Migrace na monitorování integrity souborů pomocí defenderu for Endpoint

Monitorování integrity souborů v programu Defender for Servers Plan 2 používá agenta Microsoft Defenderu for Endpoint ke shromažďování dat z počítačů v souladu s pravidly shromažďování.

Předchozí verze monitorování integrity souborů používala agenta Log Analytics (označovaného také jako Agent monitorování Microsoftu (MMA) nebo agenta Služby Azure Monitor (AMA) pro shromažďování dat. Tento článek popisuje, jak migrovat předchozí verze MMA a AMA na novou verzi.

Požadavky

• Aby bylo možné používat monitorování integrity souborů, musí být povolený Defender for Servers Plan 2.
• Migrace je relevantní, pokud je monitorování integrity souborů aktuálně povolené pomocí MMA nebo AMA.
• Počítače chráněné programem Defender for Servers Plan 2 by měly používat agenta Defenderu for Endpoint. Pokud chcete zkontrolovat stav agenta na počítačích ve vašem prostředí, použijte k tomu tento sešit .

Migrace z MMA

Pokud máte předchozí verzi monitorování integrity souborů pomocí MMA, můžete migrovat pomocí prostředí migrace v rámci produktu. S využitím prostředí v rámci produktu můžete:

• Před migrací zkontrolujte aktuální prostředí nebo stav.
• Exportujte aktuální pravidla monitorování integrity souborů, která používají MMA a nacházejí se v pracovním prostoru služby Log Analytics.
• Pokud je povolený Defender for Servers Plan 2, proveďte migraci na nové prostředí.

Než začnete

Poznámky:

• Nástroj pro migraci můžete spustit jenom jednou pro předplatné. Nemůžete ho spustit znovu a migrovat pravidla z dalších nebo více pracovních prostorů ve stejném předplatném.
• • Použití migrace v rámci produktu vyžaduje oprávnění správce zabezpečení k cílovému předplatnému a oprávnění vlastníka v cílovém pracovním prostoru služby Log Analytics.
• Nástroj umožňuje přenést existující pravidla monitorování do nového prostředí.
• Vlastní a starší integrovaná pravidla, která nejsou součástí nového prostředí, se nedají migrovat, ale můžete je exportovat do souboru JSON.
• Nástroj pro migraci zobrazí seznam všech počítačů v předplatném, ne všechny počítače, které byly skutečně nasazené k monitorování integrity souborů pomocí MMA.
  • Starší verze vyžaduje MMA připojenou k pracovnímu prostoru služby Log Analytics. To znamenalo, že počítače chráněné defenderem for Servers Plan 2, ale nebyly spuštěné MMA, neměly prospěch z monitorování integrity souborů.
  • Díky novému prostředí můžou všechny počítače v oboru povolení využívat monitorování integrity souborů.
• I když nové prostředí nepotřebuje agenta MMA, musíte v nástroji pro migraci zadat zdrojový a cílový pracovní prostor.
  • Zdrojem je pracovní prostor, ze kterého chcete přenést existující pravidla do nového prostředí.
  • Cílem je pracovní prostor, do kterého se protokoly změn zapisují při změně monitorovaných souborů a registrů.
• Po povolení nového prostředí v předplatném se na počítače v povoleném oboru vztahují stejná pravidla monitorování integrity souborů.
• Pokud chcete vyloučit jednotlivé počítače z monitorování integrity souborů, můžete je downgradovat na Defender for Servers Plan 1 tím , že povolíte Defender for Servers na úrovni prostředku.

Migrace s využitím prostředí v rámci produktu

1. V programu Defender for Cloud >Workload Protections otevřete monitorování integrity souborů.

2. V bannerové zprávě vyberte Kliknutím sem migrujte prostředí.

   

3. Na stránce Příprava prostředí na vyřazení MMA spusťte migraci.

4. Na kartě Migrace na novou kartu FIM v části Migrace na novou verzi FIM přes MDE vyberte Provést akci.

   

5. Na kartě Migrace na novou kartu FIM uvidíte všechna předplatná, která hostují počítače se starší verzí monitorování integrity souborů.

   • Celkový počet počítačů v předplatném zobrazuje všechny virtuální počítače Azure a virtuální počítače s podporou Azure Arc v předplatném.
   • Počítače nakonfigurované pro FIM zobrazují počet počítačů s povoleným monitorováním integrity souborů starší verze.

6. Ve sloupci Akce vedle každého předplatného vyberte Možnost Migrovat.

7. V části Aktualizovat předplatná>Zkontrolujte počítače předplatného, zobrazí se seznam počítačů, které mají povolené monitorování integrity souborů starší verze, a jejich související pracovní prostor služby Log Analytics. Vyberte Další.

8. Na kartě Nastavení migrace vyberte jako zdroj migrace pracovní prostor.

9. Zkontrolujte konfiguraci pracovního prostoru, včetně registru Windows a souborů Windows/Linuxu. Značí, jestli je možné migrovat nastavení a soubory.

10. Pokud máte soubory a nastavení, které nejde migrovat, můžete jako soubor vybrat Možnost Uložit nastavení pracovního prostoru.

11. V části Zvolit cílový pracovní prostor pro ukládání dat FIM zadejte pracovní prostor služby Log Analytics, do kterého chcete ukládat změny pomocí nového prostředí pro monitorování integrity souborů. Můžete použít stejný pracovní prostor nebo vybrat jiný pracovní prostor.

12. Vyberte Další.

13. Na kartě Revize a schválení zkontrolujte souhrn migrace. Výběrem možnosti Migrovat spusťte proces migrace.

Po dokončení migrace se předplatné odebere z průvodce migrací a použijí se pravidla monitorování integrity migrovaných souborů.

Zakázání starší verze řešení MMA

Podle těchto pokynů zakažte monitorování integrity souborů pomocí MMA ručně.

1. Odeberte řešení Azure ChangeTracking z pracovního prostoru služby Log Analytics.

   Po odebrání se neshromažďují žádné nové události monitorování integrity souborů. Historické události zůstávají uložené v příslušném pracovním prostoru služby Log Analytics v části Change Tracking v ConfigurationChange tabulce. Události se ukládají v souladu s nastavením uchovávání dat pracovního prostoru.

2. Pokud už mma na počítačích nepotřebujete, můžete zakázat použití agenta Log Analytics.

   • Pokud agenta nepotřebujete na žádných počítačích, vypněte automatické zřizování agentů v předplatném.
   • Pro konkrétní počítač odeberte agenta pomocí nástroje zjišťování a odebrání služby Azure Monitor.

Migrace z AMA

Při migraci z monitorování integrity souborů pomocí AMA postupujte podle těchto pokynů.

1. Odeberte související pravidla shromažďování dat sledování změn souborů (DCR).

2. Postupujte podle pokynů v rutině Remove-AzDataCollectionRuleAssociation a Remove-AzDataCollectionRule.

   Po odebrání se neshromažďují žádné nové události monitorování integrity souborů. Historické události zůstávají uložené v příslušném pracovním prostoru pod tabulkou ConfigurationChange v části Change Tracking. Události se ukládají v souladu s nastavením uchovávání dat pracovního prostoru.

Pokud chcete dál používat AMA ke zpracování událostí monitorování integrity souborů, můžete se pomocí tohoto dotazu ručně připojit k příslušnému pracovnímu prostoru a zobrazit změny v tabulce Change Tracking .

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Pokud chcete pokračovat v onboardingu nového oboru nebo konfiguraci pravidel monitorování, musíte ručně pracovat s pravidly shromažďování dat a přizpůsobit shromažďování dat.

Další kroky

Zkontrolujte změny monitorování integrity souborů.