Habilitar o Monitoramento de Integridade de Arquivos ao usar o Agente do Azure Monitor
Para fornecer Monitoramento de Integridade de Arquivos (FIM), o Agente do Azure Monitor (AMA) coleta dados de computadores de acordo com as regras de coleta de dados. Quando o estado atual dos arquivos do sistema é comparado com o estado durante o exame anterior, o FIM notifica você sobre modificações suspeitas.
Observação
Como parte da nossa estratégia atualizada do Defender para Nuvem, o Agente Azure Monitor não será mais obrigado a receber todos os recursos do Microsoft Defender para servidores. Todos os recursos que atualmente dependem do Agente Azure Monitor, incluindo os descritos nessa página, estarão disponíveis por meio do Microsoft Defender para integração com ponto de extremidade ou verificação sem agente, até agosto de 2024. Para ter acesso a todas as capacidades do Defender para SQL Server nos computadores, é necessário o Agente de monitorização do Azure (também conhecido como AMA). Para obter mais informações sobre o roteiro de recursos, veja esse anúncio.
O Monitoramento de Integridade de Arquivos com o Agente do Azure Monitor oferece:
- Compatibilidade com o agente de monitoramento unificado – compatível com o Agente do Azure Monitor que aprimora a segurança, a confiabilidade e facilita a experiência de hospedagem múltipla para armazenar dados.
- Compatibilidade com a ferramenta de acompanhamento – compatível com a extensão CT (Controle de Alterações) implantada por meio do Azure Policy na máquina virtual do cliente. Você pode alternar para o AMA (Agente do Azure Monitor) e, em seguida, a extensão de CT efetua push do software, dos arquivos e do Registro para o AMA.
- Integração simplificada – você pode integrar o FIM do Microsoft Defender para Nuvem.
- Experiência de hospedagem múltipla – fornece padronização do gerenciamento de um workspace central. Você pode fazer a transição do LA (Log Analytics) para AMA para que todas as VMs apontem para um único workspace para coleta e manutenção de dados.
- Gerenciamento de regras – usa Regras de Coleta de Dados para configurar ou personalizar vários aspectos da coleta de dados. Por exemplo, você pode alterar a frequência da coleta de arquivos.
Neste artigo, você aprenderá a:
- Habilite o Monitoramento de Integridade de Arquivos com AMA
- Editar a lista de arquivos rastreados e chaves do Registro
- Excluir computadores do Monitoramento de Integridade de Arquivos
Disponibilidade
Aspecto | Detalhes |
---|---|
Estado da versão: | Versão Prévia |
Preço: | Requer o Plano 2 do Microsoft Defender para Servidores |
Funções e permissões necessárias: | Proprietário Colaborador |
Nuvens: | Nuvens comerciais – com suporte apenas nas regiões: australiaeast , australiasoutheast , canadacentral , centralindia , centralus , eastasia , eastus2euap , eastus , eastus2 , francecentral , japaneast , koreacentral , northcentralus , northeurope , southcentralus , southeastasia , switzerlandnorth , uksouth , westcentralus , westeurope , westus , westus2 Nacionais (Azure Governamental, Microsoft Azure operado pela 21Vianet) Dispositivos habilitados para o Azure Arc. Contas da AWS conectadas Contas GCP conectadas |
Pré-requisitos
Para controlar as alterações nos seus arquivos em computadores com AMA:
Instale o AMA nas máquinas que você deseja monitorar.
Habilite o Monitoramento de Integridade de Arquivos com AMA
Para habilitar o Monitoramento de Integridade do Arquivo FIM), use a recomendação para selecionar computadores para o monitoramento:
Na barra lateral do Defender para Nuvem, abra a página Recomendações.
Selecione a recomendação O monitoramento de integridade de arquivos deve ser habilitado em computadores. Saiba mais sobre o recomendações do Defender para Nuvem.
Selecione os computadores nos quais você deseja usar o Monitoramento de Integridade de Arquivos, selecione Corrigir e selecione Corrigir recursos X.
A correção da recomendação:
- Instala a extensão
ChangeTracking-Windows
ouChangeTracking-Linux
nos computadores. - Gera uma DCR (regra de coleta de dados) para a assinatura, chamada
Microsoft-ChangeTracking-[subscriptionId]-default-dcr
, que define quais arquivos e registros devem ser monitorados com base nas configurações padrão. A correção anexa a DCR a todos os computadores na assinatura que têm o AMA instalado e o FIM habilitado. - Cria um novo workspace do Log Analytics com a convenção de nomenclatura
defaultWorkspace-[subscriptionId]-fim
e com as configurações de workspace padrão.
Você pode atualizar as configurações do workspace do Log Analytics e da DCR mais tarde.
- Instala a extensão
Na barra lateral do Defender para Nuvem, acesseProteções de carga de trabalho>Monitoramento de integridade de arquivos e selecione a faixa para mostrar os resultados dos computadores com o Agente do Azure Monitor.
São mostrados os computadores com Monitoramento de Integridade de Arquivos habilitado.
Você pode ver o número de alterações feitas nos arquivos acompanhados e selecionar Exibir alterações para ver as alterações feitas nos arquivos acompanhados nesse computador.
Editar a lista de arquivos rastreados e chaves do Registro
O FIM (Monitoramento de Integridade de Arquivos) para computadores com o Agente do Azure Monitor usa DCRs (Regras de Coleta de Dados) para definir a lista de arquivos e chaves do Registro a serem acompanhados. Cada assinatura tem um DCR para os computadores nessa assinatura.
O FIM cria DCRs com uma configuração padrão de arquivos acompanhados e chaves do Registro. Você pode editar as DCRs para adicionar, remover ou atualizar a lista de arquivos e Registros que são acompanhados pelo FIM.
Para editar a lista de arquivos e Registros acompanhados:
Em Monitoramento de integridade de arquivos, selecione Regras de coleta de dados.
Você pode ver cada uma das regras que foram criadas para as assinaturas às quais você tem acesso.
Selecione a DCR que você deseja atualizar para uma assinatura.
Cada arquivo na lista de chaves do Registro do Windows, arquivos do Windows e arquivos do Linux contém uma definição para um arquivo ou chave do Registro, incluindo nome, caminho e outras opções. Você também pode definir Habilitado como False para cancelar o acompanhamento do arquivo ou a chave do Registro sem remover a definição.
Saiba mais sobre as definições de arquivo do sistema e chave do Registro.
Selecione um arquivo e, em seguida, adicione ou edite a definição da chave do arquivo ou do Registro.
Selecione Adicionar para salvar as alterações.
Excluir computadores do Monitoramento de Integridade de Arquivos
Todo computador na assinatura que está anexado à DCR é monitorado. Você pode desanexar um computador da DCR para que os arquivos e as chaves do Registro não sejam acompanhados.
Para excluir um computador do Monitoramento de Integridade de Arquivos:
- Na lista de computadores monitorados nos resultados do FIM, selecione o menu (…) para o computador
- Selecione Desanexar regra de coleta de dados.
O computador é movido para a lista de computadores não monitorados e as alterações de arquivos não são mais acompanhadas nesse computador.
Próximas etapas
Saiba mais sobre o Defender para Nuvem em:
- Configurando políticas de segurança: saiba como configurar políticas de segurança para assinaturas e grupos de recursos do Azure.
- Gerenciando recomendações de segurança: saiba como as recomendações ajudam você a proteger os seus recursos do Azure.
- Blog de Segurança do Azure: obtenha as últimas informações e notícias de segurança do Azure.