適用於伺服器的 Defender 方案 2 中的檔案完整性監視會使用 適用於端點的 Microsoft Defender 代理程式,根據收集規則從機器收集資料。
舊版的檔案完整性監視使用 Log Analytics 代理程式 (也稱為 Microsoft Monitoring Agent (MMA)) 或 Azure 監視器代理程式 (AMA) 進行數據收集。 本文說明如何將舊版 MMA 和 AMA 移轉至新版本。
必要條件
- 您必須啟用適用於伺服器的 Defender 方案 2,才能使用檔案完整性監視。
- 如果目前使用 MMA 或 AMA 啟用檔案完整性監視,則移轉是相關的。
- 受伺服器方案 2 的 Defender 保護的設備必須執行 Microsoft 適用於端點的 Defender 代理程式。 要檢查環境中機器的代理狀態,請使用 Defender for Servers dashboard workbook。
從 MMA 遷移
如果您使用舊版本的檔案完整性監控工具 MMA,您可以使用內建的移轉功能進行移轉。 透過產品內體驗,您可以:
- 在移轉之前,請先檢閱目前的環境。
- 匯出在Log Analytics工作區中使用 MMA 的目前檔案完整性監視規則。
- 如果適用於伺服器的 Defender 方案 2 正在作用中,請移轉至新的體驗版本。
開始之前
請注意:
- 每個訂用帳戶只能執行一次移轉工具。 您無法再次執行這個程序,以從相同訂用帳戶中的多個工作區遷移規則。
- 產品內移轉需要目標訂用帳戶的安全性系統管理員許可權,以及目標Log Analytics工作區的擁有者許可權。
- 此工具可讓您將現有的監視規則傳輸至新的體驗。
- 您無法移轉不屬於新體驗的自定義和舊版內建規則,但您可以將它們匯出至 JSON 檔案。
- 移轉工具會列出訂用帳戶中的所有機器,不是僅限使用 MMA 上線至檔案完整性監控的機器 。
- 舊版需要將 MMA 連線到 Log Analytics 工作區。 受 Defender for Servers Plan 2 保護但未執行 MMA 的電腦無法受益於檔案完整性監視。
- 有了新的體驗,啟用範圍中的所有機器都受益於檔案完整性監視。
- 雖然新體驗不需要 MMA 代理程式,但您必須在移轉工具中指定來源和目標工作區。
- 來源是用於將現有規則轉移到新體驗的工作區。
- 目標是當受監控的檔案和登錄發生變更時,變更記錄會寫入的工作區。
- 在訂用帳戶上啟用新體驗之後,已啟用範圍中的機器會受到相同的檔案完整性監視規則所涵蓋。
- 若要排除個別機器的檔案完整性監視,請在資源層級啟用伺服器防護程式,並將其降級為伺服器防護方案 1。
使用產品內體驗進行移轉
在適用於雲端的Defender中,移至 [工作負載保護>檔案完整性監視]。
在橫幅訊息中,選取 [按兩下這裡以移轉您的環境]。
![顯示適用於雲端的 Microsoft Defender 橫幅中的 [移轉] 按鈕的螢幕快照。](media/migrate-file-integrity-monitoring/migrate-banner.png)
在準備好您的環境以進行 MMA 棄用頁面上,開始移轉。
在 [ 移轉至新的 FIM ] 索引標籤的 [ 透過 MDE 移轉至 FIM 的新版本] 底下,選取 [ 採取動作]。
![顯示 適用於雲端的 Defender 橫幅中的 [採取動作] 按鈕的螢幕擷取畫面。](media/migrate-file-integrity-monitoring/take-action.png)
在移轉至新 FIM索引標籤上,您可以看到所有託管已啟用舊版檔案完整性監控之機器的訂用帳戶。
- 訂用帳戶上的機器總數會顯示訂用帳戶中的所有 Azure VM 和已啟用 Azure Arc 的 VM。
- 針對 FIM 設定的電腦會顯示已啟用舊版檔案完整性監視的電腦數目。
在每個訂用帳戶旁的動作資料行中,選取移轉。
在更新訂用帳戶>檢閱訂用帳戶的機器上,您會看到已啟用舊版檔案完整性監視的計算機清單及其相關的 Log Analytics 工作區。 選取 [下一步]。
在 [ 移轉設定] 索引標籤上,選取工作區作為移轉來源。
檢閱工作區設定,包括 Windows 登錄和 Windows/Linux 檔案。 有關於是否可以移轉設定和檔案的指示。
如果您有無法移轉的檔案和設定,請選取 [ 將工作區設定儲存為檔案]。
在 [選擇 FIM 數據的目的地工作區] 下,指定您想要使用新檔案完整性監視體驗來儲存變更的 Log Analytics 工作區。 您可以使用相同的工作區,或選取不同的工作區。
選取 [下一步]。
在 [ 檢閱和核准 ] 索引卷標上,檢閱移轉摘要。 選取 [移轉] 以開始移轉程序。
![顯示適用於雲端的 Microsoft Defender 橫幅中的 [移轉] 按鈕的螢幕快照。](media/migrate-file-integrity-monitoring/migrate-banner.png#lightbox)
![顯示 適用於雲端的 Defender 橫幅中的 [採取動作] 按鈕的螢幕擷取畫面。](media/migrate-file-integrity-monitoring/take-action.png#lightbox)
移轉完成後,會從移轉精靈中移除訂用帳戶,並套用已移轉的檔案完整性監視規則。
停用舊版 MMA 解決方案
請遵循下列步驟,以手動方式停用 MMA 的檔案完整性監視。
從 Log Analytics 工作區移除 Azure ChangeTracking 解決方案 。
拿掉之後,不會收集任何新的檔案完整性監視事件。 歷史事件仍會儲存在相關的 Log Analytics 工作區中,位於 變更追蹤 區段下的
ConfigurationChange資料表內。 事件會根據 工作區數據保留設定來儲存。如果您不再需要機器上的 MMA,請停用 Log Analytics 代理程式的使用。
- 如果您不需要任何機器上的代理程式,請 關閉訂用帳戶中的自動代理程式布建 。
- 對於特定電腦,請使用 Azure 監視器探索和移除公用程式來移除代理程式。
從 AMA 移轉
請遵循下列步驟,使用 AMA 從檔案完整性監視進行移轉。
移除相關的檔案變更追蹤資料收集規則(DCR)。
若要這樣做,請遵循 Remove-AzDataCollectionRuleAssociation 和 Remove-AzDataCollectionRule 中的指示。
拿掉之後,不會收集任何新的檔案完整性監視事件。 歷史事件會保留在相關工作區中的 [變更追蹤] 區段,位於數據表
ConfigurationChange下方。 事件會根據 工作區數據保留設定來儲存。
如果您想要繼續使用 AMA 來取用檔案完整性監視事件,請手動聯機到相關的工作區,並使用此查詢檢視 變更追蹤 數據表中的變更。
ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry', 'Files')
| summarize count() by Computer, ConfigChangeType
若要繼續上線新的範圍或設定監視規則,請手動處理數據收集規則並自定義數據收集。