Ler em inglês

Compartilhar via


Migrar para o monitoramento de integridade de arquivos com o Defender para Ponto de Extremidade

O monitoramento de integridade de arquivos no Defender para Servidores Plano 2 usa o agente do Microsoft Defender para Ponto de Extremidade para coletar dados de computadores, de acordo com as regras de coleta.

A versão anterior do monitoramento de integridade de arquivos usava o agente do Log Analytics (também conhecido como Microsoft Monitoring Agent (MMA)) ou o agente do Azure Monitor (AMA) para a coleta de dados. Este artigo descreve como migrar as versões anteriores do MMA e do AMA para a nova versão.

Pré-requisitos

  • O Defender para Servidores Plano 2 deve ser habilitado para usar o monitoramento de integridade de arquivos.
  • A migração é relevante quando o monitoramento de integridade de arquivos está habilitado no momento usando o MMA ou AMA.
  • Os computadores protegidos pelo Plano 2 do Defender para Servidores devem estar executando o agente do Defender para Ponto de Extremidade. Se quiser verificar o status do agente nos computadores do seu ambiente, use essa pasta de trabalho para fazer isso.

Migrar do MMA

Se você tiver uma versão anterior do monitoramento de integridade de arquivos usando o MMA, poderá migrar usando a experiência de migração no produto. Usando a experiência no produto, você pode:

  • Revisar o ambiente/estado atual antes de migrar.
  • Exportar as regras atuais de monitoramento de integridade de arquivos que usam MMA e residem em um workspace do Log Analytics.
  • Migrar para a nova experiência se o Plano 2 do Defender para Servidores estiver habilitado.

Antes de começar

Observe que:

  • Você só pode executar a ferramenta de migração uma vez para cada assinatura. Você não poderá executá-la novamente para migrar regras de um ou vários workspaces adicionais na mesma assinatura.
    • O uso da migração dentro do produto requer permissões de Administrador de Segurança na assinatura de destino e permissões de Proprietário no workspace do Log Analytics de destino.
  • A ferramenta permite que você transfira as regras de monitoramento existentes para a nova experiência.
  • As regras integradas personalizadas e herdadas que não fazem parte da nova experiência não podem ser migradas, mas você pode exportá-las para um arquivo JSON.
  • A ferramenta de migração lista todos os computadores em uma assinatura, mas não todos os computadores que foram realmente integrados ao monitoramento de integridade de arquivos com o MMA.
    • A versão herdada exigia um MMA conectado ao workspace do Log Analytics. Isso significa que os computadores que estavam sendo protegidos pelo Plano 2 do Defender para Servidores, mas não executando o MMA, não se beneficiavam do monitoramento de integridade de arquivos.
    • Com a nova experiência, todos os computadores no escopo de habilitação se beneficiam do monitoramento de integridade de arquivos.
  • Embora a nova experiência não precise de um agente do MMA, você precisa especificar um workspace de origem e de destino na ferramenta de migração.
    • A origem é o workspace cujas regras existentes você quer transferir para a nova experiência.
    • O destino é o workspace no qual os registros de alterações são gravados quando os arquivos e registros monitorados são alterados.
  • Depois que a nova experiência é habilitada em uma assinatura, os computadores no escopo habilitado são todas cobertos pelas mesmas regras de monitoramento de integridade de arquivos.
  • Se você quiser isentar computadores individuais do monitoramento de integridade de arquivos, poderá fazer downgrade para o Plano 1 do Defender para Servidores, habilitando o Defender para Servidores no nível do recurso.

Migrar com a experiência dentro do produto

  1. Em Defender para Nuvem >Proteções de carga de trabalho, abra o Monitoramento de Integridade de Arquivos.

  2. Na mensagem da barra de notificação, selecione Clique aqui para migrar seus ambientes.

    Captura de tela mostrando o botão migrar na da barra de notificação do Defender para Nuvem.

  3. Na página Preparar seus ambientes para a preterição do MMA, inicie a migração.

  4. Na guia Migrar para o novo FIM, em Migrar para a nova versão do FIM por meio do MDE, selecione Executar ação.

    Captura de tela mostrando o botão

  5. Na guia Migrar para o novo FIM, você poderá ver todas as assinaturas que hospedam computadores com um monitoramento de integridade de arquivos herdado habilitado.

    • O Total de computadores na assinatura mostra todas as VMs do Azure e as VMs habilitadas para o Azure Arc na assinatura.
    • Computadores configurados para o FIM mostra o número de computadores com um monitoramento de integridade de arquivos herdado habilitado.
  6. Na coluna Ação ao lado de cada assinatura, selecione Migrar.

  7. Em Atualizar assinatura>Rever os computadores da assinatura, você verá uma lista dos computadores que têm um monitoramento de integridade de arquivos herdado habilitado e o workspace do Log Analytics relacionado. Selecione Avançar.

  8. Na guia Migrar configurações, selecione um workspace como a origem da migração.

  9. Revise a configuração do workspace, incluindo o Registro do Windows e os arquivos do Windows/Linux. Há uma indicação sobre se as configurações e os arquivos podem ser migrados.

  10. Se você tiver arquivos e configurações que não podem ser migrados, selecione Salvar as configurações do workspace como um arquivo.

  11. Em Escolher o workspace de destino para o armazenamento de dados do FIM, especifique o workspace do Log Analytics no qual você quer armazenar as alterações com a nova experiência de monitoramento de integridade de arquivos. Você pode usar o mesmo workspace ou selecionar um workspace diferente apenas uma vez.

  12. Selecione Avançar.

  13. Na guia Revisar e aprovar, revise o resumo da migração. Selecione Migrar para iniciar o processo de migração.

Após a conclusão da migração, a assinatura será removida do assistente de migração e as regras de monitoramento de integridade de arquivos migradas serão aplicadas.

Desabilitar a solução de MMA herdada

Siga essas instruções para desabilitar o monitoramento de integridade de arquivos manualmente usando o MMA.

  1. Remova a solução de Controle de Alterações do Azure do workspace do Log Analytics.

    Após a remoção, nenhum novo evento de monitoramento de integridade de arquivos será coletado. Os eventos históricos permanecem armazenados no workspace do Log Analytics relevante na seção Controle de Alterações, na tabela ConfigurationChange. Os eventos são armazenados de acordo com as configurações de retenção de dados do workspace.

  2. Se não precisar mais do MMA nos computadores, você poderá desabilitar o uso do agente do Log Analytics.

Migrar do AMA

Siga essas instruções para migrar do monitoramento de integridade de arquivos usando o AMA.

  1. Remova as regras de coleta de dados (DCR) relacionadas ao controle de alterações de arquivos.

  2. Para obter mais informações, siga as instruções em Remove-AzDataCollectionRuleAssociation e Remove-AzDataCollectionRule.

    Após a remoção, nenhum novo evento de monitoramento de integridade de arquivos será coletado. Os eventos históricos permanecem armazenados no workspace relevante na tabela ConfigurationChange, na seção Controle de Alterações. Os eventos são armazenados de acordo com as configurações de retenção de dados do workspace.

Se quiser continuar usando o AMA para consumir eventos de monitoramento de integridade de arquivos, você poderá se conectar manualmente ao workspace relevante e ver as alterações na tabela de Controle de Alterações com essa consulta.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Para continuar integrando um novo escopo ou configurando regras de monitoramento, você vai precisar trabalhar manualmente nas regras de coleta de dados e personalizar a coleta de dados.

Próximas etapas

Reveja as alterações no monitoramento de integridade de arquivos.