Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln innehåller en översikt över Azure Change Tracking and Inventory (CTI) med hjälp av Azure Monitor Agent (AMA). Den här artikeln innehåller även viktiga funktioner och fördelar med tjänsten.
Vad är ändringsspårning och inventering
Azure CTI-tjänsten förbättrar granskning och styrning för gäståtgärder genom att övervaka ändringar och tillhandahålla detaljerade inventeringsloggar för servrar i Azure, lokalt och i andra molnmiljöer.
Viktigt!
Vi rekommenderar att du använder Azure CTI med tillägget Ändringsspårning version 2.20.0.0 eller senare.
Ändringsspårning:
- Övervakar ändringar, inklusive ändringar av filer, registernycklar, programvaruinstallationer och Windows-tjänster eller Linux-daemoner.
- Innehåller detaljerade loggar över vad och när ändringarna gjordes, så att du snabbt kan identifiera konfigurationsavvikelser eller obehöriga ändringar.
Metadata för ändringsspårning matas in i tabellen ConfigurationChange i den anslutna LA-arbetsytan. Läs mer.
Anmärkning
Azure CTI-data loggas för program på både systemnivå och användarnivå. Data på systemnivå loggas alltid, men program på användarnivå visas bara när en användare loggar in på en dator. Om användaren loggar ut markeras dessa program som Borttagna.
Inventarieförteckning:
- Samlar in och underhåller en uppdaterad lista över installerad programvara, operativsysteminformation och andra serverkonfigurationer på den länkade LA-arbetsytan.
- Hjälper till att skapa en översikt över systemtillgångar, vilket är användbart för efterlevnad, granskningar och proaktivt underhåll.
- Inventeringsmetadata matas in i tabellen ConfigurationData på den anslutna LA-arbetsytan. Läs mer.
Viktiga fördelar med Spårning och inventering av Azure-ändringar
Här är de viktigaste fördelarna:
- Kompatibilitet med den enhetliga övervakningsagenten – Kompatibel med Azure Monitor-agenten som förbättrar säkerhet, tillförlitlighet och underlättar multi-homing-upplevelsen för att lagra data.
- Kompatibilitet med spårningsverktyget – kompatibel med tillägget Ändringsspårning (CT) som distribueras via Azure Policy på klientens virtuella dator. Du kan växla till AMA och sedan skickar CT-tillägget programvaran, filerna och registret till AMA.
- Multi-homing-upplevelse – Ger standardisering av hantering från en central arbetsyta. Du kan övergå från Log Analytics (LA) till AMA så att alla virtuella datorer pekar på en enda arbetsyta för datainsamling och underhåll.
- Regelhantering – Använder datainsamlingsregler för att konfigurera eller anpassa olika aspekter av datainsamling. Du kan till exempel ändra filsamlingens frekvens.
Information om operativsystem som stöds finns i supportmatris och regioner för Azure CTI.
Aktivera Spårning och inventering av Azure-ändringar
Du kan aktivera Azure CTI på följande sätt:
För Azure Arc-aktiverade servrar (icke-Azure-datorer) läser du Initiativet Aktivera ändringsspårning och inventering för Arc-aktiverade virtuella datorer i Principdefinitioner >> Välj kategori = ChangeTrackingAndInventory. Om du vill aktivera Azure CTI i stor skala använder du den DINE-principbaserade lösningen. Mer information finns i Snabbstart – Aktivera Azure Ändringsspårning och Inventering.
För en enskild virtuell Azure-dator från fönstret Virtuell dator i Azure-portalen. Det här scenariot är tillgängligt för virtuella Linux- och Windows-datorer.
För enskilda och flera virtuella Azure-datorer genom att välja dem från fönstret Virtuella datorer i Azure-portalen.
Spåra filändringar
För att spåra ändringar i filer i både Windows och Linux använder Azure CTI SHA256-hashvärden för filerna. Funktionen använder hashvärdena för att identifiera om ändringar har gjorts sedan den senaste inventeringen.
Spåra filinnehållsändringar
Med Azure CTI kan du visa innehållet i en Windows- eller Linux-fil. För varje ändring i en fil lagrar Azure CTI innehållet i filen på ett Azure Storage-konto. När du spårar en fil kan du visa dess innehåll före eller efter en ändring. Filinnehållet kan visas antingen infogat eller sida vid sida. Läs mer.
Spåra registernycklar
Med Azure CTI kan du övervaka ändringar i Windows-registernycklar. Med övervakning kan du hitta utökningspunkter där kod från tredje part och skadlig kod kan aktiveras. I följande tabell visas förkonfigurerade (men inte aktiverade) registernycklar. Om du vill spåra dessa nycklar måste du aktivera var och en.
| Registernyckel | Avsikt |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Övervakar skript som körs vid start. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Övervakar skript som körs vid avstängning. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Övervakar nycklar som läses in innan användaren loggar in på Windows-kontot. Nyckeln används för 32-bitarsprogram som körs på 64-bitars datorer. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Övervakar ändringar i programinställningarna. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Övervakar snabbmenyhanterare som ansluter direkt till Utforskaren i Windows och körs vanligtvis i processen med explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Övervakar kopiering av hook-hanterare som ansluter direkt till Utforskaren och körs vanligtvis i processen med explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Övervakar registreringen av ikonöverläggshanterare. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Övervakar ikonöverläggshanterare för 32-bitarsprogram som körs på 64-bitars datorer. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Övervakar nya plugins för webbläsarhjälpobjekt i Internet Explorer. Används för att komma åt dokumentobjektmodellen (DOM) i det aktuella fönstret och för att styra navigeringen. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Övervakar nya plugins för webbläsarhjälpobjekt i Internet Explorer. Används för att komma åt dokumentobjektmodellen (DOM) i det aktuella fönstret och för att styra navigeringen för 32-bitarsprogram som körs på 64-bitarsdatorer. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Övervakar för nya Internet Explorer-tillägg, till exempel anpassade verktygsmenyer och anpassade verktygsfältsknappar. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Övervakar för nya Internet Explorer-tillägg, till exempel anpassade verktygsmenyer och anpassade verktygsfältsknappar för 32-bitarsprogram som körs på 64-bitars datorer. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Övervakar 32-bitarsdrivrutiner som är associerade med wavemapper, wave1 och wave2, msacm.imaadpcm, .msadpcm, .msgsm610 och vidc. Liknar avsnittet [drivrutiner] i filen system.ini . |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Övervakar 32-bitarsdrivrutiner som är associerade med wavemapper, wave1 och wave2, msacm.imaadpcm, .msadpcm, .msgsm610 och vidc för 32-bitarsprogram som körs på 64-bitars datorer. Liknar avsnittet [drivrutiner] i filen system.ini . |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Övervakar listan över kända eller vanliga system-DLL:er. Övervakning hindrar personer från att utnyttja svaga programkatalogbehörigheter genom att släppa i trojanska hästversioner av system-DLL:er. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Övervakar listan över paket som kan ta emot händelsemeddelanden från winlogon.exe, den interaktiva inloggningssupportmodellen för Windows. |
Nästa steg
Granska supportmatrisen och regionerna för Azure CTI.