Panoramica del rilevamento delle modifiche e dell'inventario con l'agente di monitoraggio di Azure

  • Articolo

Si applica a: ✔️ Macchine virtuali ✔️ Windows Vm Linux ✔️ Del Registro di sistema ✔️ Windows File di Windows File ✔️ ✔️ di Windows Software ✔️ Windows Software Windows Services e Daemon Linux di macchine virtuali Windows

Importante

  • Attualmente, rilevamento modifiche e inventario usa l'agente di Log Analytics e questo è pianificato per il ritiro entro il 31.agosto.2024. È consigliabile usare l'agente di monitoraggio di Azure come nuovo agente di supporto.
  • Le linee guida sulla migrazione da Rilevamento modifiche e inventario tramite l'agente di Log Analytics all'agente di monitoraggio di Azure saranno disponibili una volta disponibile a livello generale. Altre informazioni.
  • È consigliabile usare Rilevamento modifiche con l'agente di monitoraggio di Azure con l'estensione Rilevamento modifiche versione 2.20.0.0 (o successiva) per accedere alla versione disponibile a livello generale di questo servizio.

Questo articolo illustra la versione più recente del supporto per il rilevamento delle modifiche usando l'agente di monitoraggio di Azure come agente singolare per la raccolta dei dati.

Nota

La versione disponibile a livello generale corrente di Monitoraggio dell'integrità dei file basata sull'agente di Log Analytics sarà deprecata nel mese di agosto 2024 e verrà presto fornita una nuova versione su MDE.  L'anteprima pubblica FIM basata sull'agente di Monitoraggio di Azure (AMA) verrà deprecata quando viene fornita l'alternativa tramite MDE. Di conseguenza, la versione FIM con AMA Public Preview non è pianificata per la disponibilità generale. Leggere l'annuncio qui.

Vantaggi chiave

  • Compatibilità con l'agente di monitoraggio unificato: compatibile con l'agente di Monitoraggio di Azure che migliora la sicurezza, l'affidabilità e facilita l'esperienza di multihoming per archiviare i dati.
  • Compatibilità con lo strumento di rilevamento: compatibile con l'estensione Rilevamento modifiche distribuita tramite il Criteri di Azure nella macchina virtuale del client. È possibile passare all'agente di Monitoraggio di Azure (AMA) e quindi l'estensione CT esegue il push del software, dei file e del Registro di sistema in AMA.
  • Esperienza multihoming: fornisce la standardizzazione della gestione da un'area di lavoro centrale. È possibile passare da Log Analytics (LA) ad AMA in modo che tutte le macchine virtuali puntino a una singola area di lavoro per la raccolta e la manutenzione dei dati.
  • Gestione delle regole: usa regole di raccolta dati per configurare o personalizzare vari aspetti della raccolta dati. Ad esempio, è possibile modificare la frequenza della raccolta di file.

Limitazioni correnti

Rilevamento modifiche e inventario con l'agente di monitoraggio di Azure non supporta o presenta le limitazioni seguenti:

  • Ricorsione per Rilevamento del Registro di sistema di Windows
  • File system di rete
  • Metodi di installazione diversi
  • *.exe file archiviati in Windows
  • La colonna Dimensioni massime file e i valori non sono usati nell'implementazione corrente.
  • Se si stanno monitorando le modifiche dei file, è limitato a una dimensione del file di 5 MB o inferiore.
  • Se la dimensione del file è >1,25 MB, FileContentChecksum non è corretta a causa dei vincoli di memoria nel calcolo del checksum.
  • Se si tenta di raccogliere più di 2500 file in un ciclo di raccolta di 30 minuti, le prestazioni di Rilevamento modifiche e inventario potrebbero essere ridotte.
  • Se il traffico di rete è elevato, la visualizzazione dei record di modifica può richiedere fino a sei ore.
  • Se si modifica una configurazione durante l'arresto di un computer o di un server, è possibile che vengano pubblicate modifiche appartenenti alla configurazione precedente.
  • Raccolta degli aggiornamenti rapidi nei computer Windows Server 2016 Core RS3.
  • I daemon Linux possono mostrare uno stato modificato anche se non si è verificata alcuna modifica. Questo problema si verifica a causa del modo in cui vengono scritti i SvcRunLevels dati nella tabella ConfigurationChange di Monitoraggio di Azure.
  • Rilevamento modifiche'estensione non supporta standard di protezione avanzata per sistemi operativi Linux o distribuzioni.

Limiti

La tabella seguente illustra i limiti degli articoli rilevati per computer per il rilevamento delle modifiche e l'inventario.

Conto risorse Limite Note
file 500
Dimensioni file 5 MB
Registro 250
Software Windows 250 Non include gli aggiornamenti software.
Pacchetti Linux 1250
Servizi Windows 250
Daemon Linux 250

Sistemi operativi supportati

La funzionalità Rilevamento modifiche e inventario è supportata in tutti i sistemi operativi che soddisfano i requisiti degli agenti di analisi dei log. Vedere Sistemi operativi supportati per un elenco delle versioni del sistema operativo Windows e Linux attualmente supportate dall'agente di Monitoraggio di Azure.

Per informazioni sui requisiti client per TLS, vedere TLS per Automazione di Azure.

Abilitare Rilevamento modifiche e inventario

È possibile abilitare Rilevamento modifiche e Inventario nei modi seguenti:

  • Manualmente per i computer non abilitati per Azure Arc, fare riferimento all'iniziativa Enable Rilevamento modifiche and Inventory for Arc enabled virtual machines in Policy > Definitions Select Category = ChangeTrackingAndInventory( Abilitare Rilevamento modifiche e inventario per le macchine virtuali abilitate per Arc in Definizioni dei criteri > Selezionare categoria = ChangeTrackingAndInventory. Per abilitare Rilevamento modifiche e Inventario su larga scala, usare la soluzione basata su criteri DINE. Per altre informazioni, vedere Abilitare Rilevamento modifiche e inventario con l'agente di monitoraggio di Azure (anteprima).

  • Per una singola macchina virtuale di Azure dalla pagina Macchina virtuale nel portale di Azure. Questo scenario è disponibile per macchine virtuali Linux e Windows.

  • Per più VM di Azure mediante la selezione delle VM dalla pagina Macchina virtuale nel portale di Azure.

Rilevamento delle modifiche dei file

Per tenere traccia delle modifiche nei file sia in Windows che in Linux, Rilevamento modifiche e Inventory usa gli hash SHA256 dei file. La funzionalità usa gli hash per rilevare se sono state apportate modifiche dall'ultimo inventario.

Rilevamento delle modifiche al contenuto dei file

Rilevamento modifiche e Inventario consente di visualizzare il contenuto di un file Windows o Linux. Per ogni modifica apportata a un file, Rilevamento modifiche e inventario archivia il contenuto del file in un account di Archiviazione di Azure. Quando si esegue il rilevamento di un file, è possibile visualizzarne il contenuto prima o dopo una modifica. Il contenuto del file può essere visualizzato inline o affiancato. Altre informazioni.

Screenshot della visualizzazione delle modifiche in un file Windows o Linux.

Rilevamento delle chiavi del Registro di sistema

Rilevamento modifiche e Inventario consente il monitoraggio delle modifiche apportate alle chiavi del Registro di sistema di Windows. Il monitoraggio consente di individuare i punti di estendibilità in cui è possibile attivare codice e malware di terze parti. Nella tabella seguente sono elencate le chiavi del Registro di sistema preconfigurato (ma non abilitato). Per tenere traccia di queste chiavi, è necessario abilitarle.

Chiave del Registro di sistema Scopo
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Monitora gli script eseguiti all'avvio.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Monitora gli script eseguiti all'arresto del sistema.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Monitora le chiavi caricate prima dell'accesso degli utenti nel proprio account di Windows. La chiave viene usata per le applicazioni a 32 bit in esecuzione su computer a 64 bit.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Monitora le modifiche apportate alle impostazioni dell'applicazione.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Monitora i gestori di menu di scelta rapida che si associano direttamente a Esplora risorse e in genere vengono eseguiti in-process con explorer.exe.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Monitora i gestori hook di copia che si associano direttamente a Esplora risorse ed in genere vengono eseguiti in-process con explorer.exe.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitora la registrazione del gestore delle immagini sovrapposte alle icone.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitora la registrazione del gestore delle immagini sovrapposte alle icone per le applicazioni a 32 bit in esecuzione in computer a 64 bit.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitora i nuovi plug-in dell'oggetto browser helper per Internet Explorer. Usati per accedere al DOM (Document Object Model) della pagina corrente e per controllare la navigazione.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitora i nuovi plug-in dell'oggetto browser helper per Internet Explorer. Usati per accedere al DOM (Document Object Model) della pagina corrente e per controllare la navigazione per le applicazioni a 32 bit in esecuzione su computer a 64 bit.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions Monitora le nuove estensioni di Internet Explorer, come i menu degli strumenti personalizzati e i pulsanti della barra degli strumenti personalizzati.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Monitora le nuove estensioni di Internet Explorer, come i menu degli strumenti personalizzati e i pulsanti della barra degli strumenti personalizzati per le applicazioni a 32 bit in esecuzione in computer a 64 bit.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitora i driver a 32 bit associati con wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc. È simile alla sezione [driver] nel file system.ini.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitora i driver a 32 bit associati con wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc per le applicazioni a 32 bit in esecuzione in computer a 64 bit. È simile alla sezione [driver] nel file system.ini.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Monitora l'elenco delle DLL di sistema note o comunemente usate. Il monitoraggio impedisce agli utenti di sfruttare le autorizzazioni deboli della directory dell'applicazione eliminando le versioni di Trojan horse delle DLL di sistema.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Monitora l'elenco dei pacchetti che possono ricevere notifiche degli eventi da winlogon.exe, il modello di supporto per l'accesso interattivo per Windows.

Supporto della ricorsione

Rilevamento modifiche e inventario supporta la ricorsione, che consente di specificare caratteri jolly per semplificare il rilevamento tra le directory. La ricorsione fornisce anche le variabili di ambiente che consentono di tenere traccia dei file in ambienti con più nomi di unità o nomi di unità dinamici. L'elenco seguente include informazioni comuni che è necessario conoscere durante la configurazione della ricorsione:

  • I caratteri jolly sono necessari per il rilevamento di più file.

  • È possibile usare caratteri jolly solo nell'ultimo segmento di un percorso di file, ad esempio c:\folder\file* o /etc/*.conf.

  • Se a una variabile di ambiente è associato ha un percorso non valido, la convalida ha esito positivo, ma il percorso non restituisce errore durante l'esecuzione.

  • È consigliabile evitare nomi di percorso generali quando si imposta il percorso, perché questo tipo di impostazione può causare l'attraversamento di troppe cartelle.

Raccolta dati di Rilevamento modifiche e inventario

La tabella seguente mostra la frequenza di raccolta dei dati per i tipi di modifiche supportate da Rilevamento modifiche e inventario. Per ogni tipo, lo snapshot dei dati dello stato corrente viene aggiornato almeno ogni 24 ore.

Tipo di modifica Frequenza
Registro di sistema di Windows 50 minuti
File Windows Da 30 a 40 minuti
File Linux 15 minuti
Servizi Windows Da 10 minuti a 30 minuti
predefinito: 30 minuti
Software Windows 30 minuti
Software Linux 5 minuti
Daemon Linux 5 minuti

La tabella seguente illustra i limiti dell'elemento di rilevamento per ogni macchina per Rilevamento modifiche e inventario.

Conto risorse Limite
file 500
Registro 250
Software Windows (esclusi gli hotfix) 250
Pacchetti Linux 1250
Servizi Windows 250
Daemon Linux 500

Dati dei servizi Windows

Prerequisiti

Per abilitare il rilevamento dei dati di Servizi Windows, è necessario aggiornare l'estensione CT e usare l'estensione più o uguale a 2.11.0.0

- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true

Configurare la frequenza

La frequenza di raccolta predefinita per i servizi di Windows è 30 minuti. Per configurare la frequenza,

  • in Modifica Impostazioni usare un dispositivo di scorrimento nella scheda Servizi Windows.

Screenshot del dispositivo di scorrimento della frequenza.

Supporto per gli avvisi sullo stato di configurazione

Una funzionalità chiave di Rilevamento modifiche e inventario è costituita da avvisi sulle modifiche allo stato di configurazione dell'ambiente ibrido. Molte azioni utili sono disponibili per l'attivazione in risposta agli avvisi. Ad esempio, azioni su funzioni di Azure, runbook di Automazione, webhook e simili. L'invio di avvisi sulle modifiche apportate al file c:\windows\system32\drivers\etc\hosts per un computer è una buona applicazione di avvisi per i dati di Rilevamento modifiche e inventario. Sono disponibili anche molti altri scenari per gli avvisi, inclusi gli scenari di query definiti nella tabella seguente.

Query Descrizione
ConfigurationChange
| dove ConfigChangeType == "Files" e FileSystemPath contiene " c:\windows\system32\drivers\"		 Utile per tenere traccia delle modifiche ai file di sistema critici.
ConfigurationChange
| dove FieldsChanged contiene "FileContentChecksum" e FileSystemPath == "c:\windows\system32\drivers\etc\hosts"		 Utile per tenere traccia delle modifiche ai file di configurazione importanti.
ConfigurationChange
| dove ConfigChangeType == "WindowsServices" e SvcName contiene "w3svc" e SvcState == "Stopped"		 Utile per tenere traccia delle modifiche ai servizi di sistema critici.
ConfigurationChange
| dove ConfigChangeType == "Daemons" e SvcName contiene "ssh" e SvcState!= "Running"		 Utile per tenere traccia delle modifiche ai servizi di sistema critici.
ConfigurationChange
| where ConfigChangeType == "Software" e ChangeCategory == "Added"		 Utile per gli ambienti che richiedono il blocco delle configurazioni software.
ConfigurationData
| dove SoftwareName contiene "Monitoring Agent" e CurrentVersion!= "8.0.11081.0"		 Utile per visualizzare i computer in cui è installata una versione del software obsoleta o non conforme. Questa query segnala l'ultimo stato della configurazione indicato, ma non segnala le modifiche.
ConfigurationChange
| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"		 Utile per tenere traccia delle modifiche alle chiavi antivirus di importanza cruciale.
ConfigurationChange
| dove RegistryKey contiene @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"		 Utile per tenere traccia delle modifiche alle impostazioni del firewall.

Passaggi successivi