Migrera till övervakning av filintegritet med Defender för Endpoint

Övervakning av filintegritet i Defender för servrar Plan 2 använder Microsoft Defender för Endpoint-agenten för att samla in data från datorer i enlighet med insamlingsregler.

Den tidigare versionen av filintegritetsövervakningen använde Log Analytics-agenten (även kallad Microsoft Monitoring Agent (MMA)) eller Azure Monitor-agenten (AMA) för datainsamling. Den här artikeln beskriver hur du migrerar tidigare MMA- och AMA-versioner till den nya versionen.

Förutsättningar

• Defender for Servers Plan 2 måste vara aktiverat för att kunna använda övervakning av filintegritet.
• Migrering är relevant när övervakning av filintegritet för närvarande aktiveras med hjälp av MMA eller AMA.
• Datorer som skyddas av Defender för servrar Plan 2 ska köra Defender för Endpoint-agenten. Om du vill kontrollera agentstatus på datorer i din miljö använder du den här arbetsboken för att göra det.

Migrera från MMA

Om du har en tidigare version av övervakning av filintegritet med hjälp av MMA kan du migrera med hjälp av migreringsupplevelsen i produkten. Med hjälp av produktupplevelsen kan du:

• Granska den aktuella miljön/tillståndet innan du migrerar.
• Exportera aktuella regler för övervakning av filintegritet som använder MMA och finns på en Log Analytics-arbetsyta.
• Migrera till den nya upplevelsen om Defender for Servers Plan 2 är aktiverat.

Innan du börjar

Tänk på följande:

• Du kan bara köra migreringsverktyget en gång för en prenumeration. Du kan inte köra den igen för att migrera regler från ytterligare eller flera arbetsytor i samma prenumeration.
• • Om du använder migreringen i produkten krävs behörigheter för säkerhetsadministratör för målprenumerationen och ägarbehörigheter på log analytics-målarbetsytan.
• Med verktyget kan du överföra befintliga övervakningsregler till den nya upplevelsen.
• Anpassade och äldre inbyggda regler som inte ingår i den nya upplevelsen kan inte migreras, men du kan exportera dem till en JSON-fil.
• Migreringsverktyget visar alla datorer i en prenumeration och inte alla datorer som faktiskt har registrerats för övervakning av filintegritet med MMA.
  • Den äldre versionen krävde MMA ansluten till Log Analytics-arbetsytan. Det innebar att datorer som skyddades av Defender for Servers Plan 2 men inte körde MMA inte hade nytta av övervakning av filintegritet.
  • Med den nya upplevelsen drar alla datorer i aktiveringsomfånget nytta av övervakning av filintegritet.
• Även om den nya upplevelsen inte behöver någon MMA-agent måste du ange en käll- och målarbetsyta i migreringsverktyget.
  • Källan är den arbetsyta som du vill överföra befintliga regler från till den nya upplevelsen.
  • Målet är den arbetsyta som ändringsloggar skrivs till när övervakade filer och register ändras.
• När den nya upplevelsen har aktiverats för en prenumeration omfattas alla datorer i det aktiverade omfånget av samma regler för övervakning av filintegritet.
• Om du vill undanta enskilda datorer från övervakning av filintegritet kan du nedgradera dem till Defender för servrar plan 1 genom att aktivera Defender för servrar på resursnivå.

Migrera med produktupplevelsen

1. I Defender för molnet >arbetsbelastningsskydd öppnar du Övervakning av filintegritet.

2. I banderollmeddelandet väljer du Klicka här för att migrera dina miljöer.

   

3. Starta migreringen på sidan Förbered dina miljöer till MMA-utfasning .

4. På fliken Migrera till den nya FIM går du till Migrera till FIM:s nya version via MDE och väljer Vidta åtgärd.

   

5. I Migrera till den nya FIM-fliken kan du se alla prenumerationer som är värdar för datorer med äldre övervakning av filintegritet aktiverat.

   • Totalt antal datorer i prenumerationen visar alla virtuella Azure-datorer och Azure Arc-aktiverade virtuella datorer i prenumerationen.
   • Datorer som konfigurerats för FIM visar antalet datorer med äldre övervakning av filintegritet aktiverat.

6. I kolumnen Åtgärd bredvid varje prenumeration väljer du Migrera.

7. I Uppdatera prenumeration>Granska datorer i prenumerationen visas en lista över datorer som har äldre övervakning av filintegritet aktiverat och deras relaterade Log Analytics-arbetsyta. Välj Nästa.

8. På fliken Migrera inställningar väljer du en arbetsyta som migreringskälla.

9. Granska konfigurationen av arbetsytan, inklusive Windows-registret och Windows-/Linux-filerna. Det finns en indikation på om inställningar och filer kan migreras.

10. Om du har filer och inställningar som inte kan migreras kan du välja Spara arbetsyteinställningar som fil.

11. Under Välj målarbetsyta för FIM-datalagring anger du den Log Analytics-arbetsyta där du vill lagra ändringar med den nya funktionen för övervakning av filintegritet. Du kan använda samma arbetsyta eller välja en annan gång.

12. Välj Nästa.

13. På fliken Granska och godkänn granskar du migreringssammanfattningen. Välj Migrera för att starta migreringsprocessen.

När migreringen är klar tas prenumerationen bort från migreringsguiden och regler för övervakning av filintegritet tillämpas.

Inaktivera den äldre MMA-lösningen

Följ dessa instruktioner för att inaktivera övervakning av filintegritet med hjälp av MMA manuellt.

1. Ta bort Azure ChangeTracking-lösningen från Log Analytics-arbetsytan.

   Efter borttagningen samlas inga nya händelser för filintegritetsövervakning in. Historiska händelser lagras fortfarande på relevant Log Analytics-arbetsyta under avsnittet Ändringsspårning i ConfigurationChange tabellen. Händelser lagras i enlighet med kvarhållningsinställningarna för arbetsytans data.

2. Om du inte längre behöver MMA på datorer kan du inaktivera användningen av Log Analytics-agenten.

   • Om du inte behöver agenten på några datorer inaktiverar du automatisk agentetablering i prenumerationen.
   • För en specifik dator tar du bort agenten med hjälp av Verktyget för identifiering och borttagning av Azure Monitor.

Migrera från AMA

Följ de här anvisningarna för att migrera från övervakning av filintegritet med hjälp av AMA.

1. Ta bort de relaterade reglerna för filändringsspårning för datainsamling (DCR).

2. Det gör du genom att följa anvisningarna i Remove-AzDataCollectionRuleAssociation och Remove-AzDataCollectionRule.

   Efter borttagningen samlas inga nya händelser för filintegritetsövervakning in. Historiska händelser lagras fortfarande på den relevanta arbetsytan under tabellen ConfigurationChange under avsnittet Ändringsspårning. Händelser lagras i enlighet med kvarhållningsinställningarna för arbetsytans data.

Om du vill fortsätta använda AMA för att använda övervakningshändelser för filintegritet kan du manuellt ansluta till relevant arbetsyta och visa ändringar i tabellen Ändringsspårning med den här frågan.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Om du vill fortsätta registrera nytt omfång eller konfigurera övervakningsregler måste du manuellt arbeta med datainsamlingsregler och anpassa datainsamling.

Nästa steg

Granska ändringar i övervakning av filintegritet.