Aktivera övervakning av filintegritet när du använder Azure Monitor-agenten

  • Artikel

För att tillhandahålla övervakning av filintegritet (FIM) samlar Azure Monitor Agent (AMA) in data från datorer enligt regler för datainsamling. När systemfilernas aktuella tillstånd jämförs med tillståndet under föregående genomsökning meddelar FIM dig om misstänkta ändringar.

Kommentar

Som en del av vår Defender för molnet uppdaterade strategin kommer Azure Monitor-agenten inte längre att behöva ta emot alla funktioner i Defender för servrar. Alla funktioner som för närvarande förlitar sig på Azure Monitor-agenten, inklusive de som beskrivs på den här sidan, kommer att vara tillgängliga via Microsoft Defender för Endpoint-integrering eller agentlös genomsökning i augusti 2024. För att få åtkomst till de fullständiga funktionerna i Defender för SQL-servern på datorer krävs Azure-övervakningsagenten (även kallat AMA). Mer information om funktionsöversikten finns i det här meddelandet.

Övervakning av filintegritet med Azure Monitor-agenten erbjuder:

  • Kompatibilitet med den enhetliga övervakningsagenten – Kompatibel med Azure Monitor-agenten som förbättrar säkerhet, tillförlitlighet och underlättar multi-homing-upplevelsen för att lagra data.
  • Kompatibilitet med spårningsverktyget – Kompatibel med tillägget Ändringsspårning (CT) som distribueras via Azure Policy på klientens virtuella dator. Du kan växla till Azure Monitor Agent (AMA) och sedan skickar CT-tillägget programvaran, filerna och registret till AMA.
  • Förenklad registrering – Du kan registrera FIM från Microsoft Defender för molnet.
  • Multi-homing-upplevelse – Ger standardisering av hantering från en central arbetsyta. Du kan övergå från Log Analytics (LA) till AMA så att alla virtuella datorer pekar på en enda arbetsyta för datainsamling och underhåll.
  • Regelhantering – Använder datainsamlingsregler för att konfigurera eller anpassa olika aspekter av datainsamling. Du kan till exempel ändra filsamlingens frekvens.

I den här artikeln lär du dig att:

Tillgänglighet

Aspekt Details
Versionstillstånd: Förhandsgranska
Prissättning: Kräver Microsoft Defender för serverplan 2
Nödvändiga roller och behörigheter: Ägare
Deltagare
Moln: Kommersiella moln – stöds endast i regioner: australiaeast, australiasoutheast, canadacentral, centralindia, centralus, , eastus2euapeastasia, eastus, eastus2, francecentralkoreacentralnorthcentralusjapaneast, northeurope, southcentralus, southeastasia, switzerlandnorth, uksouth, westcentralus, westeurope, , westuswestus2
National (Azure Government, Microsoft Azure drivs av 21Vianet)
Azure Arc-aktiverade enheter.
Anslut AWS-konton
Anslut GCP-konton

Förutsättningar

Så här spårar du ändringar i dina filer på datorer med AMA:

Aktivera övervakning av filintegritet med AMA

Om du vill aktivera övervakning av filintegritet (FIM) använder du FIM-rekommendationen för att välja datorer att övervaka:

  1. Öppna sidan Rekommendationer från Defender för molnet sidofält.

  2. Välj rekommendationen Filintegritetsövervakning ska aktiveras på datorer. Läs mer om Defender för molnet rekommendationer.

  3. Välj de datorer som du vill använda övervakning av filintegritet på, välj Åtgärda och välj Åtgärda X-resurser.

    Rekommendationskorrigeringen:

    • ChangeTracking-Windows Installerar tillägget eller ChangeTracking-Linux på datorerna.
    • Genererar en datainsamlingsregel (DCR) för prenumerationen med namnet Microsoft-ChangeTracking-[subscriptionId]-default-dcr som definierar vilka filer och register som ska övervakas baserat på standardinställningarna. Korrigeringen kopplar DCR till alla datorer i prenumerationen som har AMA installerat och FIM aktiverat.
    • Skapar en ny Log Analytics-arbetsyta med namngivningskonventionen defaultWorkspace-[subscriptionId]-fim och med standardinställningarna för arbetsytan.

    Du kan uppdatera inställningarna för DCR- och Log Analytics-arbetsytor senare.

  4. Från Defender för molnet sidofältet går du till Arbetsbelastningsskydd Filintegritetsövervakning> och väljer banderollen för att visa resultatet för datorer med Azure Monitor Agent.

    Screenshot of banner in File integrity monitoring to show the results for machines with Azure Monitor Agent.

  5. Datorerna med övervakning av filintegritet aktiverat visas.

    Screenshot of File integrity monitoring results for machines with Azure Monitor Agent.

    Du kan se antalet ändringar som har gjorts i de spårade filerna och du kan välja Visa ändringar för att se de ändringar som gjorts i de spårade filerna på den datorn.

Redigera listan över spårade filer och registernycklar

Övervakning av filintegritet (FIM) för datorer med Azure Monitor Agent använder datainsamlingsregler (DCR) för att definiera listan över filer och registernycklar som ska spåras. Varje prenumeration har en DCR för datorerna i den prenumerationen.

FIM skapar domänkontrollanter med en standardkonfiguration av spårade filer och registernycklar. Du kan redigera domänkontrollanterna för att lägga till, ta bort eller uppdatera listan över filer och register som spåras av FIM.

Så här redigerar du listan över spårade filer och register:

  1. I Övervakning av filintegritet väljer du Regler för datainsamling.

    Du kan se var och en av de regler som har skapats för de prenumerationer som du har åtkomst till.

  2. Välj den DCR som du vill uppdatera för en prenumeration.

    Varje fil i listan över Windows-registernycklar, Windows-filer och Linux-filer innehåller en definition för en fil eller registernyckel, inklusive namn, sökväg och andra alternativ. Du kan också ange Aktiverad till False för att ta bort spårningen av filen eller registernyckeln utan att ta bort definitionen.

    Läs mer om definitioner av systemfiler och registernycklar.

  3. Välj en fil och lägg sedan till eller redigera definitionen av filen eller registernyckeln.

  4. Spara ändringarna genom att välja Lägg till.

Undanta datorer från övervakning av filintegritet

Varje dator i prenumerationen som är ansluten till DCR övervakas. Du kan koppla från en dator från DCR så att filerna och registernycklarna inte spåras.

Så här undantar du en dator från övervakning av filintegritet:

  1. I listan över övervakade datorer i FIM-resultaten väljer du menyn (...) för datorn
  2. Välj Koppla från datainsamlingsregeln.

Screenshot of the option to detach a machine from a data collection rule and exclude the machines from File Integrity Monitoring.

Datorn flyttas till listan över oövervakade datorer och filändringar spåras inte längre för den datorn.

Nästa steg

Läs mer om Defender för molnet i: