Freigeben über

Migrieren der Dateiintegritätsüberwachung aus früheren Versionen

  • Artikel

Microsoft Defender for Servers Plan 2 bietet jetzt eine neue Lösung für die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM), die von der Microsoft Defender for Endpoint (MDE) unterstützt wird.

Wenn Sie die vorherigen Versionen von FIM nicht verwenden, können Sie die neue FIM-Lösung direkt integrieren. Weitere Informationen finden Sie unter Aktivieren der Dateiintegritätsüberwachung mit Microsoft Defender for Endpoint.

Migrieren von FIM über MMA

Tipp

Damit Sie Ihre vorherigen Überwachungsregeln aus der MMA-basierten FIM nahtlos zur neuen FIM-Version unterstützt von Defender for Endpoint migrieren können, haben wir eine produktinterne Migrationserfahrung eingeführt, auf die über das FIM-Verwaltungsblatt zugegriffen werden kann.   Mit dieser Migrationserfahrung können Sie die aktuellen Umgebungen mit aktivierter Legacy-FIM überprüfen, Ihre älteren FIM-Regeln exportieren und zur neuen Dateiintegritätsüberwachung für Abonnements, für die Defender for Servers Plan 2 aktiviert ist, migrieren. Erfahren Sie mehr über die Verwendung der FIM-Migrationserfahrung. Sie können sich auch dafür entscheiden, FIM über MDE zu aktivieren und dann FIM über MMA zu entfernen, indem Sie die folgenden Anweisungen befolgen.

Wenn Sie die Dateiintegritätsüberwachung (FIM) über Microsoft Monitoring Agent (MMA) verwenden, können Sie zur neuen FIM-Lösung migrieren, die von Microsoft Defender for Endpoint unterstützt wird. Führen Sie folgende Schritte aus:

  1. Um FIM über MMA zu deaktivieren, entfernen Sie die Azure-Lösung zur Änderungsnachverfolgung. Weitere Informationen finden Sie unter Entfernen der ChangeTracking-Lösung.

  2. Nachdem Sie die Dateiereignisssammlungen deaktiviert haben, werden keine neuen Ereignisse mehr für die ausgewählten Bereiche erfasst. Die bereits gesammelten historischen Ereignisse bleiben im relevanten Arbeitsbereich unter der Tabelle ConfigurationChange im Abschnitt „Änderungsnachverfolgung“ gespeichert. Diese Ereignisse bleiben im relevanten Arbeitsbereich gemäß dem in diesem Arbeitsbereich definierten Aufbewahrungszeitraum verfügbar. Weitere Informationen finden Sie unter Verwalten von Datenaufbewahrung in einem Log Analytics-Arbeitsbereich.

Hinweis

Wenn Sie den älteren Log Analytics-Agent nicht mehr benötigen, stellen Sie sicher, dass Sie ihn aus Ihren Umgebungen entfernen. Deaktivieren Sie dazu unbedingt die automatische Bereitstellung des Agents in den Abonnementeinstellungen, und verwenden Sie dann das Azure Monitor-Hilfsprogramm, um den Log Analytics-Agent zu ermitteln und von Ihren Computern zu entfernen.

Migrieren von FIM über AMA

Wenn Sie die Dateiintegritätsüberwachung (FIM) über Azure Monitor Agent (AMA) verwenden, können Sie zur neuen FIM-Lösung unterstützt von Microsoft Defender for Endpoint migrieren. Führen Sie folgende Schritte aus:

  1. Da das Onboarding neuer Abonnements oder Server zu FIM auf der Basis von AMA und der Erweiterung zur Änderungsverfolgung sowie die Anzeige von Änderungen nicht mehr über das Defender for Cloud-Portal verfügbar sind, müssen Sie Ihre Prozesse entsprechend anpassen.

  2. Wenn Sie die von AMA gesammelten FIM-Ereignisse weiterhin nutzen möchten, können Sie manuell eine Verbindung mit dem entsprechenden Arbeitsbereich herstellen und mit der folgenden Abfrage Änderungen in der Tabelle „Änderungsnachverfolgung“ anzeigen:

    ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

  3. Wenn Sie das Onboarding neuer Bereiche fortsetzen oder Überwachungsregeln konfigurieren möchten, können Sie Datenverbindungsregeln manuell verwenden, um verschiedene Aspekte der Datensammlung zu konfigurieren oder anzupassen.

FIM über AMA deaktivieren

Es wird empfohlen, FIM über AMA zu deaktivieren und die neue FIM-Lösung zu verwenden, die von Microsoft Defender for Endpoint unterstützt wird. Führen Sie die folgenden Schritte aus, um FIM über AMA zu deaktivieren:

  1. Entfernen Sie die zugehörigen Datensammlungsregeln (Data Collection Rules, DCR) der Dateiänderungsnachverfolgung. Weitere Informationen finden Sie in den Anweisungen unter Remove-AzDataCollectionRuleAssociation und Remove-AzDataCollectionRule.
  2. Nachdem Sie die Dateiereignisssammlungen deaktiviert haben, werden keine neuen Ereignisse mehr für die ausgewählten Bereiche erfasst. Die bereits gesammelten historischen Ereignisse bleiben im relevanten Arbeitsbereich unter der Tabelle ConfigurationChange im Abschnitt „Änderungsnachverfolgung“ gespeichert. Diese Ereignisse bleiben im relevanten Arbeitsbereich gemäß dem in diesem Arbeitsbereich definierten Aufbewahrungszeitraum verfügbar. Weitere Informationen finden Sie unter Verwalten von Datenaufbewahrung in einem Log Analytics-Arbeitsbereich.

Nächste Schritte