Bewaking van bestandsintegriteit inschakelen bij gebruik van de Azure Monitor-agent
De Azure Monitor-agent (AMA) verzamelt gegevens van computers op basis van regels voor gegevensverzameling om FIM (File Integrity Monitoring) te bieden. Wanneer de huidige status van uw systeembestanden wordt vergeleken met de status tijdens de vorige scan, meldt FIM u over verdachte wijzigingen.
Notitie
Als onderdeel van onze Defender voor Cloud bijgewerkte strategie is de Azure Monitor-agent niet langer vereist om alle mogelijkheden van Defender for Servers te ontvangen. Alle functies die momenteel afhankelijk zijn van de Azure Monitor-agent, inclusief functies die op deze pagina worden beschreven, zijn beschikbaar via Microsoft Defender voor Eindpunt integratie of scannen zonder agent, in augustus 2024. Voor toegang tot de volledige mogelijkheden van Defender voor SQL Server op computers is de Azure-bewakingsagent (ook wel AMA genoemd) vereist. Zie deze aankondiging voor meer informatie over de functieroadmap.
Bewaking van bestandsintegriteit met de Azure Monitor-agent biedt:
- Compatibiliteit met de geïntegreerde bewakingsagent : compatibel met de Azure Monitor-agent die de beveiliging, betrouwbaarheid verbetert en multihoming-ervaring vereenvoudigt om gegevens op te slaan.
- Compatibiliteit met hulpprogramma voor bijhouden: compatibel met de CT-extensie (Wijzigingen bijhouden) die is geïmplementeerd via Azure Policy op de virtuele machine van de client. U kunt overschakelen naar Azure Monitor Agent (AMA) en vervolgens pusht de CT-extensie de software, bestanden en het register naar AMA.
- Vereenvoudigde onboarding: u kunt FIM onboarden vanuit Microsoft Defender voor Cloud.
- Multihoming-ervaring : biedt standaardisatie van beheer vanuit één centrale werkruimte. U kunt overstappen van Log Analytics (LA) naar AMA , zodat alle VM's verwijzen naar één werkruimte voor het verzamelen en onderhouden van gegevens.
- Regelsbeheer : maakt gebruik van regels voor gegevensverzameling om verschillende aspecten van gegevensverzameling te configureren of aan te passen. U kunt bijvoorbeeld de frequentie van bestandsverzameling wijzigen.
In dit artikel leert u het volgende:
- Bewaking van bestandsintegriteit inschakelen met AMA
- De lijst met bijgehouden bestanden en registersleutels bewerken
- Machines uitsluiten van bewaking van bestandsintegriteit
Beschikbaarheid
Aspect | DETAILS |
---|---|
Releasestatus: | Preview uitvoeren |
Prijzen: | Vereist Microsoft Defender voor Servers Abonnement 2 |
Vereiste rollen en machtigingen: | Eigenaar Inzender |
Clouds: | Commerciële clouds - alleen ondersteund in regio's: , , , , , , eastus2 westcentralus eastus eastus2euap eastasia centralus westeurope northcentralus northeurope southcentralus koreacentral switzerlandnorth westus southeastasia francecentral japaneast uksouth centralindia canadacentral australiasoutheast australiaeast westus2 National (Azure Government, Microsoft Azure beheerd door 21Vianet) Apparaten met Azure Arc . Verbonden AWS-accounts Verbonden GCP-accounts |
Vereisten
Wijzigingen in uw bestanden op computers bijhouden met AMA:
Schakel Defender for Servers Plan 2 in.
Installeer AMA op computers die u wilt bewaken.
Bewaking van bestandsintegriteit inschakelen met AMA
Als u FIM (File Integrity Monitoring) wilt inschakelen, gebruikt u de FIM-aanbeveling om machines te selecteren die moeten worden bewaakt:
Open in de zijbalk van Defender voor Cloud de pagina Aanbevelingen.
Selecteer de aanbeveling voor bewaking van bestandsintegriteit moet zijn ingeschakeld op computers. Meer informatie over Defender voor Cloud aanbevelingen.
Selecteer de machines waarop u bewaking van bestandsintegriteit wilt gebruiken, selecteer Fix en selecteer X-resources herstellen.
De aanbevelingsoplossing:
- Installeert de
ChangeTracking-Windows
ofChangeTracking-Linux
extensie op de computers. - Hiermee wordt een regel voor gegevensverzameling (DCR) gegenereerd voor het abonnement met de naam
Microsoft-ChangeTracking-[subscriptionId]-default-dcr
waarmee wordt gedefinieerd welke bestanden en registers moeten worden bewaakt op basis van de standaardinstellingen. De oplossing koppelt de DCR aan alle computers in het abonnement waarop AMA is geïnstalleerd en FIM is ingeschakeld. - Hiermee maakt u een nieuwe Log Analytics-werkruimte met de naamconventie
defaultWorkspace-[subscriptionId]-fim
en met de standaardinstellingen voor werkruimten.
U kunt de DCR- en Log Analytics-werkruimte-instellingen later bijwerken.
- Installeert de
Ga in de zijbalk van Defender voor Cloud naar Bewaking van bestandsintegriteit van werkbelastingbeveiligingen>en selecteer de banner om de resultaten voor machines met Azure Monitor Agent weer te geven.
De machines waarvoor Bewaking van bestandsintegriteit is ingeschakeld, worden weergegeven.
U kunt het aantal wijzigingen zien dat is aangebracht in de bijgehouden bestanden en u kunt Wijzigingen weergeven selecteren om de wijzigingen te zien die zijn aangebracht in de bijgehouden bestanden op die computer.
De lijst met bijgehouden bestanden en registersleutels bewerken
Fim (File Integrity Monitoring) voor computers met Azure Monitor Agent maakt gebruik van regels voor gegevensverzameling (DCR's) om de lijst met bestanden en registersleutels te definiëren die moeten worden bijgehouden. Elk abonnement heeft een DCR voor de computers in dat abonnement.
FIM maakt DCR's met een standaardconfiguratie van bijgehouden bestanden en registersleutels. U kunt de DCR's bewerken om de lijst met bestanden en registers toe te voegen, te verwijderen of bij te werken die worden bijgehouden door FIM.
De lijst met bijgehouden bestanden en registers bewerken:
Selecteer in De bewaking van bestandsintegriteit regels voor gegevensverzameling.
U kunt elk van de regels zien die zijn gemaakt voor de abonnementen waartoe u toegang hebt.
Selecteer de DCR die u wilt bijwerken voor een abonnement.
Elk bestand in de lijst met Windows-registersleutels, Windows-bestanden en Linux-bestanden bevat een definitie voor een bestand of registersleutel, inclusief naam, pad en andere opties. U kunt ingeschakeld ook instellen op Onwaar om het bestand of de registersleutel op te heffen zonder de definitie te verwijderen.
Meer informatie over definities van systeembestanden en registersleutels.
Selecteer een bestand en voeg het bestand of de registersleuteldefinitie toe of bewerk deze.
Selecteer Toevoegen om de wijzigingen op te slaan.
Machines uitsluiten van bewaking van bestandsintegriteit
Elke computer in het abonnement dat is gekoppeld aan de DCR wordt bewaakt. U kunt een computer loskoppelen van de DCR, zodat de bestanden en registersleutels niet worden bijgehouden.
Een computer uitsluiten van bewaking van bestandsintegriteit:
- Selecteer in de lijst met bewaakte machines in de FIM-resultaten het menu (...) voor de machine
- Selecteer De regel voor het loskoppelen van gegevensverzameling.
De machine wordt verplaatst naar de lijst met niet-bewaakte machines en bestandswijzigingen worden niet meer bijgehouden voor die machine.
Volgende stappen
Meer informatie over Defender voor Cloud vindt u in:
- Beveiligingsbeleid instellen: informatie over het configureren van beveiligingsbeleid voor uw Azure-abonnementen en -resourcegroepen.
- Beveiligingsaanbeveling beheren- Meer informatie over hoe aanbevelingen u helpen uw Azure-resources te beveiligen.
- Azure Security-blog : ontvang het laatste nieuws en informatie over Azure-beveiliging.