Udostępnij za pośrednictwem

Migrowanie z programu Microsoft Monitoring Agent lub agenta usługi Azure Monitor

Monitorowanie integralności plików w usłudze Defender for Servers (plan 2) używa agenta usługi Microsoft Defender dla punktu końcowego do zbierania danych z maszyn zgodnie z regułami zbierania.

Poprzednia wersja monitorowania integralności plików używała agenta usługi Log Analytics (nazywanego również programem Microsoft Monitoring Agent (MMA) lub agentem usługi Azure Monitor (AMA) na potrzeby zbierania danych. W tym artykule opisano sposób migrowania poprzednich wersji programów MMA i AMA do nowej wersji.

Wymagania wstępne

  • Aby móc korzystać z monitorowania integralności plików, należy włączyć usługę Defender for Servers (Plan 2).
  • Migracja ma zastosowanie, jeśli monitorowanie integralności plików jest obecnie włączone przy użyciu mmA lub AMA.
  • Maszyny chronione przez usługę Defender for Servers (plan 2) muszą uruchamiać agenta usługi Microsoft Defender for Endpoint. Aby sprawdzić stan agentów na maszynach w swoim środowisku, skorzystaj z tego skoroszytu.

Migrowanie z programu MMA

Jeśli używasz poprzedniej wersji monitorowania integralności plików za pomocą programu MMA, możesz przeprowadzić migrację przy użyciu środowiska migracji w produkcie. Dzięki doświadczeniu w produkcie możesz:

  • Przed migracją przejrzyj bieżące środowisko.
  • Eksportuj bieżące reguły monitorowania integralności plików, które używają programu MMA w obszarze roboczym usługi Log Analytics.
  • Przeprowadź migrację do nowego środowiska, jeśli usługa Defender for Servers (plan 2) jest aktywna.

Przed rozpoczęciem

Należy pamiętać, że:

  • Narzędzie migracji można uruchamiać tylko raz na subskrypcję. Nie można uruchomić go ponownie, aby przeprowadzić migrację reguł z wielu obszarów roboczych w tej samej subskrypcji.
  • Migracja w produkcie wymaga uprawnień administratora zabezpieczeń w docelowej subskrypcji i uprawnienia właściciela w docelowym obszarze roboczym usługi Log Analytics.
  • Narzędzie umożliwia przeniesienie istniejących reguł monitorowania do nowego środowiska.
  • Nie można migrować niestandardowych i starszych wbudowanych reguł, które nie są częścią nowego środowiska, ale można je wyeksportować do pliku JSON.
  • Narzędzie do migracji wyświetla listę wszystkich maszyn w subskrypcji, a nie tylko tych dołączonych do monitorowania integralności plików za pomocą programu MMA.
    • Starsza wersja wymaga programu MMA połączonego z obszarem roboczym usługi Log Analytics. Maszyny chronione przez usługę Defender for Servers (Plan 2), ale nie uruchomiono programu MMA, nie skorzystały z monitorowania integralności plików.
    • Dzięki nowemu doświadczeniu wszystkie maszyny w włączonym zakresie korzystają z monitorowania integralności plików.
  • Mimo że nowe doświadczenie nie wymaga agenta MMA, w narzędziu migracji należy określić obszar roboczy źródłowy i docelowy.
    • Źródłem jest obszar roboczy, z którego przenosisz istniejące reguły do nowego środowiska.
    • Elementem docelowym jest obszar roboczy, w którym dzienniki zmian są zapisywane podczas zmiany monitorowanych plików i rejestrów.
  • Po włączeniu nowego środowiska w subskrypcji maszyny w zakresie włączonym są objęte tymi samymi regułami monitorowania integralności plików.
  • Aby wykluczyć poszczególne maszyny z monitorowania integralności plików, należy je obniżyć do planu 1 usługi Defender for Servers, włączając usługę Defender for Servers na poziomie zasobu

Migrowanie za pomocą środowiska produktu

  1. W usłudze> Defender for Cloud przejdź do obszaruOchrona obciążeń Monitorowanie integralności plików.

  2. W komunikacie baneru wybierz pozycję Kliknij tutaj, aby przeprowadzić migrację środowisk.

    Zrzut ekranu przedstawiający przycisk migracji na banerze Defender dla Chmury.

  3. Na stronie Przygotowywanie środowisk do wycofania programu MMA rozpocznij migrację.

  4. Na karcie Migrowanie do nowej wersji programu FIM w obszarze Migrowanie do nowej wersji programu FIM za pośrednictwem rozwiązania MDE wybierz pozycję Podejmij akcję.

    Zrzut ekranu przedstawiający przycisk Wykonaj akcję na banerze Defender dla Chmury.

  5. Na karcie Migrate to the new FIM można wyświetlić wszystkie subskrypcje hostujące maszyny, które mają włączone starsze monitorowanie integralności plików.

    • Łączna liczba maszyn w subskrypcji obejmuje wszystkie maszyny wirtualne Azure oraz maszyny wirtualne z obsługą Azure Arc w subskrypcji.
    • Maszyny skonfigurowane dla programu FIM pokazują liczbę maszyn z włączonym starszym monitorowaniem integralności plików.

  6. W kolumnie Akcja obok każdej subskrypcji wybierz pozycję Migruj.

  7. Na stronie Aktualizowanie subskrypcji>Przejrzyj maszyny subskrypcji zostanie wyświetlona lista maszyn, które mają włączone starsze monitorowanie integralności plików i powiązany obszar roboczy usługi Log Analytics. Wybierz Dalej.

  8. Na karcie Ustawienia migracji wybierz obszar roboczy jako źródło migracji.

  9. Przejrzyj konfigurację obszaru roboczego, w tym rejestr systemu Windows i pliki systemu Windows/Linux. Istnieje wskazanie, czy można migrować ustawienia i pliki.

  10. Jeśli masz pliki i ustawienia, których nie można migrować, wybierz pozycję Zapisz ustawienia obszaru roboczego jako plik.

  11. W obszarze Wybierz docelowy obszar roboczy do przechowywania danych programu FIM określ obszar roboczy usługi Log Analytics, w którym chcesz przechowywać zmiany w nowym środowisku monitorowania integralności plików. Możesz użyć tego samego obszaru roboczego lub wybrać inny obszar roboczy.

  12. Wybierz Dalej.

  13. Na karcie Przeglądanie i zatwierdzanie przejrzyj podsumowanie migracji. Wybierz pozycję Migruj , aby rozpocząć proces migracji.

Po zakończeniu migracji subskrypcja zostanie usunięta z kreatora migracji i zostaną zastosowane reguły monitorowania integralności plików.

Wyłączanie starszego rozwiązania MMA

Wykonaj następujące kroki, aby ręcznie wyłączyć monitorowanie integralności plików za pomocą programu MMA.

  1. Usuń rozwiązanie Azure ChangeTracking z obszaru roboczego usługi Log Analytics.

    Po usunięciu nie są zbierane żadne nowe zdarzenia monitorowania integralności plików. Zdarzenia historyczne pozostają przechowywane w odpowiednim obszarze roboczym usługi Log Analytics w sekcji Śledzenie zmian w ConfigurationChange tabeli. Zdarzenia są przechowywane zgodnie z ustawieniami przechowywania danych obszaru roboczego.

  2. Jeśli nie potrzebujesz już MMA na maszynach, wyłącz użycie agenta usługi Log Analytics.

    • Jeśli nie potrzebujesz agenta na żadnych maszynach, wyłącz automatyczną aprowizację agenta w subskrypcji.
    • W przypadku określonej maszyny usuń agenta przy użyciu narzędzia odnajdywania i usuwania usługi Azure Monitor.

Migrowanie z usługi AMA

Wykonaj następujące kroki, aby przeprowadzić migrację z monitorowania integralności plików za pomocą usługi AMA.

  1. Usuń powiązane reguły zbierania danych śledzenia zmian plików (DCR).

  2. W tym celu postępuj zgodnie z instrukcjami w temacie Remove-AzDataCollectionRuleAssociation i Remove-AzDataCollectionRule.

    Po usunięciu nie są zbierane żadne nowe zdarzenia monitorowania integralności plików. Zdarzenia historyczne pozostają przechowywane w odpowiednim obszarze roboczym w tabeli ConfigurationChange w sekcji Śledzenie zmian. Zdarzenia są przechowywane zgodnie z ustawieniami przechowywania danych obszaru roboczego.

Jeśli chcesz nadal używać usługi AMA do korzystania ze zdarzeń monitorowania integralności plików, ręcznie połącz się z odpowiednim obszarem roboczym i wyświetl zmiany w tabeli Śledzenie zmian za pomocą tego zapytania.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Aby kontynuować dołączanie nowego zakresu lub konfigurowanie reguł monitorowania, ręcznie pracuj z regułami zbierania danych i dostosuj zbieranie danych.

Przejrzyj zmiany w monitorowaniu integralności plików.