Udostępnij za pośrednictwem


Migrowanie do monitorowania integralności plików za pomocą usługi Defender for Endpoint

W usłudze Defender for Servers Plan 2 w Microsoft Defender dla Chmury funkcja monitorowania integralności plików pomaga zapewnić bezpieczeństwo zasobów i zasobów przedsiębiorstwa przez skanowanie i analizowanie plików oraz porównywanie ich bieżącego stanu z poprzednimi skanowaniami.

Monitorowanie integralności plików używa agenta Ochrona punktu końcowego w usłudze Microsoft Defender do zbierania danych z maszyn zgodnie z regułami zbierania. Usługa Defender for Endpoint jest domyślnie zintegrowana z Defender dla Chmury.

Wymagania wstępne

  • Usługa Defender for Servers (plan 2) musi być włączona.
  • Monitorowanie integralności plików jest obecnie włączone przy użyciu starszej metody
  • Użycie migracji w produkcie wymaga uprawnień administratora zabezpieczeń w subskrypcji docelowej i uprawnień właściciela w docelowym obszarze roboczym usługi Log Analytics.
  • Maszyny chronione przez usługę Defender for Servers (plan 2) powinny uruchamiać agenta usługi Defender for Endpoint. Jeśli chcesz sprawdzić stan agenta na maszynach w środowisku, użyj tego skoroszytu .
  • Narzędzie migracji można uruchomić tylko raz dla subskrypcji. Nie można uruchomić go ponownie, aby przeprowadzić migrację reguł z dodatkowych lub wielu obszarów roboczych w tej samej subskrypcji.

Migrowanie z programu FIM za pośrednictwem programu MMA

Poprzednie wersje monitorowania integralności plików używały agenta usługi Log Analytics (znanego również jako agent monitorowania firmy Microsoft (MMA) lub agenta usługi Azure Monitor (AMA) do zbierania danych.

Jeśli nie używasz poprzedniej wersji monitorowania integralności plików, możesz dołączyć bezpośrednio do monitorowania integralności plików przy użyciu agenta usługi Defender for Endpoint.

Jeśli masz poprzednią wersję monitorowania integralności plików, możesz przeprowadzić migrację do nowej wersji przy użyciu środowiska migracji w produkcie w celu bezproblemowej migracji.

Możesz też włączyć monitorowanie integralności plików za pomocą usługi Defender dla punktu końcowego, a następnie usunąć monitorowanie integralności plików przy użyciu starszego agenta.

W przypadku korzystania z narzędzia do migracji produktu można wykonywać następujące czynności:

  • Przed migracją przejrzyj bieżące środowisko/stan.
  • Eksportuj bieżące reguły monitorowania integralności plików, które używają programu MMA i znajdują się w obszarze roboczym usługi Log Analytics.
  • Przeprowadź migrację do nowego środowiska, jeśli usługa Defender for Servers (plan 2) jest włączona.

Należy pamiętać, że:

  • Narzędzie umożliwia przeniesienie istniejących reguł monitorowania do nowego środowiska.
  • Nie można migrować niestandardowych i starszych wbudowanych reguł, które nie są częścią nowego środowiska, ale można je wyeksportować do pliku JSON.
  • Narzędzie do migracji zawiera listę wszystkich maszyn w subskrypcji, a nie wszystkich maszyn, które zostały rzeczywiście dołączone do monitorowania integralności plików za pomocą programu MMA.
    • Starsza wersja wymaga programu MMA połączonego z obszarem roboczym usługi Log Analytics. Oznaczało to, że maszyny chronione przez usługę Defender for Servers Plan 2, ale nie były uruchomione mma, nie skorzystały z monitorowania integralności plików.
    • Dzięki nowe środowiskom wszystkie maszyny w zakresie włączania korzystają z monitorowania integralności plików.
  • Mimo że nowe środowisko nie wymaga agenta MMA, należy określić źródłowy i docelowy obszar roboczy w narzędziu migracji.
    • Źródłem jest obszar roboczy, z którego chcesz przenieść istniejące reguły do nowego środowiska.
    • Elementem docelowym jest obszar roboczy, w którym dzienniki zmian będą zapisywane podczas zmiany monitorowanych plików i rejestrów.
  • Po włączeniu nowego środowiska w ramach subskrypcji maszyny w zakresie włączania są objęte tymi samymi regułami monitorowania integralności plików.
  • Jeśli chcesz wykluczyć poszczególne maszyny z monitorowania integralności plików, możesz obniżyć jej poziom do planu 1 usługi Defender for Servers, włączając usługę Defender for Servers na poziomie zasobu.

Migrowanie za pomocą środowiska produktu

  1. W Defender dla Chmury >Ochrona obciążeń otwórz pozycję Monitorowanie integralności plików.

  2. W komunikacie baneru wybierz pozycję Kliknij tutaj, aby przeprowadzić migrację środowisk.

    Zrzut ekranu przedstawiający przycisk migracji na banerze Defender dla Chmury.

  3. Na stronie Przygotowywanie środowisk do wycofania programu MMA rozpocznij migrację.

  4. Na karcie Migrowanie do nowej wersji programu FIM w obszarze Migrowanie do nowej wersji programu FIM za pośrednictwem rozwiązania MDE wybierz pozycję Podejmij akcję.

    Zrzut ekranu przedstawiający przycisk Wykonaj akcję na banerze Defender dla Chmury.

  5. Na karcie Migrowanie do nowej karty programu FIM można wyświetlić wszystkie subskrypcje hostujące maszyny z włączonym starszym monitorowaniem integralności plików.

    • Łączna liczba maszyn w subskrypcji pokazuje wszystkie maszyny wirtualne platformy Azure i maszyny wirtualne z obsługą usługi Azure Arc w ramach subskrypcji.
    • Maszyny skonfigurowane dla programu FIM pokazują liczbę maszyn z włączonym starszym monitorowaniem integralności plików.
  6. W kolumnie Akcja obok każdej subskrypcji wybierz pozycję Migruj.

  7. W obszarze Aktualizacja subskrypcji>Przejrzyj maszyny subskrypcji zostanie wyświetlona lista maszyn, na których włączono starsze monitorowanie integralności plików oraz powiązany z nimi obszar roboczy usługi Log Analytics. Wybierz Dalej.

  8. Na karcie Ustawienia migracji wybierz obszar roboczy jako źródło migracji.

  9. Przejrzyj konfigurację obszaru roboczego, w tym rejestr systemu Windows i pliki systemu Windows/Linux. Istnieje wskazanie, czy można migrować ustawienia i pliki.

  10. Jeśli masz pliki i ustawienia, których nie można migrować, możesz wybrać pozycję Zapisz ustawienia obszaru roboczego jako plik.

  11. W obszarze Wybierz docelowy obszar roboczy do przechowywania danych programu FIM określ obszar roboczy usługi Log Analytics, w którym chcesz przechowywać zmiany przy użyciu nowego środowiska monitorowania integralności plików. Możesz użyć tego samego obszaru roboczego lub wybrać inny raz.

  12. Wybierz Dalej.

  13. Na karcie Przeglądanie i zatwierdzanie przejrzyj podsumowanie migracji. Wybierz pozycję Migruj , aby rozpocząć proces migracji.

Po zakończeniu migracji subskrypcja zostanie usunięta z kreatora migracji i zostaną zastosowane reguły monitorowania integralności plików zmigrowanych.

Wyłączanie starszego rozwiązania MMA

Postępuj zgodnie z tymi instrukcjami, aby ręcznie wyłączyć monitorowanie integralności plików przy użyciu programu MMA.

  1. Usuń rozwiązanie Azure ChangeTracking z obszaru roboczego usługi Log Analytics.

    Po usunięciu nie są zbierane żadne nowe zdarzenia monitorowania integralności plików. Zdarzenia historyczne pozostają przechowywane w odpowiednim obszarze roboczym usługi Log Analytics w sekcji Śledzenie zmian w ConfigurationChange tabeli. Zdarzenia są przechowywane zgodnie z ustawieniami przechowywania danych obszaru roboczego.

  2. Jeśli nie potrzebujesz już mma na maszynach, możesz wyłączyć korzystanie z agenta usługi Log Analytics.

    • Jeśli nie potrzebujesz agenta na żadnych maszynach, wyłącz automatyczną aprowizację agenta w subskrypcji.
    • W przypadku określonej maszyny usuń agenta przy użyciu narzędzia odnajdywania i usuwania usługi Azure Monitor.

Migrowanie z programu FIM za pośrednictwem usługi AMA

Postępuj zgodnie z tymi instrukcjami, aby przeprowadzić migrację z monitorowania integralności plików przy użyciu usługi AMA.

  1. Usuń rozwiązanie Azure ChangeTracking z obszaru roboczego usługi Log Analytics.

  2. Alternatywnie można usunąć powiązane reguły zbierania danych śledzenia zmian plików (DCR). W tym celu postępuj zgodnie z instrukcjami w temacie Remove-AzDataCollectionRuleAssociation i Remove-AzDataCollectionRule.

    Po usunięciu nie są zbierane żadne nowe zdarzenia monitorowania integralności plików. Zdarzenia historyczne pozostają przechowywane w odpowiednim obszarze roboczym w tabeli ConfigurationChange w sekcji Śledzenie zmian. Zdarzenia są przechowywane zgodnie z ustawieniami przechowywania danych obszaru roboczego.

Jeśli chcesz nadal używać usługi AMA do korzystania ze zdarzeń monitorowania integralności plików, możesz ręcznie nawiązać połączenie z odpowiednim obszarem roboczym i wyświetlić zmiany w tabeli Change Tracking za pomocą tego zapytania.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Aby kontynuować dołączanie nowego zakresu lub konfigurowanie reguł monitorowania, należy ręcznie pracować z regułami zbierania danych i dostosowywać zbieranie danych.

Następne kroki

Przejrzyj zmiany w monitorowaniu integralności plików.