Aktivieren der Überwachung der Dateiintegrität bei Verwendung des Azure Monitor-Agents

  • Artikel

Um die Überwachung der Dateiintegrität (FIM) bereitzustellen, sammelt der Azure Monitor-Agent (AMA) Daten aus Computern gemäß den Datensammlungsregeln. Wenn der aktuelle Zustand Ihrer Systemdateien mit dem Zustand während der vorherigen Überprüfung verglichen wird, benachrichtigt FIM Sie über verdächtige Änderungen.

Hinweis

Im Rahmen unserer aktualisierten Defender for Cloud-Strategie muss der Azure Monitor-Agent nicht mehr alle Funktionen von Defender for Servers erhalten. Alle Features, die derzeit auf dem Azure Monitor-Agent basieren, einschließlich der auf dieser Seite beschriebenen Features, sind bis August 2024 über Microsoft Defender for Endpoint Integration oder agentenloses Scannen verfügbar. Um den vollen Funktionsumfang von Defender for SQL Server auf Computern nutzen zu können, ist der Azure Monitoring Agent (auch als AMA bekannt) erforderlich. Weitere Informationen zur Feature-Roadmap finden Sie in dieser Ankündigung.

Die Überwachung der Dateiintegrität mit dem Azure Monitor-Agent bietet Folgendes:

  • Kompatibilität mit dem einheitlichen Überwachungs-Agent: Kompatibel mit dem Azure Monitor-Agent, der Sicherheit und Zuverlässigkeit verbessert und die Multi-Homing-Erfahrung zum Speichern von Daten erleichtert.
  • Kompatibilität mit dem Nachverfolgungstool: Kompatibel mit der über Azure Policy auf dem virtuellen Computer des Clients bereitgestellte Erweiterung „Änderungsverfolgung“. Sie können zum Azure Monitor-Agent (AMA) wechseln, und die Erweiterung „Änderungsverfolgung“ sendet Software, Dateien und Registrierung per Push an den Azure Monitor-Agent.
  • Vereinfachtes Onboarding: Sie können das Onboarding der Überwachung der Dateiintegrität über Microsoft Defender für Cloud vornehmen.
  • Multi-Homing-Erfahrung: Bietet Standardisierung der Verwaltung über einen zentralen Arbeitsbereich. Sie können von Log Analytics (LA) zum Azure Monitor-Agent wechseln, sodass alle VMs auf einen einzelnen Arbeitsbereich für Datensammlung und Wartung verweisen.
  • Regelverwaltung: Verwendet Datensammlungsregeln zum Konfigurieren oder Anpassen verschiedener Aspekte einer Datensammlung. Sie können beispielsweise die Häufigkeit der Dateisammlung ändern.

In diesem Artikel lernen Sie Folgendes:

Verfügbarkeit

Aspekt Details
Status des Release: Vorschau
Preise: Erfordert Microsoft Defender für Server-Plan 2
Erforderliche Rollen und Berechtigungen: Besitzer
Mitwirkender
Clouds: Kommerzielle Clouds: nur in folgenden Regionen unterstützt: australiaeast, australiasoutheast, canadacentral, centralindia, centralus, eastasia, eastus2euap, eastus, eastus2, francecentral, japaneast, koreacentral, northcentralus, northeurope, southcentralus, southeastasia, switzerlandnorth, uksouth, westcentralus, westeurope, westus, westus2
National (Azure Government, Microsoft Azure betrieben von 21Vianet)
Geräte mit Azure Arc-Unterstützung.
Verknüpfte AWS-Konten
Verbundene GCP-Konten

Voraussetzungen

So verfolgen Sie Änderungen an Ihren Dateien auf Computern mit dem Azure Monitor-Agent:

Aktivieren der Überwachung der Dateiintegrität mit AMA

Um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) zu aktivieren, verwenden Sie die FIM-Empfehlung, um Computer für die Überwachung auszuwählen:

  1. Öffnen Sie über die Randleiste von Defender für Cloud die Seite Empfehlungen.

  2. Wählen Sie die Empfehlung Überwachung der Dateiintegrität sollte auf Computern aktiviert werden aus. Erfahren Sie mehr zu Defender für Cloud-Empfehlungen.

  3. Wählen Sie die Computer aus, auf denen Sie die Überwachung der Dateiintegrität verwenden möchten, wählen Sie Korrigieren und dann Korrigieren von X Ressourcen aus.

    Der Empfehlungs-Fix:

    • Installiert die Erweiterung ChangeTracking-Windows oder ChangeTracking-Linux auf den Computern.
    • Generiert eine Datensammlungsregel (DCR) für das Abonnement mit dem Namen Microsoft-ChangeTracking-[subscriptionId]-default-dcr, die festlegt, welche Dateien und Registrierungen auf der Grundlage der Standardeinstellungen überwacht werden sollen. Der Fix fügt die Datensammlungsregel an alle Computer im Abonnement an, auf denen der Azure Monitor-Agent installiert und die Überwachung der Dateiintegrität aktiviert ist.
    • Erstellt einen neuen Log Analytics-Arbeitsbereich mit der Benennungskonvention defaultWorkspace-[subscriptionId]-fim und den Standardarbeitsbereichseinstellungen.

    Sie können die Einstellungen für die Datensammlungsregel und den Log Analytics-Arbeitsbereich später aktualisieren.

  4. Navigieren Sie über die Seitenleiste von Defender für Cloud zu Workloadschutz>Überwachung der Dateiintegrität, und wählen Sie das Banner aus, um die Ergebnisse für Computer mit dem Azure Monitor-Agent anzuzeigen.

    Screenshot of banner in File integrity monitoring to show the results for machines with Azure Monitor Agent.

  5. Die Computer mit aktivierter Überwachung der Dateiintegrität werden angezeigt.

    Screenshot of File integrity monitoring results for machines with Azure Monitor Agent.

    Die Anzahl der an den nachverfolgten Dateien vorgenommenen Änderungen wird angezeigt, und Sie können Änderungen anzeigen, um die Änderungen anzuzeigen, die an den nachverfolgten Dateien auf diesem Computer vorgenommen wurden.

Bearbeiten der Liste der nachverfolgten Dateien und Registrierungsschlüssel

Die Überwachung der Dateiintegrität (FIM) für Computer mit dem Azure Monitor-Agent verwendet Datensammlungsregeln (DCR), um die Liste der Dateien und Registrierungsschlüssel zu definieren, die nachverfolgt werden sollen. Jedes Abonnement verfügt über eine DCR für die Computer in diesem Abonnement.

Die Überwachung der Dateiintegrität erstellt Datensammlungsregeln mit einer Standardkonfiguration von nachverfolgten Dateien und Registrierungsschlüsseln. Sie können die Datensammlungsregeln bearbeiten, um die Liste der von der Überwachung der Dateiintegrität nachverfolgten Dateien und Registrierungen hinzuzufügen, zu entfernen oder zu aktualisieren.

So bearbeiten Sie die Liste der nachverfolgten Dateien und Registrierungen:

  1. Wählen Sie in der Überwachung der Dateiintegrität Datensammlungsregeln aus.

    Sie können die einzelnen Regeln anzeigen, die für die Abonnements erstellt wurden, auf die Sie Zugriff haben.

  2. Wählen Sie die Datensammlungsregel aus, die Sie für ein Abonnement aktualisieren möchten.

    Jede Datei in der Liste der Windows-Registrierungsschlüssel, Windows-Dateien und Linux-Dateien enthält eine Definition für eine Datei oder einen Registrierungsschlüssel, einschließlich Name, Pfad und andere Optionen. Sie können Aktiviert auch auf False festlegen, um die Nachverfolgung für die Datei oder den Registrierungsschlüssel aufzuheben, ohne die Definition zu entfernen.

    Erfahren Sie mehr über Systemdatei- und Registrierungsschlüsseldefinitionen.

  3. Wählen Sie eine Datei aus, und fügen Sie dann die Datei- oder Registrierungsschlüsseldefinition hinzu, oder bearbeiten Sie sie.

  4. Wählen Sie Hinzufügen aus, um die Änderungen zu speichern.

Ausschließen von Computern aus der Überwachung der Dateiintegrität

Jeder Computer im Abonnement, der an die Datensammlungsregel angefügt ist, wird überwacht. Sie können einen Computer von der Datensammlungsregel trennen, sodass die Dateien und Registrierungsschlüssel nicht nachverfolgt werden.

So schließen Sie einen Computer aus der Überwachung der Dateiintegrität aus:

  1. Wählen Sie in der Liste der überwachten Computer in den Ergebnissen der Überwachung der Dateiintegrität das Menü (...) für den Computer aus.
  2. Wählen Sie Datensammlungsregel trennen aus.

Screenshot of the option to detach a machine from a data collection rule and exclude the machines from File Integrity Monitoring.

Der Computer wird in die Liste der nicht überwachten Computer verschoben, und Dateiänderungen werden für diesen Computer nicht mehr nachverfolgt.

Nächste Schritte

Weitere Informationen zu Defender für Cloud finden Sie unter: