使用 Azure 監視器代理程式時,啟用檔案完整性監視
為提供檔案完整性監視 (FIM),Azure 監視器代理程式 (AMA) 會根據資料收集規則,從機器中收集資料。 當系統檔案的目前狀態與先前掃描期間的狀態進行比較時,FIM 會通知您可疑的修改。
注意
在適用於雲端的 Defender 已更新的策略中,Azure 監視器代理程式不必再接收適用於伺服器的 Defender 所有功能。 目前依賴 Azure 監視器代理程式的所有功能,包括此頁面所述的功能,會在 2024 年 8 月之前,透過適用於端點的 Microsoft Defender 整合或無代理程式掃描提供。 若要在電腦上存取適用於 SQL 伺服器的 Defender 完整功能,則需要 Azure 監視代理程式 (也稱為 AMA)。 如需功能藍圖的詳細資訊,請參閱此公告。
使用 Azure 監視器代理程式的檔案完整性監視提供:
- 與統一監視代理程式的相容性 - 與 Azure 監視器代理程式相容,可增強安全性、可靠性,並協助多路連接體驗來儲存資料。
- 與追蹤工具的相容性- 與透過用戶端虛擬機器上 Azure 原則部署的變更追蹤 (CT) 擴充功能相容。 您可以切換至 Azure 監視器代理程式 (AMA),然後 CT 延伸項目會將軟體、檔案和登錄推送至 AMA。
- 簡化上線 - 您可以透過適用於雲端的 Microsoft Defender 將 FIM 上線。
- 多路連接體驗 – 提供一個中央工作區的標準化管理。 您可以從記錄分析 (LA) 轉換為 AMA,讓所有 VM 都指向單一工作區,以進行資料收集和維護。
- 規則管理 – 使用 資料收集規則來設定或自訂資料收集的各個層面。 例如,您可以變更檔案集合的頻率。
在本文章中,您將了解如何:
可用性
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 預覽 |
| 定價: | 需要適用於伺服器的 Microsoft Defender 方案 2 |
| 必要的角色和權限: | 擁有者 參與者 |
| 雲端: |  商業雲端 - 僅在以下區域中支援:australiaeast、australiasoutheast、canadacentral、centralindia、centralus、eastasia、eastus2euap、eastus、eastus2、francecentral、japaneast、koreacentral、northcentralus、northeurope、southcentralus、southeastasia、switzerlandnorth、uksouth、westcentralus、westeurope、westus、westus2 國家/地區 (Azure Government、由 21Vianet 營運的 Microsoft Azure) 已啟用 Azure Arc 的裝置。 已連線的 AWS 帳戶 已連線的 GCP 帳戶 |
必要條件
若要使用 AMA 追蹤機器上檔案的變更:
在您想要監視的電腦上安裝 AMA。
使用 AMA 啟用檔案完整性監視
若要啟用檔案完整性監視 (FIM),請使用 FIM 建議選取要監視的機器:
從適用於雲端的 Defender 資訊看板中,開啟 [建議] 頁面。
選取應該在機器上啟用檔案完整性監視的建議。 深入了解適用於雲端的 Defender 建議。
選取您想要使用檔案完整性監視的機器,選取 [修正],然後選取 [修正 X 資源]。
建議修正:
- 在機器電腦上安裝
ChangeTracking-Windows或ChangeTracking-Linux擴充功能。 - 針對名為
Microsoft-ChangeTracking-[subscriptionId]-default-dcr的訂閱產生資料收集規則 (DCR),以定義應該根據預設設定,監視哪些檔案和登錄。 修正程式會將 DCR 連結至已安裝 AMA 且已啟用 FIM 之訂閱中的所有機器。 - 使用命名慣例
defaultWorkspace-[subscriptionId]-fim和預設工作區設定,建立新的 Log Analytics 工作區。
您可以在稍後更新 DCR 和 Log Analytics 工作區設定。
- 在機器電腦上安裝
從適用於雲端的 Defender 側邊欄,前往 [工作負載保護] > [檔案完整性監視],然後選取橫幅以顯示具有 Azure 監視器代理程式的機器結果。
顯示已啟用檔案完整性監視的機器。
您可以看到對追蹤檔案所做的變更數目,而且您可以選取 [檢視變更] 以查看對該機器上追蹤檔案所做的變更。
編輯追蹤檔案和登錄機碼的清單
對於具有 Azure 監視器代理程式的機器,檔案完整性監視 (FIM) 使用資料收集規則 (DCR) 定義要追蹤的檔案和登錄機碼清單。每個訂閱都有適用於該訂閱中機器的 DCR。
FIM 會使用追蹤檔案和登錄機碼的預設設定,來建立 DCR。 您可以編輯 DCR 以新增、移除或更新 FIM 所追蹤的檔案和登錄清單。
若要編輯追蹤檔案和登錄的清單:
在 [檔案完整性監視] 中,選取 [資料收集規則]。
您可以看到針對您有權存取之訂閱所建立的每個規則。
選取您要更新訂閱的 DCR。
Windows 登錄機碼、Windows 檔案和 Linux 檔案清單中的每個檔案都包含檔案或登錄機碼的定義,包括名稱、路徑和其他選項。 您也可以將 [已啟用] 設定為 False,以在不移除定義的情況下,取消追蹤檔案或登錄機碼。
深入瞭解系統檔案和登錄機碼定義。
選取檔案,然後新增或編輯檔案或登錄機碼定義。
選取 [新增] 以儲存變更。
將機器從檔案完整性監視中排除
已監視連結至 DCR 之訂閱的每台機器。 您可以中斷機器與 DCR 的連結,如此一來,就不會追蹤檔案和登錄機碼。
若要將機器從檔案完整性監視中排除:
- 在 FIM 結果的受監視機器清單中,選取機器的功能表 (...)
- 選取 [中斷連結資料收集規則]。
機器會移至未受監視的機器清單,而且不會再追蹤該機器的檔案變更。
下一步
在以下位置深入了解適用於雲端的 Defender:
- 設定安全性原則 - 了解如何為您的 Azure 訂用帳戶及資源群組設定安全性原則。
- 管理安全性建議 - 了解建議如何協助保護您的 Azure 資源。
- Azure 安全性部落格:取得最新的 Azure 安全性新聞和資訊。