你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
通过 Defender for Endpoint 迁移到文件完整性监视功能
在 Microsoft Defender for Cloud 的 Defender for Servers 计划 2 中,文件完整性监视功能通过扫描和分析文件,并将其当前状态与先前扫描进行比较,帮助确保企业资产和资源的安全。
文件完整性监视使用 Microsoft Defender for Endpoint 代理,根据收集规则从设备中收集数据。 Defender for Endpoint 默认与 Defender for Cloud 集成。
先决条件
- 必须启用 Defender for Servers 计划 2。
- 当前已通过旧方法启用文件完整性监视
- 使用产品内迁移需要拥有目标订阅的安全管理员权限,以及目标 Log Analytics 工作区的所有者权限。
- Defender for Servers 计划 2 保护的计算机应运行 Defender for Endpoint 代理。 如果要检查环境中的计算机上的代理状态,请使用此工作簿执行此操作。
- 只能为订阅运行一次迁移工具。 无法再次运行它来从同一订阅中的其他或多个工作区迁移规则。
从基于 MMA 的 FIM 迁移
以前的文件完整性监视版本使用 Log Analytics 代理(也称为 Microsoft 监视代理 (MMA)) 或 Azure Monitor 代理 (AMA) 收集数据。
如果使用的不是早期版本的文件完整性监视,则可以使用 Defender for Endpoint 代理直接载入文件完整性监视。
如果你有以前版本的文件完整性监视,则可以使用产品内迁移体验迁移到新版本,以实现无缝迁移。
或者,可以使用 Defender for Endpoint 启用文件完整性监视,然后使用较旧的代理删除文件完整性监视。
使用产品内迁移工具时,可以:
- 在迁移之前查看当前环境/状态。
- 导出使用 MMA 并驻留在 Log Analytics 工作区中的当前文件完整性监视规则。
- 如果启用了 Defender for Servers 计划 2,请迁移到新体验。
请注意:
- 该工具允许将现有监视规则传输到新体验。
- 无法迁移不属于新体验的自定义和旧版内置规则,但你可以将其导出到 JSON 文件。
- 迁移工具列出了订阅中的所有计算机,而不是所有实际载入到使用 MMA 的文件完整性监视的计算机。
- 旧版本需要连接到 Log Analytics 工作区的 MMA。 这意味着受 Defender for Servers 计划 2 保护但未运行 MMA 的计算机不会受益于文件完整性监视。
- 有了新的体验,启用范围中的所有计算机都将受益于文件完整性监视。
- 尽管新体验不需要 MMA 代理,但需要在迁移工具中指定源工作区和目标工作区。
- 源是要从中将现有规则传输到新体验的工作区。
- 目标是在受监视的文件和注册表发生更改时,在其中写入更改日志的工作区。
- 在订阅上启用新体验后,启用范围中的计算机都适用同一文件完整性监视规则。
- 如果要免除单个计算机的文件完整性监视,可以通过在资源级别启用 Defender for Servers,将其中一些计算机降级到 Defender for Servers 计划 1。
使用产品内体验进行迁移
在“Defender for Cloud”>“工作负载保护”中,打开“文件完整性监视”。
在横幅消息中,选择“单击此处迁移环境”。
在“准备环境到 MMA 弃用”页中,开始迁移。
在“迁移到新的 FIM”选项卡的“通过 MDE 迁移到 FIM 的新版本”下,选择“执行操作”。
在“迁移到新的 FIM”选项卡中,可以看到启用了旧文件完整性监视的主机的所有订阅。
- 订阅上的计算机总数显示订阅中的所有 Azure VM 和已启用 Azure Arc 的 VM。
- 为 FIM 配置的计算机显示启用了旧文件完整性监视的计算机数。
在每个订阅旁边的“操作”列中,选择“迁移”。
在“更新订阅”>“查看订阅的计算机”中,可以看到已启用旧文件完整性监视的计算机及其相关的 Log Analytics 工作区的列表。 选择下一步。
在“迁移设置”选项卡中,选择工作区作为迁移源。
查看工作区配置,包括 Windows 注册表和 Windows/Linux 文件。 有指示表明是否可以迁移设置和文件。
如果有无法迁移的文件和设置,可以选择“将工作区设置另存为文件”。
在“为 FIM 数据存储选择目标工作区”下,指定要在其中存储新文件完整性监视体验的更改的 Log Analytics 工作区。 可以使用同一个工作区,也可以选择一次不同的工作区。
选择下一步。
在“评审和批准”选项卡中,查看迁移摘要。 选择“迁移”以启动迁移过程。
迁移完成后,将从迁移向导中删除订阅,并应用迁移的文件完整性监视规则。
禁用旧版 MMA 解决方案
按照以下说明手动禁用使用 MMA 的文件完整性监视。
从 Log Analytics 工作区中删除“Azure ChangeTracking”解决方案。
删除后,则不会收集新的文件完整性监视事件。 历史事件仍存储在“更改跟踪”部分“
ConfigurationChange
”表下的相关 Log Analytics 工作区中。 系统会根据工作区数据保留设置存储事件。如果不再需要计算机上的 MMA,则可以禁用 Log Analytics 代理的使用。
- 如果不需要任何计算机上的代理,请关闭订阅中的自动代理预配。
- 对于特定计算机,请使用 Azure Monitor 发现和删除实用工具删除代理。
从基于 AMA 的 FIM 迁移
按照以下说明从使用 MMA 的文件完整性监视在进行迁移。
或者,可以移除相关的文件更改跟踪数据收集规则 (DCR)。 要执行此操作,请按照 Remove-AzDataCollectionRuleAssociation 和 Remove-AzDataCollectionRule 中的说明操作。
删除后,则不会收集新的文件完整性监视事件。 历史事件仍存储在“更改跟踪”部分“
ConfigurationChange
”表下的相关工作区中。 系统会根据工作区数据保留设置存储事件。
如果要继续通过 AMA 使用文件完整性监视事件,可以使用以下查询手动连接到相关工作区并查看“更改跟踪”表中的更改。
ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry', 'Files')
| summarize count() by Computer, ConfigChangeType
若要继续载入新范围或配置监视规则,需要手动处理数据收集规则并自定义数据收集。
后续步骤
在文件完整性监视中查看更改。