Översikt över ändringsspårning och inventering med Hjälp av Azure Monitoring Agent
Gäller för: ✔️ Virtuella Windows-datorer Med Virtuella Linux-datorer ✔️ ✔️ Windows Registry ✔️ Windows Files Linux Files ✔️ ✔️ Windows Software ✔️ Windows Services och Linux Daemons
Viktigt!
- Ändringsspårning och inventering med Log Analytics-agenten har dragits tillbaka den 31 augusti 2024 och kommer att arbeta med begränsad support fram till den 1 februari 2025. Följ riktlinjerna för migrering från Ändringsspårning och inventering med hjälp av Log Analytics för att Ändringsspårning och inventering med azure monitoring agent-versionen
- Vi rekommenderar att du använder Ändringsspårning med Azure Monitoring Agent med tillägget Ändringsspårning version 2.20.0.0 (eller senare) för att få åtkomst till GA-versionen av den här tjänsten.
Den här artikeln beskriver den senaste versionen av stöd för ändringsspårning med Hjälp av Azure Monitoring Agent som en enda agent för datainsamling.
Kommentar
Övervakning av filintegritet (FIM) med hjälp av Microsoft Defender för Endpoint (MDE) är nu tillgängligt. Följ vägledningen för att migrera från:
Viktiga fördelar
- Kompatibilitet med den enhetliga övervakningsagenten – Kompatibel med Azure Monitor-agenten som förbättrar säkerhet, tillförlitlighet och underlättar multi-homing-upplevelsen för att lagra data.
- Kompatibilitet med spårningsverktyget – Kompatibel med tillägget Ändringsspårning (CT) som distribueras via Azure Policy på klientens virtuella dator. Du kan växla till Azure Monitor-agenten (AMA) och sedan skickar CT-tillägget programvaran, filerna och registret till AMA.
- Multi-homing-upplevelse – Ger standardisering av hantering från en central arbetsyta. Du kan övergå från Log Analytics (LA) till AMA så att alla virtuella datorer pekar på en enda arbetsyta för datainsamling och underhåll.
- Regelhantering – Använder datainsamlingsregler för att konfigurera eller anpassa olika aspekter av datainsamling. Du kan till exempel ändra filsamlingens frekvens.
Aktuella begränsningar
Ändringsspårning och Inventering med Hjälp av Azure Monitoring Agent stöder inte eller har följande begränsningar:
- Rekursion för Windows-registerspårning
- Nätverksfilsystem
- Olika installationsmetoder
- *.exe filer som lagras i Windows
- Kolumnen Maximal filstorlek och -värden används inte i den aktuella implementeringen.
- Om du spårar filändringar är det begränsat till en filstorlek på 5 MB eller mindre.
- Om filstorleken visas >1,25 MB är FileContentChecksum felaktigt på grund av minnesbegränsningar i beräkningen av kontrollsumman.
- Om du försöker samla in fler än 2 500 filer i en 30-minuters samlingscykel kan Ändringsspårning och inventeringsprestanda försämras.
- Om nätverkstrafiken är hög kan det ta upp till sex timmar att visa ändringsposter.
- Om du ändrar en konfiguration när en dator eller server stängs av kan den publicera ändringar som hör till den tidigare konfigurationen.
- Samla in uppdateringar av snabbkorrigeringar på Windows Server 2016 Core RS3-datorer.
- Linux-daemoner kan visa ett ändrat tillstånd även om ingen ändring har gjorts. Det här problemet uppstår på grund av hur
SvcRunLevelsdata i tabellen Azure Monitor ConfigurationChange skrivs. - Ändringsspårning-tillägget har inte stöd för några härdningsstandarder för linuxoperativsystem eller distributioner.
Gränser
I följande tabell visas de spårade objektgränserna per dator för ändringsspårning och inventering.
| Resurs | Gräns | Anteckningar |
|---|---|---|
| Fil | 500 | |
| Filstorlek | 5 MB | |
| Register | 250 | |
| Windows-programvara | 250 | Innehåller inte programuppdateringar. |
| Linux-paket | 1,250 | |
| Windows-tjänster | 250 | |
| Linux-daemoner | 250 |
Operativsystem som stöds
Ändringsspårning och inventering stöds på alla operativsystem som uppfyller kraven för Azure Monitoring Agent. Se operativsystem som stöds för en lista över windows- och Linux-operativsystemversioner som för närvarande stöds av Azure Monitor-agenten.
Information om klientkrav för TLS finns i TLS för Azure Automation.
Aktivera ändringsspårning och inventering
Du kan aktivera Ändringsspårning och inventering på följande sätt:
Manuellt för datorer som inte är Azure Arc-aktiverade läser du Initiativet Aktivera Ändringsspårning och Inventering för Arc-aktiverade virtuella datorer i Principdefinitioner > > Välj kategori = ChangeTrackingAndInventory. Om du vill aktivera Ändringsspårning och inventering i stor skala använder du den DINE-principbaserade lösningen. Mer information finns i Aktivera Ändringsspårning och inventering med Azure Monitoring Agent (förhandsversion).
För en enskild virtuell Azure-dator från sidan Virtuell dator i Azure Portal. Det här scenariot är tillgängligt för virtuella Linux- och Windows-datorer.
För flera virtuella Azure-datorer genom att välja dem från sidan Virtuella datorer i Azure Portal.
Spåra filändringar
För att spåra ändringar i filer i både Windows och Linux använder Ändringsspårning och Inventory SHA256-hashvärden för filerna. Funktionen använder hashvärdena för att identifiera om ändringar har gjorts sedan den senaste inventeringen.
Spåra filinnehållsändringar
Ändringsspårning och Inventory kan du visa innehållet i en Windows- eller Linux-fil. För varje ändring i en fil lagrar Ändringsspårning och Inventory innehållet i filen på ett Azure Storage-konto. När du spårar en fil kan du visa dess innehåll före eller efter en ändring. Filinnehållet kan visas antingen infogat eller sida vid sida. Läs mer.
Spårning av registernycklar
Ändringsspårning och Inventory tillåter övervakning av ändringar i Windows-registernycklar. Med övervakning kan du hitta utökningspunkter där kod från tredje part och skadlig kod kan aktiveras. I följande tabell visas förkonfigurerade (men inte aktiverade) registernycklar. Om du vill spåra dessa nycklar måste du aktivera var och en.
| Registernyckel | Syfte |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Övervakar skript som körs vid start. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Övervakar skript som körs vid avstängning. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Övervakar nycklar som läses in innan användaren loggar in på Windows-kontot. Nyckeln används för 32-bitarsprogram som körs på 64-bitars datorer. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Övervakar ändringar i programinställningarna. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Övervakar snabbmenyhanterare som ansluter direkt till Utforskaren i Windows och körs vanligtvis i processen med explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Övervakar kopiering av hook-hanterare som ansluter direkt till Utforskaren och körs vanligtvis i processen med explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Övervakare för ikonöverläggshanterarregistrering. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Övervakare för ikonöverläggshanterare för 32-bitarsprogram som körs på 64-bitars datorer. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Övervakare för nya plugin-program för webbläsarhjälpobjekt för Internet Explorer. Används för att komma åt dokumentobjektmodellen (DOM) på den aktuella sidan och för att styra navigeringen. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Övervakare för nya plugin-program för webbläsarhjälpobjekt för Internet Explorer. Används för att komma åt dokumentobjektmodellen (DOM) på den aktuella sidan och för att styra navigeringen för 32-bitarsprogram som körs på 64-bitarsdatorer. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Övervakar för nya Internet Explorer-tillägg, till exempel anpassade verktygsmenyer och anpassade verktygsfältsknappar. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Övervakar för nya Internet Explorer-tillägg, till exempel anpassade verktygsmenyer och anpassade verktygsfältsknappar för 32-bitarsprogram som körs på 64-bitars datorer. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Övervakar 32-bitarsdrivrutiner som är associerade med wavemapper, wave1 och wave2, msacm.imaadpcm, .msadpcm, .msgsm610 och vidc. Liknar avsnittet [drivrutiner] i filen system.ini . |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Övervakar 32-bitarsdrivrutiner som är associerade med wavemapper, wave1 och wave2, msacm.imaadpcm, .msadpcm, .msgsm610 och vidc för 32-bitarsprogram som körs på 64-bitars datorer. Liknar avsnittet [drivrutiner] i filen system.ini . |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Övervakar listan över kända eller vanliga system-DLL:er. Övervakning hindrar personer från att utnyttja svaga programkatalogbehörigheter genom att släppa i trojanska hästversioner av system-DLL:er. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Övervakar listan över paket som kan ta emot händelsemeddelanden från winlogon.exe, den interaktiva inloggningssupportmodellen för Windows. |
Stöd för rekursion
Ändringsspårning och Inventory stöder rekursion, vilket gör att du kan ange jokertecken för att förenkla spårningen mellan kataloger. Rekursion innehåller också miljövariabler som gör att du kan spåra filer mellan miljöer med flera eller dynamiska enhetsnamn. Följande lista innehåller vanlig information som du bör känna till när du konfigurerar rekursion:
Jokertecken krävs för att spåra flera filer.
Du kan endast använda jokertecken i det sista segmentet av en filsökväg, till exempel c:\folder\file* eller /etc/*.conf.
Om en miljövariabel har en ogiltig sökväg lyckas valideringen, men sökvägen misslyckas under körningen.
Du bör undvika allmänna sökvägsnamn när du anger sökvägen, eftersom den här typen av inställning kan leda till att för många mappar passerar.
Ändringsspårning- och inventeringsdatainsamling
Nästa tabell visar datainsamlingsfrekvensen för de typer av ändringar som stöds av Ändringsspårning och Inventering. För varje typ uppdateras även ögonblicksbilden av det aktuella tillståndet minst var 24:e timme.
| Ändra typ | Frekvens |
|---|---|
| Windows-register | 50 minuter |
| Windows-fil | 30 till 40 minuter |
| Linux-fil | 15 minuter |
| Windows-tjänster | 10 minuter till 30 minuter Standard: 30 minuter |
| Windows-programvara | 30 minuter |
| Linux-programvara | 5 minuter |
| Linux-daemoner | 5 minuter |
I följande tabell visas de spårade objektgränserna per dator för Ändringsspårning och inventering.
| Resurs | Gräns |
|---|---|
| Fil | 500 |
| Register | 250 |
| Windows-programvara (inklusive snabbkorrigeringar) | 250 |
| Linux-paket | 1250 |
| Windows-tjänster | 250 |
| Linux-daemoner | 500 |
Windows-tjänstdata
Förutsättningar
Om du vill aktivera spårning av Windows Services-data måste du uppgradera CT-tillägget och använda tillägget mer än eller lika med 2.11.0.0
- För virtuella Windows Azure-datorer
- För virtuella Linux Azure-datorer
- För Arc-aktiverade virtuella Windows-datorer
- För Arc-aktiverade virtuella Linux-datorer
- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true
Konfigurera frekvens
Standardsamlingsfrekvensen för Windows-tjänster är 30 minuter. Konfigurera frekvensen genom att
- under Redigera inställningar använder du ett skjutreglage på fliken Windows-tjänster.
Stöd för aviseringar om konfigurationstillstånd
En viktig funktion för Ändringsspårning och inventering är aviseringar om ändringar i konfigurationstillståndet för din hybridmiljö. Det finns många användbara åtgärder som kan utlösas som svar på aviseringar. Till exempel åtgärder på Azure-funktioner, Automation-runbooks, webhooks och liknande. Aviseringar om ändringar i filen c:\windows\system32\drivers\etc\hosts för en dator är ett bra program för aviseringar för Ändringsspårning- och inventeringsdata. Det finns många fler scenarier för aviseringar, inklusive frågescenarier som definieras i nästa tabell.
| Fråga | beskrivning |
|---|---|
| ConfigurationChange | where ConfigChangeType == "Files" och FileSystemPath innehåller " c:\windows\system32\drivers\" |
Användbart för att spåra ändringar i systemkritiska filer. |
| ConfigurationChange | där FieldsChanged innehåller "FileContentChecksum" och FileSystemPath == "c:\windows\system32\drivers\etc\hosts" |
Användbart för att spåra ändringar i viktiga konfigurationsfiler. |
| ConfigurationChange | where ConfigChangeType == "WindowsServices" och SvcName innehåller "w3svc" och SvcState == "Stoppad" |
Användbart för att spåra ändringar i systemkritiska tjänster. |
| ConfigurationChange | where ConfigChangeType == "Daemons" och SvcName innehåller "ssh" och SvcState!= "Running" |
Användbart för att spåra ändringar i systemkritiska tjänster. |
| ConfigurationChange | where ConfigChangeType == "Software" och ChangeCategory == "Added" |
Användbart för miljöer som behöver låsta programvarukonfigurationer. |
| ConfigurationData | där SoftwareName innehåller "Monitoring Agent" och CurrentVersion!= "8.0.11081.0" |
Användbart för att se vilka datorer som har inaktuell eller inkompatibel programvaruversion installerad. Den här frågan rapporterar det senast rapporterade konfigurationstillståndet, men rapporterar inte ändringar. |
| ConfigurationChange | där RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
Användbart för att spåra ändringar av viktiga antivirusnycklar. |
| ConfigurationChange | där RegistryKey innehåller @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
Användbart för att spåra ändringar i brandväggsinställningar. |
Nästa steg
- Om du vill aktivera från Azure Portal läser du Aktivera Ändringsspårning och inventering från Azure Portal.