Migreren naar bewaking van bestandsintegriteit met Defender voor Eindpunt

Bewaking van bestandsintegriteit in Defender for Servers Plan 2 maakt gebruik van de Microsoft Defender voor Eindpunt-agent voor het verzamelen van gegevens van computers, in overeenstemming met verzamelingsregels.

De vorige versie van de bewaking van bestandsintegriteit heeft de Log Analytics-agent (ook wel bekend als de Microsoft Monitoring Agent (MMA)) of de Azure Monitor-agent (AMA) gebruikt voor het verzamelen van gegevens. In dit artikel wordt beschreven hoe u eerdere MMA- en AMA-versies naar de nieuwe versie migreert.

Vereisten

• Defender for Servers Plan 2 moet zijn ingeschakeld voor het gebruik van bewaking van bestandsintegriteit.
• Migratie is relevant wanneer bewaking van bestandsintegriteit momenteel is ingeschakeld met behulp van de MMA of AMA.
• Machines die worden beveiligd door Defender for Servers Plan 2, moeten de Defender for Endpoint-agent uitvoeren. Als u de agentstatus op computers in uw omgeving wilt controleren, gebruikt u deze werkmap om dat te doen.

Migreren van MMA

Als u een eerdere versie van de bewaking van bestandsintegriteit hebt met behulp van de MMA, kunt u migreren met behulp van de migratie-ervaring in het product. Met behulp van de productervaring kunt u het volgende doen:

• Controleer de huidige omgeving/status voordat u migreert.
• Exporteer de huidige bewakingsregels voor bestandsintegriteit die gebruikmaken van MMA en bevinden zich in een Log Analytics-werkruimte.
• Migreren naar de nieuwe ervaring als Defender for Servers Plan 2 is ingeschakeld.

Voordat u begint

Opmerking:

• U kunt het migratiehulpprogramma slechts eenmaal uitvoeren voor een abonnement. U kunt deze niet opnieuw uitvoeren om regels te migreren vanuit extra of meerdere werkruimten in hetzelfde abonnement.
• • Voor het gebruik van de in-productmigratie zijn beveiligingsbeheerdersmachtigingen voor het doelabonnement en eigenaarsmachtigingen voor de Log Analytics-doelwerkruimte vereist.
• Met het hulpprogramma kunt u bestaande bewakingsregels overbrengen naar de nieuwe ervaring.
• Aangepaste en verouderde ingebouwde regels die geen deel uitmaken van de nieuwe ervaring, kunnen niet worden gemigreerd, maar u kunt ze exporteren naar een JSON-bestand.
• Het migratiehulpprogramma bevat alle machines in een abonnement en niet alle computers die daadwerkelijk zijn onboarding uitgevoerd voor bewaking van bestandsintegriteit met MMA.
  • Voor de verouderde versie is MMA vereist die is verbonden met de Log Analytics-werkruimte. Dit betekende dat machines die zijn beveiligd door Defender for Servers Plan 2, maar dat de MMA niet werd uitgevoerd, niet profiteerde van bewaking van bestandsintegriteit.
  • Met de nieuwe ervaring profiteren alle machines in het enable-bereik van bewaking van bestandsintegriteit.
• Hoewel de nieuwe ervaring geen MMA-agent nodig heeft, moet u een bron- en doelwerkruimte opgeven in het migratiehulpprogramma.
  • De bron is de werkruimte waaruit u bestaande regels wilt overdragen naar de nieuwe ervaring.
  • Het doel is de werkruimte waarnaar wijzigingslogboeken worden geschreven wanneer bewaakte bestanden en registers worden gewijzigd.
• Nadat de nieuwe ervaring is ingeschakeld voor een abonnement, vallen computers in het ingeschakelde bereik allemaal onder dezelfde regels voor bewaking van bestandsintegriteit.
• Als u afzonderlijke computers wilt uitsluiten van bewaking van bestandsintegriteit, kunt u ze downgraden naar Defender for Servers Plan 1 door Defender for Servers in te schakelen op resourceniveau.

Migreren met de productervaring

1. Open in Defender voor Cloud> Workloadbeveiliging bewaking van bestandsintegriteit.

2. Selecteer in het bannerbericht klik hier om uw omgevingen te migreren.

   

3. Start de migratie op de pagina Uw omgevingen voorbereiden op MMA-afschaffing .

4. Selecteer op het tabblad Migreren naar het nieuwe FIM, onder Migreren naar de nieuwe versie van FIM via MDE, Actie ondernemen.

   

5. In Migreren naar het nieuwe FIM-tabblad ziet u alle abonnementen waarop machines worden gehost waarvoor bewaking van verouderde bestandsintegriteit is ingeschakeld.

   • Totaal aantal machines in het abonnement toont alle virtuele Azure-machines en virtuele machines met Azure Arc in het abonnement.
   • Machines die zijn geconfigureerd voor FIM tonen het aantal machines waarop bewaking van verouderde bestandsintegriteit is ingeschakeld.

6. Selecteer Migreren in de kolom Actie naast elk abonnement.

7. In Update subscription>Review machines van het abonnement ziet u een lijst met de computers waarvoor verouderde bewaking van bestandsintegriteit is ingeschakeld en de bijbehorende Log Analytics-werkruimte. Selecteer Volgende.

8. Selecteer op het tabblad Instellingen migreren een werkruimte als de migratiebron.

9. Controleer de werkruimteconfiguratie, inclusief het Windows-register en Windows/Linux-bestanden. Er is een indicatie of instellingen en bestanden kunnen worden gemigreerd.

10. Als u bestanden en instellingen hebt die niet kunnen worden gemigreerd, kunt u werkruimte-instellingen opslaan als bestand selecteren.

11. Geef onder Doelwerkruimte kiezen voor het opslaan van FIM-gegevens de Log Analytics-werkruimte op waarin u wijzigingen wilt opslaan met de nieuwe bewakingservaring voor bestandsintegriteit. U kunt dezelfde werkruimte gebruiken of één keer een andere werkruimte selecteren.

12. Selecteer Volgende.

13. Bekijk op het tabblad Controleren en goedkeuren de migratiesamenvatting. Selecteer Migreren om het migratieproces te starten.

Nadat de migratie is voltooid, wordt het abonnement verwijderd uit de migratiewizard en worden gemigreerde bewakingsregels voor bestandsintegriteit toegepast.

De verouderde MMA-oplossing uitschakelen

Volg deze instructies om bewaking van bestandsintegriteit handmatig uit te schakelen met behulp van MMA.

1. Verwijder de Azure ChangeTracking-oplossing uit de Log Analytics-werkruimte.

   Na het verwijderen worden er geen nieuwe bewakingsactiviteiten voor bestandsintegriteit verzameld. Historische gebeurtenissen blijven opgeslagen in de relevante Log Analytics-werkruimte onder de sectie Wijzigingen bijhouden in de ConfigurationChange tabel. Gebeurtenissen worden opgeslagen in overeenstemming met de bewaarinstellingen voor werkruimtegegevens.

2. Als u de MMA niet meer nodig hebt op computers, kunt u het gebruik van de Log Analytics-agent uitschakelen.

   • Als u de agent niet nodig hebt op computers, schakelt u automatische agentinrichting uit in het abonnement.
   • Voor een specifieke computer verwijdert u de agent met behulp van het hulpprogramma detectie en verwijdering van Azure Monitor.

Migreren vanuit AMA

Volg deze instructies om te migreren van bewaking van bestandsintegriteit met behulp van de AMA.

1. Verwijder de gerelateerde regels voor het bijhouden van wijzigingen bijhouden van gegevens (DCR).

2. Volg hiervoor de instructies in Remove-AzDataCollectionRuleAssociation en Remove-AzDataCollectionRule.

   Na het verwijderen worden er geen nieuwe bewakingsactiviteiten voor bestandsintegriteit verzameld. Historische gebeurtenissen blijven opgeslagen in de relevante werkruimte onder de tabel ConfigurationChange onder de sectie Wijzigingen bijhouden. Gebeurtenissen worden opgeslagen in overeenstemming met de bewaarinstellingen voor werkruimtegegevens.

Als u de AMA wilt blijven gebruiken om bewakingsactiviteiten voor bestandsintegriteit te gebruiken, kunt u handmatig verbinding maken met de relevante werkruimte en wijzigingen in de Wijzigingen bijhouden tabel weergeven met deze query.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Als u wilt doorgaan met het onboarden van nieuw bereik of het configureren van bewakingsregels, moet u handmatig werken met regels voor gegevensverzameling en gegevensverzameling aanpassen.

Volgende stappen

Controleer de wijzigingen in de bewaking van bestandsintegriteit.