Udostępnij za pośrednictwem


Włączanie monitorowania integralności plików podczas korzystania z agenta usługi Azure Monitor

Aby zapewnić monitorowanie integralności plików (FIM), agent usługi Azure Monitor (AMA) zbiera dane z maszyn zgodnie z regułami zbierania danych. Gdy bieżący stan plików systemowych jest porównywany ze stanem podczas poprzedniego skanowania, program FIM powiadamia o podejrzanych modyfikacjach.

Uwaga

W ramach naszej strategii Defender dla Chmury zaktualizowanej agent usługi Azure Monitor nie będzie już musiał otrzymywać wszystkich możliwości usługi Defender for Servers. Wszystkie funkcje, które obecnie korzystają z agenta usługi Azure Monitor, w tym opisane na tej stronie, będą dostępne za pośrednictwem Ochrona punktu końcowego w usłudze Microsoft Defender integracji lub skanowania bez agenta do sierpnia 2024 r. Aby uzyskać dostęp do pełnych możliwości programu Defender for SQL Server na maszynach, wymagany jest agent monitorowania platformy Azure (znany również jako AMA). Aby uzyskać więcej informacji na temat planu rozwoju funkcji, zobacz to ogłoszenie.

Monitorowanie integralności plików za pomocą agenta usługi Azure Monitor oferuje:

  • Zgodność z ujednoliconym agentem monitorowania — zgodny z agentem usługi Azure Monitor, który zwiększa bezpieczeństwo, niezawodność i ułatwia przechowywanie danych w wielu hostach.
  • Zgodność z narzędziem do śledzenia — jest zgodna z rozszerzeniem śledzenia zmian wdrożonym za pośrednictwem usługi Azure Policy na maszynie wirtualnej klienta. Możesz przełączyć się na agenta usługi Azure Monitor (AMA), a następnie rozszerzenie CT przeniesie oprogramowanie, pliki i rejestr do usługi AMA.
  • Uproszczone dołączanie — możesz dołączyć program FIM z Microsoft Defender dla Chmury.
  • Środowisko wielodostępne — zapewnia standaryzację zarządzania z jednego centralnego obszaru roboczego. Możesz przejść z usługi Log Analytics (LA) do usługi AMA , aby wszystkie maszyny wirtualne wskazywały jeden obszar roboczy na potrzeby zbierania i konserwacji danych.
  • Zarządzanie regułami — używa reguł zbierania danych do konfigurowania lub dostosowywania różnych aspektów zbierania danych. Można na przykład zmienić częstotliwość zbierania plików.

Z tego artykułu dowiesz się, jak wykonywać następujące działania:

Dostępność

Aspekt Szczegóły
Stan wydania: Wersja Preview
Cennik: Wymaga usługi Microsoft Defender dla serwerów (plan 2)
Wymagane role i uprawnienia: Właściciel
Współautor
Chmury: Chmury komercyjne — obsługiwane tylko w regionach: australiaeast, australiasoutheastcanadacentralcentralindiacentraluseastasiaeastus2euapeastuseastus2francecentraljapaneastkoreacentralnorthcentralusnortheuropesouthcentralussoutheastasiaswitzerlandnorthuksouthwestcentraluswesteuropewestuswestus2
National (Azure Government, Microsoft Azure obsługiwane przez firmę 21Vianet)
Urządzenia z obsługą usługi Azure Arc .
Połączone konta platformy AWS
Połączone konta GCP

Wymagania wstępne

Aby śledzić zmiany plików na maszynach za pomocą usługi AMA:

Włączanie monitorowania integralności plików za pomocą usługi AMA

Aby włączyć monitorowanie integralności plików (FIM), użyj rekomendacji programu FIM, aby wybrać maszyny do monitorowania:

  1. Na pasku bocznym Defender dla Chmury otwórz stronę Zalecenia.

  2. Wybierz zalecenie Monitorowanie integralności plików powinno być włączone na maszynach. Dowiedz się więcej o zaleceniach Defender dla Chmury.

  3. Wybierz maszyny, na których chcesz używać monitorowania integralności plików, wybierz pozycję Napraw, a następnie wybierz pozycję Napraw zasoby X.

    Poprawka rekomendacji:

    • ChangeTracking-Windows Instaluje rozszerzenie lub ChangeTracking-Linux na maszynach.
    • Generuje regułę zbierania danych (DCR) dla subskrypcji o nazwie Microsoft-ChangeTracking-[subscriptionId]-default-dcr definiującej, które pliki i rejestry powinny być monitorowane na podstawie ustawień domyślnych. Poprawka dołącza kontroler domeny do wszystkich maszyn w subskrypcji, na których zainstalowano usługę AMA i włączono program FIM.
    • Tworzy nowy obszar roboczy usługi Log Analytics z konwencją defaultWorkspace-[subscriptionId]-fim nazewnictwa i domyślnymi ustawieniami obszaru roboczego.

    Ustawienia obszaru roboczego DCR i Log Analytics można zaktualizować później.

  4. Na pasku bocznym Defender dla Chmury przejdź do pozycji Zabezpieczenia obciążenia>Monitorowanie integralności plików i wybierz baner, aby wyświetlić wyniki dla maszyn za pomocą agenta usługi Azure Monitor.

    Zrzut ekranu przedstawiający baner w monitorowaniu integralności plików, aby wyświetlić wyniki dla maszyn za pomocą agenta usługi Azure Monitor.

  5. Wyświetlane są maszyny z włączonym monitorowaniem integralności plików.

    Zrzut ekranu przedstawiający wyniki monitorowania integralności plików dla maszyn za pomocą agenta usługi Azure Monitor.

    Możesz zobaczyć liczbę zmian wprowadzonych w śledzonych plikach, a następnie wybrać pozycję Wyświetl zmiany , aby zobaczyć zmiany wprowadzone w śledzonych plikach na tym komputerze.

Edytowanie listy śledzonych plików i kluczy rejestru

Monitorowanie integralności plików (FIM) dla maszyn za pomocą agenta usługi Azure Monitor używa reguł zbierania danych (DCR) do definiowania listy plików i kluczy rejestru do śledzenia. Każda subskrypcja ma kontroler domeny dla maszyn w tej subskrypcji.

Program FIM tworzy kontrolery domeny z domyślną konfiguracją śledzonych plików i kluczy rejestru. Kontrolery domeny można edytować, aby dodawać, usuwać lub aktualizować listę plików i rejestrów śledzonych przez program FIM.

Aby edytować listę śledzonych plików i rejestrów:

  1. W obszarze Monitorowanie integralności plików wybierz pozycję Reguły zbierania danych.

    Możesz zobaczyć każdą regułę utworzoną dla subskrypcji, do których masz dostęp.

  2. Wybierz kontroler domeny, który chcesz zaktualizować dla subskrypcji.

    Każdy plik na liście kluczy rejestru systemu Windows, plików systemu Windows i plików systemu Linux zawiera definicję pliku lub klucza rejestru, w tym nazwę, ścieżkę i inne opcje. Można również ustawić wartość Włączone na Fałsz , aby cofnąć śledzenie pliku lub klucza rejestru bez usuwania definicji.

    Dowiedz się więcej na temat systemowych definicji kluczy plików i rejestru.

  3. Wybierz plik, a następnie dodaj lub edytuj definicję pliku lub klucza rejestru.

  4. Wybierz pozycję Dodaj, aby zapisać zmiany.

Wykluczanie maszyn z monitorowania integralności plików

Każda maszyna w subskrypcji dołączonej do kontrolera domeny jest monitorowana. Możesz odłączyć maszynę od kontrolera domeny, aby pliki i klucze rejestru nie zostały śledzone.

Aby wykluczyć maszynę z monitorowania integralności plików:

  1. Na liście monitorowanych maszyn w wynikach programu FIM wybierz menu (...) dla maszyny
  2. Wybierz pozycję Odłącz regułę zbierania danych.

Zrzut ekranu przedstawiający opcję odłączenia maszyny od reguły zbierania danych i wykluczenia maszyn z monitorowania integralności plików.

Maszyna przechodzi do listy niemonitorowanych maszyn, a zmiany plików nie są już śledzone dla tej maszyny.

Następne kroki

Dowiedz się więcej o Defender dla Chmury w:

  • Ustawianie zasad zabezpieczeń — dowiedz się, jak skonfigurować zasady zabezpieczeń dla subskrypcji i grup zasobów platformy Azure.
  • Zarządzanie zaleceniami dotyczącymi zabezpieczeń — dowiedz się, jak zalecenia pomagają chronić zasoby platformy Azure.
  • Blog Azure Security — pobierz najnowsze wiadomości i informacje o zabezpieczeniach platformy Azure.