Migration zur Dateiintegritätsüberwachung mit Defender for Endpoint

In Defender for Servers-Plan 2 in Microsoft Defender for Cloud trägt die Funktion zur Überwachung der Dateiintegrität durch Scannen und Analysieren von Dateien und Vergleichen ihres aktuellen Zustands mit früheren Scans zur Sicherheit von Unternehmensressourcen bei.

Die Dateiintegritätsüberwachung verwendet den Microsoft Defender for Endpoint-Agenten, um Daten von Computern gemäß Sammlungsregeln zu sammeln. Defender for Endpoint ist standardmäßig in Defender for Cloud integriert.

Voraussetzungen

• Defender for Servers-Plan 2 muss aktiviert sein.
• Die Dateiintegritätsüberwachung ist zurzeit mit einer Legacymethode aktiviert.
• Zur Verwendung der produktinternen Migration benötigen Sie die Berechtigung Sicherheitsadmin für das Zielabonnement und die Berechtigung Besitzer für den Zielarbeitsbereich von Log Analytics.
• Auf Computern, die durch Defender for Servers-Plan 2 geschützt sind, sollte der Defender for Endpoint-Agent ausgeführt werden. Den Agentstatus auf Computern in Ihrer Umgebung können Sie mit dieser Arbeitsmappe überprüfen.
• Sie können das Migrationstool nur einmal für ein Abonnement ausführen. Sie können es nicht noch einmal ausführen, um Regeln aus zusätzlichen oder mehreren Arbeitsbereichen desselben Abonnements zu migrieren.

Migrieren von FIM über MMA

Frühere Versionen der Dateiintegritätsüberwachung verwendeten den Log Analytics Agent (auch bekannt als Microsoft Monitoring Agent (MMA)) oder den Azure Monitor Agent (AMA), um Daten zu sammeln.

Wenn Sie keine frühere Version der Dateiintegritätsüberwachung verwenden, können Sie mit dem Defender for Endpoint-Agent direkt in die Dateiintegritätsüberwachung integrieren.

Wenn Sie eine frühere Version der Dateiintegritätsüberwachung verwenden, können Sie auf die neue Version migrieren, indem Sie die produktinterne Migrationsfunktion für eine nahtlose Migration nutzen.

Alternativ können Sie die Dateiintegritätsüberwachung mit Defender for Endpoint aktivieren und dann die Dateiintegritätsüberwachung mit einem älteren Agent entfernen.

Mit dem produktinternen Migrationstool können Sie Folgendes tun:

• Überprüfen der aktuellen Umgebung/des aktuellen Zustands vor der Migration
• Exportieren der aktuellen Regeln zur Überwachung der Dateiintegrität, die MMA verwenden und sich in einem Log Analytics-Arbeitsbereich befinden
• Migrieren auf die neue Oberfläche, wenn Defender for Servers-Plan 2 aktiviert ist

Beachten Sie dabei Folgendes:

• Mit dem Tool können Sie bestehende Überwachungsregeln auf die neue Oberfläche übertragen.
• Benutzerdefinierte und ältere integrierte Regeln, die nicht Teil der neuen Oberfläche sind, können nicht migriert werden, aber Sie können sie in eine JSON-Datei exportieren.
• Das Migrationstool listet alle Computer in einem Abonnement auf, und nicht alle Computer, die tatsächlich in die Dateiintegritätsüberwachung mit MMA eingebunden wurden.
  • Die Legacy-Version erforderte eine Verbindung von MMA mit dem Log Analytics-Arbeitsbereich. Dies bedeutete, dass Computer, die durch Defender for Servers-Plan 2 geschützt waren, aber nicht die MMA ausgeführt haben, nicht von der Überwachung der Dateiintegrität profitierten.
  • Mit der neuen Oberfläche profitieren alle Computer im Aktivierungsbereich von der Dateiintegritätsüberwachung.
• Obwohl die neue Oberfläche keinen MMA-Agent benötigt, müssen Sie im Migrationstool einen Quell- und Zielarbeitsbereich angeben.
  • Die Quelle ist der Arbeitsbereich, aus dem Sie bestehende Regeln in die neue Oberfläche übertragen möchten.
  • Das Ziel ist der Arbeitsbereich, in den die Änderungsprotokolle geschrieben werden, wenn sich überwachte Dateien und Registrierungen ändern.
• Nachdem die neue Oberfläche für ein Abonnement aktiviert wurde, gelten für alle Computer im Aktivierungsbereich dieselben Regeln zur Dateiintegritätsüberwachung.
• Wenn Sie einzelne Computer von der Überwachung der Dateiintegrität ausnehmen möchten, können Sie einige davon auf Defender for Servers-Plan 1 herunterstufen, indem Sie Defender for Servers auf Ressourcenebene aktivieren.

Migrieren mit der produktinternen Oberfläche

1. Öffnen Sie in Defender for Cloud >Workloadschutz Dateiintegritätsüberwachung.

2. Wählen Sie in der Bannermeldung Hier klicken, um Ihre Umgebungen zu migrieren.

   

3. Starten Sie auf der Seite Vorbereitung Ihrer Umgebungen auf die Einstellung von MMA die Migration.

4. Wählen Sie auf der Registerkarte Migrieren zur neuen FIM unter Zur neuen Version von FIM über MDE migrieren Jetzt handeln aus.

   

5. In der Registerkarte Migrieren zur neuen FIM finden Sie alle Abonnements, die Computer hosten, auf denen die Legacy-Dateiintegritätsüberwachung aktiviert ist.

   • Gesamtzahl der Computer im Abonnement zeigt alle Azure-VMs und Azure Arc-fähigen VMs im Abonnement an.
   • Computer, die für FIM konfiguriert sind zeigt die Anzahl der Computer an, auf denen die Legacy-Dateiintegritätsüberwachung aktiviert ist.

6. Wählen Sie in der Spalte Aktion neben jedem Abonnement Migrieren aus.

7. In Abonnement aktualisieren>Überprüfen von Computern des Abonnements wird eine Liste der Computer angezeigt, auf denen die Legacy-Dateiintegritätsüberwachung aktiviert ist, und der zugehörige Log Analytics-Arbeitsbereich. Wählen Sie Weiter aus.

8. Wählen Sie auf der Registerkarte Migrationseinstellungen einen Arbeitsbereich als Migrationsquelle aus.

9. Überprüfen Sie die Konfiguration des Arbeitsbereichs, einschließlich der Windows-Registrierung und der Windows/Linux-Dateien. Es gibt einen Hinweis, ob Einstellungen und Dateien migriert werden können.

10. Wenn Sie Dateien und Einstellungen haben, die nicht migriert werden können, können Sie die Option Arbeitsbereichseinstellungen als Datei speichern auswählen.

11. Geben Sie unter Auswahl des Zielarbeitsbereichs für FIM-Datenspeicherung den Log Analytics-Arbeitsbereich an, in dem Sie Änderungen mit der neuen Erfahrung der Dateiintegritätsüberwachung speichern möchten. Sie können denselben Arbeitsbereich verwenden oder einen anderen auswählen.

12. Wählen Sie Weiter aus.

13. Überprüfen Sie auf der Registerkarte Überprüfen und Genehmigen die Zusammenfassung der Migration. Wählen Sie Migrieren aus, um den Migrationsvorgang zu starten.

Nach Abschluss der Migration wird das Abonnement aus dem Migrationsassistenten entfernt und die Regeln zur Überwachung der Integrität der migrierten Dateien werden angewendet.

Deaktivieren der älteren MMA-Lösung

Befolgen Sie diese Anweisungen, um die Überwachung der Dateiintegrität mit MMA manuell zu deaktivieren.

1. Entfernen Sie die Azure ChangeTracking-Lösung aus dem Log Analytics-Arbeitsbereich.

   Nachdem Sie die Überwachung der Dateiintegrität deaktiviert haben, werden keine neuen Events der Dateiintegritätsüberwachung mehr erfasst. Historische Ereignisse bleiben in dem entsprechenden Log Analytics-Arbeitsbereich im Abschnitt Änderungsverfolgung in der Tabelle ConfigurationChange gespeichert. Ereignisse werden gemäß den Einstellungen für die Datenspeicherung im Arbeitsbereich gespeichert.

2. Wenn Sie die MMA auf den Computern nicht mehr benötigen, können Sie die Verwendung des Log Analytics-Agents deaktivieren.

   • Wenn Sie den Agent auf keinem Computer benötigen, schalten Sie die automatische Bereitstellung des Agent im Abonnement aus.
   • Für einen bestimmten Computer entfernen Sie den Agent mit dem Azure Monitor Discovery and Removal-Hilfsprogramm.

Migrieren von FIM über AMA

Folgen Sie diesen Anweisungen, um von der Dateiintegritätsüberwachung mit dem AMA zu migrieren.

1. Entfernen Sie die Azure ChangeTracking-Lösung aus dem Log Analytics-Arbeitsbereich.

2. Alternativ können Sie die zugehörigen Datensammlungsregeln (Data Collection Rules, DCR) zur Verfolgung von Dateiänderungen entfernen. Folgen Sie dazu den Anweisungen unter Remove-AzDataCollectionRuleAssociation und Remove-AzDataCollectionRule.

   Nachdem Sie die Überwachung der Dateiintegrität deaktiviert haben, werden keine neuen Events der Dateiintegritätsüberwachung mehr erfasst. Historische Ereignisse bleiben in dem betreffenden Arbeitsbereich in der Tabelle ConfigurationChange im Abschnitt „Änderungsnachverfolgung“ gespeichert. Ereignisse werden gemäß den Einstellungen für die Datenspeicherung im Arbeitsbereich gespeichert.

Wenn Sie den AMA weiterhin verwenden möchten, um Ereignisse zur Überwachung der Dateiintegrität zu konsumieren, können Sie sich mit dem entsprechenden Arbeitsbereich verbinden und mit dieser Abfrage Änderungen in der Tabelle Änderungsnachverfolgung anzeigen.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Um mit dem Onboarding neuer Bereiche oder der Konfiguration von Überwachungsregeln fortzufahren, müssen Sie manuell mit Datenerfassungsregeln arbeiten und die Datenerfassung anpassen.

Nächste Schritte

Überprüfen Sie die Änderungen der Dateiintegritätsüberwachung.