Compartir vía


Habilitación de la supervisión de la integridad de los archivos al usar el agente de Azure Monitor

Para proporcionar la supervisión de la integridad de los archivos (FIM), el agente de Azure Monitor (AMA) recopila datos de las máquinas según las reglas de recopilación de datos. Cuando el estado actual de los archivos del sistema se compara con el estado durante el examen anterior, FIM le notifica las modificaciones sospechosas.

Nota:

Como parte de nuestra estrategia actualizada de Defender for Cloud, el agente de Azure Monitor ya no será necesario para recibir todas las funcionalidades de Defender para servidores. Todas las características que se basan actualmente en el agente de Azure Monitor, incluidas las descritas en esta página, estarán disponibles a través de Microsoft Defender para punto de conexión integración o análisis sin agente, antes de agosto de 2024. Para acceder a todas las funcionalidades de Defender para SQL Server en máquinas, se requiere el agente de supervisión de Azure (también conocido como AMA). Para obtener más información sobre el plan de desarrollo de características, vea este anuncio.

Supervisión de la integridad de los archivos con el agente de Azure Monitor ofrece:

  • Compatibilidad con el agente de supervisión unificado: compatible con el agente de Azure Monitor que mejora la seguridad, la confiabilidad y facilita la experiencia de hospedaje múltiple para almacenar datos.
  • Compatibilidad con la herramienta de seguimiento: compatible con la extensión Change Tracking (CT) implementada a través de Azure Policy en la máquina virtual del cliente. Puede cambiar al agente de Azure Monitor (AMA) y, a continuación, la extensión CT insertará el software, los archivos y el registro en AMA.
  • Incorporación simplificada: puede incorporar FIM desde Microsoft Defender for Cloud.
  • Experiencia de hospedaje múltiple: proporciona estandarización de la administración desde un área de trabajo central. Puede pasar de Log Analytics (LA) a AMA para que todas las máquinas virtuales apunten a una sola área de trabajo para la recopilación y el mantenimiento de datos.
  • Administración de reglas: usa reglas de recopilación de datos para configurar o personalizar varios aspectos de la recopilación de datos. Por ejemplo, puede cambiar la frecuencia de la recopilación de archivos.

En este artículo, aprenderá a:

Disponibilidad

Aspecto Detalles
Estado de la versión: Versión preliminar
Precios: Requiere el Plan 2 de Microsoft Defender para servidores.
Roles y permisos necesarios: Propietario
Colaborador
Nubes: Nubes comerciales: solo se admiten en las regiones: australiaeast, australiasoutheast, canadacentral, centralindia, centralus, eastasia, eastus2euap, eastus, eastus2, francecentral, japaneast, koreacentral, northcentralus, northeurope, southcentralus, southeastasia, switzerlandnorth, uksouth, westcentralus, westeurope, westus, westus2
Nacional (Azure Government, Microsoft Azure operado por 21Vianet)
Dispositivos habilitados para Azure Arc.
Cuentas de AWS conectadas
Cuentas de GCP conectadas

Requisitos previos

Para hacer un seguimiento de los cambios en los archivos de las máquinas con AMA:

Habilitación de la supervisión de la integridad de los archivos con AMA

Para habilitar la supervisión de la integridad de los archivos (FIM), use la recomendación de FIM a fin de seleccionar máquinas para supervisar:

  1. En la barra lateral de Microsoft Defender for Cloud, abra la página Recomendaciones.

  2. Seleccione la siguiente recomendación: La supervisión de la integridad de los archivos debe estar habilitada en las máquinas. Obtenga más información sobre las recomendaciones de Defender for Cloud.

  3. Seleccione las máquinas en las que desea usar la supervisión de integridad de los archivos, a continuación, Corregir y seleccione Corregir recursos X.

    La recomendación:

    • Instala la extensión ChangeTracking-Windows o ChangeTracking-Linux en las máquinas.
    • Genera una regla de recopilación de datos (DCR) para la suscripción denominada Microsoft-ChangeTracking-[subscriptionId]-default-dcr, que define qué archivos y registros se deben supervisar en función de la configuración predeterminada. La corrección asocia DCR a todas las máquinas de la suscripción que tienen AMA instalado y FIM habilitado.
    • Crea un área de trabajo de Log Analytics con la convención de nomenclatura defaultWorkspace-[subscriptionId]-fim y con la configuración predeterminada del área de trabajo.

    Puede actualizar la configuración del área de trabajo de DCR y Log Analytics más adelante.

  4. En la barra lateral de Defender for Cloud, vaya a Protección de cargas de trabajo>Supervisión de la integridad de los archivos y seleccione el banner para mostrar los resultados de las máquinas con el agente de Azure Monitor.

    Captura de pantalla del banner en la supervisión de la integridad de los archivos para mostrar los resultados de las máquinas con el agente de Azure Monitor.

  5. Se muestran las máquinas con la supervisión de integridad de los archivos habilitada.

    Captura de pantalla de los resultados de la supervisión de la integridad de los archivos para las máquinas con el agente de Azure Monitor.

    Puede ver el número de cambios hechos en los archivos de seguimiento y, para ver específicamente los que se hicieron en esa máquina, seleccione Ver cambios.

Edición de la lista de archivos de seguimiento y claves del Registro

La supervisión de la integridad de los archivos (FIM) para las máquinas con el agente de Azure Monitor usa reglas de recopilación de datos (DCR) para definir la lista de archivos y claves del Registro para hacer el seguimiento. Cada suscripción tiene una DCR para las máquinas de esa suscripción.

FIM crea DCR con una configuración predeterminada de archivos de seguimiento y claves del Registro. Puede editar las DCR para agregar, quitar o actualizar la lista de archivos y registros a los que FIM da seguimiento.

Para editar la lista de archivos de seguimiento y claves del Registro:

  1. En Supervisión de la integridad de los archivos, seleccione Reglas de recopilación de datos.

    Puede ver cada una de las reglas que se crearon para las suscripciones a las que tiene acceso.

  2. Seleccione la DCR que desea actualizar para una suscripción.

    Cada archivo de la lista de claves del Registro de Windows, archivos de Windows y archivos de Linux contiene una definición para un archivo o clave del Registro, incluido el nombre, la ruta de acceso y otras opciones. También puede establecer Habilitado en False para anular el seguimiento del archivo o la clave del Registro sin quitar la definición.

    Obtenga más información sobre las definiciones de la clave del registro y el archivo del sistema.

  3. Seleccione un archivo y agregue o edite la definición de la clave del Registro o el archivo.

  4. Seleccione Agregar para guardar los cambios.

Exclusión de máquinas de la supervisión de la integridad de los archivos

Se supervisa cada máquina de la suscripción asociada a la DCR. Puede desasociar una máquina de la DCR para que no se haga el seguimiento de los archivos y las claves del Registro.

Para excluir una máquina de la supervisión de la integridad de los archivos:

  1. En la lista de máquinas supervisadas en los resultados de FIM, seleccione el menú (...) de la máquina.
  2. Seleccione Detach data collection rule (Desasociar regla de recopilación de datos).

Captura de pantalla de la opción para separar una máquina de una regla de recopilación de datos y excluir las máquinas de la supervisión de la integridad de los archivos.

La máquina se mueve a la lista de máquinas no supervisadas y ya no se le hará un seguimiento de los cambios de archivo.

Pasos siguientes

Obtenga más información sobre Defender for Cloud en: