Översikt över ändringsspårning och inventering med Hjälp av Azure Monitoring Agent

  • Artikel

Gäller för: ✔️ Virtuella Windows-datorer Med Virtuella Linux-datorer ✔️ ✔️ Windows Registry ✔️ Windows Files Linux Files ✔️ ✔️ Windows Software ✔️ Windows Services och Linux Daemons

Viktigt!

  • För närvarande använder Ändringsspårning och inventering Log Analytics-agenten och detta är planerat att tas ur bruk senast den 31 augusti 2024. Vi rekommenderar att du använder Azure Monitoring Agent som ny supportagent.
  • Vägledning om migrering från Ändringsspårning och inventering med Log Analytics-agenten till Azure Monitoring Agent kommer att vara tillgänglig när den är allmänt tillgänglig. Läs mer.
  • Vi rekommenderar att du använder Ändringsspårning med Azure Monitoring Agent med tillägget Ändringsspårning version 2.20.0.0 (eller senare) för att få åtkomst till GA-versionen av den här tjänsten.

Den här artikeln beskriver den senaste versionen av stöd för ändringsspårning med Hjälp av Azure Monitoring Agent som en enda agent för datainsamling.

Kommentar

Den aktuella GA-versionen av Övervakning av filintegritet baserat på Log Analytics-agenten kommer att bli inaktuell i augusti 2024 och en ny version kommer snart att tillhandahållas via MDE.  Den offentliga förhandsversionen av FIM baserat på Azure Monitor Agent (AMA) kommer att bli inaktuell när alternativet tillhandahålls via MDE. Därför är FIM med AMA Public Preview-versionen inte planerad för GA. Läs meddelandet här.

Viktiga fördelar

  • Kompatibilitet med den enhetliga övervakningsagenten – Kompatibel med Azure Monitor-agenten som förbättrar säkerhet, tillförlitlighet och underlättar multi-homing-upplevelsen för att lagra data.
  • Kompatibilitet med spårningsverktyget – Kompatibel med tillägget Ändringsspårning (CT) som distribueras via Azure Policy på klientens virtuella dator. Du kan växla till Azure Monitor Agent (AMA) och sedan skickar CT-tillägget programvaran, filerna och registret till AMA.
  • Multi-homing-upplevelse – Ger standardisering av hantering från en central arbetsyta. Du kan övergå från Log Analytics (LA) till AMA så att alla virtuella datorer pekar på en enda arbetsyta för datainsamling och underhåll.
  • Regelhantering – Använder datainsamlingsregler för att konfigurera eller anpassa olika aspekter av datainsamling. Du kan till exempel ändra filsamlingens frekvens.

Aktuella begränsningar

Ändringsspårning och inventering att använda Azure Monitoring Agent stöder inte eller har följande begränsningar:

  • Rekursion för Windows-registerspårning
  • Nätverksfilsystem
  • Olika installationsmetoder
  • *.exe filer som lagras i Windows
  • Kolumnen Maximal filstorlek och -värden används inte i den aktuella implementeringen.
  • Om du spårar filändringar är det begränsat till en filstorlek på 5 MB eller mindre.
  • Om filstorleken visas >1,25 MB är FileContentChecksum felaktigt på grund av minnesbegränsningar i beräkningen av kontrollsumman.
  • Om du försöker samla in fler än 2 500 filer i en 30-minuters samlingscykel kan Ändringsspårning och inventering prestanda försämras.
  • Om nätverkstrafiken är hög kan det ta upp till sex timmar att visa ändringsposter.
  • Om du ändrar en konfiguration när en dator eller server stängs av kan den publicera ändringar som hör till den tidigare konfigurationen.
  • Samla in uppdateringar av snabbkorrigeringar på Windows Server 2016 Core RS3-datorer.
  • Linux-daemoner kan visa ett ändrat tillstånd även om ingen ändring har gjorts. Det här problemet uppstår på grund av hur SvcRunLevels data i tabellen Azure Monitor ConfigurationChange skrivs.
  • Ändringsspårning-tillägget har inte stöd för några härdningsstandarder för linuxoperativsystem eller distributioner.

Gränser

I följande tabell visas de spårade objektgränserna per dator för ändringsspårning och inventering.

Resurs Gräns Anteckningar
Fil 500
Filstorlek 5 MB
Register 250
Windows-programvara 250 Innehåller inte programuppdateringar.
Linux-paket 1,250
Windows-tjänster 250
Linux-daemoner 250

Operativsystem som stöds

Ändringsspårning och inventering stöds på alla operativsystem som uppfyller kraven för Azure Monitoring Agent. Se operativsystem som stöds för en lista över windows- och Linux-operativsystemversioner som för närvarande stöds av Azure Monitor-agenten.

Information om klientkrav för TLS finns i TLS för Azure Automation.

Aktivera ändringsspårning och inventering

Du kan aktivera Ändringsspårning och inventering på följande sätt:

  • Manuellt för datorer som inte är Azure Arc-aktiverade läser du Initiativet Aktivera Ändringsspårning och inventering för Arc-aktiverade virtuella datorer i Principdefinitioner >> Välj kategori = ChangeTrackingAndInventory. Om du vill aktivera Ändringsspårning och inventering i stor skala använder du den DINE-principbaserade lösningen. Mer information finns i Aktivera Ändringsspårning och inventering med Azure Monitoring Agent (förhandsversion).

  • För en enskild virtuell Azure-dator från sidan Virtuell dator i Azure-portalen. Det här scenariot är tillgängligt för virtuella Linux- och Windows-datorer.

  • För flera virtuella Azure-datorer genom att välja dem från sidan Virtuella datorer i Azure-portalen.

Spåra filändringar

För att spåra ändringar i filer i både Windows och Linux använder Ändringsspårning och inventering SHA256-hashvärden för filerna. Funktionen använder hashvärdena för att identifiera om ändringar har gjorts sedan den senaste inventeringen.

Spåra filinnehållsändringar

Ändringsspårning och inventering kan du visa innehållet i en Windows- eller Linux-fil. För varje ändring i en fil lagrar Ändringsspårning och inventering innehållet i filen i ett Azure Storage-konto. När du spårar en fil kan du visa dess innehåll före eller efter en ändring. Filinnehållet kan visas antingen infogat eller sida vid sida. Läs mer.

Skärmbild av att visa ändringar i en Windows- eller Linux-fil.

Spårning av registernycklar

Ändringsspårning och inventering tillåter övervakning av ändringar i Windows-registernycklar. Med övervakning kan du hitta utökningspunkter där kod från tredje part och skadlig kod kan aktiveras. I följande tabell visas förkonfigurerade (men inte aktiverade) registernycklar. Om du vill spåra dessa nycklar måste du aktivera var och en.

Registernyckel Syfte
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Övervakar skript som körs vid start.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Övervakar skript som körs vid avstängning.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Övervakar nycklar som läses in innan användaren loggar in på Windows-kontot. Nyckeln används för 32-bitarsprogram som körs på 64-bitars datorer.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Övervakar ändringar i programinställningarna.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Övervakar snabbmenyhanterare som ansluter direkt till Utforskaren i Windows och körs vanligtvis i processen med explorer.exe.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Övervakar kopiering av hook-hanterare som ansluter direkt till Utforskaren och körs vanligtvis i processen med explorer.exe.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Övervakare för ikonöverläggshanterarregistrering.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Övervakare för ikonöverläggshanterare för 32-bitarsprogram som körs på 64-bitars datorer.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Övervakare för nya plugin-program för webbläsarhjälpobjekt för Internet Explorer. Används för att komma åt dokumentobjektmodellen (DOM) på den aktuella sidan och för att styra navigeringen.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Övervakare för nya plugin-program för webbläsarhjälpobjekt för Internet Explorer. Används för att komma åt dokumentobjektmodellen (DOM) på den aktuella sidan och för att styra navigeringen för 32-bitarsprogram som körs på 64-bitarsdatorer.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions Övervakar för nya Internet Explorer-tillägg, till exempel anpassade verktygsmenyer och anpassade verktygsfältsknappar.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Övervakar för nya Internet Explorer-tillägg, till exempel anpassade verktygsmenyer och anpassade verktygsfältsknappar för 32-bitarsprogram som körs på 64-bitars datorer.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Övervakar 32-bitarsdrivrutiner som är associerade med wavemapper, wave1 och wave2, msacm.imaadpcm, .msadpcm, .msgsm610 och vidc. Liknar avsnittet [drivrutiner] i filen system.ini .
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Övervakar 32-bitarsdrivrutiner som är associerade med wavemapper, wave1 och wave2, msacm.imaadpcm, .msadpcm, .msgsm610 och vidc för 32-bitarsprogram som körs på 64-bitars datorer. Liknar avsnittet [drivrutiner] i filen system.ini .
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Övervakar listan över kända eller vanliga system-DLL:er. Övervakning hindrar personer från att utnyttja svaga programkatalogbehörigheter genom att släppa i trojanska hästversioner av system-DLL:er.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Övervakar listan över paket som kan ta emot händelsemeddelanden från winlogon.exe, den interaktiva inloggningssupportmodellen för Windows.

Stöd för rekursion

Ändringsspårning och inventering stöder rekursion, vilket gör att du kan ange jokertecken för att förenkla spårningen mellan kataloger. Rekursion innehåller också miljövariabler som gör att du kan spåra filer mellan miljöer med flera eller dynamiska enhetsnamn. Följande lista innehåller vanlig information som du bör känna till när du konfigurerar rekursion:

  • Jokertecken krävs för att spåra flera filer.

  • Du kan endast använda jokertecken i det sista segmentet av en filsökväg, till exempel c:\folder\file* eller /etc/*.conf.

  • Om en miljövariabel har en ogiltig sökväg lyckas valideringen, men sökvägen misslyckas under körningen.

  • Du bör undvika allmänna sökvägsnamn när du anger sökvägen, eftersom den här typen av inställning kan leda till att för många mappar passerar.

Ändringsspårning och inventering datainsamling

I nästa tabell visas datainsamlingsfrekvensen för de typer av ändringar som stöds av Ändringsspårning och inventering. För varje typ uppdateras även ögonblicksbilden av det aktuella tillståndet minst var 24:e timme.

Ändra typ Frekvens
Windows-register 50 minuter
Windows-fil 30 till 40 minuter
Linux-fil 15 minuter
Windows-tjänster 10 minuter till 30 minuter
Standard: 30 minuter
Windows-programvara 30 minuter
Linux-programvara 5 minuter
Linux-daemoner 5 minuter

I följande tabell visas de spårade objektgränserna per dator för Ändringsspårning och inventering.

Resurs Gräns
Fil 500
Register 250
Windows-programvara (inklusive snabbkorrigeringar) 250
Linux-paket 1250
Windows-tjänster 250
Linux-daemoner 500

Windows-tjänstdata

Förutsättningar

Om du vill aktivera spårning av Windows Services-data måste du uppgradera CT-tillägget och använda tillägget mer än eller lika med 2.11.0.0

- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true

Konfigurera frekvens

Standardsamlingsfrekvensen för Windows-tjänster är 30 minuter. Konfigurera frekvensen genom att

  • under Redigera Inställningar använder du ett skjutreglage på fliken Windows-tjänster.

Skärmbild av frekvensreglaget.

Stöd för aviseringar om konfigurationstillstånd

En viktig funktion i Ändringsspårning och inventering är att avisera om ändringar i konfigurationstillståndet för din hybridmiljö. Det finns många användbara åtgärder som kan utlösas som svar på aviseringar. Till exempel åtgärder på Azure-funktioner, Automation-runbooks, webhooks och liknande. Aviseringar om ändringar i filen c:\windows\system32\drivers\etc\hosts för en dator är ett bra program för aviseringar för Ändringsspårning och inventering data. Det finns många fler scenarier för aviseringar, inklusive frågescenarier som definieras i nästa tabell.

Fråga beskrivning
ConfigurationChange
| where ConfigChangeType == "Files" och FileSystemPath innehåller " c:\windows\system32\drivers\"		 Användbart för att spåra ändringar i systemkritiska filer.
ConfigurationChange
| där FieldsChanged innehåller "FileContentChecksum" och FileSystemPath == "c:\windows\system32\drivers\etc\hosts"		 Användbart för att spåra ändringar i viktiga konfigurationsfiler.
ConfigurationChange
| where ConfigChangeType == "WindowsServices" och SvcName innehåller "w3svc" och SvcState == "Stoppad"		 Användbart för att spåra ändringar i systemkritiska tjänster.
ConfigurationChange
| where ConfigChangeType == "Daemons" och SvcName innehåller "ssh" och SvcState!= "Running"		 Användbart för att spåra ändringar i systemkritiska tjänster.
ConfigurationChange
| where ConfigChangeType == "Software" och ChangeCategory == "Added"		 Användbart för miljöer som behöver låsta programvarukonfigurationer.
ConfigurationData
| där SoftwareName innehåller "Monitoring Agent" och CurrentVersion!= "8.0.11081.0"		 Användbart för att se vilka datorer som har inaktuell eller inkompatibel programvaruversion installerad. Den här frågan rapporterar det senast rapporterade konfigurationstillståndet, men rapporterar inte ändringar.
ConfigurationChange
| där RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"		 Användbart för att spåra ändringar av viktiga antivirusnycklar.
ConfigurationChange
| där RegistryKey innehåller @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"		 Användbart för att spåra ändringar i brandväggsinställningar.

Nästa steg