Migrar para o monitoramento de integridade de arquivos com o Defender para Ponto de Extremidade
O monitoramento de integridade de arquivos no Defender para Servidores Plano 2 usa o agente do Microsoft Defender para Ponto de Extremidade para coletar dados de computadores, de acordo com as regras de coleta.
A versão anterior do monitoramento de integridade de arquivos usava o agente do Log Analytics (também conhecido como Microsoft Monitoring Agent (MMA)) ou o agente do Azure Monitor (AMA) para a coleta de dados. Este artigo descreve como migrar as versões anteriores do MMA e do AMA para a nova versão.
- O Defender para Servidores Plano 2 deve ser habilitado para usar o monitoramento de integridade de arquivos.
- A migração é relevante quando o monitoramento de integridade de arquivos está habilitado no momento usando o MMA ou AMA.
- Os computadores protegidos pelo Plano 2 do Defender para Servidores devem estar executando o agente do Defender para Ponto de Extremidade. Se quiser verificar o status do agente nos computadores do seu ambiente, use essa pasta de trabalho para fazer isso.
Se você tiver uma versão anterior do monitoramento de integridade de arquivos usando o MMA, poderá migrar usando a experiência de migração no produto. Usando a experiência no produto, você pode:
- Revisar o ambiente/estado atual antes de migrar.
- Exportar as regras atuais de monitoramento de integridade de arquivos que usam MMA e residem em um workspace do Log Analytics.
- Migrar para a nova experiência se o Plano 2 do Defender para Servidores estiver habilitado.
Observe que:
- Você só pode executar a ferramenta de migração uma vez para cada assinatura. Você não poderá executá-la novamente para migrar regras de um ou vários workspaces adicionais na mesma assinatura.
-
- O uso da migração dentro do produto requer permissões de Administrador de Segurança na assinatura de destino e permissões de Proprietário no workspace do Log Analytics de destino.
- A ferramenta permite que você transfira as regras de monitoramento existentes para a nova experiência.
- As regras integradas personalizadas e herdadas que não fazem parte da nova experiência não podem ser migradas, mas você pode exportá-las para um arquivo JSON.
- A ferramenta de migração lista todos os computadores em uma assinatura, mas não todos os computadores que foram realmente integrados ao monitoramento de integridade de arquivos com o MMA.
- A versão herdada exigia um MMA conectado ao workspace do Log Analytics. Isso significa que os computadores que estavam sendo protegidos pelo Plano 2 do Defender para Servidores, mas não executando o MMA, não se beneficiavam do monitoramento de integridade de arquivos.
- Com a nova experiência, todos os computadores no escopo de habilitação se beneficiam do monitoramento de integridade de arquivos.
- Embora a nova experiência não precise de um agente do MMA, você precisa especificar um workspace de origem e de destino na ferramenta de migração.
- A origem é o workspace cujas regras existentes você quer transferir para a nova experiência.
- O destino é o workspace no qual os registros de alterações são gravados quando os arquivos e registros monitorados são alterados.
- Depois que a nova experiência é habilitada em uma assinatura, os computadores no escopo habilitado são todas cobertos pelas mesmas regras de monitoramento de integridade de arquivos.
- Se você quiser isentar computadores individuais do monitoramento de integridade de arquivos, poderá fazer downgrade para o Plano 1 do Defender para Servidores, habilitando o Defender para Servidores no nível do recurso.
Em Defender para Nuvem >Proteções de carga de trabalho, abra o Monitoramento de Integridade de Arquivos.
Na mensagem da barra de notificação, selecione Clique aqui para migrar seus ambientes.
Na página Preparar seus ambientes para a preterição do MMA, inicie a migração.
Na guia Migrar para o novo FIM, em Migrar para a nova versão do FIM por meio do MDE, selecione Executar ação.
Na guia Migrar para o novo FIM, você poderá ver todas as assinaturas que hospedam computadores com um monitoramento de integridade de arquivos herdado habilitado.
- O Total de computadores na assinatura mostra todas as VMs do Azure e as VMs habilitadas para o Azure Arc na assinatura.
- Computadores configurados para o FIM mostra o número de computadores com um monitoramento de integridade de arquivos herdado habilitado.
Na coluna Ação ao lado de cada assinatura, selecione Migrar.
Em Atualizar assinatura>Rever os computadores da assinatura, você verá uma lista dos computadores que têm um monitoramento de integridade de arquivos herdado habilitado e o workspace do Log Analytics relacionado. Selecione Avançar.
Na guia Migrar configurações, selecione um workspace como a origem da migração.
Revise a configuração do workspace, incluindo o Registro do Windows e os arquivos do Windows/Linux. Há uma indicação sobre se as configurações e os arquivos podem ser migrados.
Se você tiver arquivos e configurações que não podem ser migrados, selecione Salvar as configurações do workspace como um arquivo.
Em Escolher o workspace de destino para o armazenamento de dados do FIM, especifique o workspace do Log Analytics no qual você quer armazenar as alterações com a nova experiência de monitoramento de integridade de arquivos. Você pode usar o mesmo workspace ou selecionar um workspace diferente apenas uma vez.
Selecione Avançar.
Na guia Revisar e aprovar, revise o resumo da migração. Selecione Migrar para iniciar o processo de migração.
Após a conclusão da migração, a assinatura será removida do assistente de migração e as regras de monitoramento de integridade de arquivos migradas serão aplicadas.
Siga essas instruções para desabilitar o monitoramento de integridade de arquivos manualmente usando o MMA.
Remova a solução de Controle de Alterações do Azure do workspace do Log Analytics.
Após a remoção, nenhum novo evento de monitoramento de integridade de arquivos será coletado. Os eventos históricos permanecem armazenados no workspace do Log Analytics relevante na seção Controle de Alterações, na tabela
ConfigurationChange
. Os eventos são armazenados de acordo com as configurações de retenção de dados do workspace.Se não precisar mais do MMA nos computadores, você poderá desabilitar o uso do agente do Log Analytics.
- Se não precisar do agente em nenhum computador, desative o provisionamento automático do agente na assinatura.
- Para um computador específico, remova o agente usando o Utilitário de Descoberta e Remoção do Azure Monitor.
Siga essas instruções para migrar do monitoramento de integridade de arquivos usando o AMA.
Remova as regras de coleta de dados (DCR) relacionadas ao controle de alterações de arquivos.
Para obter mais informações, siga as instruções em Remove-AzDataCollectionRuleAssociation e Remove-AzDataCollectionRule.
Após a remoção, nenhum novo evento de monitoramento de integridade de arquivos será coletado. Os eventos históricos permanecem armazenados no workspace relevante na tabela
ConfigurationChange
, na seção Controle de Alterações. Os eventos são armazenados de acordo com as configurações de retenção de dados do workspace.
Se quiser continuar usando o AMA para consumir eventos de monitoramento de integridade de arquivos, você poderá se conectar manualmente ao workspace relevante e ver as alterações na tabela de Controle de Alterações com essa consulta.
ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry', 'Files')
| summarize count() by Computer, ConfigChangeType
Para continuar integrando um novo escopo ou configurando regras de monitoramento, você vai precisar trabalhar manualmente nas regras de coleta de dados e personalizar a coleta de dados.
Reveja as alterações no monitoramento de integridade de arquivos.