Compartilhar via


Visão geral do controle de alterações e inventário usando o Agente de Monitoramento do Azure

Importante

Este artigo explica a versão mais recente do suporte do controle de alterações usando o Agente de Monitoramento do Azure como um agente único para a coleta de dados.

Observação

O FIM (monitoramento de integridade de arquivos) usando o Microsoft Defender para Ponto de Extremidade (MDPE) já está disponível. Se você tiver o FIM configurado com AMA ou LA, siga as diretrizes para migrar de:

Matriz de suporte

Componente Aplicável ao
Sistemas operacionais Windows
Linux
Tipos de recurso VMs do Azure
VMs habilitadas para Azure Arc
Conjunto de dimensionamento de máquinas virtuais
Tipos de dados Registro do Windows
Serviços Windows
Daemons do Linux
Arquivos Windows
Linux

Principais benefícios

  • Compatibilidade com o agente de monitoramento unificado – compatível com o Agente do Azure Monitor que aprimora a segurança, a confiabilidade e facilita a experiência de hospedagem múltipla para armazenar dados.
  • Compatibilidade com a ferramenta de acompanhamento – compatível com a extensão CT (Controle de Alterações) implantada por meio do Azure Policy na máquina virtual do cliente. Você pode alternar para o AMA (Agente do Azure Monitor) e, em seguida, a extensão de CT efetua push do software, dos arquivos e do Registro para o AMA.
  • Experiência de hospedagem múltipla – fornece padronização do gerenciamento de um workspace central. Você pode fazer a transição do LA (Log Analytics) para AMA para que todas as VMs apontem para um único workspace para coleta e manutenção de dados.
  • Gerenciamento de regras – usa Regras de Coleta de Dados para configurar ou personalizar vários aspectos da coleta de dados. Por exemplo, você pode alterar a frequência da coleta de arquivos.

Limites

A tabela a seguir mostra os limites de itens controlados por computador para controle de alterações e inventário.

Recurso Limite Observações
Arquivo 500
Tamanho do arquivo 6 MB
Registro 250
Software do Windows 250 Não inclui as atualizações de software.
Pacotes do Linux 1\.250
Serviços Windows 250
Daemons do Linux 250

Sistemas operacionais compatíveis

O Controle de Alterações e Inventário tem suporte em todos os sistemas operacionais que atendem aos requisitos do agente do Azure Monitor. Consulte sistemas operacionais com suporte para obter uma lista das versões dos sistemas operacionais Windows e Linux com suporte do agente do Azure Monitor no momento.

Para entender os requisitos do cliente referentes ao TLS, confira TLS para a Automação do Azure.

Habilitar Controle de Alterações e Inventário

Você pode habilitar o Controle de Alterações e Inventário das seguintes formas:

Acompanhamento das alterações de arquivo

Para rastrear alterações em arquivos no Windows e no Linux, o Controle de Alterações e Inventário usa os hashes SHA256 dos arquivos. O recurso usa os hashes para detectar se foram feitas alterações desde o último inventário.

Acompanhamento das alterações de conteúdo do arquivo

O Controle de Alterações e Inventário permite exibir o conteúdo de um arquivo Windows ou Linux. Para cada alteração em um arquivo, o Controle de Alterações e Inventário armazena o conteúdo do arquivo em uma conta de Armazenamento do Azure. Quando estiver controlando um arquivo, você poderá exibir seu conteúdo antes ou depois de uma alteração. O conteúdo do arquivo pode ser exibido em linha ou lado a lado. Saiba mais.

Captura de tela da exibição de alterações em um arquivo do Windows ou do Linux.

Acompanhamento de chaves do Registro

O Controle de Alterações e Inventário permite o monitoramento de alterações nas chaves do Registro do Windows. O monitoramento permite identificar os pontos de extensibilidade em que código de terceiros e o malware podem ser ativados. A tabela a seguir lista as chaves do Registro pré-configuradas (mas não habilitadas). Para controlar essas chaves, é necessário habilitar cada uma delas.

Chave do Registro Finalidade
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Monitora scripts que são executados na inicialização.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Monitora scripts que são executados no desligamento.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Monitora as chaves que são carregadas antes que o usuário entre na conta do Windows. A chave é usada para aplicativos de 32 bits em execução em computadores de 64 bits.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Monitora as alterações nas configurações do aplicativo.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Monitora manipuladores do menu de contexto que comuns de inicialização automática que conectam-se diretamente ao Windows Explorer e geralmente são executadas no processo com o explorer.exe.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Monitora manipuladores do gancho de cópia que conectam-se diretamente ao Windows Explorer e geralmente são executadas no processo com o explorer.exe.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitores o registro do manipulador de sobreposição de ícone.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitora o registro do manipulador de sobreposição de ícone para aplicativos de 32 bits executados em computadores de 64 bits.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitora os novos plug-ins de objeto auxiliar de navegador para o Internet Explorer. Usado para acessar o modelo DOM (Modelo de Objeto do Documento) da página atual e para controlar a navegação.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitora os novos plug-ins de objeto auxiliar de navegador para o Internet Explorer. Usado para acessar o modelo DOM (Modelo de Objeto do Documento) da página atual e para controlar a navegação para aplicativos de 32 bits em execução em computadores de 64 bits.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions Monitora novas extensões do Internet Explorer, tais como menus de ferramentas personalizadas e botões da barra de ferramentas personalizada.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Monitora novas extensões do Internet Explorer, como menus de ferramentas personalizadas e botões de barra de ferramentas personalizada para aplicativos de 32 bits executados em computadores de 64 bits.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitora os drivers de 32 bits associados com wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc. Semelhante à seção [drivers] no arquivo system.ini.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitora os drivers de 32 bits associados com wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc para aplicativos de 32 bits executados em computadores de 64 bits. Semelhante à seção [drivers] no arquivo system.ini.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Monitora a lista de DLLs de sistema conhecidas ou comumente usadas. O monitoramento impede que pessoas explorem as permissões de diretório de aplicativo fracas via depósito de versões com cavalo de troia das DLLs do sistema.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Monitora a lista de pacotes que pode receber notificações de eventos do winlogon.exe, o modelo de suporte de logon interativo para o Windows.

Suporte à recursão

O Controle de Alterações e Inventário dá suporte à recursão, o que permite que você especifique curingas para simplificar o rastreamento em diretórios. A recursão também fornece variáveis de ambiente para permitir que você rastreie arquivos entre ambientes com nomes de unidade variados ou dinâmicos. A lista a seguir inclui informações comuns que você deve saber ao configurar a recursão:

  • Caracteres curinga são necessários para acompanhar vários arquivos.

  • Você pode usar caracteres curinga apenas no último segmento de um caminho, por exemplo, c:\folder\file* ou /etc/*.conf.

  • Se uma variável de ambiente tiver um caminho inválido, a validação terá êxito, mas o caminho falhará durante a execução.

  • Você deve evitar nomes de caminho gerais ao definir o caminho, pois esse tipo de configuração pode fazer muitas pastas serem percorridas.

Coleta de dados do Controle de Alterações e Inventário

A tabela a seguir mostra a frequência de coleta de dados para os tipos de alterações com suporte pelo Controle de Alterações e Inventário. Os logs de inventário serão preenchidos a cada 10 horas por padrão para todos os tipos de dados. Além disso, quando houver uma alteração registrada para qualquer um dos tipos de dados, os logs de inventário e alteração serão gerados para essa instância.

Alterar Tipo Frequência
Registro do Windows 50 minutos
Arquivo do Windows 30 a 40 minutos
Arquivo Linux 15 minutos
Serviços Windows 10 minutos a 30 minutos
Padrão: 30 minutos
Software do Windows 30 minutos
Software Linux 5 minutos
Daemons do Linux 5 minutos

A tabela a seguir mostra os limites de item controlados por máquina para Controle de Alterações e Inventário.

Recurso Limit
Arquivo 500
Registro 250
Software do Windows (sem incluir hotfixes) 250
Pacotes do Linux 1250
Serviços Windows 250
Daemons do Linux 500

Dados de serviços Windows

Pré-requisitos

Para habilitar o rastreio de dados dos Serviços do Windows, você deve atualizar a extensão de CT e usar a extensão 2.11.0.0 ou posterior

- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true

Configurar a frequência

A frequência da coleta padrão para os serviços do Windows é de 30 minutos. Para configurar a frequência,

  • em Editar configurações, use um controle deslizante na guia Serviços do Windows.

Captura de tela do controle deslizante de frequência.

Limitações atuais

O Controle de Alterações e Inventário que usa o Agente de Monitoramento do Azure não dá suporte ou tem as seguintes limitações:

  • Recursão para o rastreamento de registro do Windows
  • Sistemas de arquivos de rede
  • Métodos de instalação diferentes
  • Arquivos *.exe armazenados no Windows
  • Os valores e a coluna Tamanho máximo de arquivo não são utilizados na implementação atual.
  • Se você estiver acompanhando alterações de arquivo, ele será limitado a um tamanho de arquivo de 5 MB ou menos.
  • Se o tamanho do arquivo for exibido como >1,25 MB, FileContentChecksum estará incorreto devido a restrições de memória no cálculo da soma de verificação.
  • Se você tentar coletar mais de 2.500 arquivos em um ciclo de coleção de 30 minutos, o desempenho do Controle de Alterações e Inventário poderá ser prejudicado.
  • Se o tráfego da rede for alto, os registros de alteração poderão demorar até seis horas para serem exibidos.
  • Se você modificar uma configuração enquanto um computador ou servidor estiver desligado, ele poderá efetuar as alterações pertencentes à configuração anterior.
  • Coletar atualizações de Hotfix em computadores Windows Server 2016 Core RS3.
  • Os daemons do Linux podem mostrar um estado alterado, embora nenhuma alteração tenha ocorrido. Esse problema ocorre devido a como os dados do SvcRunLevels na tabela ConfigurationChange do Azure Monitor são gravados.
  • A extensão do Controle de Alterações não dá suporte a padrões de proteção para sistemas operacionais ou distribuições do Linux.

Suporte para alertas no estado de configuração

Uma funcionalidade crucial de Controle de Alterações e Inventário é alertar sobre as alterações ao estado de configuração de seu ambiente híbrido. Muitas ações úteis estão disponíveis para acionar em resposta aos alertas. Por exemplo, ações sobre funções do Azure, runbook de Automação, webhooks e semelhantes. O alerta sobre alterações no arquivo c:\windows\system32\drivers\etc\hosts de um computador é uma boa aplicação de alertas para dados de Controle de Alterações e Inventário. Há muitos outros cenários de alerta também, incluindo os cenários de consulta definidos na tabela a seguir.

Consulta Descrição
ConfigurationChange
| em que ConfigChangeType == "Files" e FileSystemPath contêm " c:\windows\system32\drivers\"
Útil para controlar alterações a arquivos críticos do sistema.
ConfigurationChange
| em que FieldsChanged contém "FileContentChecksum" e FileSystemPath == "c:\windows\system32\drivers\etc\hosts"
Útil para controlar modificações a arquivos de configuração chave.
ConfigurationChange
| em que ConfigChangeType == "WindowsServices" e SvcName contêm "w3svc" e SvcState == "Stopped"
Útil para controlar alterações a serviços críticos do sistema.
ConfigurationChange
| em que ConfigChangeType == "Daemons" e SvcName contêm "ssh" e SvcState!= "Running"
Útil para controlar alterações a serviços críticos do sistema.
ConfigurationChange
| em que ConfigChangeType == "Software" e ChangeCategory == "Added"
Útil para ambientes que precisam bloquear configurações de software.
ConfigurationData
| em que SoftwareName contém "Monitoring Agent" e CurrentVersion!= "8.0.11081.0"
Útil para ver quais computadores têm uma versão de software desatualizada ou não em conformidade instalada. Esta consulta relata o último estado de configuração relatada, mas não reporta as alterações.
ConfigurationChange
| onde RegistryKey = = @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"
Útil para controlar alterações a chaves antivírus cruciais.
ConfigurationChange
| onde RegistryKey contém @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"
Útil para controlar alterações em configurações de firewall.

Próximas etapas