你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

通过 Defender for Endpoint 迁移到文件完整性监视功能

在 Microsoft Defender for Cloud 的 Defender for Servers 计划 2 中,文件完整性监视功能通过扫描和分析文件,并将其当前状态与先前扫描进行比较,帮助确保企业资产和资源的安全。

文件完整性监视使用 Microsoft Defender for Endpoint 代理,根据收集规则从设备中收集数据。 Defender for Endpoint 默认与 Defender for Cloud 集成

先决条件

  • 必须启用 Defender for Servers 计划 2。
  • 当前已通过旧方法启用文件完整性监视
  • 使用产品内迁移需要拥有目标订阅的安全管理员权限,以及目标 Log Analytics 工作区的所有者权限。
  • Defender for Servers 计划 2 保护的计算机应运行 Defender for Endpoint 代理。 如果要检查环境中的计算机上的代理状态,请使用此工作簿执行此操作。
  • 只能为订阅运行一次迁移工具。 无法再次运行它来从同一订阅中的其他或多个工作区迁移规则。

从基于 MMA 的 FIM 迁移

以前的文件完整性监视版本使用 Log Analytics 代理(也称为 Microsoft 监视代理 (MMA)) 或 Azure Monitor 代理 (AMA) 收集数据。

如果使用的不是早期版本的文件完整性监视,则可以使用 Defender for Endpoint 代理直接载入文件完整性监视

如果你有以前版本的文件完整性监视,则可以使用产品内迁移体验迁移到新版本,以实现无缝迁移。

或者,可以使用 Defender for Endpoint 启用文件完整性监视,然后使用较旧的代理删除文件完整性监视。

使用产品内迁移工具时,可以:

  • 在迁移之前查看当前环境/状态。
  • 导出使用 MMA 并驻留在 Log Analytics 工作区中的当前文件完整性监视规则。
  • 如果启用了 Defender for Servers 计划 2,请迁移到新体验。

请注意:

  • 该工具允许将现有监视规则传输到新体验。
  • 无法迁移不属于新体验的自定义和旧版内置规则,但你可以将其导出到 JSON 文件。
  • 迁移工具列出了订阅中的所有计算机,而不是所有实际载入到使用 MMA 的文件完整性监视的计算机。
    • 旧版本需要连接到 Log Analytics 工作区的 MMA。 这意味着受 Defender for Servers 计划 2 保护但未运行 MMA 的计算机不会受益于文件完整性监视。
    • 有了新的体验,启用范围中的所有计算机都将受益于文件完整性监视。
  • 尽管新体验不需要 MMA 代理,但需要在迁移工具中指定源工作区和目标工作区。
    • 源是要从中将现有规则传输到新体验的工作区。
    • 目标是在受监视的文件和注册表发生更改时,在其中写入更改日志的工作区。
  • 在订阅上启用新体验后,启用范围中的计算机都适用同一文件完整性监视规则。
  • 如果要免除单个计算机的文件完整性监视,可以通过在资源级别启用 Defender for Servers,将其中一些计算机降级到 Defender for Servers 计划 1。

使用产品内体验进行迁移

  1. 在“Defender for Cloud”>“工作负载保护”中,打开“文件完整性监视”

  2. 在横幅消息中,选择“单击此处迁移环境”

    显示 Defender for Cloud 横幅中的“迁移”按钮的屏幕截图。

  3. 在“准备环境到 MMA 弃用”页中,开始迁移。

  4. 在“迁移到新的 FIM”选项卡的“通过 MDE 迁移到 FIM 的新版本”下,选择“执行操作”

    显示 Defender for Cloud 横幅中的“迁移”按钮的屏幕截图。

  5. 在“迁移到新的 FIM”选项卡中,可以看到启用了旧文件完整性监视的主机的所有订阅。

    • 订阅上的计算机总数显示订阅中的所有 Azure VM 和已启用 Azure Arc 的 VM。
    • 为 FIM 配置的计算机显示启用了旧文件完整性监视的计算机数。
  6. 在每个订阅旁边的“操作”列中,选择“迁移”

  7. 在“更新订阅”>“查看订阅的计算机”中,可以看到已启用旧文件完整性监视的计算机及其相关的 Log Analytics 工作区的列表。 选择下一步

  8. 在“迁移设置”选项卡中,选择工作区作为迁移源。

  9. 查看工作区配置,包括 Windows 注册表和 Windows/Linux 文件。 有指示表明是否可以迁移设置和文件。

  10. 如果有无法迁移的文件和设置,可以选择“将工作区设置另存为文件”

  11. 在“为 FIM 数据存储选择目标工作区”下,指定要在其中存储新文件完整性监视体验的更改的 Log Analytics 工作区。 可以使用同一个工作区,也可以选择一次不同的工作区。

  12. 选择下一步

  13. 在“评审和批准”选项卡中,查看迁移摘要。 选择“迁移”以启动迁移过程

迁移完成后,将从迁移向导中删除订阅,并应用迁移的文件完整性监视规则。

禁用旧版 MMA 解决方案

按照以下说明手动禁用使用 MMA 的文件完整性监视。

  1. 从 Log Analytics 工作区中删除“Azure ChangeTracking”解决方案。

    删除后,则不会收集新的文件完整性监视事件。 历史事件仍存储在“更改跟踪”部分“ConfigurationChange”表下的相关 Log Analytics 工作区中。 系统会根据工作区数据保留设置存储事件。

  2. 如果不再需要计算机上的 MMA,则可以禁用 Log Analytics 代理的使用。

从基于 AMA 的 FIM 迁移

按照以下说明从使用 MMA 的文件完整性监视在进行迁移。

  1. 从 Log Analytics 工作区中删除“Azure ChangeTracking”解决方案。

  2. 或者,可以移除相关的文件更改跟踪数据收集规则 (DCR)。 要执行此操作,请按照 Remove-AzDataCollectionRuleAssociationRemove-AzDataCollectionRule 中的说明操作。

    删除后,则不会收集新的文件完整性监视事件。 历史事件仍存储在“更改跟踪”部分“ConfigurationChange”表下的相关工作区中。 系统会根据工作区数据保留设置存储事件。

如果要继续通过 AMA 使用文件完整性监视事件,可以使用以下查询手动连接到相关工作区并查看“更改跟踪”表中的更改。

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

若要继续载入新范围或配置监视规则,需要手动处理数据收集规则并自定义数据收集。

后续步骤

在文件完整性监视中查看更改