Включение мониторинга целостности файлов при использовании агента Azure Monitor

  • Статья

Чтобы обеспечить мониторинг целостности файлов (FIM), агент Azure Monitor (AMA) собирает данные с компьютеров в соответствии с правилами сбора данных. Когда текущее состояние системных файлов сравнивается с состоянием во время предыдущей проверки, FIM уведомляет о подозрительных изменениях.

Примечание.

В рамках нашей Defender для облака обновленной стратегии агент Azure Monitor больше не потребуется для получения всех возможностей Defender для серверов. Все функции, которые в настоящее время используют агент Azure Monitor, включая описанные на этой странице, будут доступны через Microsoft Defender для конечной точки интеграцию или проверку без агента к августу 2024 года. Для доступа к полным возможностям Defender для SQL Server на компьютерах требуется агент мониторинга Azure (также известный как AMA). Дополнительные сведения о дорожной карте функций см . в этом объявлении.

Мониторинг целостности файлов с помощью агента Azure Monitor предлагает следующие возможности:

  • Совместимость с унифицированным агентом мониторинга. Совместимость с агентом Azure Monitor, который повышает безопасность и надежность и упрощает работу с несколькими расположениями для хранения данных.
  • Совместимость со средством отслеживания. Совместимость с расширением Отслеживания изменений (CT), развернутым с помощью Политики Azure на виртуальной машине клиента. Вы можете переключиться на агент Azure Monitor (AMA), а затем расширение CT отправит программное обеспечение, файлы и реестр в AMA.
  • Упрощенное подключение. Вы можете подключить FIM в Microsoft Defender для облака.
  • Поддержка нескольких расположений. Стандартизация администрирования из одной центральной рабочей области. Вы можете перейти из Log Analytics (LA) в AMA, чтобы все виртуальные машины указывали на одну рабочую область для сбора и обслуживания данных.
  • Управление правилами. Поддержка правил сбора данных для настройки разных аспектов сбора данных. Например, вы можете изменить частоту сбора файлов.

Из этой статьи вы узнаете о следующем.

Availability

Аспект Сведения
Состояние выпуска: Предварительный просмотр
Цены. Требуется Microsoft Defender для серверов, план 2
Требуемые роли и разрешения Владелец
Участник
Облако. Коммерческие облака — поддерживаются только в регионах australiaeast, australiasoutheast, canadacentral, centralindia, centralus, eastasia, eastus2euap, eastus, eastus2, francecentral, japaneast, koreacentral, northcentralus, northeurope, southcentralus, southeastasia, switzerlandnorth, uksouth, westcentralus, westeurope, westus, westus2.
National (Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet)
Устройства с поддержкой Azure Arc.
подключенные учетные записи AWS.
Подключенные учетные записи GCP

Необходимые компоненты

Чтобы отслеживать изменения файлов на компьютерах с помощью AMA:

Включите мониторинг целостности файлов с использованием AMA.

Чтобы включить мониторинг целостности файлов (FIM), используйте рекомендацию FIM для выбора компьютеров для мониторинга:

  1. На боковой панели Defender для облака откройте страницу Рекомендации.

  2. Выберите рекомендацию Мониторинг целостности файлов должен быть включен на компьютерах. См. дополнительные сведения в статье Рекомендации по использованию Defender для облака.

  3. Выберите компьютеры, на которых вы хотите использовать мониторинг целостности файлов, щелкните Исправить и выберите Исправить ресурсы X.

    Исправление рекомендации:

    • Устанавливает расширение ChangeTracking-Windows или ChangeTracking-Linux на компьютерах.
    • Создает правило сбора данных (DCR) для подписки с именем Microsoft-ChangeTracking-[subscriptionId]-default-dcr , которая определяет, какие файлы и реестры следует отслеживать на основе параметров по умолчанию. Исправление подключает DCR ко всем компьютерам в подписке с установленным AMA и включенным FIM.
    • Создает новую рабочую область Log Analytics с соглашением об именовании defaultWorkspace-[subscriptionId]-fim и параметрами рабочей области по умолчанию.

    Параметры рабочей области DCR и Log Analytics можно обновить позже.

  4. На боковой панели Defender для облака выберите Защита рабочих нагрузок>Мониторинг целостности файлов и выберите баннер, чтобы отобразить результаты для компьютеров с агентом Azure Monitor.

    Screenshot of banner in File integrity monitoring to show the results for machines with Azure Monitor Agent.

  5. Отобразятся компьютеры с включенным мониторингом целостности файлов.

    Screenshot of File integrity monitoring results for machines with Azure Monitor Agent.

    Отобразится количество изменений, которые были внесены в отслеживаемые файлы. Вы также можете щелкнуть Просмотреть изменения, чтобы увидеть изменения, внесенные в отслеживаемые файлы на этом компьютере.

Изменение списка отслеживаемых файлов и разделов реестра

Мониторинг целостности файлов (FIM) для компьютеров с агентом Azure Monitor использует правила сбора данных (DCR) для определения списка файлов и разделов реестра для отслеживания. Для каждой подписки настроено DCR для компьютеров в этой подписке.

FIM создает DCR с конфигурацией отслеживаемых файлов и разделов реестра по умолчанию. Вы можете изменить DCR, чтобы добавить, удалить или обновить список файлов и реестров, отслеживаемых FIM.

Чтобы изменить список отслеживаемых файлов и реестров:

  1. В разделе "Мониторинг целостности файлов" выберите Правила сбора данных.

    Вы можете просмотреть все правила, созданные для подписок, к которым у вас есть доступ.

  2. Выберите DCR, которое требуется обновить для подписки.

    Каждый файл в списке разделов реестра Windows, а также файлов Windows и Linux содержит определение для раздела файла или реестра, включая имя, путь и другие параметры. Вы также можете задать для параметра Включено значениеFalse, чтобы отменить отслеживание файла или раздела реестра без удаления определения.

    См. дополнительные сведения об определениях системных файлов и разделов реестра.

  3. Выберите файл, а затем добавьте или измените определение файла или раздела реестра.

  4. Выберите Добавить, чтобы сохранить изменения.

Исключение компьютеров из мониторинга целостности файлов

Отслеживается каждый компьютер в подписке, подключенной к DCR. Вы можете отключить компьютер от DCR, чтобы файлы и разделы реестра не отслеживались.

Чтобы исключить компьютер из мониторинга целостности файлов:

  1. В списке отслеживаемых компьютеров в результатах FIM выберите меню (...) для компьютера.
  2. Выберите правило отсоединения сбора данных.

Screenshot of the option to detach a machine from a data collection rule and exclude the machines from File Integrity Monitoring.

Компьютер перейдет в список неотслеживаемых компьютеров, и изменения файлов больше не будут отслеживаться для него.

Следующие шаги

См. дополнительные сведения о Defender для облака: