Habilitar o Monitoramento de Integridade de Arquivos ao usar o Agente do Azure Monitor

Para fornecer o Monitoramento de Integridade de Arquivo (FIM), o Agente de Monitor do Azure (AMA) coleta dados de máquinas de acordo com regras de coleta de dados. Quando o estado atual dos seus ficheiros de sistema é comparado com o estado durante a verificação anterior, o FIM notifica-o sobre modificações suspeitas.

Nota

Como parte de nossa estratégia atualizada do Defender for Cloud, o Agente do Azure Monitor não será mais necessário para receber todos os recursos do Defender for Servers. Todos os recursos que atualmente dependem do Azure Monitor Agent, incluindo os descritos nesta página, estarão disponíveis por meio da integração do Microsoft Defender for Endpoint ou da verificação sem agente, até agosto de 2024. Para acessar todos os recursos do Defender for SQL Server em máquinas, o agente de monitoramento do Azure (também conhecido como AMA) é necessário. Para obter mais informações sobre o roteiro do recurso, consulte este anúncio.

O Monitoramento de Integridade de Arquivos com o Agente do Azure Monitor oferece:

  • Compatibilidade com o agente de monitoramento unificado - Compatível com o Agente de Monitor do Azure que aprimora a segurança, a confiabilidade e facilita a experiência de multi-homing para armazenar dados.
  • Compatibilidade com a ferramenta de rastreamento- Compatível com a extensão de controle de alterações (CT) implantada por meio da Política do Azure na máquina virtual do cliente. Pode mudar para o Agente do Azure Monitor (AMA) e, em seguida, a extensão CT empurra o software, os ficheiros e o registo para o AMA.
  • Integração simplificada- Você pode integrar o FIM a partir do Microsoft Defender for Cloud.
  • Experiência multi-homing – Fornece padronização de gerenciamento a partir de um espaço de trabalho central. Você pode fazer a transição do Log Analytics (LA) para o AMA para que todas as VMs apontem para um único espaço de trabalho para coleta e manutenção de dados.
  • Gerenciamento de regras – Usa regras de coleta de dados para configurar ou personalizar vários aspetos da coleta de dados. Por exemplo, é possível alterar a frequência da recolha de ficheiros.

Neste artigo, você aprenderá a:

Disponibilidade

Aspeto Detalhes
Estado de lançamento: Pré-visualizar
Preços: Requer o Microsoft Defender for Servers Plan 2
Funções e permissões necessárias: Proprietário
Contribuinte
Nuvens: Nuvens comerciais - Suportadas apenas em regiões: , , , , , eastus2euapwestcentraluseastus2eastusjapaneastnorthcentralusnortheuropekoreacentralsouthcentralusfrancecentraluksouthwesteuropeswitzerlandnorthsoutheastasiawestuseastasiacentraluscentralindiacanadacentralaustraliasoutheastaustraliaeastwestus2
Nacional (Azure Government, Microsoft Azure operado pela 21Vianet)
Dispositivos habilitados para Azure Arc .
Contas da AWS conectadas
Contas GCP conectadas

Pré-requisitos

Para controlar as alterações aos seus ficheiros em máquinas com AMA:

Habilite o monitoramento da integridade de arquivos com o AMA

Para habilitar o FIM (File Integrity Monitoring), use a recomendação do FIM para selecionar máquinas a serem monitoradas:

  1. Na barra lateral do Defender for Cloud, abra a página Recomendações .

  2. Selecione a recomendação O monitoramento da integridade do arquivo deve ser habilitado em máquinas. Saiba mais sobre as recomendações do Defender for Cloud.

  3. Selecione as máquinas nas quais deseja usar o Monitoramento de Integridade de Arquivos, selecione Corrigir e selecione Corrigir recursos X.

    A correção da recomendação:

    • Instala a ChangeTracking-Windows extensão ou ChangeTracking-Linux nas máquinas.
    • Gera uma regra de coleta de dados (DCR) para a assinatura nomeada Microsoft-ChangeTracking-[subscriptionId]-default-dcr que define quais arquivos e registros devem ser monitorados com base nas configurações padrão. A correção anexa o DCR a todas as máquinas na assinatura que têm o AMA instalado e o FIM habilitado.
    • Cria um novo espaço de trabalho do Log Analytics com a convenção defaultWorkspace-[subscriptionId]-fim de nomenclatura e com as configurações padrão do espaço de trabalho.

    Você pode atualizar as configurações do espaço de trabalho DCR e do Log Analytics mais tarde.

  4. Na barra lateral do Defender for Cloud, vá para Monitoramento de integridade de>arquivos de proteções de carga de trabalho e selecione o banner para mostrar os resultados para máquinas com o Azure Monitor Agent.

    Captura de ecrã do banner na monitorização da integridade de ficheiros para mostrar os resultados para máquinas com o Azure Monitor Agent.

  5. As máquinas com o File Integrity Monitoring ativado são mostradas.

    Captura de ecrã dos resultados da monitorização da integridade de ficheiros para máquinas com o Azure Monitor Agent.

    Você pode ver o número de alterações feitas nos arquivos rastreados e pode selecionar Exibir alterações para ver as alterações feitas nos arquivos rastreados nessa máquina.

Editar a lista de ficheiros controlados e chaves de registo

O Monitoramento de Integridade de Arquivos (FIM) para máquinas com o Agente do Azure Monitor usa DCRs (Regras de Coleta de Dados) para definir a lista de arquivos e chaves do Registro a serem rastreadas. Cada assinatura tem um DCR para as máquinas nessa assinatura.

O FIM cria DCRs com uma configuração padrão de arquivos rastreados e chaves do Registro. Você pode editar os DCRs para adicionar, remover ou atualizar a lista de arquivos e registros que são rastreados pelo FIM.

Para editar a lista de ficheiros e registos controlados:

  1. Em Monitoramento de integridade de arquivos, selecione Regras de coleta de dados.

    Pode ver cada uma das regras que foram criadas para as subscrições a que tem acesso.

  2. Selecione o DCR que você deseja atualizar para uma assinatura.

    Cada arquivo na lista de chaves do Registro do Windows, arquivos do Windows e arquivos do Linux contém uma definição para um arquivo ou chave do Registro, incluindo nome, caminho e outras opções. Você também pode definir Enabled como False para cancelar o rastreamento do arquivo ou da chave do Registro sem remover a definição.

    Saiba mais sobre as definições de arquivo do sistema e chave do Registro.

  3. Selecione um arquivo e adicione ou edite a definição de arquivo ou chave do Registro.

  4. Selecione Adicionar para guardar as alterações.

Excluir máquinas do monitoramento de integridade de arquivos

Todas as máquinas da assinatura conectadas ao DCR são monitoradas. Você pode desanexar uma máquina do DCR para que os arquivos e chaves do Registro não sejam rastreados.

Para excluir uma máquina do Monitoramento de Integridade de Arquivos:

  1. Na lista de máquinas monitorizadas nos resultados da FIM, selecione o menu (...) para a máquina
  2. Selecione Desanexar regra de coleta de dados.

Captura de tela da opção para desanexar uma máquina de uma regra de coleta de dados e excluir as máquinas do Monitoramento de Integridade de Arquivos.

A máquina é movida para a lista de máquinas não monitoradas e as alterações de arquivo não são mais rastreadas para essa máquina.

Próximos passos

Saiba mais sobre o Defender for Cloud em:

  • Definindo políticas de segurança - Saiba como configurar políticas de segurança para suas assinaturas do Azure e grupos de recursos.
  • Gerir recomendações de segurança - Saiba como as recomendações o ajudam a proteger os seus recursos do Azure.
  • Blogue de Segurança do Azure - Obtenha as últimas notícias e informações de segurança do Azure.