakan keamanan - Pelajari cara mengonfigurasi kebijakan keamanan untuk langganan dan grup sumber daya Azure Anda.
- Mengelola rekomendasi keamanan - Pelajari cara rekomendasi membantu melindungi sumber daya Azure Anda.
- Blog keamanan Azure - Dapatkan berita dan informasi keamanan Azure terbaru.