Mengaktifkan Pemantauan Integritas File saat menggunakan Agen Azure Monitor

  • Artikel

Untuk menyediakan Pemantauan Integritas File (FIM), Agen Azure Monitor (AMA) mengumpulkan data dari komputer sesuai dengan aturan pengumpulan data. Saat status file sistem Anda saat ini dibandingkan dengan status pemindaian sebelumnya, FIM memberi tahu Anda tentang perubahan yang mencurigakan.

Catatan

Sebagai bagian dari strategi kami yang diperbarui Defender untuk Cloud, Agen Azure Monitor tidak akan lagi diperlukan untuk menerima semua kemampuan Defender untuk Server. Semua fitur yang saat ini mengandalkan Agen Azure Monitor, termasuk yang dijelaskan di halaman ini, akan tersedia melalui integrasi Microsoft Defender untuk Titik Akhir atau pemindaian tanpa agen, pada Agustus 2024. Untuk mengakses kemampuan penuh Defender untuk server SQL pada komputer, agen pemantauan Azure (juga dikenal sebagai AMA) diperlukan. Untuk informasi selengkapnya tentang peta jalan fitur, lihat pengumuman ini.

Pemantauan Integritas File dengan Agen Azure Monitor menawarkan:

  • Kompatibilitas dengan agen pemantauan terpadu - Kompatibel dengan Agen Azure Monitor yang meningkatkan keamanan,keandalan, dan memfasilitasi pengalaman multi-homing untuk menyimpan data.
  • Kompatibilitas dengan alat pelacakan- Kompatibel dengan ekstensi pelacakan perubahan (CT) yang disebarkan melalui Azure Policy di mesin virtual klien. Anda dapat beralih ke Agen Azure Monitor (AMA), kemudian ekstensi CT mendorong perangkat lunak, file, dan registri ke AMA.
  • Onboarding yang disederhanakan- Anda dapat melakukan onboard FIM dari Microsoft Defender untuk Cloud.
  • Pengalaman multi-homing – Menyediakan standardisasi pengelolaan dari satu ruang kerja terpusat. Anda dapat beralih dari Analitik Log (LA) ke AMA sehingga semua mesin virtual menuju ke satu ruang kerja untuk pengumpulan dan pemeliharaan data.
  • Manajemen aturan – Menggunakan Aturan Pengumpulan Data untuk mengonfigurasi atau menyesuaikan berbagai aspek pengumpulan data. Misalnya, Anda dapat mengubah frekuensi pengumpulan data.

Dalam artikel ini, Anda akan mempelajari cara:

Ketersediaan

Aspek Detail
Status rilis: Pratinjau
Harga: Memerlukan Microsoft Defender untuk Server Paket 2
Peran dan izin akses yang diperlukan: Pemilik
Kontributor
Cloud: Clouds komersial - Hanya didukung di wilayah: australiaeast, australiasoutheast, canadacentral, centralindia, centralus, eastasia, eastus2euap, eastus, eastus2, francecentral, japaneast, koreacentral, northcentralus, northeurope, southcentralus, southeastasia, switzerlandnorth, uksouth, westcentralus, westeurope, westus, westus2
Nasional (Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet)
Perangkat yang diaktifkan Azure Arc.
Akun AWS yang terhubung
Akun GCP yang tersambung

Prasyarat

Untuk melacak perubahan pada file Anda di komputer dengan AMA:

Mengaktifkan Pemantauan Integritas File dengan AMA

Untuk mengaktifkan Pemantauan Integritas File (FIM), gunakan rekomendasi FIM untuk memilih komputer untuk memantau:

  1. Dari bar samping Defender untuk Cloud, buka halaman Rekomendasi.

  2. Pilih rekomendasi Pemantauan integritas file harus diaktifkan di komputer. Pelajari selengkapnya tentang Rekomendasi Defender untuk Cloud.

  3. Pilih komputer sebagai tempat Anda menggunakan Pemantauan Integritas File, pilih Perbaiki, lalu pilih Perbaiki sumber daya X.

    Perbaikan rekomendasi:

    • Instal ekstensi ChangeTracking-Windows atau ChangeTracking-Linux pada komputer.
    • Menghasilkan aturan pengumpulan data (DCR) untuk langganan bernama Microsoft-ChangeTracking-[subscriptionId]-default-dcr yang menentukan file dan registri apa yang harus dipantau berdasarkan pengaturan default. Perbaikan melampirkan DCR ke seluruh komputer di langganan dengan instalan AMA dan FIM yang aktif.
    • Buat ruang kerja Analitik Log baru dengan konvensi penamaan defaultWorkspace-[subscriptionId]-fim dan dengan pengaturan ruang kerja default.

    Anda dapat memperbarui pengaturan ruang kerja DCR dan Analitik Log nanti.

  4. Dari panel samping Defender untuk Cloud, buka Perlindungan beban kerja>Pemantauan integritas file, lalu pilih banner untuk menampilkan hasil untuk komputer dengan Agen Azure Monitor.

    Screenshot of banner in File integrity monitoring to show the results for machines with Azure Monitor Agent.

  5. Komputer dengan Pemantauan Integritas File yang aktif ditampilkan.

    Screenshot of File integrity monitoring results for machines with Azure Monitor Agent.

    Anda dapat melihat jumlah perubahan yang dibuat pada file yang dilacak, dan Anda dapat memilih Lihat perubahan untuk melihat perubahan yang dilakukan pada file terlacak pada komputer tersebut.

Mengedit daftar file terlacak dan kunci registri

Pemantauan Integritas File (FIM) untuk komputer dengan Agen Azure Monitor menggunakan Aturan Pengumpulan Data (DCR) untuk menentukan daftar file dan kunci registri untuk melacak. Setiap langganan memiliki DCR untuk komputer dalam langganan tersebut.

FIM membuat DCR dengan konfigurasi default dari file terlacak dan kunci registri. Anda dapat mengedit DRC untuk menambahkan, menghapus, atau memperbarui daftar file dan registri yang dilacak oleh FIM.

Untuk mengedit daftar file dan registri yang terlacak:

  1. Di pemantauan integritas file, pilih Aturan pengumpulan data.

    Anda dapat melihat setiap aturan yang dibuat untuk langganan yang dapat Anda akses.

  2. Pilih DCR yang ingin Anda perbarui untuk langganan.

    Setiap file dalam daftar kunci registri Windows, file Windows, dan file Linux berisi ketentuan untuk kunci file, termasuk nama, jalur, dan pihak lainnya. Anda juga dapat mengatur Diaktifkan ke Salah untuk membatalkan pelacakan file atau kunci registri tanpa menghapus definisi.

    Pelajari lebih lanjut ketentuan kunci file dan registri.

  3. Pilih file, lalu tambahkan atau edit ketentuan file atau kunci registri.

  4. Pilih Tambah untuk menyimpan perubahan.

Mengecualikan komputer dari Pemantauan Integritas File

Setiap komputer dalam langganan yang dilampirkan ke DCR dipantau. Anda dapat melepaskan komputer dari DCR sehingga file dan kunci registri tidak dilacak.

Untuk mengecualikan komputer dari Pemantauan Integritas File:

  1. Dalam daftar komputer yang dipantau di hasil FIM, pilih menu (...) untuk komputer
  2. Pilih Lepaskan aturan pengumpulan data.

Screenshot of the option to detach a machine from a data collection rule and exclude the machines from File Integrity Monitoring.

Komputer berpindah ke daftar komputer yang tidak terpantau, dan perubahan file tidak lagi terlacak untuk komputer tersebut.

Langkah berikutnya

Pelajari lebih lanjut Defender untuk Cloud di: