Azure İzleyici Aracısı'nı kullanırken Dosya Bütünlüğü İzleme'yi etkinleştirme
Dosya Bütünlüğünü İzleme (FIM) sağlamak için Azure İzleyici Aracısı (AMA), veri toplama kurallarına göre makinelerden veri toplar. Sistem dosyalarınızın geçerli durumu önceki taramadaki durumla karşılaştırıldığında, FIM şüpheli değişiklikler hakkında sizi bilgilendirir.
Not
Bulut için Defender güncelleştirilmiş stratejimizin bir parçası olarak, Azure İzleyici Aracısı'nın artık Sunucular için Defender'ın tüm özelliklerini alması gerekmeyecek. Bu sayfada açıklananlar da dahil olmak üzere şu anda Azure İzleyici Aracısı'nı kullanan tüm özellikler Ağustos 2024'e kadar Uç Nokta için Microsoft Defender tümleştirme veya aracısız tarama yoluyla kullanılabilir olacak. Makinelerde SQL server için Defender'ın tüm özelliklerine erişmek için Azure izleme aracısı (AMA olarak da bilinir) gereklidir. Özellik yol haritası hakkında daha fazla bilgi için bu duyuruya bakın.
Azure İzleyici Aracısı ile Dosya Bütünlüğünü İzleme şu teklifleri sunar:
- Birleşik izleme aracısı ile uyumluluk - Güvenliği, güvenilirliği artıran ve verileri depolamak için çok girişli deneyimi kolaylaştıran Azure İzleyici Aracısı ile uyumludur.
- İzleme aracıyla uyumluluk- İstemcinin sanal makinesindeki Azure İlkesi aracılığıyla dağıtılan Değişiklik izleme (CT) uzantısıyla uyumludur. Azure İzleyici Aracısı'na (AMA) geçmeyi seçerseniz CT uzantısı yazılımı, dosyaları ve kayıt defterini AMA'ya gönderir.
- Basitleştirilmiş ekleme- Bulut için Microsoft Defender'den FIM'i ekleyebilirsiniz.
- Çoklu giriş deneyimi – Tek bir merkezi çalışma alanından yönetimin standartlaştırılmasını sağlar. Tüm VM'lerin veri toplama ve bakım için tek bir çalışma alanına işaret edebilmesi için Log Analytics'ten (LA) AMA'ya geçiş yapabilirsiniz.
- Kural yönetimi– Veri toplamanın çeşitli yönlerini yapılandırmak veya özelleştirmek için Veri Toplama Kurallarını kullanır. Örneğin, dosya toplama sıklığını değiştirebilirsiniz.
Bu makalede şunları nasıl yapacağınızı öğreneceksiniz:
- AMA ile Dosya Bütünlüğünü İzlemeyi Etkinleştirme
- İzlenen dosyaların ve kayıt defteri anahtarlarının listesini düzenleme
- Makineleri Dosya Bütünlüğünü İzleme'nin dışında tutma
Kullanılabilirlik
Görünüş | Ayrıntılar |
---|---|
Sürüm durumu: | Önizle |
Fiyatlandırma: | Sunucular için Microsoft Defender Plan 2 gerektirir |
Gerekli roller ve izinler: | Sahibi Katkıda Bulunan |
Bulut: | Ticari bulutlar - Yalnızca bölgelerde desteklenir: , , , , centralindia , centralus , eastasia eastus francecentral eastus2 koreacentral northcentralus japaneast eastus2euap , northeurope , , southcentralus , , southeastasia , , , westeurope westus westcentralus switzerlandnorth uksouth canadacentral australiasoutheast australiaeast westus2 National (Azure Kamu, 21Vianet tarafından sağlanan Microsoft Azure) Azure Arc özellikli cihazlar. Bağlı AWS hesapları Bağlı GCP hesapları |
Önkoşullar
AMA ile makinelerinizdeki dosyalarınızdaki değişiklikleri izlemek için:
Sunucular için Defender Plan 2'yi etkinleştirin.
İzlemek istediğiniz makinelere AMA yükleyin.
AMA ile Dosya Bütünlüğünü İzlemeyi Etkinleştirme
Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için FIM önerisini kullanarak izlenecek makineleri seçin:
Bulut için Defender kenar çubuğunda Öneriler sayfasını açın.
Makinelerde Dosya bütünlüğü izlemenin etkinleştirilmesi önerisini seçin. Bulut için Defender önerileri hakkında daha fazla bilgi edinin.
Dosya Bütünlüğünü İzleme'yi kullanmak istediğiniz makineleri seçin, Düzelt'i seçin ve X kaynaklarını düzelt'i seçin.
Öneri düzeltmesi:
- veya
ChangeTracking-Linux
uzantısınıChangeTracking-Windows
makinelere yükler. - Varsayılan ayarlara göre hangi dosyaların ve kayıt defterlerinin izlenmesi gerektiğini tanımlayan adlı
Microsoft-ChangeTracking-[subscriptionId]-default-dcr
abonelik için bir veri toplama kuralı (DCR) oluşturur. Düzeltme, DCR'yi ABONELIKteki AMA yüklü ve FIM etkin olan tüm makinelere ekler. - Adlandırma kuralı
defaultWorkspace-[subscriptionId]-fim
ve varsayılan çalışma alanı ayarlarıyla yeni bir Log Analytics çalışma alanı oluşturur.
DCR ve Log Analytics çalışma alanı ayarlarını daha sonra güncelleştirebilirsiniz.
- veya
Bulut için Defender kenar çubuğundan İş yükü korumaları>Dosya bütünlüğü izleme bölümüne gidin ve Azure İzleyici Aracısı ile makinelerin sonuçlarını göstermek için başlığı seçin.
Dosya Bütünlüğünü İzleme'nin etkinleştirildiği makineler gösterilir.
İzlenen dosyalarda yapılan değişikliklerin sayısını görebilir ve bu makinedeki izlenen dosyalarda yapılan değişiklikleri görmek için Değişiklikleri görüntüle'yi seçebilirsiniz.
İzlenen dosyaların ve kayıt defteri anahtarlarının listesini düzenleme
Azure İzleyici Aracısı'na sahip makineler için Dosya Bütünlüğünü İzleme (FIM), izlenecek dosya ve kayıt defteri anahtarlarının listesini tanımlamak için Veri Toplama Kuralları'nı (DCR) kullanır. Her abonelikte, bu abonelikteki makineler için bir DCR bulunur.
FIM, izlenen dosyaların ve kayıt defteri anahtarlarının varsayılan yapılandırmasına sahip DCR'ler oluşturur. FIM tarafından izlenen dosya ve kayıt defterleri listesini eklemek, kaldırmak veya güncelleştirmek için DCR'leri düzenleyebilirsiniz.
İzlenen dosyaların ve kayıt defterlerinin listesini düzenlemek için:
Dosya bütünlüğünü izleme bölümünde Veri toplama kuralları'na tıklayın.
Erişiminiz olan abonelikler için oluşturulan kuralların her birini görebilirsiniz.
Abonelik için güncelleştirmek istediğiniz DCR'yi seçin.
Windows kayıt defteri anahtarları, Windows dosyaları ve Linux dosyaları listesindeki her dosya, ad, yol ve diğer seçenekler de dahil olmak üzere bir dosya veya kayıt defteri anahtarı için bir tanım içerir. Tanımı kaldırmadan dosya veya kayıt defteri anahtarının izlemesini kaldırmak için Etkin seçeneğini False olarak da ayarlayabilirsiniz.
Sistem dosyası ve kayıt defteri anahtarı tanımları hakkında daha fazla bilgi edinin.
Bir dosya seçin ve ardından dosya veya kayıt defteri anahtarı tanımını ekleyin veya düzenleyin.
Değişiklikleri kaydetmek için Ekle'yi seçin.
Makineleri Dosya Bütünlüğünü İzleme'nin dışında tutma
DCR'ye bağlı abonelikteki her makine izlenir. Dosyaların ve kayıt defteri anahtarlarının izlenmemesi için bir makineyi DCR'den ayırabilirsiniz.
Bir makineyi Dosya Bütünlüğünü İzleme'nin dışında tutmak için:
- FIM sonuçlarındaki izlenen makineler listesinde makine menüsünü (...) seçin
- Veri toplama kuralını ayır'ı seçin.
Makine izlenmeyen makineler listesine taşınır ve bu makine için dosya değişiklikleri artık izlenmez.
Sonraki adımlar
Bulut için Defender hakkında daha fazla bilgi için:
- Güvenlik ilkelerini ayarlama - Azure abonelikleriniz ve kaynak gruplarınız için güvenlik ilkelerini yapılandırmayı öğrenin.
- Güvenlik önerilerini yönetme - Önerilerin Azure kaynaklarınızı korumanıza nasıl yardımcı olduğunu öğrenin.
- Azure Güvenlik blogu - En son Azure güvenlik haberlerini ve bilgilerini alın.