Bewaking van bestandsintegriteit inschakelen bij gebruik van de Azure Monitor-agent

  • Artikel

De Azure Monitor-agent (AMA) verzamelt gegevens van computers op basis van regels voor gegevensverzameling om FIM (File Integrity Monitoring) te bieden. Wanneer de huidige status van uw systeembestanden wordt vergeleken met de status tijdens de vorige scan, meldt FIM u over verdachte wijzigingen.

Notitie

Als onderdeel van onze Defender voor Cloud bijgewerkte strategie is de Azure Monitor-agent niet langer vereist om alle mogelijkheden van Defender for Servers te ontvangen. Alle functies die momenteel afhankelijk zijn van de Azure Monitor-agent, inclusief functies die op deze pagina worden beschreven, zijn beschikbaar via Microsoft Defender voor Eindpunt integratie of scannen zonder agent, in augustus 2024. Voor toegang tot de volledige mogelijkheden van Defender voor SQL Server op computers is de Azure-bewakingsagent (ook wel AMA genoemd) vereist. Zie deze aankondiging voor meer informatie over de functieroadmap.

Bewaking van bestandsintegriteit met de Azure Monitor-agent biedt:

  • Compatibiliteit met de geïntegreerde bewakingsagent : compatibel met de Azure Monitor-agent die de beveiliging, betrouwbaarheid verbetert en multihoming-ervaring vereenvoudigt om gegevens op te slaan.
  • Compatibiliteit met hulpprogramma voor bijhouden: compatibel met de CT-extensie (Wijzigingen bijhouden) die is geïmplementeerd via Azure Policy op de virtuele machine van de client. U kunt overschakelen naar Azure Monitor Agent (AMA) en vervolgens pusht de CT-extensie de software, bestanden en het register naar AMA.
  • Vereenvoudigde onboarding: u kunt FIM onboarden vanuit Microsoft Defender voor Cloud.
  • Multihoming-ervaring : biedt standaardisatie van beheer vanuit één centrale werkruimte. U kunt overstappen van Log Analytics (LA) naar AMA , zodat alle VM's verwijzen naar één werkruimte voor het verzamelen en onderhouden van gegevens.
  • Regelsbeheer : maakt gebruik van regels voor gegevensverzameling om verschillende aspecten van gegevensverzameling te configureren of aan te passen. U kunt bijvoorbeeld de frequentie van bestandsverzameling wijzigen.

In dit artikel leert u het volgende:

Beschikbaarheid

Aspect DETAILS
Releasestatus: Preview
Prijzen: Vereist Microsoft Defender voor Servers Abonnement 2
Vereiste rollen en machtigingen: Eigenaar
Inzender
Clouds: Commerciële clouds - alleen ondersteund in regio's: , , , , , , eastus2westcentraluseastuseastus2euapeastasiacentraluswesteuropenorthcentralusnortheuropesouthcentraluskoreacentralswitzerlandnorthwestussoutheastasiafrancecentraljapaneastuksouthcentralindiacanadacentralaustraliasoutheastaustraliaeastwestus2
National (Azure Government, Microsoft Azure beheerd door 21Vianet)
Apparaten met Azure Arc .
Verbinding maken ed AWS-accounts
Verbinding maken ed GCP-accounts

Vereisten

Wijzigingen in uw bestanden op computers bijhouden met AMA:

Bewaking van bestandsintegriteit inschakelen met AMA

Als u FIM (File Integrity Monitoring) wilt inschakelen, gebruikt u de FIM-aanbeveling om machines te selecteren die moeten worden bewaakt:

  1. Open in de zijbalk van Defender voor Cloud de pagina Aanbevelingen.

  2. Selecteer de aanbeveling voor bewaking van bestandsintegriteit moet zijn ingeschakeld op computers. Meer informatie over Defender voor Cloud aanbevelingen.

  3. Selecteer de machines waarop u bewaking van bestandsintegriteit wilt gebruiken, selecteer Fix en selecteer X-resources herstellen.

    De aanbevelingsoplossing:

    • Installeert de ChangeTracking-Windows of ChangeTracking-Linux extensie op de computers.
    • Hiermee wordt een regel voor gegevensverzameling (DCR) gegenereerd voor het abonnement met de naam Microsoft-ChangeTracking-[subscriptionId]-default-dcr waarmee wordt gedefinieerd welke bestanden en registers moeten worden bewaakt op basis van de standaardinstellingen. De oplossing koppelt de DCR aan alle computers in het abonnement waarop AMA is geïnstalleerd en FIM is ingeschakeld.
    • Hiermee maakt u een nieuwe Log Analytics-werkruimte met de naamconventie defaultWorkspace-[subscriptionId]-fim en met de standaardinstellingen voor werkruimten.

    U kunt de DCR- en Log Analytics-werkruimte-instellingen later bijwerken.

  4. Ga in de zijbalk van Defender voor Cloud naar Bewaking van bestandsintegriteit van werkbelastingbeveiligingen>en selecteer de banner om de resultaten voor machines met Azure Monitor Agent weer te geven.

    Screenshot of banner in File integrity monitoring to show the results for machines with Azure Monitor Agent.

  5. De machines waarvoor Bewaking van bestandsintegriteit is ingeschakeld, worden weergegeven.

    Screenshot of File integrity monitoring results for machines with Azure Monitor Agent.

    U kunt het aantal wijzigingen zien dat is aangebracht in de bijgehouden bestanden en u kunt Wijzigingen weergeven selecteren om de wijzigingen te zien die zijn aangebracht in de bijgehouden bestanden op die computer.

De lijst met bijgehouden bestanden en registersleutels bewerken

Fim (File Integrity Monitoring) voor computers met Azure Monitor Agent maakt gebruik van regels voor gegevensverzameling (DCR's) om de lijst met bestanden en registersleutels te definiëren die moeten worden bijgehouden. Elk abonnement heeft een DCR voor de computers in dat abonnement.

FIM maakt DCR's met een standaardconfiguratie van bijgehouden bestanden en registersleutels. U kunt de DCR's bewerken om de lijst met bestanden en registers toe te voegen, te verwijderen of bij te werken die worden bijgehouden door FIM.

De lijst met bijgehouden bestanden en registers bewerken:

  1. Selecteer in De bewaking van bestandsintegriteit regels voor gegevensverzameling.

    U kunt elk van de regels zien die zijn gemaakt voor de abonnementen waartoe u toegang hebt.

  2. Selecteer de DCR die u wilt bijwerken voor een abonnement.

    Elk bestand in de lijst met Windows-registersleutels, Windows-bestanden en Linux-bestanden bevat een definitie voor een bestand of registersleutel, inclusief naam, pad en andere opties. U kunt ingeschakeld ook instellen op Onwaar om het bestand of de registersleutel op te heffen zonder de definitie te verwijderen.

    Meer informatie over definities van systeembestanden en registersleutels.

  3. Selecteer een bestand en voeg het bestand of de registersleuteldefinitie toe of bewerk deze.

  4. Selecteer Toevoegen om de wijzigingen op te slaan.

Machines uitsluiten van bewaking van bestandsintegriteit

Elke computer in het abonnement dat is gekoppeld aan de DCR wordt bewaakt. U kunt een computer loskoppelen van de DCR, zodat de bestanden en registersleutels niet worden bijgehouden.

Een computer uitsluiten van bewaking van bestandsintegriteit:

  1. Selecteer in de lijst met bewaakte machines in de FIM-resultaten het menu (...) voor de machine
  2. Selecteer De regel voor het loskoppelen van gegevensverzameling.

Screenshot of the option to detach a machine from a data collection rule and exclude the machines from File Integrity Monitoring.

De machine wordt verplaatst naar de lijst met niet-bewaakte machines en bestandswijzigingen worden niet meer bijgehouden voor die machine.

Volgende stappen

Meer informatie over Defender voor Cloud vindt u in: