Ativar o controlo e alertas para alterações críticas
O Azure Registo de Alterações e Inventário fornecer alertas sobre o estado de configuração do seu ambiente híbrido e alterações a esse ambiente. Pode comunicar alterações críticas de ficheiros, serviços, software e registos que possam afetar os servidores implementados.
Por predefinição, o serviço de inventário Automatização do Azure não monitoriza ficheiros ou definições de registo. A solução fornece uma lista de chaves de registo que recomendamos para monitorização. Para ver esta lista, aceda à sua conta Automatização do Azure no portal do Azure e, em seguida, selecioneDefinições de Edição de Inventário>.
Para obter mais informações sobre cada chave de registo, veja Registo de alterações de chave de registo. Selecione qualquer chave para avaliar e, em seguida, ative-a. A definição é aplicada a todas as VMs que estão ativadas na área de trabalho atual.
Também pode utilizar o serviço para controlar as alterações críticas dos ficheiros. Por exemplo, poderá querer controlar o C:\windows\system32\drivers\etc\hosts ficheiro porque o SO o utiliza para mapear nomes de anfitriões para endereços IP. As alterações a este ficheiro podem causar problemas de conectividade ou redirecionar o tráfego para sites perigosos.
Para ativar o controlo de conteúdo de ficheiros para o ficheiro de anfitriões, siga os passos em Ativar o controlo de conteúdos de ficheiros.
Também pode adicionar um alerta para alterações aos ficheiros que está a monitorizar. Por exemplo, poderá querer definir um alerta para alterações ao ficheiro de anfitriões. Para tal, selecione Log Analytics na barra de comandos ou Pesquisa de Registos para a área de trabalho do Log Analytics ligada. No Log Analytics, utilize a seguinte consulta para procurar alterações ao ficheiro de anfitriões:
ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts"
Esta consulta procura alterações ao conteúdo dos ficheiros que têm um caminho que contém a palavra hosts. Também pode procurar um ficheiro específico ao alterar o parâmetro de caminho. (Por exemplo, FileSystemPath == "c:\\windows\\system32\\drivers\\etc\\hosts".)
Depois de a consulta devolver os resultados, selecione Nova regra de alerta para abrir o editor de regras de alerta. Também pode aceder a este editor através do Azure Monitor no portal do Azure.
No editor de regras de alerta, reveja a consulta e altere a lógica de alerta, se necessário. Neste caso, queremos que o alerta seja emitido se forem detetadas alterações em qualquer computador no ambiente.
Depois de definir a lógica de condição, pode atribuir grupos de ações para executar ações em resposta ao alerta. Neste exemplo, quando o alerta é gerado, os e-mails são enviados e é criado um pedido ITSM. Pode realizar muitas outras ações úteis, como acionar uma função do Azure, um runbook Automatização do Azure, um webhook ou uma aplicação lógica.
Depois de definir todos os parâmetros e lógicas, aplique o alerta ao ambiente.
Exemplos de monitorização e alerta
Esta secção mostra outros cenários comuns para controlar e alertar que poderá querer utilizar.
Ficheiro de controlador alterado
Utilize a seguinte consulta para detetar se os ficheiros de controlador são alterados, adicionados ou removidos. É útil para controlar as alterações a ficheiros de sistema críticos.
ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\\windows\\system32\\drivers\\"
Serviço específico parado
Utilize a seguinte consulta para controlar as alterações aos serviços críticos do sistema.
ConfigurationChange | where SvcState == "Stopped" and SvcName contains "w3svc"
Novo software instalado
Utilize a seguinte consulta para ambientes que precisam de bloquear as configurações de software.
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"
A versão de software específica está ou não instalada num computador
Utilize a seguinte consulta para avaliar a segurança. Esta consulta referencia ConfigurationData, que contém os registos do inventário e fornece o último estado de configuração comunicado, não alterações.
ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"
DLL conhecido alterado através do registo
Utilize a seguinte consulta para detetar alterações a chaves de registo conhecidas.
ConfigurationChange | where RegistryKey == "HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Session Manager\\KnownDlls"
Passos seguintes
Saiba como Automatização do Azure podem criar agendas de atualização para gerir atualizações para os seus servidores.