Omówienie śledzenia zmian i spisu przy użyciu agenta monitorowania platformy Azure

Dotyczy: ✔️ Maszyny wirtualne z systemem Windows Maszyny ✔️ wirtualne z ✔️ systemem Linux Rejestru ✔️ Systemu Windows Pliki Systemu Linux Pliki ✔️ ✔️ systemu Windows Software ✔️ Windows Services i Demony systemu Linux

Ważne

• Śledzenie zmian i spis korzystanie z agenta usługi Log Analytics zostało wycofane 31 sierpnia 2024 r. i będzie działać w sprawie ograniczonej pomocy technicznej do 01 lutego 2025 r. Postępuj zgodnie z wytycznymi dotyczącymi migracji ze śledzenia zmian i spisu przy użyciu usługi Log Analytics do śledzenia zmian i spisu przy użyciu wersji agenta monitorowania platformy Azure
• Zalecamy używanie usługi Change Tracking z agentem monitorowania platformy Azure z rozszerzeniem śledzenia zmian w wersji 2.20.0.0 (lub nowszej) w celu uzyskania dostępu do wersji ogólnie dostępnej tej usługi.

W tym artykule wyjaśniono najnowszą wersję obsługi śledzenia zmian przy użyciu agenta monitorowania platformy Azure jako pojedynczego agenta do zbierania danych.

Uwaga

Monitorowanie integralności plików (FIM) przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) jest obecnie dostępne. Postępuj zgodnie ze wskazówkami dotyczącymi migracji z:

• Program FIM z Śledzenie zmian i spis przy użyciu usługi AMA.
• Program FIM z Śledzenie zmian i spis przy użyciu programu MMA.

Główne korzyści

• Zgodność z ujednoliconym agentem monitorowania — zgodny z agentem usługi Azure Monitor, który zwiększa bezpieczeństwo, niezawodność i ułatwia przechowywanie danych w wielu hostach.
• Zgodność z narzędziem do śledzenia — jest zgodna z rozszerzeniem śledzenia zmian wdrożonym za pośrednictwem usługi Azure Policy na maszynie wirtualnej klienta. Możesz przełączyć się na agenta usługi Azure Monitor (AMA), a następnie rozszerzenie CT przeniesie oprogramowanie, pliki i rejestr do usługi AMA.
• Środowisko wielodostępne — zapewnia standaryzację zarządzania z jednego centralnego obszaru roboczego. Możesz przejść z usługi Log Analytics (LA) do usługi AMA , aby wszystkie maszyny wirtualne wskazywały jeden obszar roboczy na potrzeby zbierania i konserwacji danych.
• Zarządzanie regułami — używa reguł zbierania danych do konfigurowania lub dostosowywania różnych aspektów zbierania danych. Można na przykład zmienić częstotliwość zbierania plików.

Bieżące ograniczenia

Śledzenie zmian i spis korzystanie z agenta monitorowania platformy Azure nie obsługuje ani nie ma następujących ograniczeń:

• Rekursja śledzenia rejestru systemu Windows
• Sieciowe systemy plików
• Różne metody instalacji
• *.exe plików przechowywanych w systemie Windows
• Kolumna Maksymalny rozmiar pliku i wartości są nieużywane w bieżącej implementacji.
• W przypadku śledzenia zmian plików jest on ograniczony do rozmiaru pliku o rozmiarze 5 MB lub mniejszym.
• Jeśli rozmiar pliku pojawi >się 1,25 MB, funkcja FileContentChecksum jest niepoprawna z powodu ograniczeń pamięci w obliczeniu sumy kontrolnej.
• Jeśli spróbujesz zebrać więcej niż 2500 plików w 30-minutowym cyklu zbierania, wydajność Śledzenie zmian i spis może ulec pogorszeniu.
• Jeśli ruch sieciowy jest wysoki, wyświetlanie rekordów zmian może potrwać do sześciu godzin.
• Jeśli zmodyfikujesz konfigurację podczas zamykania maszyny lub serwera, może to spowodować opublikowanie zmian należących do poprzedniej konfiguracji.
• Zbieranie aktualizacji poprawek na maszynach z systemem Windows Server 2016 Core RS3.
• Demony systemu Linux mogą pokazywać zmieniony stan, mimo że nie nastąpiła żadna zmiana. Ten problem występuje z SvcRunLevels powodu zapisywania danych w tabeli Azure Monitor ConfigurationChange .
• Rozszerzenie Change Tracking nie obsługuje żadnych standardów wzmacniania zabezpieczeń dla systemów operacyjnych Linux ani dystrybucji.

Limity

W poniższej tabeli przedstawiono śledzone limity elementów na maszynę na potrzeby śledzenia zmian i spisu.

Zasób	Limit	Uwagi
Plik	500
Rozmiar pliku	5 MB
Rejestr	250
Oprogramowanie systemu Windows	250	Nie obejmuje aktualizacji oprogramowania.
Pakiety systemu Linux	1,250
Usługi systemu Windows	250
Demony systemu Linux	250

Obsługiwane systemy operacyjne

Śledzenie zmian i spis jest obsługiwane we wszystkich systemach operacyjnych spełniających wymagania agenta usługi Azure Monitor. Zobacz obsługiwane systemy operacyjne, aby uzyskać listę wersji systemu operacyjnego Windows i Linux, które są obecnie obsługiwane przez agenta usługi Azure Monitor.

Aby zrozumieć wymagania klienta dotyczące protokołu TLS, zobacz TLS dla usługi Azure Automation.

Włączanie rozwiązań Change Tracking i Inventory

Można włączyć Śledzenie zmian i spis w następujący sposób:

• Ręcznie w przypadku maszyn z obsługą usługi Azure Arc zapoznaj się z tematem Włączanie Śledzenie zmian i spis dla maszyn wirtualnych z obsługą usługi Arc w definicjach > zasad > Wybierz kategorię = ChangeTrackingAndInventory. Aby włączyć Śledzenie zmian i spis na dużą skalę, użyj rozwiązania opartego na zasadach DINE. Aby uzyskać więcej informacji, zobacz Włączanie Śledzenie zmian i spis przy użyciu agenta monitorowania platformy Azure (wersja zapoznawcza).

• W przypadku pojedynczej maszyny wirtualnej platformy Azure ze strony Maszyna wirtualna w witrynie Azure Portal. Ten scenariusz jest dostępny dla maszyn wirtualnych z systemami Linux i Windows.

• W przypadku wielu maszyn wirtualnych platformy Azure wybierz je na stronie Maszyny wirtualne w witrynie Azure Portal.

Śledzenie zmian plików

Do śledzenia zmian w plikach w systemach Windows i Linux Śledzenie zmian i spis używa skrótów SHA256 plików. Funkcja używa skrótów, aby wykryć, czy zmiany zostały wprowadzone od ostatniego spisu.

Śledzenie zmian zawartości pliku

Śledzenie zmian i spis umożliwia wyświetlenie zawartości pliku systemu Windows lub Linux. Dla każdej zmiany pliku Śledzenie zmian i spis przechowuje zawartość pliku na koncie usługi Azure Storage. Podczas śledzenia pliku możesz wyświetlić jego zawartość przed zmianą lub po jej zmianie. Zawartość pliku można wyświetlić w tekście lub obok siebie. Dowiedz się więcej.

Śledzenie kluczy rejestru

Śledzenie zmian i spis umożliwia monitorowanie zmian w kluczach rejestru systemu Windows. Monitorowanie umożliwia wskazanie punktów rozszerzalności, w których można aktywować kod innej firmy i złośliwe oprogramowanie. W poniższej tabeli wymieniono wstępnie skonfigurowane (ale nie włączone) klucze rejestru. Aby śledzić te klucze, należy włączyć każdy z nich.

Klucz rejestru	Purpose
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup	Monitoruje skrypty uruchamiane podczas uruchamiania.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown	Monitoruje skrypty uruchamiane podczas zamykania.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run	Monitoruje klucze ładowane przed zalogowaniem użytkownika do konta systemu Windows. Klucz jest używany dla aplikacji 32-bitowych działających na komputerach 64-bitowych.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components	Monitoruje zmiany ustawień aplikacji.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers	Monitoruje programy obsługi menu kontekstowego, które są przyłączane bezpośrednio do Eksploratora Windows i zwykle są uruchamiane podczas przetwarzania za pomocą explorer.exe.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers	Monitoruje programy obsługi punktów zaczepienia, które są przyłączane bezpośrednio do Eksploratora Windows i zwykle są uruchamiane w trakcie procesu za pomocą explorer.exe.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers	Monitory rejestracji programu obsługi nakładki ikony.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers	Monitory rejestracji programu obsługi nakładki ikon dla aplikacji 32-bitowych działających na komputerach 64-bitowych.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	Monitory dla nowych wtyczek obiektów pomocniczych przeglądarki dla programu Internet Explorer. Służy do uzyskiwania dostępu do modelu obiektów dokumentów (DOM) bieżącej strony i kontrolowania nawigacji.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	Monitory dla nowych wtyczek obiektów pomocniczych przeglądarki dla programu Internet Explorer. Służy do uzyskiwania dostępu do modelu obiektów dokumentów (DOM) bieżącej strony i kontrolowania nawigacji dla aplikacji 32-bitowych uruchomionych na komputerach 64-bitowych.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions	Monitory dla nowych rozszerzeń programu Internet Explorer, takich jak niestandardowe menu narzędzi i niestandardowe przyciski paska narzędzi.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions	Monitory dla nowych rozszerzeń programu Internet Explorer, takich jak niestandardowe menu narzędzi i niestandardowe przyciski paska narzędzi dla aplikacji 32-bitowych działających na komputerach 64-bitowych.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32	Monitoruje sterowniki 32-bitowe skojarzone z wavemapper, wave1 i wave2, msacm.imaadpcm, msadpcm, msgsm610 i vidc. Podobnie jak w sekcji [sterowniki] w pliku system.ini .
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32	Monitoruje sterowniki 32-bitowe skojarzone z wavemapper, wave1 i wave2, msacm.imaadpcm, msadpcm, msgsm610 i vidc dla aplikacji 32-bitowych działających na komputerach 64-bitowych. Podobnie jak w sekcji [sterowniki] w pliku system.ini .
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls	Monitoruje listę znanych lub często używanych bibliotek DLL systemu. Monitorowanie uniemożliwia osobom wykorzystanie słabych uprawnień katalogu aplikacji przez porzucanie wersji bibliotek DLL systemu koni trojańskich.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	Monitoruje listę pakietów, które mogą odbierać powiadomienia o zdarzeniach z winlogon.exe, modelu obsługi logowania interakcyjnego dla systemu Windows.

Obsługa rekursji

Śledzenie zmian i spis obsługuje rekursję, która umożliwia określenie symboli wieloznacznych w celu uproszczenia śledzenia katalogów. Rekursja udostępnia również zmienne środowiskowe, aby umożliwić śledzenie plików w różnych środowiskach z wieloma lub dynamicznymi nazwami dysków. Poniższa lista zawiera typowe informacje, które należy wiedzieć podczas konfigurowania rekursji:

• Symbole wieloznaczne są wymagane do śledzenia wielu plików.

• Symbole wieloznaczne można używać tylko w ostatnim segmencie ścieżki pliku, na przykład c:\folder\file* lub /etc/*.conf.

• Jeśli zmienna środowiskowa ma nieprawidłową ścieżkę, walidacja zakończy się pomyślnie, ale ścieżka zakończy się niepowodzeniem podczas wykonywania.

• Należy unikać ogólnych nazw ścieżek podczas ustawiania ścieżki, ponieważ tego typu ustawienie może spowodować przejście zbyt wielu folderów.

zbieranie danych Śledzenie zmian i spis

W następnej tabeli przedstawiono częstotliwość zbierania danych dla typów zmian obsługiwanych przez Śledzenie zmian i spis. Dla każdego typu migawka danych bieżącego stanu jest również odświeżona co najmniej co 24 godziny.

Zmień typ	Częstotliwość
Rejestr systemu Windows	50 minut
Plik systemu Windows	Od 30 do 40 minut
Plik systemu Linux	15 min
Usługi systemu Windows	Domyślna wartość domyślna: 10 minut do 30 minut : 30 minut
Oprogramowanie systemu Windows	30 min
Oprogramowanie dla systemu Linux	5 min
Demony systemu Linux	5 min

W poniższej tabeli przedstawiono limity śledzonych elementów na maszynę dla Śledzenie zmian i spis.

Zasób	Limit
Plik	500
Rejestr	250
Oprogramowanie systemu Windows (bez poprawek)	250
Pakiety systemu Linux	1250
Usługi systemu Windows	250
Demony systemu Linux	500

Dane usług systemu Windows

Wymagania wstępne

Aby włączyć śledzenie danych usług systemu Windows, należy uaktualnić rozszerzenie CT i użyć rozszerzenia większego niż lub równego 2.11.0.0

W przypadku maszyn wirtualnych platformy Azure z systemem Windows Azure

- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true

W przypadku maszyn wirtualnych platformy Azure z systemem Linux

– az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Linux --enable-auto-upgrade true

W przypadku maszyn wirtualnych z systemem Windows z obsługą usługi Arc

– az connectedmachine extension create --name ChangeTracking-Windows --publisher Microsoft.Azure.ChangeTrackingAndInventory --type ChangeTracking-Windows --machine-name <arc-server-name> --resource-group <resource-group-name> --location <arc-server-location> --enable-auto-upgrade true

W przypadku maszyn wirtualnych z systemem Linux z obsługą usługi Arc

- az connectedmachine extension create --name ChangeTracking-Linux --publisher Microsoft.Azure.ChangeTrackingAndInventory --type ChangeTracking-Linux --machine-name <arc-server-name> --resource-group <resource-group-name> --location <arc-server-location> --enable-auto-upgrade true

Konfigurowanie częstotliwości

Domyślna częstotliwość zbierania usług systemu Windows wynosi 30 minut. Aby skonfigurować częstotliwość,

• w obszarze Edytuj ustawienia użyj suwaka na karcie Usługi systemu Windows.

Obsługa alertów dotyczących stanu konfiguracji

Kluczową możliwością Śledzenie zmian i spis jest alert dotyczący zmian stanu konfiguracji środowiska hybrydowego. Wiele przydatnych akcji jest dostępnych do wyzwalania w odpowiedzi na alerty. Na przykład akcje dotyczące funkcji platformy Azure, elementów Runbook usługi Automation, elementów webhook i podobnych elementów. Alerty dotyczące zmian w pliku c:\windows\system32\drivers\etc\hosts dla maszyny to jedna dobra aplikacja alertów dla Śledzenie zmian i spis danych. Istnieje wiele innych scenariuszy alertów, w tym scenariuszy zapytań zdefiniowanych w następnej tabeli.

Query	opis
ConfigurationChange | gdzie ConfigChangeType == "Files" i FileSystemPath zawiera " c:\windows\system32\drivers\"	Przydatne do śledzenia zmian w plikach krytycznych dla systemu.
ConfigurationChange | gdzie FieldsChanged zawiera "FileContentChecksum" i FileSystemPath == "c:\windows\system32\drivers\etc\hosts"	Przydatne do śledzenia modyfikacji plików konfiguracji kluczy.
ConfigurationChange | gdzie ConfigChangeType == "WindowsServices" i SvcName zawiera "w3svc" i SvcState == "Stopped"	Przydatne do śledzenia zmian w usługach krytycznych dla systemu.
ConfigurationChange | gdzie ConfigChangeType == "Demony" i SvcName zawierają "ssh" i SvcState!= "Running"	Przydatne do śledzenia zmian w usługach krytycznych dla systemu.
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"	Przydatne w środowiskach wymagających zablokowanych konfiguracji oprogramowania.
ConfigurationData | gdzie SoftwareName zawiera "Agent monitorowania" i CurrentVersion!= "8.0.11081.0"	Przydatne w przypadku wyświetlania, które maszyny mają zainstalowaną nieaktualną lub niezgodną wersję oprogramowania. To zapytanie zgłasza ostatni zgłoszony stan konfiguracji, ale nie zgłasza zmian.
ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"	Przydatne do śledzenia zmian kluczowych kluczy antywirusowych.
ConfigurationChange | gdzie klucz rejestru zawiera @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"	Przydatne do śledzenia zmian w ustawieniach zapory.

Następne kroki

• Aby włączyć w witrynie Azure Portal, zobacz Włączanie Śledzenie zmian i spis w witrynie Azure Portal.