Обзор отслеживания изменений и инвентаризации с помощью агента мониторинга Azure
Область применения: ✔️ виртуальные машины ✔️ ✔️ Linux под управлением Windows Registry ✔️ Windows Files Linux Files ✔️ ✔️ Windows Software ✔️ Windows Services и linux Daemons
Внимание
- Отслеживание изменений и инвентаризация использование агента Log Analytics прекращено 31 августа 2024 г. и будет работать с ограниченной поддержкой до 01 февраля 2025 г. Следуйте рекомендациям по миграции с Отслеживание изменений и инвентаризации с помощью Log Analytics для Отслеживание изменений и инвентаризации с помощью версии агента мониторинга Azure
- Мы рекомендуем использовать Отслеживание изменений с агентом мониторинга Azure с расширением отслеживания изменений версии 2.20.0.0 (или более поздней) для доступа к общедоступной версии этой службы.
В этой статье описывается последняя версия поддержки отслеживания изменений с помощью агента мониторинга Azure в качестве единого агента для сбора данных.
Примечание.
Мониторинг целостности файлов (FIM) с помощью Microsoft Defender для конечной точки (MDE) теперь доступен. Выполните инструкции по миграции из:
Ключевые преимущества
- Совместимость с унифицированным агентом мониторинга. Совместимость с агентом Azure Monitor, который повышает безопасность и надежность и упрощает работу с несколькими расположениями для хранения данных.
- Совместимость со средством отслеживания. Совместимость с расширением Отслеживания изменений (CT), развернутым с помощью Политики Azure на виртуальной машине клиента. Вы можете переключиться на агент Azure Monitor (AMA), а затем расширение CT отправит программное обеспечение, файлы и реестр в AMA.
- Поддержка нескольких расположений. Стандартизация администрирования из одной центральной рабочей области. Вы можете перейти из Log Analytics (LA) в AMA, чтобы все виртуальные машины указывали на одну рабочую область для сбора и обслуживания данных.
- Управление правилами. Поддержка правил сбора данных для настройки разных аспектов сбора данных. Например, вы можете изменить частоту сбора файлов.
Текущие ограничения
Отслеживание изменений и инвентаризация использование агента мониторинга Azure не поддерживает или имеет следующие ограничения:
- Рекурсия для отслеживания реестра Windows
- Сетевые файловые системы
- другие методы установки;
- Файлы *.exe, хранящиеся в Windows
- в текущей версии столбец и значения Максимальный размер файла не используются;
- При отслеживании изменений файла размер файла не может превышать 5 МБ.
- Если размер файла отображается >1,25 МБ, файлContentChecksum некорректен из-за ограничений памяти в расчете контрольной суммы.
- При сборе более 2500 файлов в течение 30-минутного цикла производительность функции Отслеживания изменений и инвентаризации может снизиться.
- При интенсивном сетевом трафике изменение записей может занять до шести часов.
- Если изменение конфигурации выполняется на отключенном компьютере или сервере, он может внести изменения, относящиеся к предыдущей конфигурации.
- Сбор исправлений для компьютеров Windows Server 2016 Core RS3.
- Управляющие программы Linux могут показывать измененное состояние, даже если изменений не было. Эта проблема возникает из-за того, как
SvcRunLevelsданные в таблице ConfigurationChange Azure Monitor записываются. - расширение Отслеживание изменений не поддерживает никакие стандарты защиты для операционных систем Linux или дистрибутивов.
Ограничения
В следующей таблице показаны ограничения отслеживаемых элементов для каждого компьютера для отслеживания изменений и инвентаризации.
| Ресурс | Лимит | Примечания |
|---|---|---|
| Файлы | 500 | |
| Размер файла | 5 МБ | |
| Реестр | 250 | |
| Программное обеспечение Windows | 250 | Обновления программного обеспечения не учитываются. |
| Пакеты Linux | 1250 | |
| Службы Windows | 250 | |
| Управляющие программы Linux | 250 |
Поддерживаемые операционные системы
Функция отслеживания изменений и инвентаризации поддерживается во всех операционных системах, отвечающих требованиям для агента Azure Monitor. Сведения о поддерживаемых операционных системах см. в списке версий операционной системы Windows и Linux, поддерживаемых агентом Azure Monitor.
Сведения о требованиях клиента для TLS см. в разделе TLS для служба автоматизации Azure.
Включение решения для отслеживания изменений и инвентаризации
Вы можете включить Отслеживание изменений и инвентаризацию следующими способами:
Вручную для компьютеров с поддержкой Azure Arc см. раздел "Включение Отслеживание изменений и инвентаризация для виртуальных машин с поддержкой Arc" в определениях > политик > выберите категорию = ChangeTrackingAndInventory. Чтобы включить Отслеживание изменений и инвентаризация в масштабе, используйте решение на основе политики DINE. Дополнительные сведения см. в статье "Включение Отслеживание изменений и инвентаризация с помощью агента мониторинга Azure (предварительная версия)".
Для одной виртуальной машины Azure со страницы "Виртуальная машина" на портале Azure. Этот сценарий доступен для виртуальных машин Linux и Windows.
Для нескольких виртуальных машин Azure, выбрав их на странице "Виртуальные машины" на портале Azure.
Отслеживание изменений в файлах
Для отслеживания изменений в файлах в Windows и Linux Отслеживание изменений и инвентаризация использует хэши SHA256 файлов. Затем эти хэши применяются для определения того, вносились ли изменения с момента последней инвентаризации.
Отслеживание изменений в содержимом файлов
Функция Отслеживания изменений и инвентаризации позволяет просматривать содержимое файла Windows или Linux. Для каждого изменения в файле функция отслеживания изменений и инвентаризации сохраняет содержимое файла в учетной записи хранения Azure. При отслеживании файла его содержимое можно просмотреть до или после изменения. Содержимое файла можно просмотреть как в строке, так и в параллельном режиме. Подробнее.
Отслеживание разделов реестра
Функция отслеживания изменений и инвентаризации позволяет отслеживать изменения в разделах реестра Windows. Целью такого отслеживания является точное определение точек расширяемости, в которых может быть активирован сторонний код или вредоносная программа. В следующей таблице перечислены предварительно настроенные (но не включенные) разделы реестра. Чтобы отслеживать эти разделы, необходимо включить каждый из них.
| Раздел реестра | Характер использования |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Отслеживаются сценарии, выполняемые при запуске. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Отслеживаются сценарии, выполняемые при завершении работы. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Отслеживаются разделы, загружаемые перед входом пользователя в учетную запись Windows. Этот раздел используется для 32-разрядных приложений, выполняющихся на 64-разрядных компьютерах. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Отслеживаются изменения параметров приложения. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Отслеживаются дескрипторы контекстного меню, привязывающиеся непосредственно к проводнику Windows и выполняющиеся внутрипроцессно с файлом explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Отслеживаются дескрипторы обработчиков копирования, привязывающиеся непосредственно к проводнику Windows и выполняющиеся внутрипроцессно с файлом explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Отслеживается регистрация обработчика дополнительных значков. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Отслеживается регистрация обработчика дополнительных значков для 32-битных приложений, работающих на 64-разрядных компьютерах. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Отслеживаются новые подключаемые модули вспомогательных объектов браузера для Internet Explorer. Используется для доступа к модели DOM текущей страницы и управления навигацией. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Отслеживаются новые подключаемые модули вспомогательных объектов браузера для Internet Explorer. Используется для получения доступа к модели DOM текущей страницы и управления навигацией для 32-разрядных приложений, работающих на 64-разрядных компьютерах. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Отслеживаются новые расширения Internet Explorer, например пользовательские меню инструментов и пользовательские кнопки панели инструментов. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Отслеживаются новые расширения Internet Explorer, например пользовательские меню инструментов и пользовательские кнопки панели инструментов для 32-битных приложений, работающих на 64-разрядных компьютерах. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Отслеживаются 32-разрядные драйверы, связанные с устройствами wavemapper: wave1 и wave2, msacm.imaadpcm, .msadpcm, .msgsm610 и vidc. Ознакомьтесь с разделом о [драйверах] в файле system.ini. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Отслеживаются 32-разрядные драйверы, связанные с устройствами wavemapper, — wave1 и wave2, msacm.imaadpcm, .msadpcm, .msgsm610 и vidc — для 32-разрядных приложений, работающих на 64-разрядных компьютерах. Ознакомьтесь с разделом о [драйверах] в файле system.ini. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Отслеживается список известных или часто используемых системных библиотек DLL. Мониторинг предотвращает использование ненадежных разрешений каталога приложений за счет удаления версий вредоносной программы типа "троянский конь" системных библиотек DLL. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Отслеживается список пакетов, получающих уведомления о событиях из winlogon.exe — интерактивной модели поддержки входа в систему для Windows. |
Поддержка рекурсии
Функция отслеживания изменений и инвентаризации поддерживает рекурсию, что позволяет использовать подстановочные знаки для упрощения отслеживания в каталогах. Рекурсия также предоставляет переменные среды, которые позволяют отслеживать файлы в разных средах с несколькими или динамическими именами дисков. Ниже представлена общая информация, которую нужно знать при настройке рекурсии.
Для отслеживания нескольких файлов необходимы подстановочные знаки.
Подстановочные знаки можно использовать только в последнем сегменте пути к файлу, например c:\folder\file* или /etc/*.conf.
Если у переменной среды недопустимый путь, проверка будет успешной, но выполнение завершится сбоем.
Избегайте общих путей, так как это приведет к переходу по слишком большому количеству папок.
Сбор данных для функции отслеживания изменений и инвентаризации
В таблице ниже указана частота сбора данных для типов изменений, поддерживаемых функцией отслеживания изменений и инвентаризации. Моментальный снимок данных текущего состояния для каждого типа обновляется по крайней мере каждые 24 часа.
| Тип изменения | Периодичность |
|---|---|
| Реестр Windows | 50 минут |
| Файловый ресурс Windows | От 30 до 40 минут |
| Файловый ресурс Linux | 15 минут |
| Службы Windows | 10 минут до 30 минут по умолчанию: 30 минут |
| Программное обеспечение Windows | 30 минут |
| Программное обеспечение Linux | 5 мин |
| Управляющие программы Linux | 5 мин |
В таблице ниже приведены ограничения по отслеживаемым элементам для одного компьютера при использовании функции отслеживания изменений и инвентаризации.
| Ресурс | Лимит |
|---|---|
| Файлы | 500 |
| Реестр | 250 |
| Программное обеспечение Windows (не включая исправления) | 250 |
| Пакеты Linux | 1250 |
| Службы Windows | 250 |
| Управляющие программы Linux | 500 |
Данные служб Windows
Необходимые компоненты
Чтобы включить отслеживание данных служб Windows, необходимо обновить расширение CT и использовать расширение больше или равно 2.11.0.0
- Для виртуальных машин Windows Azure
- Для виртуальных машин Linux Azure
- Для виртуальных машин Windows с поддержкой Arc
- Для виртуальных машин Linux с поддержкой Arc
- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true
Настройка частоты
Периодичность сбора по умолчанию для служб Windows — 30 минут. Чтобы настроить частоту,
- в разделе "Изменение параметров" используйте ползунок на вкладке служб Windows.
Поддержка оповещений о состоянии конфигурации
Ключевой возможностью отслеживания изменений и инвентаризации является возможность оповещения об изменениях состояния конфигурации в гибридной среде. Доступно много полезных действий, которые можно запускать в ответ на оповещения. Например, действия с функциями Azure, модулями runbook службы автоматизации, веб-перехватчиками и т. д. Предупреждение об изменениях в файле c:\windows\system32\drivers\etc\hosts компьютера — хороший пример применения оповещений для данных функции Отслеживания изменений и инвентаризации. Существует множество других сценариев использования оповещений, включая сценарии запросов, определенные в следующей таблице.
| Query | Description |
|---|---|
| ConfigurationChange | where ConfigChangeType == "Files" и FileSystemPath содержит "c:\windows\system32\drivers\" |
Полезно для отслеживания изменений в системных критических файлах. |
| ConfigurationChange | Where FieldsChanged содержит FileContentChecksum и FileSystemPath == "c:\windows\system32\drivers\etc\hosts" |
Полезно для отслеживания изменений в файлах конфигурации ключа. |
| ConfigurationChange | where ConfigChangeType == "WindowsServices" и SvcName содержит "w3svc" и SvcState == "Остановлено" |
Полезно для отслеживания изменений в системных критически важных службах. |
| ConfigurationChange | where ConfigChangeType == "Daemons" и SvcName содержит ssh и SvcState!= "Running" |
Полезно для отслеживания изменений в системных критически важных службах. |
| ConfigurationChange | where ConfigChangeType == "Software" и ChangeCategory == "Added" |
Полезно для сред, которые требуют заблокированных конфигураций программного обеспечения. |
| ConfigurationData | where SoftwareName содержит "Агент мониторинга" и CurrentVersion!= "8.0.11081.0". |
Полезно для просмотра компьютеров, на которых установлена устаревшая или несовместимая версия программного обеспечения. Этот запрос сообщает о последнем сообщенном состоянии конфигурации, но не об изменениях. |
| ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
Полезно для отслеживания изменений в важных антивирусных ключах. |
| ConfigurationChange | Where RegistryKey содержит @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
Полезно для отслеживания изменений в параметрах брандмауэра. |
Следующие шаги
- Инструкции по включению на портале Azure см. в статье Включение отслеживания изменений и инвентаризации на портале Azure.