Włączanie monitorowania integralności plików podczas korzystania z agenta usługi Azure Monitor
Aby zapewnić monitorowanie integralności plików (FIM), agent usługi Azure Monitor (AMA) zbiera dane z maszyn zgodnie z regułami zbierania danych. Gdy bieżący stan plików systemowych jest porównywany ze stanem podczas poprzedniego skanowania, program FIM powiadamia o podejrzanych modyfikacjach.
Uwaga
W ramach naszej strategii Defender dla Chmury zaktualizowanej agent usługi Azure Monitor nie będzie już musiał otrzymywać wszystkich możliwości usługi Defender for Servers. Wszystkie funkcje, które obecnie korzystają z agenta usługi Azure Monitor, w tym opisane na tej stronie, będą dostępne za pośrednictwem Ochrona punktu końcowego w usłudze Microsoft Defender integracji lub skanowania bez agenta do sierpnia 2024 r. Aby uzyskać dostęp do pełnych możliwości programu Defender for SQL Server na maszynach, wymagany jest agent monitorowania platformy Azure (znany również jako AMA). Aby uzyskać więcej informacji na temat planu rozwoju funkcji, zobacz to ogłoszenie.
Monitorowanie integralności plików za pomocą agenta usługi Azure Monitor oferuje:
- Zgodność z ujednoliconym agentem monitorowania — zgodny z agentem usługi Azure Monitor, który zwiększa bezpieczeństwo, niezawodność i ułatwia przechowywanie danych w wielu hostach.
- Zgodność z narzędziem do śledzenia — jest zgodna z rozszerzeniem śledzenia zmian wdrożonym za pośrednictwem usługi Azure Policy na maszynie wirtualnej klienta. Możesz przełączyć się na agenta usługi Azure Monitor (AMA), a następnie rozszerzenie CT przeniesie oprogramowanie, pliki i rejestr do usługi AMA.
- Uproszczone dołączanie — możesz dołączyć program FIM z Microsoft Defender dla Chmury.
- Środowisko wielodostępne — zapewnia standaryzację zarządzania z jednego centralnego obszaru roboczego. Możesz przejść z usługi Log Analytics (LA) do usługi AMA , aby wszystkie maszyny wirtualne wskazywały jeden obszar roboczy na potrzeby zbierania i konserwacji danych.
- Zarządzanie regułami — używa reguł zbierania danych do konfigurowania lub dostosowywania różnych aspektów zbierania danych. Można na przykład zmienić częstotliwość zbierania plików.
Z tego artykułu dowiesz się, jak wykonywać następujące działania:
- Włączanie monitorowania integralności plików za pomocą usługi AMA
- Edytowanie listy śledzonych plików i kluczy rejestru
- Wykluczanie maszyn z monitorowania integralności plików
Dostępność
| Aspekt | Szczegóły |
|---|---|
| Stan wydania: | Podgląd |
| Cennik: | Wymaga usługi Microsoft Defender dla serwerów (plan 2) |
| Wymagane role i uprawnienia: | Właściciel Współautor |
| Chmury: |  Chmury komercyjne — obsługiwane tylko w regionach: australiaeast, australiasoutheastcanadacentralcentralindiacentraluseastasiaeastus2euapeastuseastus2francecentraljapaneastkoreacentralnorthcentralusnortheuropesouthcentralussoutheastasiaswitzerlandnorthuksouthwestcentraluswesteuropewestuswestus2 National (Azure Government, Microsoft Azure obsługiwane przez firmę 21Vianet)Urządzenia z obsługą usługi Azure Arc .Połączenie konta platformy AWSPołączenie konta GCP |
Wymagania wstępne
Aby śledzić zmiany plików na maszynach za pomocą usługi AMA:
Włącz usługę Defender dla serwerów (plan 2).
Zainstaluj usługę AMA na maszynach, które chcesz monitorować.
Włączanie monitorowania integralności plików za pomocą usługi AMA
Aby włączyć monitorowanie integralności plików (FIM), użyj rekomendacji programu FIM, aby wybrać maszyny do monitorowania:
Na pasku bocznym Defender dla Chmury otwórz stronę Rekomendacje.
Wybierz zalecenie Monitorowanie integralności plików powinno być włączone na maszynach. Dowiedz się więcej o zaleceniach Defender dla Chmury.
Wybierz maszyny, na których chcesz używać monitorowania integralności plików, wybierz pozycję Napraw, a następnie wybierz pozycję Napraw zasoby X.
Poprawka rekomendacji:
ChangeTracking-WindowsInstaluje rozszerzenie lubChangeTracking-Linuxna maszynach.- Generuje regułę zbierania danych (DCR) dla subskrypcji o nazwie
Microsoft-ChangeTracking-[subscriptionId]-default-dcrdefiniującej, które pliki i rejestry powinny być monitorowane na podstawie ustawień domyślnych. Poprawka dołącza kontroler domeny do wszystkich maszyn w subskrypcji, na których zainstalowano usługę AMA i włączono program FIM. - Tworzy nowy obszar roboczy usługi Log Analytics z konwencją
defaultWorkspace-[subscriptionId]-fimnazewnictwa i domyślnymi ustawieniami obszaru roboczego.
Ustawienia obszaru roboczego DCR i Log Analytics można zaktualizować później.
Na pasku bocznym Defender dla Chmury przejdź do pozycji Zabezpieczenia obciążenia>Monitorowanie integralności plików i wybierz baner, aby wyświetlić wyniki dla maszyn za pomocą agenta usługi Azure Monitor.
Wyświetlane są maszyny z włączonym monitorowaniem integralności plików.
Możesz zobaczyć liczbę zmian wprowadzonych w śledzonych plikach, a następnie wybrać pozycję Wyświetl zmiany , aby zobaczyć zmiany wprowadzone w śledzonych plikach na tym komputerze.
Edytowanie listy śledzonych plików i kluczy rejestru
Monitorowanie integralności plików (FIM) dla maszyn za pomocą agenta usługi Azure Monitor używa reguł zbierania danych (DCR) do definiowania listy plików i kluczy rejestru do śledzenia. Każda subskrypcja ma kontroler domeny dla maszyn w tej subskrypcji.
Program FIM tworzy kontrolery domeny z domyślną konfiguracją śledzonych plików i kluczy rejestru. Kontrolery domeny można edytować, aby dodawać, usuwać lub aktualizować listę plików i rejestrów śledzonych przez program FIM.
Aby edytować listę śledzonych plików i rejestrów:
W obszarze Monitorowanie integralności plików wybierz pozycję Reguły zbierania danych.
Możesz zobaczyć każdą regułę utworzoną dla subskrypcji, do których masz dostęp.
Wybierz kontroler domeny, który chcesz zaktualizować dla subskrypcji.
Każdy plik na liście kluczy rejestru systemu Windows, plików systemu Windows i plików systemu Linux zawiera definicję pliku lub klucza rejestru, w tym nazwę, ścieżkę i inne opcje. Można również ustawić wartość Włączone na Fałsz , aby cofnąć śledzenie pliku lub klucza rejestru bez usuwania definicji.
Dowiedz się więcej na temat systemowych definicji kluczy plików i rejestru.
Wybierz plik, a następnie dodaj lub edytuj definicję pliku lub klucza rejestru.
Wybierz pozycję Dodaj, aby zapisać zmiany.
Wykluczanie maszyn z monitorowania integralności plików
Każda maszyna w subskrypcji dołączonej do kontrolera domeny jest monitorowana. Możesz odłączyć maszynę od kontrolera domeny, aby pliki i klucze rejestru nie zostały śledzone.
Aby wykluczyć maszynę z monitorowania integralności plików:
- Na liście monitorowanych maszyn w wynikach programu FIM wybierz menu (...) dla maszyny
- Wybierz pozycję Odłącz regułę zbierania danych.
Maszyna przechodzi do listy niemonitorowanych maszyn, a zmiany plików nie są już śledzone dla tej maszyny.
Następne kroki
Dowiedz się więcej o Defender dla Chmury w:
- Ustawianie zasad zabezpieczeń — dowiedz się, jak skonfigurować zasady zabezpieczeń dla subskrypcji i grup zasobów platformy Azure.
- Zarządzanie zaleceniami dotyczącymi zabezpieczeń — dowiedz się, jak zalecenia pomagają chronić zasoby platformy Azure.
- Blog Azure Security — pobierz najnowsze wiadomości i informacje o zabezpieczeniach platformy Azure.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla