使用適用於端點的Defender遷移至檔案完整性監視
在 適用於雲端的 Microsoft Defender 的 Defender for Servers Plan 2 中,檔案完整性監視功能可藉由掃描和分析檔案,以及比較其目前狀態與先前的掃描,協助保護企業資產和資源的安全。
檔案完整性監視會使用 適用於端點的 Microsoft Defender 代理程式,根據收集規則從計算機收集數據。 適用於端點的Defender預設會與 適用於雲端的 Defender整合。
必要條件
- 必須啟用適用於伺服器的 Defender 方案 2。
- 檔案完整性監視目前使用舊版方法啟用
- 使用產品內移轉需要目標訂用帳戶的安全性系統管理員許可權,以及目標Log Analytics工作區的擁有者許可權。
- 受適用於伺服器之 Defender 保護的計算機方案 2 應該執行適用於端點的 Defender 代理程式。 如果您想要檢查環境中機器上的代理程式狀態, 請使用此活頁簿 來執行此動作。
- 您只能針對訂用帳戶執行移轉工具一次。 您無法再次執行,以從相同訂用帳戶中的其他或多個工作區移轉規則。
透過 MMA 從 FIM 移轉
舊版的檔案完整性監視會使用Log Analytics代理程式(也稱為Microsoft監視代理程式 #MMA)或 Azure 監視器代理程式 (AMA) 收集數據。
如果您未使用舊版的檔案完整性監視,您可以使用 適用於端點的 Defender 代理程式直接上線至檔案完整性監視。
如果您有舊版的檔案完整性監視,您可以使用產品內移轉體驗進行無縫移轉,移轉至新版本。
或者,您可以使用適用於端點的 Defender 啟用檔案完整性監視,然後使用較舊的代理程式移除檔案完整性監視。
當您使用產品內移轉工具時,您可以.
- 在移轉之前,請先檢閱目前的環境/狀態。
- 匯出使用 MMA 且位於 Log Analytics 工作區中的目前檔案完整性監視規則。
- 如果已啟用適用於伺服器的 Defender 方案 2,請移轉至新的體驗。
請注意:
- 此工具可讓您將現有的監視規則傳輸至新的體驗。
- 無法移轉不屬於新體驗的自定義和舊版內建規則,但您可以將它們匯出至 JSON 檔案。
- 移轉工具會列出訂用帳戶中的所有機器,而不是使用 MMA 實際上線至檔案完整性監視的所有機器。
- 舊版需要連線至Log Analytics工作區的 MMA。 這表示受適用於伺服器方案 2 的 Defender 保護但未執行 MMA 的電腦無法受益於檔案完整性監視。
- 有了新的體驗,啟用範圍中的所有機器都受益於檔案完整性監視。
- 雖然新體驗不需要 MMA 代理程式,但您必須在移轉工具中指定來源和目標工作區。
- 來源是您要從中將現有規則傳輸到新體驗的工作區。
- 目標是在受監視的檔案和登錄變更時,將寫入變更記錄的工作區。
- 在訂用帳戶上啟用新體驗之後,啟用範圍中的機器全都會受到相同的檔案完整性監視規則所涵蓋。
- 如果您想要將個別機器從檔案完整性監視中豁免,您可以藉由在資源層級啟用適用於伺服器的 Defender,將其中一些電腦降級為適用於伺服器的 Defender 方案 1。
使用產品內體驗進行移轉
在 [適用於雲端的 Defender >工作負載保護] 中,開啟 [檔案完整性監視]。
在橫幅訊息中,選取 [按兩下這裡以移轉您的環境]。
![顯示 適用於雲端的 Defender 橫幅中 [移轉] 按鈕的螢幕快照。](media/migrate-file-integrity-monitoring/migrate-banner.png)
在 [ 準備環境到 MMA 淘汰] 頁面中,開始移轉 。
在 [移轉至新的 FIM] 索引標籤的 [透過 MDE 移轉至 FIM 的新版本] 底下,選取 [採取動作]。
![顯示 適用於雲端的 Defender 橫幅中 [採取動作] 按鈕的螢幕快照。](media/migrate-file-integrity-monitoring/take-action.png)
在 [遷移至新的 FIM ] 索引標籤中,您可以看到裝載機器且已啟用舊版檔案完整性監視的所有訂用帳戶。
- 訂 用帳戶上的機器總數會顯示所有 Azure VM,以及訂用帳戶中已啟用 Azure Arc 的 VM。
- 針對 FIM 設定的電腦會顯示已啟用舊版檔案完整性監視的電腦數目。
在每個訂用帳戶旁邊的 [ 動作] 欄中 ,選取 [ 移轉]。
在 [更新訂用帳戶>檢閱訂用帳戶的機器] 中,您會看到已啟用舊版檔案完整性監視的計算機清單,以及其相關的Log Analytics 工作區。 選取 [下一步]。
在 [ 移轉設定] 索引標籤中,選取工作區作為移轉來源。
檢閱工作區設定,包括 Windows 登錄和 Windows/Linux 檔案。 有指示是否可以移轉設定和檔案。
如果您有無法移轉的檔案和設定,您可以選取 [將工作區設定儲存為檔案]。
在 [選擇 FIM 數據的目的地工作區] 底下,指定您想要使用新檔案完整性監視體驗儲存變更的 Log Analytics 工作區。 您可以使用相同的工作區,或選取不同的一次。
選取 [下一步]。
在 [ 檢閱和核准 ] 索引卷標中,檢閱移轉摘要。 選取 [移轉] 以開始移轉程序。
![顯示 適用於雲端的 Defender 橫幅中 [移轉] 按鈕的螢幕快照。](media/migrate-file-integrity-monitoring/migrate-banner.png#lightbox)
![顯示 適用於雲端的 Defender 橫幅中 [採取動作] 按鈕的螢幕快照。](media/migrate-file-integrity-monitoring/take-action.png#lightbox)
移轉完成後,會從移轉精靈中移除訂用帳戶,並套用已移轉的檔案完整性監視規則。
停用舊版 MMA 解決方案
請遵循這些指示,以手動方式停用 MMA 的檔案完整性監視。
從 Log Analytics 工作區移除 Azure ChangeTracking 解決方案 。
拿掉之後,不會收集任何新的檔案完整性監視事件。 歷程記錄事件仍會儲存在數據表中 變更追蹤 區段
ConfigurationChange底下的相關 Log Analytics 工作區中。 事件會根據 工作區數據保留設定來儲存。如果您不再需要機器上的 MMA,您可以停用使用 Log Analytics 代理程式。
- 如果您不需要任何機器上的代理程式,請 關閉訂用帳戶中的自動代理程式布建 。
- 對於特定電腦,請使用 Azure 監視器探索和移除公用程式來移除代理程式。
透過 AMA 從 FIM 移轉
請遵循這些指示,使用 AMA 從檔案完整性監視移轉。
或者,您可以移除相關的檔案變更追蹤資料收集規則 (DCR)。 若要這樣做,請遵循 Remove-AzDataCollectionRuleAssociation 和 Remove-AzDataCollectionRule 中的指示。
拿掉之後,不會收集任何新的檔案完整性監視事件。 歷程記錄事件仍會儲存在 [變更追蹤] 區段下數據表
ConfigurationChange底下的相關工作區中。 事件會根據 工作區數據保留設定來儲存。
如果您想要繼續使用 AMA 來取用檔案完整性監視事件,您可以手動連線到相關的工作區,並使用此查詢檢視 變更追蹤 數據表中的變更。
ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry', 'Files')
| summarize count() by Computer, ConfigChangeType
若要繼續上線新的範圍或設定監視規則,您必須手動處理數據收集規則並自定義數據收集。