Migrace na monitorování integrity souborů pomocí defenderu for Endpoint

V programu Defender for Servers Plan 2 v programu Microsoft Defender for Cloud pomáhá funkce monitorování integrity souborů udržovat podnikové prostředky a prostředky zabezpečené skenováním a analýzou souborů a porovnáním jejich aktuálního stavu s předchozími kontrolami.

Monitorování integrity souborů používá agenta Microsoft Defenderu for Endpoint ke shromažďování dat z počítačů v souladu s pravidly shromažďování. Defender for Endpoint je ve výchozím nastavení integrovaný s defenderem pro cloud.

Požadavky

• Musí být povolený Defender for Servers Plan 2.
• Monitorování integrity souborů je aktuálně povolené pomocí starší metody.
• Použití migrace v rámci produktu vyžaduje oprávnění správce zabezpečení k cílovému předplatnému a oprávnění vlastníka v cílovém pracovním prostoru služby Log Analytics.
• Počítače chráněné programem Defender for Servers Plan 2 by měly používat agenta Defenderu for Endpoint. Pokud chcete zkontrolovat stav agenta na počítačích ve vašem prostředí, použijte k tomu tento sešit .
• Nástroj pro migraci můžete spustit jenom jednou pro předplatné. Nemůžete ho spustit znovu a migrovat pravidla z dalších nebo více pracovních prostorů ve stejném předplatném.

Migrace z FIM přes MMA

Předchozí verze monitorování integrity souborů používaly ke shromažďování dat agenta Log Analytics (označovaného také jako Agent monitorování Microsoftu (MMA) nebo agenta Služby Azure Monitor (AMA).

Pokud nepoužíváte předchozí verzi monitorování integrity souborů, můžete připojit přímo k monitorování integrity souborů pomocí agenta Defender for Endpoint.

Pokud máte předchozí verzi monitorování integrity souborů, můžete migraci na novou verzi provést pomocí prostředí migrace v rámci produktu pro bezproblémovou migraci.

Případně můžete povolit monitorování integrity souborů pomocí defenderu for Endpoint a pak odebrat monitorování integrity souborů pomocí staršího agenta.

Pokud používáte nástroj pro migraci v produktu, můžete:

• Před migrací zkontrolujte aktuální prostředí nebo stav.
• Exportujte aktuální pravidla monitorování integrity souborů, která používají MMA a nacházejí se v pracovním prostoru služby Log Analytics.
• Pokud je povolený Defender for Servers Plan 2, proveďte migraci na nové prostředí.

Poznámky:

• Nástroj umožňuje přenést existující pravidla monitorování do nového prostředí.
• Vlastní a starší integrovaná pravidla, která nejsou součástí nového prostředí, se nedají migrovat, ale můžete je exportovat do souboru JSON.
• Nástroj pro migraci zobrazí seznam všech počítačů v předplatném, ne všechny počítače, které byly skutečně nasazené k monitorování integrity souborů pomocí MMA.
  • Starší verze vyžaduje MMA připojenou k pracovnímu prostoru služby Log Analytics. To znamenalo, že počítače chráněné defenderem for Servers Plan 2, ale nebyly spuštěné MMA, neměly prospěch z monitorování integrity souborů.
  • Díky novému prostředí můžou všechny počítače v oboru povolení využívat monitorování integrity souborů.
• I když nové prostředí nepotřebuje agenta MMA, budete muset v nástroji pro migraci zadat zdrojový a cílový pracovní prostor.
  • Zdrojem je pracovní prostor, ze kterého chcete přenést existující pravidla do nového prostředí.
  • Cílem je pracovní prostor, do kterého se protokoly změn zapíšou při změně monitorovaných souborů a registrů.
• Po povolení nového prostředí v předplatném se na počítače v oboru povolení vztahují stejná pravidla monitorování integrity souborů.
• Pokud chcete vyloučit jednotlivé počítače z monitorování integrity souborů, můžete některé z nich downgradovat na Defender for Servers Plan 1 povolením Defenderu pro servery na úrovni prostředků.

Migrace s využitím prostředí v rámci produktu

1. V programu Defender for Cloud >Workload Protections otevřete monitorování integrity souborů.

2. V bannerové zprávě vyberte Kliknutím sem migrujte prostředí.

   

3. Na stránce Příprava prostředí na vyřazení MMA spusťte migraci.

4. Na kartě Migrace na novou kartu FIM v části Migrace na novou verzi FIM přes MDE vyberte Provést akci.

   

5. Na kartě Migrace na novou kartu FIM uvidíte všechna předplatná, která hostují počítače se starší verzí monitorování integrity souborů.

   • Celkový počet počítačů v předplatném zobrazuje všechny virtuální počítače Azure a virtuální počítače s podporou Azure Arc v předplatném.
   • Počítače nakonfigurované pro FIM zobrazují počet počítačů s povoleným monitorováním integrity souborů starší verze.

6. Ve sloupci Akce vedle každého předplatného vyberte Možnost Migrovat.

7. V části Aktualizovat předplatná>Zkontrolujte počítače předplatného, zobrazí se seznam počítačů, které mají povolené monitorování integrity souborů starší verze, a jejich související pracovní prostor služby Log Analytics. Vyberte Další.

8. Na kartě Nastavení migrace vyberte jako zdroj migrace pracovní prostor.

9. Zkontrolujte konfiguraci pracovního prostoru, včetně registru Windows a souborů Windows/Linuxu. Značí, jestli je možné migrovat nastavení a soubory.

10. Pokud máte soubory a nastavení, které nejde migrovat, můžete jako soubor vybrat Možnost Uložit nastavení pracovního prostoru.

11. V části Zvolit cílový pracovní prostor pro ukládání dat FIM zadejte pracovní prostor služby Log Analytics, do kterého chcete ukládat změny pomocí nového prostředí pro monitorování integrity souborů. Můžete použít stejný pracovní prostor nebo vybrat jiný pracovní prostor.

12. Vyberte Další.

13. Na kartě Revize a schválení zkontrolujte souhrn migrace. Výběrem možnosti Migrovat spusťte proces migrace.

Po dokončení migrace se předplatné odebere z průvodce migrací a použijí se pravidla monitorování integrity migrovaných souborů.

Zakázání starší verze řešení MMA

Podle těchto pokynů zakažte monitorování integrity souborů pomocí MMA ručně.

1. Odeberte řešení Azure ChangeTracking z pracovního prostoru služby Log Analytics.

   Po odebrání se neshromažďují žádné nové události monitorování integrity souborů. Historické události zůstávají uložené v příslušném pracovním prostoru služby Log Analytics v části Change Tracking v ConfigurationChange tabulce. Události se ukládají v souladu s nastavením uchovávání dat pracovního prostoru.

2. Pokud už mma na počítačích nepotřebujete, můžete zakázat použití agenta Log Analytics.

   • Pokud agenta nepotřebujete na žádných počítačích, vypněte automatické zřizování agentů v předplatném.
   • Pro konkrétní počítač odeberte agenta pomocí nástroje zjišťování a odebrání služby Azure Monitor.

Migrace z FIM přes AMA

Při migraci z monitorování integrity souborů pomocí AMA postupujte podle těchto pokynů.

1. Odeberte řešení Azure ChangeTracking z pracovního prostoru služby Log Analytics.

2. Alternativně můžete odebrat související pravidla shromažďování dat sledování změn souborů (DCR). Postupujte podle pokynů v rutině Remove-AzDataCollectionRuleAssociation a Remove-AzDataCollectionRule.

   Po odebrání se neshromažďují žádné nové události monitorování integrity souborů. Historické události zůstávají uložené v příslušném pracovním prostoru pod tabulkou ConfigurationChange v části Change Tracking. Události se ukládají v souladu s nastavením uchovávání dat pracovního prostoru.

Pokud chcete dál používat AMA ke zpracování událostí monitorování integrity souborů, můžete se pomocí tohoto dotazu ručně připojit k příslušnému pracovnímu prostoru a zobrazit změny v tabulce Change Tracking .

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Pokud chcete pokračovat v onboardingu nového oboru nebo konfiguraci pravidel monitorování, musíte ručně pracovat s pravidly shromažďování dat a přizpůsobit shromažďování dat.

Další kroky

Zkontrolujte změny monitorování integrity souborů.