Azure İzleyici Aracısı'nı kullanırken Dosya Bütünlüğü İzleme'yi etkinleştirme

  • Makale

Dosya Bütünlüğünü İzleme (FIM) sağlamak için Azure İzleyici Aracısı (AMA), veri toplama kurallarına göre makinelerden veri toplar. Sistem dosyalarınızın geçerli durumu önceki taramadaki durumla karşılaştırıldığında, FIM şüpheli değişiklikler hakkında sizi bilgilendirir.

Not

Bulut için Defender güncelleştirilmiş stratejimizin bir parçası olarak, Azure İzleyici Aracısı'nın artık Sunucular için Defender'ın tüm özelliklerini alması gerekmeyecek. Bu sayfada açıklananlar da dahil olmak üzere şu anda Azure İzleyici Aracısı'nı kullanan tüm özellikler Ağustos 2024'e kadar Uç Nokta için Microsoft Defender tümleştirme veya aracısız tarama yoluyla kullanılabilir olacak. Makinelerde SQL server için Defender'ın tüm özelliklerine erişmek için Azure izleme aracısı (AMA olarak da bilinir) gereklidir. Özellik yol haritası hakkında daha fazla bilgi için bu duyuruya bakın.

Azure İzleyici Aracısı ile Dosya Bütünlüğünü İzleme şu teklifleri sunar:

  • Birleşik izleme aracısı ile uyumluluk - Güvenliği, güvenilirliği artıran ve verileri depolamak için çok girişli deneyimi kolaylaştıran Azure İzleyici Aracısı ile uyumludur.
  • İzleme aracıyla uyumluluk- İstemcinin sanal makinesindeki Azure İlkesi aracılığıyla dağıtılan Değişiklik izleme (CT) uzantısıyla uyumludur. Azure İzleyici Aracısı'na (AMA) geçmeyi seçerseniz CT uzantısı yazılımı, dosyaları ve kayıt defterini AMA'ya gönderir.
  • Basitleştirilmiş ekleme- Bulut için Microsoft Defender'den FIM'i ekleyebilirsiniz.
  • Çoklu giriş deneyimi – Tek bir merkezi çalışma alanından yönetimin standartlaştırılmasını sağlar. Tüm VM'lerin veri toplama ve bakım için tek bir çalışma alanına işaret edebilmesi için Log Analytics'ten (LA) AMA'ya geçiş yapabilirsiniz.
  • Kural yönetimi– Veri toplamanın çeşitli yönlerini yapılandırmak veya özelleştirmek için Veri Toplama Kurallarını kullanır. Örneğin, dosya toplama sıklığını değiştirebilirsiniz.

Bu makalede şunları nasıl yapacağınızı öğreneceksiniz:

Kullanılabilirlik

Görünüş Ayrıntılar
Sürüm durumu: Önizleme
Fiyatlandırma: Sunucular için Microsoft Defender Plan 2 gerektirir
Gerekli roller ve izinler: Sahibi
Katkıda Bulunan
Bulut: Ticari bulutlar - Yalnızca bölgelerde desteklenir: , , , , centralindia, centralus, eastasiaeastusfrancecentraleastus2koreacentralnorthcentralusjapaneasteastus2euap, northeurope, , southcentralus, , southeastasia, , , westeuropewestuswestcentralusswitzerlandnorthuksouthcanadacentralaustraliasoutheastaustraliaeastwestus2
National (Azure Kamu, 21Vianet tarafından sağlanan Microsoft Azure)
Azure Arc özellikli cihazlar.
Bağlan AWS hesapları
Bağlan GCP hesapları

Önkoşullar

AMA ile makinelerinizdeki dosyalarınızdaki değişiklikleri izlemek için:

AMA ile Dosya Bütünlüğünü İzlemeyi Etkinleştirme

Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için FIM önerisini kullanarak izlenecek makineleri seçin:

  1. Bulut için Defender kenar çubuğundan Öneriler sayfasını açın.

  2. Makinelerde Dosya bütünlüğü izlemenin etkinleştirilmesi önerisini seçin. Bulut için Defender önerileri hakkında daha fazla bilgi edinin.

  3. Dosya Bütünlüğünü İzleme'yi kullanmak istediğiniz makineleri seçin, Düzelt'i seçin ve X kaynaklarını düzelt'i seçin.

    Öneri düzeltmesi:

    • veya ChangeTracking-Linux uzantısını ChangeTracking-Windows makinelere yükler.
    • Varsayılan ayarlara göre hangi dosyaların ve kayıt defterlerinin izlenmesi gerektiğini tanımlayan adlı Microsoft-ChangeTracking-[subscriptionId]-default-dcr abonelik için bir veri toplama kuralı (DCR) oluşturur. Düzeltme, DCR'yi ABONELIKteki AMA yüklü ve FIM etkin olan tüm makinelere ekler.
    • Adlandırma kuralı defaultWorkspace-[subscriptionId]-fim ve varsayılan çalışma alanı ayarlarıyla yeni bir Log Analytics çalışma alanı oluşturur.

    DCR ve Log Analytics çalışma alanı ayarlarını daha sonra güncelleştirebilirsiniz.

  4. Bulut için Defender kenar çubuğundan İş yükü korumaları>Dosya bütünlüğü izleme bölümüne gidin ve Azure İzleyici Aracısı ile makinelerin sonuçlarını göstermek için başlığı seçin.

    Screenshot of banner in File integrity monitoring to show the results for machines with Azure Monitor Agent.

  5. Dosya Bütünlüğünü İzleme'nin etkinleştirildiği makineler gösterilir.

    Screenshot of File integrity monitoring results for machines with Azure Monitor Agent.

    İzlenen dosyalarda yapılan değişikliklerin sayısını görebilir ve bu makinedeki izlenen dosyalarda yapılan değişiklikleri görmek için Değişiklikleri görüntüle'yi seçebilirsiniz.

İzlenen dosyaların ve kayıt defteri anahtarlarının listesini düzenleme

Azure İzleyici Aracısı'na sahip makineler için Dosya Bütünlüğünü İzleme (FIM), izlenecek dosya ve kayıt defteri anahtarlarının listesini tanımlamak için Veri Toplama Kuralları'nı (DCR) kullanır. Her abonelikte, bu abonelikteki makineler için bir DCR bulunur.

FIM, izlenen dosyaların ve kayıt defteri anahtarlarının varsayılan yapılandırmasına sahip DCR'ler oluşturur. FIM tarafından izlenen dosya ve kayıt defterleri listesini eklemek, kaldırmak veya güncelleştirmek için DCR'leri düzenleyebilirsiniz.

İzlenen dosyaların ve kayıt defterlerinin listesini düzenlemek için:

  1. Dosya bütünlüğünü izleme bölümünde Veri toplama kuralları'na tıklayın.

    Erişiminiz olan abonelikler için oluşturulan kuralların her birini görebilirsiniz.

  2. Abonelik için güncelleştirmek istediğiniz DCR'yi seçin.

    Windows kayıt defteri anahtarları, Windows dosyaları ve Linux dosyaları listesindeki her dosya, ad, yol ve diğer seçenekler de dahil olmak üzere bir dosya veya kayıt defteri anahtarı için bir tanım içerir. Tanımı kaldırmadan dosya veya kayıt defteri anahtarının izlemesini kaldırmak için Etkinseçeneğini False olarak da ayarlayabilirsiniz.

    Sistem dosyası ve kayıt defteri anahtarı tanımları hakkında daha fazla bilgi edinin.

  3. Bir dosya seçin ve ardından dosya veya kayıt defteri anahtarı tanımını ekleyin veya düzenleyin.

  4. Değişiklikleri kaydetmek için Ekle'yi seçin.

Makineleri Dosya Bütünlüğünü İzleme'nin dışında tutma

DCR'ye bağlı abonelikteki her makine izlenir. Dosyaların ve kayıt defteri anahtarlarının izlenmemesi için bir makineyi DCR'den ayırabilirsiniz.

Bir makineyi Dosya Bütünlüğünü İzleme'nin dışında tutmak için:

  1. FIM sonuçlarındaki izlenen makineler listesinde makine menüsünü (...) seçin
  2. Veri toplama kuralını ayır'ı seçin.

Screenshot of the option to detach a machine from a data collection rule and exclude the machines from File Integrity Monitoring.

Makine izlenmeyen makineler listesine taşınır ve bu makine için dosya değişiklikleri artık izlenmez.

Sonraki adımlar

Bulut için Defender hakkında daha fazla bilgi için:

  • Güvenlik ilkelerini ayarlama - Azure abonelikleriniz ve kaynak gruplarınız için güvenlik ilkelerini yapılandırmayı öğrenin.
  • Güvenlik önerilerini yönetme - Önerilerin Azure kaynaklarınızı korumanıza nasıl yardımcı olduğunu öğrenin.
  • Azure Güvenlik blogu - En son Azure güvenlik haberlerini ve bilgilerini alın.