Partilhar via

Migrar o monitoramento de integridade de arquivos de versões anteriores

  • Artigo

O Microsoft Defender for Servers Plan 2 agora oferece uma nova solução de monitoramento de integridade de arquivos (FIM) fornecida pelo Microsoft Defender for Endpoint.

Se não utilizar as versões anteriores do FIM, pode integrar diretamente a nova solução FIM. Para obter mais informações, consulte Habilitar o monitoramento de integridade de arquivos com o Microsoft Defender for Endpoint.

Migrar do FIM para o MMA

Gorjeta

Para ajudá-lo a migrar perfeitamente seu conjunto anterior de regras de monitoramento do FIM baseado em MMA para a nova versão do FIM fornecida pelo Defender for Endpoint, introduzimos uma experiência de migração no produto, que pode ser acessada a partir da folha de gerenciamento do FIM.   Essa experiência de migração permite que você revise os ambientes atuais com o FIM herdado habilitado, exporte suas regras FIM herdadas e migre para o novo Monitoramento de Integridade de Arquivos em assinaturas com o Defender for Servers Plan 2 habilitado. Saiba mais sobre como usar a experiência de migração do FIM. Você também pode optar por habilitar o FIM sobre o MDE e, em seguida, remover o MIF sobre o MMA, seguindo as instruções abaixo.

Se você usar o FIM (File Integrity Monitoring) sobre o Microsoft Monitoring Agent (MMA), poderá migrar para a nova solução FIM fornecida pelo Microsoft Defender for Endpoint. Siga estes passos:

  1. Para desabilitar o FIM sobre MMA, remova a solução de Controle de Alterações do Azure. Para obter mais informações, consulte Remover a solução ChangeTracking.

  2. Depois de desativar as coleções de eventos de arquivo, novos eventos deixarão de ser coletados nos escopos selecionados. Os eventos históricos que já foram coletados permanecem armazenados no espaço de trabalho relevante sob a tabela na seção ConfigurationChange Controle de alterações. Esses eventos permanecerão disponíveis no espaço de trabalho relevante de acordo com o período de retenção definido neste espaço de trabalho. Para obter mais informações, consulte Gerenciar a retenção de dados em um espaço de trabalho do Log Analytics.

Nota

Se você não precisar mais do agente herdado do Log Analytics, certifique-se de removê-lo de seus ambientes. Para esse fim, certifique-se de desabilitar o provisionamento automático do agente nas configurações de assinatura e, em seguida, use o utilitário Azure Monitor para descobrir e remover o agente do Log Analytics de suas máquinas.

Migrar do FIM para AMA

Se você usar o FIM (File Integrity Monitoring) sobre o Azure Monitor Agent (AMA), poderá migrar para a nova solução FIM com tecnologia Microsoft Defender for Endpoint. Siga estes passos:

  1. Uma vez que a integração de novas subscrições ou servidores para a Monitorização da Integridade de Ficheiros com base no AMA e na extensão de Controlo de Alterações, bem como a visualização de alterações, deixarão de estar disponíveis através do portal Defender for Cloud, terá de ajustar os seus processos em conformidade.

  2. Se desejar continuar consumindo eventos de Monitoramento de Integridade de Arquivo coletados pela AMA, você poderá se conectar manualmente ao espaço de trabalho relevante e exibir as alterações na tabela Controle de Alterações usando a seguinte consulta:

    ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

  3. Se quiser continuar a integrar novos escopos ou configurar regras de monitoramento, você pode usar manualmente as Regras de Coleta de Dados para configurar ou personalizar vários aspetos da coleta de dados.

Desativar FIM sobre AMA

Recomendamos que desative o FIM sobre AMA e utilize a nova solução FIM fornecida pelo Microsoft Defender for Endpoint. Para desativar o FIM sobre AMA, siga estes passos:

  1. Remova as Regras de Coleta de Dados (DCR) de controle de alterações de arquivo relacionadas. Para obter mais informações, consulte as instruções em Remove-AzDataCollectionRuleAssociation e Remove-AzDataCollectionRule.
  2. Depois de desativar as coleções de eventos de arquivo, novos eventos deixarão de ser coletados nos escopos selecionados. Os eventos históricos que já foram coletados permanecem armazenados no espaço de trabalho relevante sob a tabela na seção ConfigurationChange Controle de alterações. Esses eventos permanecerão disponíveis no espaço de trabalho relevante de acordo com o período de retenção definido neste espaço de trabalho. Para obter mais informações, consulte Gerenciar a retenção de dados em um espaço de trabalho do Log Analytics.

Próximos passos