Habilitar o acompanhamento e os alertas para alterações críticas
O Controle de Alterações e Inventário do Azure fornecem alertas sobre o estado de configuração do ambiente híbrido e sobre as alterações nesse ambiente. Ele pode relatar alterações críticas de arquivo, serviço, software e Registro que podem afetar os servidores implantados.
Por padrão, o serviço de inventário da Automação do Azure não monitora arquivos nem configurações do Registro. A solução fornece uma lista de chaves do Registro que recomendamos para monitoramento. Para ver essa lista, acesse sua conta da Automação do Azure no portal do Azure e selecione Inventário>Editar configurações.
Para obter mais informações sobre cada chave do Registro, confira Controle de alterações da chave do Registro. Selecione qualquer chave para avaliá-la e habilite-a. A configuração é aplicada a todas as VMs habilitadas no workspace atual.
Use também o serviço para controlar alterações de arquivo críticas. Por exemplo, o ideal é acompanhar o arquivo C:\windows\system32\drivers\etc\hosts porque o sistema operacional o utiliza para mapear nomes de host para endereços IP. As alterações nesse arquivo podem causar problemas de conectividade ou redirecionar o tráfego para sites perigosos.
Para habilitar o rastreamento de conteúdo de arquivo para o arquivo de hosts, siga as etapas descritas em Habilitar o controle de conteúdo de arquivo.
Adicione também um alerta para ver as alterações nos arquivos que estão sendo controlados. Por exemplo, o ideal é definir um alerta para alterações no arquivo de hosts. Para fazer isso, selecione Log Analytics na barra de comandos ou Pesquisa de Logs no workspace do Log Analytics vinculado. No Log Analytics, use a seguinte consulta para procurar alterações no arquivo de hosts:
ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts"
Essa consulta pesquisa as alterações no conteúdo de arquivos que têm um caminho contendo a palavra hosts. Procure também um arquivo específico alterando o parâmetro de caminho. (Por exemplo, FileSystemPath == "c:\\windows\\system32\\drivers\\etc\\hosts".)
Depois que a consulta retornar os resultados, selecione Nova regra de alerta para abrir o editor de regras de alerta. Acesse também esse editor por meio do Azure Monitor no portal do Azure.
No editor de regras de alerta, revise a consulta e altere a lógica de alerta, se necessário. Nesse caso, queremos que o alerta seja gerado se alguma alteração for detectada em qualquer computador do ambiente.
Depois de definir a lógica da condição, você pode atribuir grupos de ações para executar ações em resposta ao alerta. Neste exemplo, quando o alerta é gerado, são enviados emails e um tíquete do ITSM é criado. Você pode executar muitas outras ações úteis, como disparar uma função do Azure, um runbook de Automação do Azure, um webhook ou um aplicativo lógico.
Depois de definir todos os parâmetros e a lógica, aplique o alerta ao ambiente.
Exemplos de acompanhamento e alertas
Esta seção mostra outros cenários comuns para acompanhamento e alertas que podem ser úteis.
Alteração no arquivo de driver
Use a consulta a seguir para detectar se os arquivos de driver foram alterados, adicionados ou removidos. Isso é útil para controlar alterações em arquivos de sistema críticos.
ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\\windows\\system32\\drivers\\"
Interrupção de serviço específico
Use a consulta a seguir para controlar as alterações nos serviços críticos do sistema.
ConfigurationChange | where SvcState == "Stopped" and SvcName contains "w3svc"
Instalação de novo software
Use a consulta a seguir para ambientes que precisam bloquear as configurações de software.
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"
Uma versão específica do software está ou não instalada em um computador
Use a consulta a seguir para avaliar a segurança. Essa consulta referencia ConfigurationData, que contém os logs de inventário e fornece o estado da última configuração relatada, não as alterações.
ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"
Alteração de DLL conhecida por meio do Registro
Use a consulta a seguir para detectar alterações em chaves do Registro conhecidas.
ConfigurationChange | where RegistryKey == "HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Session Manager\\KnownDlls"
Próximas etapas
Saiba como a Automação do Azure pode criar agendamentos de atualização para gerenciar atualizações para seus servidores.