Přehled sledování změn a inventáře pomocí agenta Monitorování Azure
Platí pro: ✔️ Virtuální počítače s Linuxem ✔️ ✔️ virtuální počítače s Windows Registry ✔️ Windows Files Linux Files ✔️ ✔️ Windows Software ✔️ Windows Services & Linux démony
Důležité
- Sledování změn a inventář používání agenta Log Analytics se 31. srpna 2024 vyřadila z provozu a bude fungovat na omezené podpoře do 1. února 2025. Postupujte podle pokynů pro migraci ze služby Change Tracking a inventáře pomocí Log Analytics do řešení Change Tracking a inventáře s využitím verze agenta Monitorování Azure.
- Pro přístup k verzi ga této služby doporučujeme použít řešení Change Tracking s agentem Azure Monitoring Agent s rozšířením Change Tracking verze 2.20.0.0 (nebo vyšší).
Tento článek vysvětluje nejnovější verzi podpory sledování změn pomocí agenta Azure Monitoring Agent jako jednotného agenta pro shromažďování dat.
Poznámka:
Monitorování integrity souborů (FIM) pomocí programu Microsoft Defender for Endpoint (MDE) je nyní k dispozici. Postupujte podle pokynů k migraci z:
Klíčové výhody
- Kompatibilita s jednotným agentem monitorování – Kompatibilní s agentem služby Azure Monitor, který vylepšuje zabezpečení, spolehlivost a usnadňuje práci s více naváděnými daty.
- Kompatibilita s nástrojem pro sledování – Kompatibilní s rozšířením Change Tracking (CT) nasazeným prostřednictvím služby Azure Policy na virtuálním počítači klienta. Můžete přepnout na agenta služby Azure Monitor (AMA) a pak rozšíření CT odesílá software, soubory a registr do AMA.
- Prostředí pro vícenásobné navádání – poskytuje standardizaci správy z jednoho centrálního pracovního prostoru. Můžete přejít z Log Analytics (LA) na AMA , aby všechny virtuální počítače ukazovaly na jeden pracovní prostor pro shromažďování a údržbu dat.
- Správa pravidel – používá pravidla shromažďování dat ke konfiguraci nebo přizpůsobení různých aspektů shromažďování dat. Můžete například změnit frekvenci shromažďování souborů.
Aktuální omezení
Sledování změn a inventář používání agenta Azure Monitoring Agent nepodporuje nebo má následující omezení:
- Rekurze pro sledování registru Windows
- Síťové systémy souborů
- Různé metody instalace
- *.exe soubory uložené ve Windows
- Sloupec Maximální velikost souboru a hodnoty se v aktuální implementaci nepoužívají.
- Pokud sledujete změny souboru, je omezena na velikost souboru o velikosti 5 MB nebo méně.
- Pokud se velikost souboru zobrazí >1,25 MB, pak fileContentChecksum je nesprávný z důvodu omezení paměti ve výpočtu kontrolního součtu.
- Pokud se pokusíte shromáždit více než 2500 souborů v 30minutovém cyklu kolekce, může dojít ke snížení výkonu Sledování změn a inventář.
- Pokud je síťový provoz vysoký, může zobrazení záznamů změn trvat až šest hodin.
- Pokud upravíte konfiguraci, když se počítač nebo server vypne, může se stát, že se změní, které patří do předchozí konfigurace.
- Shromažďování aktualizací oprav hotfix na počítačích s Windows Serverem 2016 Core RS3
- Démoni Linuxu můžou zobrazit změněný stav, i když nedošlo k žádné změně. K tomuto problému dochází kvůli tomu, jak
SvcRunLevelsse data v tabulce ConfigurationChange služby Azure Monitor zapisují. - Rozšíření Change Tracking nepodporuje žádné standardy posílení zabezpečení pro žádné operační systémy Linux ani distribuce.
Omezení
Následující tabulka uvádí limity sledovaných položek na počítač pro sledování změn a inventář.
| Prostředek | Omezení | Poznámky |
|---|---|---|
| Soubor | 500 | |
| Velikost souboru | 5 MB | |
| Registr | 250 | |
| Software pro Windows | 250 | Nezahrnuje aktualizace softwaru. |
| Linuxové balíčky | 1,250 | |
| Služby Windows | 250 | |
| Démony Linuxu | 250 |
Podporované operační systémy
Funkce sledování změn a inventář se podporuje ve všech operačních systémech, které splňují požadavky agenta služby Azure Monitor. Seznam verzí operačního systému Windows a Linux, které aktuálně podporuje agent Služby Azure Monitor, najdete v podporovaných operačních systémech .
Pokud chcete porozumět požadavkům klientů na tls, přečtěte si téma TLS pro Azure Automation.
Povolení řešení Change Tracking a Inventory
Sledování změn a inventář můžete povolit následujícími způsoby:
Ručně pro počítače, které nejsou s podporou Azure Arc, najdete v tématu Povolení iniciativy Sledování změn a inventář pro virtuální počítače s podporou Arc v definicích > zásad > Vyberte kategorii = ChangeTrackingAndInventory. Pokud chcete povolit Sledování změn a inventář ve velkém měřítku, použijte řešení založené na zásadách DINE. Další informace najdete v tématu Povolení Sledování změn a inventář pomocí agenta Azure Monitoring Agent (Preview).
Pro jeden virtuální počítač Azure ze stránky virtuálního počítače na webu Azure Portal. Tento scénář je k dispozici pro virtuální počítače s Linuxem a Windows.
Pro více virtuálních počítačů Azure jejich výběrem na stránce Virtuální počítače na webu Azure Portal.
Sledování změn souborů
Pro sledování změn v souborech ve Windows i Linuxu Sledování změn a inventář používá hodnoty hash SHA256 souborů. Tato funkce pomocí hodnot hash zjistí, jestli byly provedeny změny od posledního inventáře.
Sledování změn obsahu souboru
Sledování změn a inventář umožňuje zobrazit obsah souboru systému Windows nebo Linux. Pro každou změnu souboru Sledování změn a inventář ukládá obsah souboru do účtu Azure Storage. Když sledujete soubor, můžete jeho obsah zobrazit před nebo po změně. Obsah souboru se dá zobrazit buď přímo, nebo vedle sebe. Další informace.
Sledování klíčů registru
Sledování změn a inventář umožňuje monitorování změn klíčů registru Systému Windows. Monitorování umožňuje určit body rozšiřitelnosti, kde se může aktivovat kód a malware třetích stran. Následující tabulka uvádí předem nakonfigurované (ale nepovolené) klíče registru. Pokud chcete tyto klíče sledovat, musíte je povolit.
| Klíč registru | Účel |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Monitoruje skripty, které se spouští při spuštění. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Monitoruje skripty, které běží při vypnutí. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Monitoruje klíče načtené před přihlášením uživatele k účtu Systému Windows. Klíč se používá pro 32bitové aplikace běžící na 64bitových počítačích. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Monitoruje změny nastavení aplikace. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Monitoruje obslužné rutiny místní nabídky, které se připojují přímo k Průzkumníku Windows a obvykle běží v procesu pomocí explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Monitoruje obslužné rutiny háku kopírování, které se připojují přímo do Průzkumníka Windows a obvykle běží v procesu pomocí explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitoruje registraci obslužné rutiny překrytí ikon. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitoruje registraci obslužné rutiny překrytí ikon pro 32bitové aplikace spuštěné na 64bitových počítačích. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitory pro nové moduly plug-in pomocných objektů prohlížeče pro Internet Explorer. Používá se pro přístup k modelu DOM (Document Object Model) aktuální stránky a k řízení navigace. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitory pro nové moduly plug-in pomocných objektů prohlížeče pro Internet Explorer. Používá se pro přístup k modelu DOM (Document Object Model) aktuální stránky a k řízení navigace pro 32bitové aplikace spuštěné na 64bitových počítačích. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Monitory pro nová rozšíření Internet Exploreru, například vlastní nabídky nástrojů a tlačítka vlastního panelu nástrojů. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Monitory pro nová rozšíření Internet Exploreru, jako jsou vlastní nabídky nástrojů a tlačítka vlastních panelů nástrojů pro 32bitové aplikace spuštěné na 64bitových počítačích. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitoruje 32bitové ovladače asociované s wavemapperem, wave1 a wave2, msacm.imaadpcm, .msadpcm, .msgsm610 a vidc. Podobá se části [ovladače] v souboru system.ini . |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitoruje 32bitové ovladače asociované s wavemapperem, wave1 a wave2, msacm.imaadpcm, .msadpcm, .msgsm610 a vidc pro 32bitové aplikace běžící na 64bitových počítačích. Podobá se části [ovladače] v souboru system.ini . |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Monitoruje seznam známých nebo běžně používaných systémových knihoven DLL. Monitorování brání uživatelům v zneužití slabých oprávnění adresářů aplikací vyřazením v trojských verzích systémových knihoven DLL. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Monitoruje seznam balíčků, které můžou přijímat oznámení událostí z winlogon.exe, interaktivní model podpory přihlášení pro Windows. |
Podpora rekurze
Sledování změn a inventář podporuje rekurz, což umožňuje zadat zástupné cardy pro zjednodušení sledování napříč adresáři. Rekurze také poskytuje proměnné prostředí, které umožňují sledovat soubory napříč prostředími s názvy více nebo dynamických jednotek. Následující seznam obsahuje běžné informace, které byste měli vědět při konfiguraci rekurze:
Pro sledování více souborů se vyžadují zástupné cardy.
Zástupné znaky můžete použít pouze v posledním segmentu cesty k souboru, například c:\folder\file* nebo /etc/*.conf.
Pokud má proměnná prostředí neplatnou cestu, ověření proběhne úspěšně, ale cesta se během provádění nezdaří.
Při nastavování cesty byste se měli vyhnout obecným názvům cest, protože tento typ nastavení může způsobit procházení příliš velkého počtu složek.
Sledování změn a inventář shromažďování dat
Následující tabulka ukazuje frekvenci shromažďování dat pro typy změn podporovaných Sledování změn a inventář. Pro každý typ se také aktualizuje snímek dat aktuálního stavu alespoň každých 24 hodin.
| Změnit typ | Četnost |
|---|---|
| Registr Systému Windows | 50 min |
| Soubor Windows | 30 až 40 minut |
| Soubor s Linuxem | 15 minut |
| Služby systému Windows | Výchozí hodnota: 10 minut až 30 minut : 30 minut |
| Software pro Windows | 30 minut |
| Software pro Linux | 5 minut |
| Démony Linuxu | 5 minut |
Následující tabulka uvádí limity sledovaných položek na počítač pro Sledování změn a inventář.
| Prostředek | Omezení |
|---|---|
| Soubor | 500 |
| Registr | 250 |
| Software systému Windows (nezahrnuje opravy hotfix) | 250 |
| Linuxové balíčky | 1250 |
| Služby Windows | 250 |
| Démony Linuxu | 500 |
Data služeb systému Windows
Požadavky
Pokud chcete povolit sledování dat služeb systému Windows, musíte upgradovat rozšíření CT a použít rozšíření větší nebo rovno 2.11.0.0.
- Pro virtuální počítače Azure s Windows
- Pro virtuální počítače Azure s Linuxem
- Pro virtuální počítače s Windows s podporou arc
- Pro virtuální počítače s Linuxem s podporou arc
- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true
Konfigurace frekvence
Výchozí frekvence shromažďování pro služby Windows je 30 minut. Pokud chcete nakonfigurovat frekvenci,
- v části Upravit nastavení použijte posuvník na kartě Služby systému Windows.
Podpora upozornění na stav konfigurace
Klíčovou funkcí Sledování změn a inventář je upozorňování na změny stavu konfigurace vašeho hybridního prostředí. K dispozici je mnoho užitečných akcí, které se dají aktivovat v reakci na výstrahy. Například akce ve službě Azure Functions, runbooky Automation, webhooky a podobné akce. Upozorňování na změny souboru c:\windows\system32\drivers\etc\hosts pro počítač je jednou z vhodných aplikací výstrah pro Sledování změn a inventář data. Existuje mnoho dalších scénářů pro upozorňování, včetně scénářů dotazů definovaných v další tabulce.
| Dotaz | Popis |
|---|---|
| ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\" |
Užitečné pro sledování změn v systémově důležitých souborech. |
| ConfigurationChange | where FieldsChanged obsahuje "FileContentChecksum" a FileSystemPath == "c:\windows\system32\drivers\etc\hosts" |
Užitečné pro sledování změn klíčových konfiguračních souborů. |
| ConfigurationChange | where ConfigChangeType == "WindowsServices" a SvcName obsahuje "w3svc" a SvcState == "Zastaveno" |
Užitečné pro sledování změn systémově důležitých služeb. |
| ConfigurationChange | where ConfigChangeType == "Daemons" a SvcName obsahuje "ssh" a SvcState!= "Running" |
Užitečné pro sledování změn systémově důležitých služeb. |
| ConfigurationChange | where ConfigChangeType == "Software" a ChangeCategory == "Added" |
Užitečné pro prostředí, která potřebují uzamčené konfigurace softwaru. |
| ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0" |
Užitečné pro zjištění, které počítače mají nainstalovanou zastaralou nebo nekompatibilní verzi softwaru. Tento dotaz hlásí poslední hlášený stav konfigurace, ale nehlásí změny. |
| ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
Užitečné pro sledování změn zásadních antivirových klíčů. |
| ConfigurationChange | where RegistryKey contains @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
Užitečné pro sledování změn nastavení brány firewall. |
Další kroky
- Povolení na webu Azure Portal najdete v tématu Povolení Sledování změn a inventář z webu Azure Portal.