Overzicht van wijzigingen bijhouden en inventaris met behulp van Azure Monitoring Agent
Van toepassing op: ✔️ Windows-VM's Linux-VM's ✔️ ✔️ Windows-register ✔️ Windows-bestanden Linux-bestanden ✔️ ✔️ Windows-software ✔️ Windows Services & Linux-daemons
Belangrijk
- Op dit moment maakt wijzigingen bijhouden en inventaris gebruik van de Log Analytics-agent. Dit is gepland om 31.augustus.2024 buiten gebruik te stellen. U wordt aangeraden Azure Monitoring Agent te gebruiken als de nieuwe ondersteunende agent.
- Richtlijnen voor migratie van Wijzigingen bijhouden & Inventory met behulp van Log Analytics-agent naar Azure Monitoring Agent zijn beschikbaar zodra deze algemeen beschikbaar is. Meer informatie.
- U wordt aangeraden Wijzigingen bijhouden te gebruiken met Azure Monitoring Agent met de extensie Wijzigingen bijhouden versie 2.20.0.0 (of hoger) voor toegang tot de GA-versie van deze service.
In dit artikel wordt uitgelegd wat de nieuwste versie van ondersteuning voor het bijhouden van wijzigingen is met behulp van Azure Monitoring Agent als een enkelvoudige agent voor het verzamelen van gegevens.
Notitie
De huidige GA-versie van File Integrity Monitoring op basis van de Log Analytics-agent wordt in augustus 2024 afgeschaft en er wordt binnenkort een nieuwe versie via MDE aangeboden. De openbare preview van FIM op basis van Azure Monitor Agent (AMA) wordt afgeschaft wanneer het alternatief wordt aangeboden via MDE. Daarom is de FIM met de openbare preview-versie van AMA niet gepland voor algemene beschikbaarheid. Lees hier de aankondiging.
Belangrijkste voordelen
- Compatibiliteit met de geïntegreerde bewakingsagent : compatibel met de Azure Monitor-agent die de beveiliging, betrouwbaarheid verbetert en multihoming-ervaring vereenvoudigt om gegevens op te slaan.
- Compatibiliteit met hulpprogramma voor bijhouden: compatibel met de CT-extensie (Wijzigingen bijhouden) die is geïmplementeerd via Azure Policy op de virtuele machine van de client. U kunt overschakelen naar Azure Monitor Agent (AMA) en vervolgens pusht de CT-extensie de software, bestanden en het register naar AMA.
- Multihoming-ervaring : biedt standaardisatie van beheer vanuit één centrale werkruimte. U kunt overstappen van Log Analytics (LA) naar AMA , zodat alle VM's verwijzen naar één werkruimte voor het verzamelen en onderhouden van gegevens.
- Regelsbeheer : maakt gebruik van regels voor gegevensverzameling om verschillende aspecten van gegevensverzameling te configureren of aan te passen. U kunt bijvoorbeeld de frequentie van bestandsverzameling wijzigen.
Huidige beperkingen
Wijzigingen bijhouden en inventaris het gebruik van Azure Monitoring Agent biedt geen ondersteuning voor of heeft de volgende beperkingen:
- Recursie voor het bijhouden van Windows-register
- Netwerkbestandssystemen
- Verschillende installatiemethoden
- *.exe bestanden die zijn opgeslagen in Windows
- De kolom Maximale bestandsgrootte en waarden worden niet gebruikt in de huidige implementatie.
- Als u bestandswijzigingen bijhoudt, is dit beperkt tot een bestandsgrootte van 5 MB of minder.
- Als de bestandsgrootte 1,25 MB wordt weergegeven >, is FileContentChecksum onjuist vanwege geheugenbeperkingen in de berekening van de controlesom.
- Als u meer dan 2500 bestanden probeert te verzamelen in een verzamelingsperiode van 30 minuten, kunnen Wijzigingen bijhouden en inventaris prestaties afnemen.
- Als het netwerkverkeer hoog is, kan het maximaal zes uur duren voordat records worden weergegeven.
- Als u een configuratie wijzigt terwijl een computer of server wordt afgesloten, kan dit wijzigingen posten die horen bij de vorige configuratie.
- Hotfix-updates verzamelen op Windows Server 2016 Core RS3-computers.
- Linux-daemons kunnen een gewijzigde status weergeven, ook al is er geen wijziging opgetreden. Dit probleem treedt op vanwege de wijze waarop de
SvcRunLevelsgegevens in de Azure Monitor ConfigurationChange-tabel worden geschreven. - Wijzigingen bijhouden-extensie biedt geen ondersteuning voor eventuele hardening-standaarden voor Linux-besturingssystemen of distributies.
Limieten
In de volgende tabel ziet u de bijgehouden itemlimieten per machine voor het bijhouden en inventaris van wijzigingen.
| Resource | Limiet | Notes |
|---|---|---|
| Bestand | 500 | |
| Bestandsgrootte | 5 MB | |
| Register | 250 | |
| Windows-software | 250 | Software-updates niet inbegrepen. |
| Linux-pakketten | 1.250 | |
| Windows-services | 250 | |
| Linux-daemons | 250 |
Ondersteunde besturingssystemen
Wijzigingen bijhouden en inventaris wordt ondersteund op alle besturingssystemen die voldoen aan de Azure Monitor-agentvereisten. Zie ondersteunde besturingssystemen voor een lijst met de versies van het Windows- en Linux-besturingssysteem die momenteel worden ondersteund door de Azure Monitor-agent.
Zie TLS voor Azure Automation voor meer informatie over clientvereisten voor TLS.
Wijzigingen bijhouden en Inventaris inschakelen
U kunt Wijzigingen bijhouden en inventaris op de volgende manieren inschakelen:
Voor niet-Azure Arc-machines raadpleegt u het initiatief inschakelen Wijzigingen bijhouden en inventaris voor virtuele machines met Arc in beleidsdefinities >> categorie selecteren = ChangeTrackingAndInventory. Als u Wijzigingen bijhouden en inventaris op schaal wilt inschakelen, gebruikt u de op DINE-beleid gebaseerde oplossing. Zie Wijzigingen bijhouden en inventaris inschakelen met behulp van Azure Monitoring Agent (preview) voor meer informatie.
Voor één Virtuele Azure-machine op de pagina Virtuele machine in Azure Portal. Dit scenario is beschikbaar voor Virtuele Linux- en Windows-machines.
Voor meerdere Virtuele Azure-machines selecteert u deze op de pagina Virtuele machines in Azure Portal.
Bestandswijzigingen bijhouden
Voor het bijhouden van wijzigingen in bestanden in zowel Windows als Linux gebruikt Wijzigingen bijhouden en inventaris SHA256 hashes van de bestanden. De functie gebruikt de hashes om te detecteren of er wijzigingen zijn aangebracht sinds de laatste inventarisatie.
Wijzigingen in bestandsinhoud bijhouden
Wijzigingen bijhouden en inventaris kunt u de inhoud van een Windows- of Linux-bestand weergeven. Voor elke wijziging in een bestand Wijzigingen bijhouden en inventaris de inhoud van het bestand opslaat in een Azure Storage-account. Wanneer u een bestand bijhoudt, kunt u de inhoud ervan vóór of na een wijziging bekijken. De bestandsinhoud kan inline of naast elkaar worden weergegeven. Meer informatie.
Bijhouden van registersleutels
Wijzigingen bijhouden en inventaris staat het controleren van wijzigingen in Windows-registersleutels toe. Met bewaking kunt u uitbreidbaarheidspunten aanwijzen waar code en malware van derden kunnen worden geactiveerd. De volgende tabel bevat vooraf geconfigureerde (maar niet ingeschakelde) registersleutels. Als u deze sleutels wilt bijhouden, moet u elke sleutel inschakelen.
| Registersleutel | Doel |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Bewaakt scripts die worden uitgevoerd bij het opstarten. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Controleert scripts die worden uitgevoerd bij afsluiten. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Controleert sleutels die worden geladen voordat de gebruiker zich aanmeldt bij het Windows-account. De sleutel wordt gebruikt voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Controleert wijzigingen in toepassingsinstellingen. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Controleert contextmenuhandlers die rechtstreeks in Windows Verkenner worden aangesloten en die meestal in het proces worden uitgevoerd met explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Bewaakt kopieerhaakhandlers die rechtstreeks in Windows Verkenner worden aangesloten en die meestal in verwerking worden uitgevoerd met explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitors voor de registratie van pictogram-overlayhandlers. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitors voor registratie van pictogram-overlay-handler voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Controleert op nieuwe browserhelperobjectinvoegtoepassingen voor Internet Explorer. Wordt gebruikt voor toegang tot het Document Object Model (DOM) van de huidige pagina en voor het beheren van navigatie. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Controleert op nieuwe browserhelperobjectinvoegtoepassingen voor Internet Explorer. Wordt gebruikt voor toegang tot het Document Object Model (DOM) van de huidige pagina en voor het beheren van navigatie voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Monitors voor nieuwe Internet Explorer-extensies, zoals menu's van aangepaste hulpprogramma's en aangepaste werkbalkknoppen. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Monitors voor nieuwe Internet Explorer-extensies, zoals aangepaste menu's en aangepaste werkbalkknoppen voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Bewaakt 32-bits stuurprogramma's die zijn gekoppeld aan wavemapper, wave1 en wave2, msacm.imaadpcm, .msadpcm, .msgsm610 en vidc. Vergelijkbaar met de sectie [stuurprogramma's] in het bestand system.ini . |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Bewaakt 32-bits stuurprogramma's die zijn gekoppeld aan wavemapper, wave1 en wave2, msacm.imaadpcm, .msadpcm, .msgsm610 en vidc voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. Vergelijkbaar met de sectie [stuurprogramma's] in het bestand system.ini . |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Controleert de lijst met bekende of veelgebruikte systeem-DLL's. Bewaking voorkomt dat mensen zwakke toepassingsmapmachtigingen misbruiken door te vallen in Trojaanse paardversies van systeem-DLL's. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Bewaakt de lijst met pakketten die gebeurtenismeldingen van winlogon.exe kunnen ontvangen, het interactieve aanmeldingsondersteuningsmodel voor Windows. |
Ondersteuning voor recursie
Wijzigingen bijhouden en inventaris ondersteunt recursie, waarmee u jokertekens kunt opgeven om het bijhouden in mappen te vereenvoudigen. Recursie biedt ook omgevingsvariabelen waarmee u bestanden kunt bijhouden in omgevingen met meerdere of dynamische stationsnamen. De volgende lijst bevat algemene informatie die u moet weten bij het configureren van recursie:
Jokertekens zijn vereist voor het bijhouden van meerdere bestanden.
U kunt alleen jokertekens gebruiken in het laatste segment van een bestandspad, bijvoorbeeld c:\folder\file* of /etc/*.conf.
Als een omgevingsvariabele een ongeldig pad heeft, slaagt de validatie, maar mislukt het pad tijdens de uitvoering.
Vermijd algemene padnamen bij het instellen van het pad, omdat dit type instelling ertoe kan leiden dat te veel mappen worden doorkruist.
Wijzigingen bijhouden en inventaris gegevensverzameling
In de volgende tabel ziet u de frequentie van gegevensverzameling voor de typen wijzigingen die worden ondersteund door Wijzigingen bijhouden en inventaris. Voor elk type wordt de momentopname van de gegevens van de huidige status ten minste elke 24 uur vernieuwd.
| Type wijzigen | Frequentie |
|---|---|
| Windows-register | 50 minuten |
| Windows-bestand | 30 tot 40 minuten |
| Linux-bestand | 15 minuten |
| Windows-services | 10 minuten tot 30 minuten Standaard: 30 minuten |
| Windows-software | 30 minuten |
| Linux-software | 5 minuten |
| Linux-daemons | 5 minuten |
In de volgende tabel ziet u de bijgehouden itemlimieten per machine voor Wijzigingen bijhouden en inventaris.
| Resource | Limiet |
|---|---|
| Bestand | 500 |
| Register | 250 |
| Windows-software (inclusief hotfixes) | 250 |
| Linux-pakketten | 1250 |
| Windows-services | 250 |
| Linux-daemons | 500 |
Windows-servicesgegevens
Vereisten
Als u het bijhouden van Windows Services-gegevens wilt inschakelen, moet u de CT-extensie upgraden en de extensie meer dan of gelijk aan 2.11.0.0 gebruiken
- Voor Virtuele Windows Azure-machines
- Voor Virtuele Linux-machines in Azure
- Voor Windows-VM's met Arc
- Voor Linux-VM's met Arc
- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true
Frequentie configureren
De standaardverzamelingsfrequentie voor Windows-services is 30 minuten. De frequentie configureren
- gebruik onder Instellingen bewerken een schuifregelaar op het tabblad Windows-services.
Ondersteuning voor waarschuwingen over de configuratiestatus
Een belangrijke mogelijkheid van Wijzigingen bijhouden en inventaris is het waarschuwen over wijzigingen in de configuratiestatus van uw hybride omgeving. Er zijn veel nuttige acties beschikbaar om te activeren als reactie op waarschuwingen. Bijvoorbeeld acties op Azure-functies, Automation-runbooks, webhooks en dergelijke. Waarschuwingen bij wijzigingen in het bestand c:\windows\system32\drivers\etc\hosts voor een computer is een goede toepassing van waarschuwingen voor Wijzigingen bijhouden en inventaris gegevens. Er zijn ook veel meer scenario's voor waarschuwingen, waaronder de queryscenario's die in de volgende tabel zijn gedefinieerd.
| Query | Beschrijving |
|---|---|
| ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\" |
Handig voor het bijhouden van wijzigingen in systeemkritieke bestanden. |
| ConfigurationChange | waarbij FieldsChanged "FileContentChecksum" en FileSystemPath == "c:\windows\system32\drivers\etc\hosts" bevat |
Handig voor het bijhouden van wijzigingen in sleutelconfiguratiebestanden. |
| ConfigurationChange | waarbij ConfigChangeType == "WindowsServices" en SvcName "w3svc" en SvcState == "Gestopt" bevat |
Handig voor het bijhouden van wijzigingen in systeemkritieke services. |
| ConfigurationChange | waarbij ConfigChangeType == "Daemons" en SvcName "ssh" en SvcState!= "Running" bevat |
Handig voor het bijhouden van wijzigingen in systeemkritieke services. |
| ConfigurationChange | where ConfigChangeType == "Software" en ChangeCategory == "Added" |
Handig voor omgevingen die vergrendelde softwareconfiguraties nodig hebben. |
| ConfigurationData | waarbij SoftwareName 'Monitoring Agent' en CurrentVersion!= "8.0.11081.0" bevat |
Handig om te zien welke computers verouderde of niet-compatibele softwareversie hebben geïnstalleerd. Deze query rapporteert de laatst gerapporteerde configuratiestatus, maar rapporteert geen wijzigingen. |
| ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
Handig voor het bijhouden van wijzigingen in cruciale antivirussleutels. |
| ConfigurationChange | waar RegistryKey bevat @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
Handig voor het bijhouden van wijzigingen in firewallinstellingen. |