本文概述使用 Azure Monitor Agent(AMA)進行 Azure 變更追蹤與庫存管理(CTI)。 本文還包括該服務的主要功能和優勢。
什麼是變更追蹤和庫存
Azure CTI 服務會監視變更並提供 Azure、內部部署和其他雲端環境中伺服器的詳細清查記錄,藉此增強客體作業的稽核和治理。
這很重要
建議您將 Azure CTI 與變更追蹤延伸模組 2.20.0.0 版或更新版本搭配使用。
變更追蹤:
- 監控更改,包括對檔案、登錄機碼、軟體安裝以及 Windows 服務或 Linux 守護程式的修改。
- 提供變更內容和時間的詳細記錄,讓您能夠快速偵測設定漂移或未經授權的變更。
變更追蹤中繼資料會擷取至已連線 LA 工作區中的 ConfigurationChange 資料表。 深入瞭解。
備註
Azure CTI 資料會針對系統層級和使用者層級應用程式記錄。 系統層級資料一律會記錄,但使用者層級應用程式只會在使用者登入電腦時顯示;如果使用者登出,這些應用程式會標示為 已移除。
庫存:
- 收集並維護已連結 LA 工作區中已安裝軟體、作業系統詳細資料和其他伺服器組態的更新清單。
- 協助建立系統資產概觀,這對於合規性、稽核和主動維護非常有用。
- 庫存中繼資料將會匯入至連線 LA 工作區中的 ConfigurationData 資料表。 深入瞭解。
Azure 變更追蹤和清查的主要優點
以下是主要優點:
- 與統一監視代理程式的相容性 – 與 Azure 監視器代理 程式相容,可增強安全性、可靠性,並促進儲存資料的多重主體體驗。
- 與追蹤工具相容 – 相容於客戶虛擬機器上透過 Azure Policy 部署的變更追蹤(CT)擴充功能。 您可以切換至 AMA,然後 CT 延伸模組會將軟體、檔案和登錄推送至 AMA。
- 多路連接體驗 – 提供一個中央工作區的標準化管理。 您可以從記錄分析 (LA) 轉換為 AMA,讓所有 VM 都指向單一工作區,以進行資料收集和維護。
- 規則管理 – 使用 資料收集規則來設定或自訂資料收集的各個層面。 例如,您可以變更收集檔案的頻率。
如需支援作業系統的相關資訊,請參閱 Azure CTI 的 支援矩陣和區域 。
啟用 Azure 變更追蹤和清查
您可以透過下列方式啟用 Azure CTI:
若是已啟用 Azure Arc 的伺服器 (非 Azure 機器),請參閱計畫 為已啟用 Arc 的虛擬機器啟用變更追蹤和清查,其位於原則> 定義>選取類別 = ChangeTrackingAndInventory 中。 若要大規模啟用 Azure CTI,請使用 DINE 原則 型解決方案。 欲了解更多資訊,請參閱 快速入門 - 啟用 Azure 變更追蹤與庫存。
針對單一 Azure VM,從 Azure 入口網站的虛擬機器窗格啟用。 此案例適用於 Linux 與 Windows VM。
對於 單一或多個 Azure 虛擬機, 請從 Azure 入口網站的虛擬機窗格中選擇它們。
追蹤檔案變更
若要追蹤 Windows 和 Linux 上檔案的變更,Azure CTI 會使用檔案的 SHA256 雜湊。 此功能會使用雜湊來偵測自上次清查之後是否發生變更。
追蹤檔案內容變更
Azure CTI 可讓您檢視 Windows 或 Linux 檔案的內容。 針對檔案的每項變更,Azure CTI 都會將檔案的內容儲存在 Azure 儲存體帳戶中。 當您要追蹤檔案時,您可以檢視其變更前後的內容。 檔案內容可以內嵌或並排檢視。 深入瞭解。
追蹤登錄金鑰
Azure CTI 允許監視 Windows 登錄機碼的變更。 監視可讓您找出第三方程式碼和惡意程式碼可啟用的擴充點。 下表列出預先設定 (但未啟用) 的登錄機碼。 若要追蹤這些機碼,則必須啟用每個機碼。
| 登錄金鑰 | 目標 |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
監視在啟動時執行的指令碼。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
監視在關機時執行的指令碼。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
監視使用者登入 Windows 帳戶之前載入的金鑰。 此金鑰供 64 位元電腦上執行的 32 位元應用程式使用。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
監視應用程式設定的變更。 |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
監視直接連結到 Windows 檔案總管中,且通常使用 explorer.exe 以內含方式執行的內容功能表處理常式。 |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
監視直接連結到 Windows 檔案總管中,且通常使用 explorer.exe 以內含方式執行的複製掛勾處理常式。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
監視圖示覆疊處理常式註冊。 |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
針對在 64 位元電腦上執行的 32 位元應用程式,監視圖示覆疊處理常式註冊。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Internet Explorer 之新瀏覽器協助程式物件外掛程式的監視器。 用來存取目前窗格的文件物件模型 (DOM) 並控制導覽。 |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Internet Explorer 之新瀏覽器協助程式物件外掛程式的監視器。 用來存取目前窗格的檔物件模型 (DOM) ,以及控制在 64 位電腦上執行的 32 位應用程式的導覽。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
監視新的 Internet Explorer 擴充功能,例如自訂工具功能表和自訂工具列按鈕。 |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
針對在 64 位元電腦上執行的 32 位元應用程式,監視新的 Internet Explorer 擴充功能,例如自訂工具功能表和自訂工具列按鈕。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
監視與 wavemapper、wave1 和 wave2、msacm.imaadpcm、.msadpcm、.msgsm610 和 vidc 相關聯的 32 位元驅動程式。 類似 system.ini 檔案中的 [drivers] 區段。 |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
針對在 64 位元電腦上執行的 32 位元應用程式,監視與 wavemapper、wave1 和 wave2、msacm.imaadpcm、.msadpcm、.msgsm610 和 vidc 相關聯的 32 位元驅動程式。 類似 system.ini 檔案中的 [drivers] 區段。 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
監視已知或常用系統 DLL 的清單。 監視可防止人員放入特洛伊木馬病毒版本的系統 DLL 來利用弱式應用程式目錄權限。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
監視可從 winlogon.exe (Windows 的互動式登入支援模型) 接收事件通知的套件清單。 |
後續步驟
檢閱 Azure CTI 的 支援矩陣和區域 。