Omówienie śledzenia zmian i spisu przy użyciu agenta monitorowania platformy Azure

Ważne

• Śledzenie zmian i inwentaryzacja przy użyciu agenta usługi Log Analytics zostały wycofane 31 sierpnia 2024 r. i nie będą już obsługiwane. Postępuj zgodnie z wytycznymi dotyczącymi migracji ze śledzenia zmian i spisu przy użyciu usługi Log Analytics do śledzenia zmian i spisu przy użyciu wersji agenta monitorowania platformy Azure
• Zalecamy używanie usługi Change Tracking z agentem monitorowania platformy Azure z rozszerzeniem śledzenia zmian w wersji 2.20.0.0 (lub nowszej) w celu uzyskania dostępu do wersji ogólnie dostępnej tej usługi.

W tym artykule wyjaśniono najnowszą wersję obsługi śledzenia zmian przy użyciu agenta monitorowania platformy Azure jako pojedynczego agenta do zbierania danych.

Uwaga

Monitorowanie integralności plików (FIM) w usłudze Microsoft Defender dla punktu końcowego (MDE) jest już dostępne. Jeśli masz skonfigurowany system FIM z AMA lub LA, postępuj zgodnie ze wskazówkami dotyczącymi migracji z:

• Program FIM ze śledzeniem zmian i inwentaryzacją przy użyciu AMA.
• FIM ze Śledzeniem zmian i Inwentaryzacją przy użyciu MMA.

Co to jest śledzenie zmian i spis

Usługa Azure Change Tracking & Inventory rozbudowuje audyt i zarządzanie operacjami wewnętrznymi, monitorując zmiany i udostępniając szczegółowe dzienniki spisu serwerów w ramach platformy Azure, lokalnych serwerów i innych środowisk chmurowych.

1. Śledzenie zmian

   a. Monitoruje zmiany, w tym modyfikacje plików, kluczy rejestru, instalacji oprogramowania i usług systemu Windows lub demonów systemu Linux.
   b. Zawiera szczegółowe logi pokazujące, co i kiedy zostało zmienione, umożliwiając szybkie wykrywanie odchylenia konfiguracji lub nieautoryzowanych zmian.
   Metadane śledzenia zmian zostaną zaimportowane do tabeli ConfigurationChange w połączonym obszarze roboczym LA. Dowiedz się więcej

2. Stan zapasów

   a. Zbiera i utrzymuje zaktualizowaną listę zainstalowanych oprogramowania, szczegółów systemu operacyjnego i innych konfiguracji serwera w połączonym obszarze roboczym
   LA b. Ułatwia utworzenie przeglądu zasobów systemowych, które są przydatne w przypadku zgodności, inspekcji i proaktywnej konserwacji.
   Metadane inwentarza zostaną zaimportowane do tabeli ConfigurationData w połączonym obszarze roboczym LA. Dowiedz się więcej

Diagram pomocy technicznej

Składnik	Dotyczy
Systemy operacyjne	Windows Linux
Typy zasobów	Maszyny wirtualne Azure Maszyny wirtualne z integracją z Azure Arc Zestaw skalowania maszyn wirtualnych
Typy danych	Rejestr systemu Windows Usługi systemu Windows Demony Linux Pliki Oprogramowanie

Główne korzyści

• Zgodność z ujednoliconym agentem monitorowania — zgodny z agentem usługi Azure Monitor, który zwiększa bezpieczeństwo, niezawodność i ułatwia przechowywanie danych w wielu hostach.
• Zgodność z narzędziem do śledzenia — jest zgodna z rozszerzeniem śledzenia zmian wdrożonym za pośrednictwem usługi Azure Policy na maszynie wirtualnej klienta. Możesz przełączyć się na agenta usługi Azure Monitor (AMA), a następnie rozszerzenie CT przeniesie oprogramowanie, pliki i rejestr do usługi AMA.
• Doświadczenie wielodostępne — zapewnia standaryzację zarządzania z jednego centralnego obszaru roboczego. Możesz przejść z usługi Log Analytics (LA) do usługi AMA , aby wszystkie maszyny wirtualne wskazywały jeden obszar roboczy na potrzeby zbierania i konserwacji danych.
• Zarządzanie regułami — używa reguł zbierania danych do konfigurowania lub dostosowywania różnych aspektów zbierania danych. Można na przykład zmienić częstotliwość zbierania plików.

Limity

W poniższej tabeli przedstawiono śledzone limity elementów na maszynę na potrzeby śledzenia zmian i spisu.

Zasób	Limit	Uwagi
Plik	500
Rozmiar pliku	5 MB
Rejestr	250
Oprogramowanie systemu Windows	250	Nie obejmuje aktualizacji oprogramowania.
Pakiety systemu Linux	1,250
Usługi systemu Windows	250
Demony systemu Linux	250

Obsługiwane systemy operacyjne

Śledzenie zmian i spis jest obsługiwane we wszystkich systemach operacyjnych spełniających wymagania agenta usługi Azure Monitor. Zobacz obsługiwane systemy operacyjne, aby uzyskać listę wersji systemu operacyjnego Windows i Linux, które są obecnie obsługiwane przez agenta usługi Azure Monitor.

Aby zrozumieć wymagania klienta dotyczące protokołu TLS, zobacz TLS dla usługi Azure Automation.

Włączanie rozwiązań Change Tracking i Inventory

Można włączyć Śledzenie zmian i spis w następujący sposób:

• Ręcznie dla maszyn nieobsługiwanych przez Azure Arc, zapoznaj się z inicjatywą 'Włączanie śledzenia zmian i inwentaryzacji dla maszyn wirtualnych z obsługą Arc' w definicjach zasad. Wybierz kategorię = ChangeTrackingAndInventory. Aby włączyć Śledzenie zmian i spis na dużą skalę, użyj rozwiązania opartego na zasadach DINE. Aby uzyskać więcej informacji, zobacz Włączanie śledzenia zmian i spisu za pomocą agenta monitorowania platformy Azure (wersja zapoznawcza).

• W przypadku pojedynczej maszyny wirtualnej z pozycji strony Maszyna wirtualna w portalu Azure. Ten scenariusz jest dostępny dla maszyn wirtualnych z systemami Linux i Windows.

• W przypadku wielu maszyn wirtualnych Azure wybierz je na stronie Maszyny wirtualne w portalu Azure.

Śledzenie zmian plików

Do śledzenia zmian w plikach w systemach Windows i Linux Śledzenie zmian i spis używa skrótów SHA256 plików. Funkcja używa skrótów, aby wykryć, czy zmiany zostały wprowadzone od ostatniego spisu.

Śledzenie zmian zawartości pliku

Śledzenie zmian i spis umożliwia wyświetlenie zawartości pliku systemu Windows lub Linux. Dla każdej zmiany pliku Śledzenie zmian i spis przechowuje zawartość pliku na koncie usługi Azure Storage. Podczas śledzenia pliku możesz wyświetlić jego zawartość przed zmianą lub po jej zmianie. Zawartość pliku można wyświetlić liniowo lub obok siebie. Dowiedz się więcej.

Śledzenie kluczy rejestru

Śledzenie zmian i spis umożliwia monitorowanie zmian w kluczach rejestru systemu Windows. Monitorowanie umożliwia wskazanie punktów rozszerzalności, w których można aktywować kod innej firmy i złośliwe oprogramowanie. W poniższej tabeli wymieniono wstępnie skonfigurowane (ale nie włączone) klucze rejestru. Aby śledzić te klucze, należy włączyć każdy z nich.

Klucz rejestru	Cel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup	Monitoruje skrypty uruchamiane podczas uruchamiania.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown	Monitoruje skrypty uruchamiane podczas zamykania.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run	Monitoruje klucze ładowane przed zalogowaniem użytkownika do konta systemu Windows. Klucz jest używany dla aplikacji 32-bitowych działających na komputerach 64-bitowych.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components	Monitoruje zmiany ustawień aplikacji.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers	Monitoruje programy obsługi menu kontekstowego, które są przyłączane bezpośrednio do Eksploratora Windows i zwykle są uruchamiane podczas przetwarzania za pomocą explorer.exe.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers	Monitoruje programy obsługi typu copy hook, które są bezpośrednio podłączane do Eksploratora Windows i zwykle działają w tym samym procesie co explorer.exe.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers	Monitoruje rejestrację obsługi nakładki ikony.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers	Nadzorowanie rejestracji obsługi nakładki ikon dla aplikacji 32-bitowych działających na komputerach o architekturze 64-bitowej.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	Monitoruje nowe wtyczki obiektów pomocniczych przeglądarki dla programu Internet Explorer. Służy do uzyskiwania dostępu do modelu obiektów dokumentów (DOM) bieżącej strony i kontrolowania nawigacji.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	Monitory dla nowych wtyczek obiektów pomocniczych przeglądarki dla programu Internet Explorer. Służy do uzyskiwania dostępu do modelu obiektów dokumentów (DOM) bieżącej strony i kontrolowania nawigacji dla aplikacji 32-bitowych uruchomionych na komputerach 64-bitowych.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions	Monitory dla nowych rozszerzeń programu Internet Explorer, takich jak niestandardowe menu narzędzi i niestandardowe przyciski paska narzędzi.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions	Monitory dla nowych rozszerzeń programu Internet Explorer, takich jak niestandardowe menu narzędzi i niestandardowe przyciski paska narzędzi dla aplikacji 32-bitowych działających na komputerach 64-bitowych.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32	Monitoruje sterowniki 32-bitowe skojarzone z wavemapper, wave1 i wave2, msacm.imaadpcm, msadpcm, msgsm610 oraz vidc. Podobnie jak w sekcji [sterowniki] w pliku system.ini .
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32	Monitoruje sterowniki 32-bitowe skojarzone z wavemapper, wave1 i wave2, msacm.imaadpcm, msadpcm, msgsm610 i vidc dla aplikacji 32-bitowych działających na komputerach 64-bitowych. Podobnie jak w sekcji [sterowniki] w pliku system.ini .
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls	Monitoruje listę znanych lub często używanych bibliotek DLL systemu. Monitorowanie zapobiega wykorzystywaniu słabych uprawnień katalogu aplikacji przez umieszczanie wersji bibliotek DLL typu koń trojański.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	Monitoruje listę pakietów, które mogą odbierać powiadomienia o zdarzeniach z winlogon.exe, modelu obsługi logowania interakcyjnego dla systemu Windows.

Obsługa rekursji

Śledzenie zmian i inwentaryzacja obsługują rekursję, które umożliwiają określenie symboli wieloznacznych, aby uprościć śledzenie w różnych katalogach. Rekursja udostępnia również zmienne środowiskowe, aby umożliwić śledzenie plików w różnych środowiskach z wieloma lub dynamicznymi nazwami dysków. Poniższa lista zawiera typowe informacje, które należy wiedzieć podczas konfigurowania rekursji:

• Symbole wieloznaczne są potrzebne do śledzenia wielu plików.

• Symbole wieloznaczne można używać tylko w ostatnim segmencie ścieżki pliku, na przykład c:\folder\file* lub /etc/*.conf.

• Jeśli zmienna środowiskowa ma nieprawidłową ścieżkę, walidacja zakończy się pomyślnie, ale ścieżka zakończy się niepowodzeniem podczas wykonywania.

• Należy unikać ogólnych nazw ścieżek podczas ustawiania ścieżki, ponieważ tego typu ustawienie może spowodować przejście zbyt wielu folderów.

Śledzenie zmian oraz zbieranie danych inwentaryzacyjnych

W następnej tabeli przedstawiono częstotliwość zbierania danych dla typów zmian obsługiwanych przez Śledzenie zmian i spis. Dzienniki spisu będą domyślnie wypełniane co 10 godzin dla wszystkich typów danych. Ponadto w przypadku zarejestrowania zmiany dla dowolnego typu danych spis i dzienniki zmian zostaną wygenerowane dla tego wystąpienia.

Zmień typ	Częstotliwość
Rejestr systemu Windows	50 minut
Plik systemu Windows	Od 30 do 40 minut
Plik systemu Linux	15 minut
Usługi systemu Windows	10 minut do 30 minut Domyślnie: 30 minut
Oprogramowanie systemu Windows	30 min
Oprogramowanie dla systemu Linux	5 min
Demony systemu Linux	5 minut

W poniższej tabeli przedstawiono limity elementów śledzenia dla każdej maszyny w kontekście śledzenia zmian i inwentaryzacji.

Zasób	Limit
Plik	500
Rejestr	250
Oprogramowanie systemu Windows (bez poprawek)	250
Pakiety systemu Linux	1250
Usługi systemu Windows	250
Demony systemu Linux	500

Dane usług systemu Windows

Wymagania wstępne

Aby włączyć śledzenie danych usług systemu Windows, należy uaktualnić rozszerzenie CT i użyć rozszerzenia większego niż lub równego 2.11.0.0

Dla maszyn wirtualnych platformy Windows Azure

- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true

W przypadku maszyn wirtualnych platformy Azure z systemem Linux

– az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Linux --enable-auto-upgrade true

W przypadku maszyn wirtualnych Windows z obsługą Arc

– az connectedmachine extension create --name ChangeTracking-Windows --publisher Microsoft.Azure.ChangeTrackingAndInventory --type ChangeTracking-Windows --machine-name <arc-server-name> --resource-group <resource-group-name> --location <arc-server-location> --enable-auto-upgrade true

W przypadku maszyn wirtualnych z systemem Linux z obsługą Arc

- az connectedmachine extension create --name ChangeTracking-Linux --publisher Microsoft.Azure.ChangeTrackingAndInventory --type ChangeTracking-Linux --machine-name <arc-server-name> --resource-group <resource-group-name> --location <arc-server-location> --enable-auto-upgrade true

Konfigurowanie częstotliwości

Domyślna częstotliwość zbierania danych z usług systemu Windows wynosi 30 minut. Aby skonfigurować częstotliwość,

• w obszarze Edytuj ustawienia użyj suwaka na karcie Usługi systemu Windows.

Bieżące ograniczenia

Śledzenie zmian i inwentaryzacja za pomocą Agenta Monitorowania Platformy Azure nie są obsługiwane lub mają następujące ograniczenia:

• Rekursja śledzenia rejestru systemu Windows
• Obecnie obsługiwany jest tylko HKEY_LOCAL_MACHINE. To ograniczenie zostanie napotkane za każdym razem, gdy ręcznie dodasz klucz rejestru.
• Sieciowe systemy plików
• Różne metody instalacji
• * pliki .exe przechowywane w systemie Windows
• Kolumna Maksymalny rozmiar pliku i wartości są nieużywane w bieżącej implementacji.
• W przypadku śledzenia zmian plików jest on ograniczony do rozmiaru pliku o rozmiarze 5 MB lub mniejszym.
• Jeśli rozmiar pliku wynosi >1,25 MB, to funkcja FileContentChecksum jest błędna z powodu ograniczeń pamięci podczas obliczania sumy kontrolnej.
• Jeśli spróbujesz zebrać więcej niż 2500 plików w 30-minutowym cyklu zbierania, wydajność narzędzi Śledzenie zmian i inwentaryzacja może ulec pogorszeniu.
• Jeśli ruch sieciowy jest wysoki, wyświetlanie rekordów zmian może potrwać do sześciu godzin.
• Jeśli zmodyfikujesz konfigurację podczas zamykania maszyny lub serwera, może to spowodować opublikowanie zmian należących do poprzedniej konfiguracji.
• Zbieranie aktualizacji poprawek na maszynach z systemem Windows Server 2016 Core RS3.
• Demony systemu Linux mogą pokazywać zmieniony stan, mimo że nie nastąpiła żadna zmiana. Problem ten występuje z powodu sposobu, w jaki dane w tabeli Azure Monitor ConfigurationChange są zapisywane.
• Rozszerzenie Change Tracking nie obsługuje żadnych standardów wzmacniania dla systemów operacyjnych Linux ani dystrybucji Linux.

Obsługa alertów dotyczących stanu konfiguracji

Kluczową funkcją Śledzenia zmian i inwentaryzacji jest alertowanie o zmianach w stanie konfiguracji środowiska hybrydowego. Wiele przydatnych akcji jest dostępnych do wyzwalania w odpowiedzi na alerty. Na przykład zdarzenia dotyczące funkcji platformy Azure, runbooków usługi Automation, webhooków i podobnych. Alerty dotyczące zmian w pliku c:\windows\system32\drivers\etc\hosts dla maszyny są dobrym zastosowaniem alertów w zakresie śledzenia zmian i inwentaryzacji danych. Istnieje wiele innych scenariuszy alertów, w tym scenariuszy zapytań zdefiniowanych w następnej tabeli.

Zapytanie	opis
ZmianaKonfiguracji | gdzie ConfigChangeType == "Files" i FileSystemPath zawiera " c:\windows\system32\drivers\"	Przydatne do śledzenia zmian w plikach krytycznych dla systemu.
Zmiana Konfiguracji | gdzie FieldsChanged zawiera "FileContentChecksum" i FileSystemPath == "c:\windows\system32\drivers\etc\hosts"	Przydatne do śledzenia modyfikacji plików konfiguracji kluczy.
Zmiana Konfiguracji gdzie ConfigChangeType == "WindowsServices" i SvcName zawiera "w3svc" i SvcState == "Zatrzymany"	Przydatne do śledzenia zmian w usługach krytycznych dla systemu.
Zmiana Konfiguracji | gdzie ConfigChangeType == "Daemons" i SvcName zawiera "ssh" i SvcState!= "Running"	Przydatne do śledzenia zmian w usługach krytycznych dla systemu.
ZmianaKonfiguracji | where ConfigChangeType == "Software" and ChangeCategory == "Added"	Przydatne w środowiskach wymagających zamkniętych konfiguracji oprogramowania.
DaneKonfiguracyjne | gdzie SoftwareName zawiera "Monitorujący Agent" i CurrentVersion != "8.0.11081.0"	Przydatne w przypadku wyświetlania, które maszyny mają zainstalowaną nieaktualną lub niezgodną wersję oprogramowania. To zapytanie zgłasza ostatni zgłoszony stan konfiguracji, ale nie zgłasza zmian.
Zmiana Konfiguracji | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"	Przydatne do śledzenia zmian istotnych kluczy antywirusowych.
ZmianaKonfiguracji | gdzie klucz rejestru zawiera @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"	Przydatne do śledzenia zmian w ustawieniach zapory.

Następne kroki

• Aby włączyć z Azure Portal, zobacz Włączanie śledzenia zmian i inwentarza w Azure Portal.