你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在使用 Azure Monitor 代理时启用文件完整性监视

为了提供文件完整性监视 (FIM),Azure Monitor 代理 (AMA) 会根据数据收集规则从计算机收集数据。 将系统文件的当前状态与上次扫描期间的状态进行比较时,FIM 会通知你可疑的修改。

注意

作为 Defender for Cloud 更新后的策略的一部分,不再需要 Azure Monitor 代理来接收 Defender for Servers 的所有功能。 当前依赖于 Azure Monitor 代理的所有功能(包括本页中所述的功能)将在 2024 年 8 月前通过 Microsoft Defender for Endpoint 集成无代理扫描提供。 要在计算机上访问 Defender for SQL Server 的完整功能,需要 Azure Monitor 代理(也称为 AMA)。 有关功能路线图的详细信息,请参阅此公告

Azure Monitor 代理的文件完整性监视提供:

  • 与统一监视代理兼容 - 与可增强安全性、可靠性并有利于使用多宿主体验来存储数据的 Azure Monitor 代理兼容。
  • 与跟踪工具兼容 - 与通过 Azure Policy 在客户端虚拟机上部署的更改跟踪 (CT) 扩展兼容。 可以切换到 Azure Monitor 代理 (AMA),然后 CT 扩展会将软件、文件和注册表推送到 AMA。
  • 简化加入 - 可以从 Microsoft Defender for Cloud 加入 FIM
  • 多宿主体验 – 从一个中心工作区提供标准化管理。 可以从 Log Analytics (LA) 转换到 AMA,使所有 VM 指向单个工作区以收集和维护数据。
  • 规则管理 – 使用数据收集规则来配置或自定义数据收集的各个方面。 例如,可以更改文件收集频率。

在本文中,你将学习如何:

可用性

方面 详细信息
发布状态: 预览
定价: 需要 Microsoft Defender for Servers 计划 2
所需角色和权限: 所有者
参与者
云: 商业云 - 仅在以下区域中受支持:australiaeastaustraliasoutheastcanadacentralcentralindiacentraluseastasiaeastus2euapeastuseastus2francecentraljapaneastkoreacentralnorthcentralusnortheuropesouthcentralussoutheastasiaswitzerlandnorthuksouthwestcentraluswesteuropewestuswestus2
全国(Azure 政府、由世纪互联运营的 Microsoft Azure)
已启用 Azure Arc 的设备。
连接的 AWS 帐户
连接的 GCP 帐户

先决条件

若要使用 AMA 跟踪计算机上文件的更改,请执行以下操作:

启用 AMA 的文件完整性监视

若要启用文件完整性监视 (FIM),请根据 FIM 建议选择用于监视的计算机:

  1. 在 Defender for Cloud 的边栏中,打开“建议”页。

  2. 选择建议“应在计算机上启用文件完整性监视”。 详细了解 Defender for Cloud 建议

  3. 选择要在其上使用文件完整性监视的计算机,选择“修复”,然后选择“修复 X 资源”。

    建议修复:

    • 在计算机上安装 ChangeTracking-WindowsChangeTracking-Linux 扩展。
    • 为订阅生成名为 Microsoft-ChangeTracking-[subscriptionId]-default-dcr 的数据收集规则 (DCR),用于定义要根据默认设置监视哪些文件和注册表。 该修复将 DCR 附加到订阅中安装了 AMA 并启用了 FIM 的所有计算机。
    • 使用命名约定 defaultWorkspace-[subscriptionId]-fim 和默认工作区设置创建新的 Log Analytics 工作区。

    以后可以更新 DCR 和 Log Analytics 工作区设置。

  4. 从 Defender for Cloud 的边栏中,转到“工作负载保护”>“文件完整性监视”,然后选择横幅以显示具有 Azure Monitor 代理的计算机的结果。

    文件完整性监视中的横幅的屏幕截图,其中显示了具有 Azure Monitor 代理的计算机的结果。

  5. 显示启用了文件完整性监视的计算机。

    具有 Azure Monitor 代理的计算机的文件完整性监视结果屏幕截图。

    可以查看对跟踪文件所做的更改数量,并可以选择“查看更改”以查看对该计算机上跟踪的文件所做的更改。

编辑跟踪文件和注册表项的列表

具有 Azure Monitor 代理的计算机的文件完整性监视 (FIM) 使用数据收集规则 (DCR) 来定义要跟踪的文件和注册表项的列表。每个订阅具有该订阅中计算机的 DCR。

FIM 使用跟踪文件和注册表项的默认配置来创建 DCR。 可以编辑 DCR 以添加、删除或更新 FIM 跟踪的文件和注册表的列表。

若要编辑跟踪文件和注册表的列表,请执行以下操作:

  1. 在文件完整性监视中,选择“数据收集规则”。

    可以查看针对你有权访问的订阅创建的每个规则。

  2. 选择要为订阅更新的 DCR。

    Windows 注册表项、Windows 文件和 Linux 文件列表中的每个文件包含文件或注册表项的定义,包括名称、路径和其他选项。 还可以将“已启用”设置为 False 以取消跟踪文件或注册表项而不删除定义。

    详细了解系统文件和注册表项定义

  3. 选择一个文件,然后添加或者编辑文件或注册表项定义。

  4. 选择“添加”以保存更改。

从文件完整性监视中排除计算机

将监视订阅中已附加到 DCR 的每台计算机。 可将计算机从 DCR 分离,以便不跟踪文件和注册表项。

若要从文件完整性监视中排除计算机,请执行以下操作:

  1. 在 FIM 结果中的受监视计算机列表内,选择该计算机的菜单 (...)
  2. 选择“分离数据收集规则”。

用于从数据收集规则分离计算机并从文件完整性监视中排除计算机的选项的屏幕截图。

该计算机将移动到不受监视的计算机列表,不再跟踪该计算机的文件更改。

后续步骤

在以下文章中详细了解 Defender for Cloud: