Panoramica di Rilevamento modifiche e inventario
Attenzione
Questo articolo fa riferimento a CentOS, una distribuzione Linux vicina allo stato end of life (EOL). Prendere in considerazione l'uso e la pianificazione di conseguenza. Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.
Importante
- Rilevamento modifiche e inventario con l'agente di Log Analytics verranno ritirati il 31 agosto 2024 ed è consigliabile usare l'agente di monitoraggio di Azure come nuovo agente di supporto. Seguire le linee guida per la migrazione da Rilevamento modifiche e inventario usando Analisi dei log per Rilevamento modifiche e inventario usando la versione dell'agente di monitoraggio di Azure.
Questo articolo descrive la funzionalità di Rilevamento modifiche e inventario in Automazione di Azure. Questa funzionalità tiene traccia delle modifiche apportate alle macchine virtuali ospitate in Azure, in locale e in altri ambienti cloud per individuare i problemi operativi e ambientali relativi al software gestito dal Gestione pacchetti di distribuzione. Gli elementi rilevati da Rilevamento modifiche e inventario includono:
- Software Windows
- Software Linux (pacchetti)
- File Windows e Linux
- Chiavi del Registro di sistema di Windows
- Servizi Windows
- Daemon Linux
Nota
Per tenere traccia delle modifiche apportate alle proprietà di Azure Resource Manager, vedere il grafico cronologia modifiche di Azure Resource Graph.
Rilevamento modifiche e Inventario usa Microsoft Defender per il cloud Monitoraggio dell'integrità dei file (FIM) per esaminare i file del sistema operativo e dell'applicazione e il Registro di sistema di Windows. Mentre FIM monitora tali entità, Rilevamento modifiche e Inventory tiene traccia in modo nativo:
- Modifiche software
- Servizi Windows
- Daemon Linux
L'abilitazione di tutte le funzionalità incluse in Rilevamento modifiche e inventario potrebbe causare costi aggiuntivi. Prima di procedere, vedere Prezzi di Automazione e Prezzi di Monitoraggio di Azure.
Rilevamento modifiche e Inventario inoltra i dati ai log di Monitoraggio di Azure e questi dati raccolti vengono archiviati in un'area di lavoro Log Analytics. La funzionalità FiM (File Integrity Monitoring) è disponibile solo quando Microsoft Defender per server è abilitato. Per altre informazioni, vedere Microsoft Defender per il cloud Prezzi. FIM carica i dati nella stessa area di lavoro Log Analytics creata per archiviare i dati da Rilevamento modifiche e inventario. È consigliabile monitorare l'area di lavoro Log Analytics collegata per tenere traccia dell'utilizzo esatto. Per altre informazioni sull'analisi dell'utilizzo dei dati dei log di Monitoraggio di Azure, vedere Analizzare l'utilizzo nell'area di lavoro Log Analytics.
I computer connessi all'area di lavoro Log Analytics usano l'agente di Log Analytics per raccogliere dati sulle modifiche apportate al software installato, ai servizi Windows, al Registro di sistema e ai file di Windows e ai daemon Linux nei server monitorati. Quando i dati sono disponibili, l'agente lo invia ai log di Monitoraggio di Azure per l'elaborazione. I log di Monitoraggio di Azure applicano la logica ai dati ricevuti, registrarli e renderli disponibili per l'analisi.
Nota
Rilevamento modifiche e Inventario richiede il collegamento di un'area di lavoro Log Analytics all'account di Automazione. Per un elenco completo delle aree supportate, vedere Mapping dell'area di lavoro di Azure. I mapping a livello di area non influiscono sulla possibilità di gestire le VM in un'area separata rispetto all'account di Automazione.
I provider di servizi potrebbero aver integrato più tenant di clienti in Azure Lighthouse. Azure Lighthouse consente di eseguire operazioni su larga scala in diversi tenant di Microsoft Entra contemporaneamente, rendendo più efficienti le attività di gestione, ad esempio Rilevamento modifiche e Inventario in tutti i tenant a cui si è responsabili. Rilevamento modifiche e Inventario possono gestire i computer in più sottoscrizioni nello stesso tenant o tra tenant usando Gestione risorse delegate di Azure.
Limitazioni correnti
Rilevamento modifiche e Inventory non supporta o presenta le limitazioni seguenti:
- Ricorsione per Rilevamento del Registro di sistema di Windows
- File system di rete
- Metodi di installazione diversi
- *.exe file archiviati in Windows
- La colonna Dimensioni massime file e i valori non sono usati nell'implementazione corrente.
- Se si stanno monitorando le modifiche dei file, è limitato a una dimensione del file di 5 MB o inferiore.
- Se la dimensione del file è >1,25 MB, FileContentChecksum non è corretta a causa dei vincoli di memoria nel calcolo del checksum.
- Se si tenta di raccogliere più di 2500 file in un ciclo di raccolta di 30 minuti, le prestazioni di Rilevamento modifiche e inventario potrebbero essere ridotte.
- Se il traffico di rete è elevato, la visualizzazione dei record di modifica può richiedere fino a sei ore.
- Se si modifica una configurazione durante l'arresto di un computer o di un server, è possibile che vengano pubblicate modifiche appartenenti alla configurazione precedente.
- Raccolta degli aggiornamenti rapidi nei computer Windows Server 2016 Core RS3.
- I daemon Linux possono mostrare uno stato modificato anche se non si è verificata alcuna modifica. Questo problema si verifica a causa del modo in cui vengono scritti i
SvcRunLevels
dati nella tabella ConfigurationChange di Monitoraggio di Azure.
Limiti
Per i limiti che si applicano alle Rilevamento modifiche e all'inventario, vedere Automazione di Azure limiti del servizio.
Sistemi operativi supportati
La funzionalità Rilevamento modifiche e inventario è supportata in tutti i sistemi operativi che soddisfano i requisiti degli agenti di Log Analytics. Vedere Sistemi operativi supportati per un elenco delle versioni del sistema operativo Windows e Linux attualmente supportate dall'agente di Log Analytics.
Per informazioni sui requisiti client per TLS 1.2 o versione successiva, vedere TLS 1.2 o versione successiva per Automazione di Azure.
Requisito di Python
Rilevamento modifiche e Inventario ora supportano Python 2 e Python 3. Se il computer usa una distribuzione che non include una delle due versioni, è necessario installarle per impostazione predefinita. I comandi di esempio seguenti installeranno Python 2 e Python 3 in distribuzioni diverse.
Nota
Per usare l'agente OMS compatibile con Python 3, assicurarsi di disinstallare prima Python 2; in caso contrario, l'agente OMS continuerà a essere eseguito con Python 2 per impostazione predefinita.
- Red Hat, CentOS, Oracle:
sudo yum install -y python2
- Ubuntu, Debian:
sudo apt-get update
sudo apt-get install -y python2
- SUSE:
sudo zypper install -y python2
Nota
L'eseguibile python 2 deve essere aliasato in Python.
Requisiti di rete
Controllare Automazione di Azure Configurazione di rete per informazioni dettagliate sulle porte, gli URL e altri dettagli di rete necessari per Rilevamento modifiche e inventario.
Abilitare Rilevamento modifiche e inventario
È possibile abilitare Rilevamento modifiche e Inventario nei modi seguenti:
Dall'account di Automazione per uno o più computer Azure e non Azure.
Manualmente per computer non Azure, inclusi computer o server registrati con server abilitati per Azure Arc. Per i computer ibridi, è consigliabile installare l'agente di Log Analytics per Windows connettendo prima il computer ai server abilitati per Azure Arc e quindi usando Criteri di Azure per assegnare il criterio predefinito Deploy Log Analytics agent to Linux or Windows Azure Arc machines (Distribuire l'agente di Log Analytics in Linux o nei computer Windows Azure Arc). Se si prevede di monitorare anche i computer con Monitoraggio di Azure per le macchine virtuali, usare l'iniziativa Abilita Monitoraggio di Azure per le macchine virtuali.
Per una singola macchina virtuale di Azure dalla pagina Macchina virtuale nel portale di Azure. Questo scenario è disponibile per macchine virtuali Linux e Windows.
Per più VM di Azure mediante la selezione delle VM dalla pagina Macchina virtuale nel portale di Azure.
Rilevamento delle modifiche dei file
Per tenere traccia delle modifiche nei file in Windows e Linux, Rilevamento modifiche e inventa usano gli hash MD5 dei file. La funzionalità usa gli hash per rilevare se sono state apportate modifiche dall'ultimo inventario. Per tenere traccia dei file Linux, assicurarsi di avere accesso IN LETTURA per l'utente dell'agente OMS.
Rilevamento delle modifiche al contenuto dei file
Rilevamento modifiche e Inventario consente di visualizzare il contenuto di un file Windows o Linux. Per ogni modifica apportata a un file, Rilevamento modifiche e inventario archivia il contenuto del file in un account di Archiviazione di Azure. Quando si esegue il rilevamento di un file, è possibile visualizzarne il contenuto prima o dopo una modifica. Il contenuto del file può essere visualizzato inline o affiancato.
Rilevamento delle chiavi del Registro di sistema
Rilevamento modifiche e Inventario consente il monitoraggio delle modifiche apportate alle chiavi del Registro di sistema di Windows. Il monitoraggio consente di individuare i punti di estendibilità in cui è possibile attivare codice e malware di terze parti. Nella tabella seguente sono elencate le chiavi del Registro di sistema preconfigurate, ma non abilitate. Per tenere traccia di queste chiavi, è necessario abilitarle.
Chiave del Registro di sistema | Scopo |
---|---|
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Monitora gli script eseguiti all'avvio. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Monitora gli script eseguiti all'arresto del sistema. |
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Monitora le chiavi caricate prima dell'accesso degli utenti nel proprio account di Windows. La chiave viene usata per le applicazioni a 32 bit in esecuzione su computer a 64 bit. |
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Monitora le modifiche apportate alle impostazioni dell'applicazione. |
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Monitora i gestori di menu di scelta rapida che si associano direttamente a Esplora risorse e in genere vengono eseguiti in-process con explorer.exe. |
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Monitora i gestori hook di copia che si associano direttamente a Esplora risorse ed in genere vengono eseguiti in-process con explorer.exe. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitora la registrazione del gestore delle immagini sovrapposte alle icone. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitora la registrazione del gestore delle immagini sovrapposte alle icone per le applicazioni a 32 bit in esecuzione in computer a 64 bit. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitora i nuovi plug-in dell'oggetto browser helper per Internet Explorer. Usati per accedere al DOM (Document Object Model) della pagina corrente e per controllare la navigazione. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitora i nuovi plug-in dell'oggetto browser helper per Internet Explorer. Usati per accedere al DOM (Document Object Model) della pagina corrente e per controllare la navigazione per le applicazioni a 32 bit in esecuzione su computer a 64 bit. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Monitora le nuove estensioni di Internet Explorer, come i menu degli strumenti personalizzati e i pulsanti della barra degli strumenti personalizzati. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Monitora le nuove estensioni di Internet Explorer, come i menu degli strumenti personalizzati e i pulsanti della barra degli strumenti personalizzati per le applicazioni a 32 bit in esecuzione in computer a 64 bit. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitora i driver a 32 bit associati con wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc. È simile alla sezione [driver] nel file system.ini. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitora i driver a 32 bit associati con wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc per le applicazioni a 32 bit in esecuzione in computer a 64 bit. È simile alla sezione [driver] nel file system.ini. |
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Monitora l'elenco delle DLL di sistema note o comunemente usate. Il monitoraggio impedisce agli utenti di sfruttare le autorizzazioni deboli della directory dell'applicazione eliminando le versioni di Trojan horse delle DLL di sistema. |
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Monitora l'elenco dei pacchetti che possono ricevere notifiche degli eventi da winlogon.exe, il modello di supporto per l'accesso interattivo per Windows. |
Supporto della ricorsione
Rilevamento modifiche e inventario supporta la ricorsione, che consente di specificare caratteri jolly per semplificare il rilevamento tra le directory. La ricorsione fornisce anche le variabili di ambiente che consentono di tenere traccia dei file in ambienti con più nomi di unità o nomi di unità dinamici. L'elenco seguente include informazioni comuni che è necessario conoscere durante la configurazione della ricorsione:
I caratteri jolly sono necessari per il rilevamento di più file.
È possibile usare caratteri jolly solo nell'ultimo segmento di un percorso di file, ad esempio c:\folder\file* o /etc/*.conf.
Se a una variabile di ambiente è associato ha un percorso non valido, la convalida ha esito positivo, ma il percorso non restituisce errore durante l'esecuzione.
È consigliabile evitare nomi di percorso generali quando si imposta il percorso, perché questo tipo di impostazione può causare l'attraversamento di troppe cartelle.
Raccolta dati di Rilevamento modifiche e inventario
La tabella seguente mostra la frequenza di raccolta dei dati per i tipi di modifiche supportate da Rilevamento modifiche e inventario. Per ogni tipo, lo snapshot dei dati dello stato corrente viene aggiornato almeno ogni 24 ore.
Tipo di modifica | Frequenza |
---|---|
Registro di sistema di Windows | 50 minuti |
File Windows | 30 minuti |
File Linux | 15 minuti |
Servizi Windows | Da 10 secondi a 30 minuti predefinito: 30 minuti |
Daemon Linux | 5 minuti |
Software Windows | 30 minuti |
Software Linux | 5 minuti |
La tabella seguente illustra i limiti dell'elemento di rilevamento per ogni macchina per Rilevamento modifiche e inventario.
Conto risorse | Limite |
---|---|
file | 500 |
Registro | 250 |
Software Windows (esclusi gli hotfix) | 250 |
Pacchetti Linux | 1250 |
Servizi | 250 |
Daemon | 250 |
L'uso medio dei dati di Log Analytics per un computer che usa Rilevamento modifiche e inventario è di circa 40 MB al mese, in base all'ambiente. Con la funzionalità Utilizzo e Costi stimati dell'area di lavoro Log Analytics, è possibile visualizzare i dati inseriti da Rilevamento modifiche e inventario in un grafico di utilizzo. Usare questa visualizzazione dati per valutare l'utilizzo dei dati e determinare in che modo influisce sulla fattura. Vedere Comprendere l'utilizzo e stimare i costi.
Dati dei servizi Windows
La frequenza di raccolta predefinita per i servizi di Windows è 30 minuti. È possibile configurare la frequenza usando un dispositivo di scorrimento nella scheda Servizi di Windows in Modifica Impostazioni.
Per ottimizzare le prestazioni, l'agente di Log Analytics tiene traccia solo delle modifiche. Se il servizio torna allo stato originale, l'impostazione di una soglia elevata potrebbe non essere modificata. L'impostazione della frequenza su un valore inferiore consente di rilevare modifiche che altrimenti potrebbero essere perse.
Per i servizi critici, è consigliabile contrassegnare lo stato di avvio come Automatico (Avvio ritardato) in modo che, dopo il riavvio della macchina virtuale, la raccolta dei dati dei servizi venga avviata dopo l'avvio dell'agente MMA invece di avviarsi rapidamente non appena la macchina virtuale è attivata.
Nota
Anche se l'agente può rilevare le modifiche in un intervallo di 10 secondi, i dati richiedono alcuni minuti per essere visualizzati nel portale di Azure. Le modifiche che si verificano durante il periodo di visualizzazione vengono comunque rilevate e registrate.
Supporto per gli avvisi sullo stato di configurazione
Una funzionalità chiave di Rilevamento modifiche e inventario è costituita da avvisi sulle modifiche allo stato di configurazione dell'ambiente ibrido. Molte azioni utili sono disponibili per l'attivazione in risposta agli avvisi. Ad esempio, azioni su funzioni di Azure, runbook di Automazione, webhook e simili. L'invio di avvisi sulle modifiche apportate al file c:\windows\system32\drivers\etc\hosts per un computer è una buona applicazione di avvisi per i dati di Rilevamento modifiche e inventario. Sono disponibili anche molti altri scenari per gli avvisi, inclusi gli scenari di query definiti nella tabella seguente.
Query | Descrizione |
---|---|
ConfigurationChange | dove ConfigChangeType == "Files" e FileSystemPath contiene " c:\windows\system32\drivers\" |
Utile per tenere traccia delle modifiche ai file di sistema critici. |
ConfigurationChange | dove FieldsChanged contiene "FileContentChecksum" e FileSystemPath == "c:\windows\system32\drivers\etc\hosts" |
Utile per tenere traccia delle modifiche ai file di configurazione importanti. |
ConfigurationChange | dove ConfigChangeType == "WindowsServices" e SvcName contiene "w3svc" e SvcState == "Stopped" |
Utile per tenere traccia delle modifiche ai servizi di sistema critici. |
ConfigurationChange | dove ConfigChangeType == "Daemons" e SvcName contiene "ssh" e SvcState!= "Running" |
Utile per tenere traccia delle modifiche ai servizi di sistema critici. |
ConfigurationChange | where ConfigChangeType == "Software" e ChangeCategory == "Added" |
Utile per gli ambienti che richiedono il blocco delle configurazioni software. |
ConfigurationData | dove SoftwareName contiene "Monitoring Agent" e CurrentVersion!= "8.0.11081.0" |
Utile per visualizzare i computer in cui è installata una versione del software obsoleta o non conforme. Questa query segnala l'ultimo stato della configurazione indicato, ma non segnala le modifiche. |
ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
Utile per tenere traccia delle modifiche alle chiavi antivirus di importanza cruciale. |
ConfigurationChange | dove RegistryKey contiene @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
Utile per tenere traccia delle modifiche alle impostazioni del firewall. |
Aggiornare l'agente di Log Analytics alla versione più recente
Per Rilevamento modifiche e inventario, i computer usano l'agente di Log Analytics per raccogliere dati sulle modifiche apportate al software installato, ai servizi Windows, al Registro di sistema e ai file di Windows e ai daemon Linux nei server monitorati. A breve, Azure non accetterà più connessioni da versioni precedenti dell'agente di Windows Log Analytics (LA), noto anche come Microsoft Monitoring Agent (MMA) di Windows, che usa un metodo precedente per la gestione dei certificati. È consigliabile aggiornare l'agente alla versione più recente il prima possibile.
Gli agenti nella versione 10.20.18053 (bundle) e 1.0.18053.0 (estensione) o versioni successive non sono interessati in risposta a questa modifica. Se si usa un agente in precedenza, l'agente non sarà in grado di connettersi e l'Rilevamento modifiche e la pipeline di inventario e le attività downstream possono essere interrotte. È possibile controllare la versione corrente dell'agente LA nella tabella HeartBeat all'interno dell'area di lavoro LA.
Assicurarsi di eseguire l'aggiornamento alla versione più recente dell'agente di Windows Log Analytics (MMA) seguendo queste linee guida.
Passaggi successivi
Per abilitare da un account di Automazione, vedere Abilitare Rilevamento modifiche e inventario da un account di Automazione.
Per abilitare dalla portale di Azure, vedere Abilitare Rilevamento modifiche e inventario dal portale di Azure.
Per abilitare da un runbook, vedere Abilitare Rilevamento modifiche e Inventario da un runbook.
Per abilitare da una macchina virtuale di Azure, vedere Abilitare Rilevamento modifiche e inventario da una macchina virtuale di Azure.