Compartir vía

Migrar supervisión de integridad de archivos desde versiones anteriores

  • Artículo

El Plan 2 de Microsoft Defender para servidores ya ofrece una nueva solución de supervisión de integridad de archivos (FIM) con tecnología de Microsoft Defender para punto de conexión.

Si no usa las versiones anteriores de FIM, puede pasarse directamente a la nueva solución FIM. Para obtener más información, vea Habilitar la supervisión de integridad de archivos con Microsoft Defender para punto de conexión.

Migrar desde FIM a través de MMA

Sugerencia

Para ayudarle a migrar sin problemas el conjunto anterior de reglas de supervisión de FIM basado en MMA a la nueva versión de FIM con tecnología de Defender para punto de conexión, hemos introducido una experiencia de migración en el producto, que es accesible desde la hoja de administración de FIM.   Esta experiencia de migración le permite revisar los entornos actuales con la FIM heredada habilitada, exportar las reglas FIM heredadas y migrar a la nueva supervisión de integridad de archivos en suscripciones con el Defender para servidores Plan 2 habilitado. Obtenga más información sobre el uso de la experiencia de migración de FIM. También puede optar por habilitar la FIM sobre MDE y, a continuación, quitar la FIM sobre de MMA, siguiendo las instrucciones siguientes.

Si usa la supervisión de integridad de archivos (FIM) sobre Microsoft Monitoring Agent (MMA), puede migrar a la nueva solución FIM con tecnología de Microsoft Defender para punto de conexión. Siga estos pasos:

  1. Para deshabilitar la FIM a través del MMA, quite la solución Azure Change Tracking. Para obtener más información, consulte Quitar la solución ChangeTracking.

  2. Después de deshabilitar las colecciones de eventos de archivo, los nuevos eventos dejarán de recopilarse en los ámbitos seleccionados. Los eventos históricos que ya se recopilaron permanecen almacenados en el área de trabajo correspondiente en la tabla ConfigurationChange en la sección Change Tracking. Estos eventos permanecerán disponibles en el área de trabajo pertinente según el período de retención definido en esta área de trabajo. Para obtener más información, consulte Administración de la retención de datos en un área de trabajo de Log Analytics.

Nota:

Si ya no necesita el agente de Log Analytics heredado, asegúrese de quitarlo de los entornos. Para ello, asegúrese de deshabilitar el aprovisionamiento automático del agente desde la configuración de la suscripción y, a continuación, use la utilidad de Azure Monitor para detectar y quitar el agente de Log Analytics de las máquinas.

Migrar desde FIM a través de AMA

Si usa la supervisión de integridad de archivos (FIM) a través del Agente de Azure Monitor (AMA), puede migrar a la nueva solución FIM con tecnología de Microsoft Defender para punto de conexión. Siga estos pasos:

  1. Dado que la incorporación de nuevas suscripciones o servidores a la FIM basada en el AMA y la extensión de seguimiento de cambios, así como la visualización de los cambios, ya no estará disponible a través del portal de Defender for Cloud, debe ajustar los procesos en consecuencia.

  2. Si desea seguir consumiendo eventos de la FIM recopilados por el AMA, conéctese manualmente al área de trabajo pertinente y verá los cambios en la tabla Change Tracking mediante la consulta siguiente:

    ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

  3. Si desea seguir incorporando nuevos ámbitos o configurar reglas de supervisión, use manualmente Reglas de conexión de datos para configurar o personalizar varios aspectos de la recopilación de datos.

Deshabilitar FIM a través de AMA

Se recomienda deshabilitar FIM a través de AMA y usar la nueva solución FIM con tecnología de Microsoft Defender para punto de conexión. Para deshabilitar la FIM a través de AMA, siga estos pasos:

  1. Quite las reglas de recopilación de datos (DCR) de Change Tracking de archivos relacionadas. Para obtener más información, consulte las instrucciones de Remove-AzDataCollectionRuleAssociation y Remove-AzDataCollectionRule.
  2. Después de deshabilitar las colecciones de eventos de archivo, los nuevos eventos dejarán de recopilarse en los ámbitos seleccionados. Los eventos históricos que ya se recopilaron permanecen almacenados en el área de trabajo correspondiente en la tabla ConfigurationChange en la sección Change Tracking. Estos eventos permanecerán disponibles en el área de trabajo pertinente según el período de retención definido en esta área de trabajo. Para obtener más información, consulte Administración de la retención de datos en un área de trabajo de Log Analytics.

Pasos siguientes