Abilitare il rilevamento e gli avvisi per le modifiche critiche
Rilevamento modifiche e inventario di Azure fornisce avvisi sullo stato di configurazione dell'ambiente ibrido e sulle modifiche apportate a tale ambiente. Può segnalare modifiche critiche a file, servizi, software e al Registro di sistema che potrebbero influire sui server distribuiti.
Per impostazione predefinita, il servizio di inventario di Automazione di Azure non monitora i file o le impostazioni del Registro di sistema. La soluzione fornisce un elenco di chiavi del Registro di sistema consigliate per il monitoraggio. Per visualizzare questo elenco, passare all'account di Automazione di Azure nel portale di Azure e quindi selezionare Inventario>Modifica impostazioni.
Per altre informazioni su ogni chiave del Registro di sistema, vedere Rilevamento modifiche delle chiavi del Registro di sistema. Selezionare una chiave da valutare e quindi abilitarla. L'impostazione viene applicata a tutte le macchine virtuali abilitate nell'area di lavoro corrente.
È anche possibile usare il servizio per rilevare le modifiche critiche ai file. Ad esempio, si può decidere di monitorare il file C:\windows\system32\drivers\etc\hosts perché il sistema operativo lo usa per eseguire il mapping dei nomi host agli indirizzi IP. Le modifiche a questo file possono causare problemi di connettività o reindirizzare il traffico a siti Web pericolosi.
Per abilitare il rilevamento del contenuto per il file hosts, seguire la procedura descritta in Abilitare il rilevamento del contenuto dei file.
È anche possibile aggiungere un avviso per le modifiche ai file oggetto di rilevamento. Ad esempio, è possibile impostare un avviso per le modifiche apportate al file hosts. A tale scopo, selezionare Log Analytics sulla barra dei comandi o Ricerca log per l'area di lavoro Log Analytics collegata. In Log Analytics usare la query seguente per cercare le modifiche apportate al file hosts:
ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts"
Questa query cerca le modifiche al contenuto dei file con un percorso che contiene la parola hosts. È anche possibile cercare un file specifico modificando il parametro path, ad esempio: FileSystemPath == "c:\\windows\\system32\\drivers\\etc\\hosts".
Dopo che la query ha restituito i risultati, selezionare Nuova regola di avviso per aprire l'editor delle regole di avviso. È anche possibile passare a questo editor tramite Monitoraggio di Azure nel portale di Azure.
Nell'editor delle regole di avviso esaminare la query e modificare la logica di avviso, se necessario. In questo caso, si vuole che venga generato un avviso se vengono rilevate modifiche in qualsiasi computer nell'ambiente.
Dopo aver impostato la logica della condizione, è possibile assegnare gruppi di azioni per l'esecuzione di azioni in risposta all'avviso. In questo esempio, quando viene generato l'avviso vengono inviati messaggi di posta elettronica e viene creato un ticket di Gestione dei servizi IT. È possibile eseguire molte altre azioni utili, ad esempio l'attivazione di una funzione di Azure, un runbook di Automazione di Azure, un webhook o un'app per la logica.
Dopo aver impostato tutti i parametri e la logica, applicare l'avviso all'ambiente.
Esempi di rilevamento e avvisi
Questa sezione illustra altri scenari comuni per il rilevamento e gli avvisi che è possibile usare.
File dei driver modificati
Usare la query seguente per rilevare se i file dei driver vengono modificati, aggiunti o rimossi. È utile per rilevare le modifiche apportate ai file di sistema critici.
ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\\windows\\system32\\drivers\\"
Servizio specifico arrestato
Usare la query seguente per rilevare le modifiche apportate ai servizi critici del sistema.
ConfigurationChange | where SvcState == "Stopped" and SvcName contains "w3svc"
Nuovo software installato
Usare la query seguente per gli ambienti che devono bloccare le configurazioni software.
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"
La versione specifica del software è o non è installata in un computer
Usare la query seguente per valutare la sicurezza. Questa query fa riferimento a ConfigurationData, che contiene i log per l'inventario e fornisce l'ultimo stato di configurazione segnalato, non le modifiche.
ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"
DLL nota modificata tramite il Registro di sistema
Usare la query seguente per rilevare le modifiche apportate alle chiavi del Registro di sistema note.
ConfigurationChange | where RegistryKey == "HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Session Manager\\KnownDlls"
Passaggi successivi
Informazioni su come Automazione di Azure creare pianificazioni degli aggiornamenti per gestire gli aggiornamenti per i server.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per