Habilitar o Monitoramento de Integridade de Arquivos ao usar o Agente do Azure Monitor

Para fornecer FIM (Monitoramento de Integridade de Arquivos), o AMA (Agente do Azure Monitor) coleta dados de computadores de acordo com as Regras de Coleta de Dados. Quando o estado atual dos arquivos do sistema é comparado com o estado durante o exame anterior, o FIM notifica você sobre modificações suspeitas.

O FIM usa a solução de Controle de Alterações do Azure para controlar e identificar as alterações em seu ambiente. Quando o Monitoramento de Integridade de Arquivos está habilitado, você tem um recurso de Controle de Alterações do tipo Solução. Saiba mais sobre a coleta de dados para Controle de Alterações.

O Monitoramento de Integridade de Arquivos com o Agente do Azure Monitor oferece:

  • Compatibilidade com o agente de monitoramento unificado – compatível com o Agente do Azure Monitor que aprimora a segurança, a confiabilidade e facilita a experiência de hospedagem múltipla para armazenar dados.
  • Compatibilidade com a ferramenta de acompanhamento – compatível com a extensão CT (Controle de Alterações) implantada por meio do Azure Policy na máquina virtual do cliente. Você pode alternar para o AMA (Agente do Azure Monitor) e, em seguida, a extensão de CT efetua push do software, dos arquivos e do Registro para o AMA.
  • Integração simplificada – você pode integrar o FIM do Microsoft Defender para Nuvem.
  • Experiência de hospedagem múltipla – fornece padronização do gerenciamento de um workspace central. Você pode fazer a transição do LA (Log Analytics) para AMA para que todas as VMs apontem para um único workspace para coleta e manutenção de dados.
  • Gerenciamento de regras – usa Regras de Coleta de Dados para configurar ou personalizar vários aspectos da coleta de dados. Por exemplo, você pode alterar a frequência da coleta de arquivos.

Observação

Se você remover o recurso de Controle de Alterações, o Monitoramento de Integridade de Arquivos também será desabilitado no Defender para Nuvem.

Disponibilidade

Aspecto Detalhes
Estado da versão: Versão Prévia
Preço: Requer o Microsoft Defender para Servidores Plano 2
Funções e permissões necessárias: Proprietário
Colaborador
Nuvens: Nuvens comerciais – com suporte apenas nas regiões: australiaeast, australiasoutheast, canadacentral, centralindia, centralus, eastasia, eastus2euap, eastus, eastus2, francecentral, japaneast, koreacentral, northcentralus, northeurope, southcentralus, southeastasia, switzerlandnorth, uksouth, westcentralus, westeurope, westus, westus2
Nacional (Azure Governamental, Azure China 21Vianet)
Dispositivos habilitados para o Azure Arc.
Contas da AWS conectadas
Contas GCP conectadas

Pré-requisitos

Para controlar as alterações nos seus arquivos em computadores com AMA:

Habilite o Monitoramento de Integridade de Arquivos com AMA

Para habilitar o FIM (Monitoramento de Integridade de Arquivos):

  1. Use a recomendação do FIM para selecionar computadores para monitoramento de integridade de arquivos:

    1. Na barra lateral do Defender para Nuvem, abra a página Recomendações.
    2. Selecione a recomendação O monitoramento de integridade de arquivos deve ser habilitado em computadores. Saiba mais sobre o recomendações do Defender para Nuvem.
    3. Selecione os computadores nos quais você deseja usar o Monitoramento de Integridade de Arquivos, selecione Corrigir e selecione Corrigir recursos X.

    A correção da recomendação:

    • Instala a extensão ChangeTracking-Windows ou ChangeTracking-Linux nos computadores.
    • Gera uma DCR (regra de coleta de dados) para a assinatura, nomeada Microsoft-ChangeTracking-[subscriptionId]-default-dcr, que define quais arquivos e registros devem ser monitorados com base nas configurações padrão. A correção anexa a DCR a todos os computadores na assinatura que têm o AMA instalado e o FIM habilitado.
    • Cria um novo workspace do Log Analytics com a convenção de nomenclatura defaultWorkspace-[subscriptionId]-fim e com as configurações de workspace padrão.

    Você pode atualizar as configurações do workspace do Log Analytics e da DCR mais tarde.

  2. Na barra lateral do Defender para Nuvem, acesseProteções de carga de trabalho>Monitoramento de integridade de arquivos e selecione a faixa para mostrar os resultados dos computadores com o Agente do Azure Monitor.

    Captura de tela da faixa no Monitoramento de integridade de arquivos para mostrar os resultados para computadores com o Agente do Azure Monitor.

  3. São mostrados os computadores com Monitoramento de Integridade de Arquivos habilitado.

    Captura de tela dos resultados do Monitoramento de integridade de arquivos para computadores com o Agente do Azure Monitor.

    Você pode ver o número de alterações feitas nos arquivos acompanhados e selecionar Exibir alterações para ver as alterações feitas nos arquivos acompanhados nesse computador.

Editar a lista de arquivos rastreados e chaves do Registro

O FIM (Monitoramento de Integridade de Arquivos) para computadores com o Agente do Azure Monitor usa DCRs (Regras de Coleta de Dados) para definir a lista de arquivos e chaves do Registro a serem acompanhados. Cada assinatura tem um DCR para os computadores nessa assinatura.

O FIM cria DCRs com uma configuração padrão de arquivos acompanhados e chaves do Registro. Você pode editar as DCRs para adicionar, remover ou atualizar a lista de arquivos e Registros que são acompanhados pelo FIM.

Para editar a lista de arquivos e Registros acompanhados:

  1. Em Monitoramento de integridade de arquivos, selecione Regras de coleta de dados.

    Você pode ver cada uma das regras que foram criadas para as assinaturas às quais você tem acesso.

  2. Selecione a DCR que você deseja atualizar para uma assinatura.

    Cada arquivo na lista de chaves do Registro do Windows, arquivos do Windows e arquivos do Linux contém uma definição para um arquivo ou chave do Registro, incluindo nome, caminho e outras opções. Você também pode definir Habilitado como False para cancelar o acompanhamento do arquivo ou a chave do Registro sem remover a definição.

    Saiba mais sobre as definições de arquivo do sistema e chave do Registro.

  3. Selecione um arquivo e, em seguida, adicione ou edite a definição da chave do arquivo ou do Registro.

  4. Selecione Adicionar para salvar as alterações.

Excluir computadores do Monitoramento de Integridade de Arquivos

Todo computador na assinatura que está anexado à DCR é monitorado. Você pode desanexar um computador da DCR para que os arquivos e as chaves do Registro não sejam acompanhados.

Para excluir um computador do Monitoramento de Integridade de Arquivos:

  • Na lista de computadores monitorados nos resultados do FIM, selecione o menu (...) para o computador e selecione Desanexar regra de coleta de dados.

Captura de tela da opção para desanexar um computador de uma regra de coleta de dados e excluir os computadores do Monitoramento de Integridade de Arquivos.

O computador é movido para a lista de computadores não monitorados e as alterações de arquivos não são mais acompanhadas nesse computador.

Próximas etapas

Saiba mais sobre o Defender para Nuvem em: