Habilitar o Monitoramento de Integridade de Arquivos ao usar o Agente do Azure Monitor

Para fornecer Monitoramento de Integridade de Arquivos (FIM), o Agente do Azure Monitor (AMA) coleta dados de computadores de acordo com as regras de coleta de dados. Quando o estado atual dos arquivos do sistema é comparado com o estado durante o exame anterior, o FIM notifica você sobre modificações suspeitas.

Observação

Como parte da nossa estratégia atualizada do Defender para Nuvem, o Agente Azure Monitor não será mais obrigado a receber todos os recursos do Microsoft Defender para servidores. Todos os recursos que atualmente dependem do Agente Azure Monitor, incluindo os descritos nessa página, estarão disponíveis por meio do Microsoft Defender para integração com ponto de extremidade ou verificação sem agente, até agosto de 2024. Para ter acesso a todas as capacidades do Defender para SQL Server nos computadores, é necessário o Agente de monitorização do Azure (também conhecido como AMA). Para obter mais informações sobre o roteiro de recursos, veja esse anúncio.

O Monitoramento de Integridade de Arquivos com o Agente do Azure Monitor oferece:

  • Compatibilidade com o agente de monitoramento unificado – compatível com o Agente do Azure Monitor que aprimora a segurança, a confiabilidade e facilita a experiência de hospedagem múltipla para armazenar dados.
  • Compatibilidade com a ferramenta de acompanhamento – compatível com a extensão CT (Controle de Alterações) implantada por meio do Azure Policy na máquina virtual do cliente. Você pode alternar para o AMA (Agente do Azure Monitor) e, em seguida, a extensão de CT efetua push do software, dos arquivos e do Registro para o AMA.
  • Integração simplificada – você pode integrar o FIM do Microsoft Defender para Nuvem.
  • Experiência de hospedagem múltipla – fornece padronização do gerenciamento de um workspace central. Você pode fazer a transição do LA (Log Analytics) para AMA para que todas as VMs apontem para um único workspace para coleta e manutenção de dados.
  • Gerenciamento de regras – usa Regras de Coleta de Dados para configurar ou personalizar vários aspectos da coleta de dados. Por exemplo, você pode alterar a frequência da coleta de arquivos.

Neste artigo, você aprenderá a:

Disponibilidade

Aspecto Detalhes
Estado da versão: Versão Prévia
Preço: Requer o Plano 2 do Microsoft Defender para Servidores
Funções e permissões necessárias: Proprietário
Colaborador
Nuvens: Nuvens comerciais – com suporte apenas nas regiões: australiaeast, australiasoutheast, canadacentral, centralindia, centralus, eastasia, eastus2euap, eastus, eastus2, francecentral, japaneast, koreacentral, northcentralus, northeurope, southcentralus, southeastasia, switzerlandnorth, uksouth, westcentralus, westeurope, westus, westus2
Nacionais (Azure Governamental, Microsoft Azure operado pela 21Vianet)
Dispositivos habilitados para o Azure Arc.
Contas da AWS conectadas
Contas GCP conectadas

Pré-requisitos

Para controlar as alterações nos seus arquivos em computadores com AMA:

Habilite o Monitoramento de Integridade de Arquivos com AMA

Para habilitar o Monitoramento de Integridade do Arquivo FIM), use a recomendação para selecionar computadores para o monitoramento:

  1. Na barra lateral do Defender para Nuvem, abra a página Recomendações.

  2. Selecione a recomendação O monitoramento de integridade de arquivos deve ser habilitado em computadores. Saiba mais sobre o recomendações do Defender para Nuvem.

  3. Selecione os computadores nos quais você deseja usar o Monitoramento de Integridade de Arquivos, selecione Corrigir e selecione Corrigir recursos X.

    A correção da recomendação:

    • Instala a extensão ChangeTracking-Windows ou ChangeTracking-Linux nos computadores.
    • Gera uma DCR (regra de coleta de dados) para a assinatura, chamada Microsoft-ChangeTracking-[subscriptionId]-default-dcr, que define quais arquivos e registros devem ser monitorados com base nas configurações padrão. A correção anexa a DCR a todos os computadores na assinatura que têm o AMA instalado e o FIM habilitado.
    • Cria um novo workspace do Log Analytics com a convenção de nomenclatura defaultWorkspace-[subscriptionId]-fim e com as configurações de workspace padrão.

    Você pode atualizar as configurações do workspace do Log Analytics e da DCR mais tarde.

  4. Na barra lateral do Defender para Nuvem, acesseProteções de carga de trabalho>Monitoramento de integridade de arquivos e selecione a faixa para mostrar os resultados dos computadores com o Agente do Azure Monitor.

    Screenshot of banner in File integrity monitoring to show the results for machines with Azure Monitor Agent.

  5. São mostrados os computadores com Monitoramento de Integridade de Arquivos habilitado.

    Screenshot of File integrity monitoring results for machines with Azure Monitor Agent.

    Você pode ver o número de alterações feitas nos arquivos acompanhados e selecionar Exibir alterações para ver as alterações feitas nos arquivos acompanhados nesse computador.

Editar a lista de arquivos rastreados e chaves do Registro

O FIM (Monitoramento de Integridade de Arquivos) para computadores com o Agente do Azure Monitor usa DCRs (Regras de Coleta de Dados) para definir a lista de arquivos e chaves do Registro a serem acompanhados. Cada assinatura tem um DCR para os computadores nessa assinatura.

O FIM cria DCRs com uma configuração padrão de arquivos acompanhados e chaves do Registro. Você pode editar as DCRs para adicionar, remover ou atualizar a lista de arquivos e Registros que são acompanhados pelo FIM.

Para editar a lista de arquivos e Registros acompanhados:

  1. Em Monitoramento de integridade de arquivos, selecione Regras de coleta de dados.

    Você pode ver cada uma das regras que foram criadas para as assinaturas às quais você tem acesso.

  2. Selecione a DCR que você deseja atualizar para uma assinatura.

    Cada arquivo na lista de chaves do Registro do Windows, arquivos do Windows e arquivos do Linux contém uma definição para um arquivo ou chave do Registro, incluindo nome, caminho e outras opções. Você também pode definir Habilitado como False para cancelar o acompanhamento do arquivo ou a chave do Registro sem remover a definição.

    Saiba mais sobre as definições de arquivo do sistema e chave do Registro.

  3. Selecione um arquivo e, em seguida, adicione ou edite a definição da chave do arquivo ou do Registro.

  4. Selecione Adicionar para salvar as alterações.

Excluir computadores do Monitoramento de Integridade de Arquivos

Todo computador na assinatura que está anexado à DCR é monitorado. Você pode desanexar um computador da DCR para que os arquivos e as chaves do Registro não sejam acompanhados.

Para excluir um computador do Monitoramento de Integridade de Arquivos:

  1. Na lista de computadores monitorados nos resultados do FIM, selecione o menu () para o computador
  2. Selecione Desanexar regra de coleta de dados.

Screenshot of the option to detach a machine from a data collection rule and exclude the machines from File Integrity Monitoring.

O computador é movido para a lista de computadores não monitorados e as alterações de arquivos não são mais acompanhadas nesse computador.

Próximas etapas

Saiba mais sobre o Defender para Nuvem em: