Panoramica di Rilevamento modifiche e inventario

Questo articolo descrive la funzionalità di Rilevamento modifiche e inventario in Automazione di Azure. Questa funzionalità tiene traccia delle modifiche apportate alle macchine virtuali ospitate in Azure, in locale e in altri ambienti cloud per individuare i problemi operativi e ambientali con il software gestito dal Gestione pacchetti. Gli elementi rilevati da Rilevamento modifiche e inventario includono:

  • Software Windows
  • Software Linux (pacchetti)
  • File Windows e Linux
  • Chiavi del Registro di sistema di Windows
  • Servizi Windows
  • Daemon Linux

Nota

Per tenere traccia delle modifiche apportate alle proprietà di Azure Resource Manager, vedere il grafico cronologia modifiche di Azure Resource Graph.

Rilevamento modifiche e inventario usa Microsoft Defender for Cloud File Integrity Monitoring (FIM) per esaminare i file del sistema operativo e dell'applicazione e Windows Registro di sistema. Mentre FIM monitora tali entità, Rilevamento modifiche e inventario tiene traccia in modo nativo:

  • Modifiche software
  • Servizi Windows
  • Daemon Linux

L'abilitazione di tutte le funzionalità incluse Rilevamento modifiche e inventario potrebbe causare costi aggiuntivi. Prima di procedere, vedere Prezzi di Automazione Monitoraggio di Azure prezzi.

Rilevamento modifiche e inventario inoltra i dati ai log Monitoraggio di Azure e questi dati raccolti vengono archiviati in un'area di lavoro Log Analytics. La funzionalità FiM (File Integrity Monitoring) è disponibile solo quando è abilitato Microsoft Defender per i server. Per altre informazioni, vedere Microsoft Defender for Cloud Pricing. FIM carica i dati nella stessa area di lavoro Log Analytics di quella creata per archiviare i dati Rilevamento modifiche e inventario. È consigliabile monitorare l'area di lavoro Log Analytics collegata per tenere traccia dell'utilizzo esatto. Per altre informazioni sull'analisi dell'utilizzo dei Monitoraggio di Azure log, vedere Gestire l'utilizzo e i costi.

I computer connessi all'area di lavoro Log Analytics usano l'agente di Log Analytics per raccogliere dati sulle modifiche al software installato, ai servizi Windows, al Registro di sistema e ai file di Windows e ai daemon Linux nei server monitorati. Quando i dati sono disponibili, l'agente li invia Monitoraggio di Azure log per l'elaborazione. Monitoraggio di Azure log applica la logica ai dati ricevuti, li registra e li rende disponibili per l'analisi.

Nota

Rilevamento modifiche e inventario necessario collegare un'area di lavoro Log Analytics all'account di Automazione. Per un elenco completo delle aree supportate, vedere Mapping dell'area di lavoro di Azure. I mapping a livello di area non influiscono sulla possibilità di gestire le VM in un'area separata rispetto all'account di Automazione.

In qualità di provider di servizi, è possibile che sia stato onboarded più tenant dei clienti perAzure Lighthouse . Azure Lighthouse consente di eseguire operazioni su larga scala tra diversi tenant Azure Active Directory (Azure AD) contemporaneamente, rendendo più efficienti attività di gestione come Rilevamento modifiche e inventario tra i tenant di cui si è responsabili. Rilevamento modifiche e inventario gestire i computer in più sottoscrizioni nello stesso tenant o tra tenant usando la gestione delle risorse delegate di Azure.

Limitazioni correnti

Rilevamento modifiche e inventario non supporta o presenta le limitazioni seguenti:

  • Ricorsione per Rilevamento del Registro di sistema di Windows
  • File system di rete
  • Metodi di installazione diversi
  • *.exe file archiviati in Windows
  • La colonna Dimensioni massime file e i valori non sono usati nell'implementazione corrente.
  • Se si verificano modifiche ai file, le dimensioni del file sono pari o inferiori a 5 MB.
  • Se si tenta di raccogliere più di 2500 file in un ciclo di raccolta di 30 minuti, Rilevamento modifiche e inventario le prestazioni potrebbero essere ridotte.
  • Se il traffico di rete è elevato, la visualizzazione dei record delle modifiche può richiedere fino a sei ore.
  • Se si modifica una configurazione durante l'arresto di un computer o di un server, è possibile che venga pubblicata una modifica appartenente alla configurazione precedente.
  • Raccolta di aggiornamenti rapidi nei Windows Server 2016 Core RS3.
  • I daemon Linux possono mostrare uno stato modificato anche se non si è verificata alcuna modifica. Questo problema si verifica a causa del modo in cui vengono scritti i dati nella Monitoraggio di Azure SvcRunLevels ConfigurationChange.

Limiti

Per i limiti applicabili ai Rilevamento modifiche e inventario, vedere Automazione di Azure dei servizi.

Sistemi operativi supportati

La funzionalità Rilevamento modifiche e inventario è supportata in tutti i sistemi operativi che soddisfano i requisiti degli agenti di Log Analytics. Per un elenco delle versioni del sistema operativo Windows e Linux attualmente supportate dall'agente di Log Analytics, vedere sistemi operativi supportati.

Per informazioni sui requisiti client per TLS 1.2, vedere TLS 1.2 per Automazione di Azure.

Requisito di Python

Rilevamento modifiche e inventario supporta solo Python2. Se il computer usa una distribuzione che non include Python 2 per impostazione predefinita, è necessario installarla. I comandi di esempio seguenti installeranno Python 2 in diverse distribuzione.

  • Red Hat, CentOS, Oracle: yum install -y python2
  • Ubuntu, Debian: apt-get install -y python2
  • SUSE: zypper install -y python2

L'eseguibile python2 deve essere con alias in python.

Requisiti di rete

Controllare Automazione di Azure configurazione di rete per informazioni dettagliate su porte, URL e altri dettagli di rete necessari per Rilevamento modifiche e inventario.

Abilitare il rilevamento delle modifiche e l'inventario

È possibile abilitare Rilevamento modifiche e inventario nei modi seguenti:

  • Dall'account di Automazione per uno o più computer Azure e non Azure.

  • Manualmente per i computer non Azure, inclusi i computer o i server registrati con Azure Arc server abilitati per. Per i computer ibridi, è consigliabile installare l'agente di Log Analytics per Windows connettendo prima il computer ai server abilitati per Azure Arce quindi usando Criteri di Azure per assegnare l'agente Deploy Log Analytics a Linux o Windows Azure Arc machines built-in. Se si prevede di monitorare anche i computer con Monitoraggio di Azure per le macchine virtuali, usare invece l'iniziativa Enable Monitoraggio di Azure per le macchine virtuali .

  • Per una singola macchina virtuale di Azure dalla pagina Macchina virtuale nel portale di Azure. Questo scenario è disponibile per macchine virtuali Linux e Windows.

  • Per più VM di Azure mediante la selezione delle VM dalla pagina Macchina virtuale nel portale di Azure.

Rilevamento delle modifiche ai file

Per tenere traccia delle modifiche nei file in Windows e Linux, Rilevamento modifiche e inventa usano gli hash MD5 dei file. La funzionalità usa gli hash per rilevare se sono state apportate modifiche dall'ultimo inventario.

Rilevamento delle modifiche al contenuto dei file

Rilevamento modifiche e inventario consente di visualizzare il contenuto di un file Windows o Linux. Per ogni modifica apportata a un file, Rilevamento modifiche e inventario archivia il contenuto del file in un account di Archiviazione di Azure. Quando si esegue il rilevamento di un file, è possibile visualizzarne il contenuto prima o dopo una modifica. Il contenuto del file può essere visualizzato inline o affiancato.

Visualizzare le modifiche in un file

Rilevamento delle chiavi del Registro di sistema

Rilevamento modifiche e inventario consente il monitoraggio delle modifiche alle chiavi Windows del Registro di sistema. Il monitoraggio consente di individuare i punti di estendibilità in cui è possibile attivare codice e malware di terze parti. Nella tabella seguente sono elencate le chiavi del Registro di sistema preconfigurate, ma non abilitate. Per tenere traccia di queste chiavi, è necessario abilitarle.

Chiave del Registro di sistema Scopo
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Monitora gli script eseguiti all'avvio.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Monitora gli script eseguiti all'arresto del sistema.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Monitora le chiavi caricate prima dell'accesso degli utenti nel proprio account di Windows. La chiave viene usata per le applicazioni a 32 bit in esecuzione su computer a 64 bit.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Monitora le modifiche apportate alle impostazioni dell'applicazione.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Monitora i gestori del menu di scelta rapida che si collegano direttamente Windows Explorer e in genere vengono eseguiti in-process conexplorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Monitora i gestori hook di copia che eseguono l'hook direttamente Windows Explorer e in genere vengono eseguiti in-process conexplorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitora la registrazione del gestore della sovrapposizione delle icone.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitora la registrazione del gestore delle immagini sovrapposte alle icone per le applicazioni a 32 bit in esecuzione in computer a 64 bit.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitora i nuovi plug-in dell'oggetto browser helper per Internet Explorer. Usati per accedere al DOM (Document Object Model) della pagina corrente e per controllare la navigazione.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitora i nuovi plug-in dell'oggetto browser helper per Internet Explorer. Usati per accedere al DOM (Document Object Model) della pagina corrente e per controllare la navigazione per le applicazioni a 32 bit in esecuzione su computer a 64 bit.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions Monitora le nuove estensioni di Internet Explorer, come i menu degli strumenti personalizzati e i pulsanti della barra degli strumenti personalizzata.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Monitora le nuove estensioni di Internet Explorer, come i menu degli strumenti personalizzati e i pulsanti della barra degli strumenti personalizzati per le applicazioni a 32 bit in esecuzione in computer a 64 bit.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitora i driver a 32 bit associati con wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc. È simile alla sezione [driver] nel file system.ini.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitora i driver a 32 bit associati con wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc per le applicazioni a 32 bit in esecuzione in computer a 64 bit. È simile alla sezione [driver] nel file system.ini.
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Monitora l'elenco delle DLL di sistema note o comunemente usate. Il monitoraggio impedisce agli utenti di sfruttare le autorizzazioni della directory delle applicazioni deboli eliminando le versioni trojan horse delle DLL di sistema.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Monitora l'elenco dei pacchetti che possono ricevere notifiche degli eventi da winlogon.exe, il modello di supporto per l'accesso interattivo per Windows.

Supporto della ricorsione

Rilevamento modifiche e inventario supporta la ricorsione, che consente di specificare caratteri jolly per semplificare il rilevamento tra le directory. La ricorsione fornisce anche le variabili di ambiente che consentono di tenere traccia dei file in ambienti con più nomi di unità o nomi di unità dinamici. L'elenco seguente include informazioni comuni che è necessario conoscere durante la configurazione della ricorsione:

  • I caratteri jolly sono necessari per il rilevamento di più file.

  • È possibile usare i caratteri jolly solo nell'ultimo segmento di un percorso di file, ad esempio c:\folder \ file _ o _ /etc/.conf**.

  • Se a una variabile di ambiente è associato ha un percorso non valido, la convalida ha esito positivo, ma il percorso non restituisce errore durante l'esecuzione.

  • È consigliabile evitare i nomi di percorso generali quando si imposta il percorso, perché questo tipo di impostazione può causare l'attraversamento di troppe cartelle.

Raccolta dati di Rilevamento modifiche e inventario

La tabella seguente mostra la frequenza di raccolta dei dati per i tipi di modifiche supportate da Rilevamento modifiche e inventario. Per ogni tipo, lo snapshot dei dati dello stato corrente viene aggiornato almeno ogni 24 ore.

Tipo di modifica Frequenza
Registro di sistema di Windows 50 minuti
File Windows 30 minuti
File Linux 15 minuti
Servizi Windows Da 10 secondi a 30 minuti
Predefinito: 30 minuti
Daemon Linux 5 minuti
Software Windows 30 minuti
Software Linux 5 minuti

La tabella seguente illustra i limiti dell'elemento di rilevamento per ogni macchina per Rilevamento modifiche e inventario.

Risorsa Limite
File 500
Registro 250
Software Windows (esclusi gli hotfix) 250
Pacchetti Linux 1250
Servizi 250
Daemon 250

L'uso medio dei dati di Log Analytics per un computer che usa Rilevamento modifiche e inventario è di circa 40 MB al mese, in base all'ambiente. Con la funzionalità Utilizzo e costi stimati dell'area di lavoro Log Analytics è possibile visualizzare i dati inseriti Rilevamento modifiche e inventario in un grafico di utilizzo. Usare questa visualizzazione dati per valutare l'utilizzo dei dati e determinare in che modo influisce sulla fattura. Vedere Comprendere l'utilizzo e stimare i costi.

Windows dati dei servizi

La frequenza di raccolta predefinita per i servizi di Windows è 30 minuti. È possibile configurare la frequenza usando un dispositivo di scorrimento nella scheda Windows servizi in Modifica Impostazioni .

Dispositivo di scorrimento dei servizi di Windows

Per ottimizzare le prestazioni, l'agente di Log Analytics tiene traccia solo delle modifiche. L'impostazione di una soglia elevata potrebbe perdere le modifiche se il servizio torna allo stato originale. L'impostazione della frequenza su un valore inferiore consente di rilevare modifiche che altrimenti potrebbero essere perse.

Nota

Anche se l'agente può rilevare le modifiche in un intervallo di 10 secondi, i dati richiedono alcuni minuti per essere visualizzati nel portale di Azure. Le modifiche che si verificano durante il periodo di visualizzazione vengono comunque rilevate e registrate.

Supporto per gli avvisi sullo stato di configurazione

Una funzionalità chiave di Rilevamento modifiche e inventario è costituita da avvisi sulle modifiche allo stato di configurazione dell'ambiente ibrido. Sono disponibili molte azioni utili da attivare in risposta agli avvisi. Ad esempio, azioni su funzioni di Azure, runbook di Automazione, webhook e simili. L'avviso sulle modifiche apportate al file c:\windows\system32\drivers\etc\hosts per un computer è una buona applicazione di avvisi per Rilevamento modifiche e inventario dati. Sono disponibili anche molti altri scenari per gli avvisi, inclusi gli scenari di query definiti nella tabella seguente.

Query Descrizione
ConfigurationChange
| where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\"
Utile per tenere traccia delle modifiche ai file di sistema critici.
ConfigurationChange
| where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"
Utile per tenere traccia delle modifiche ai file di configurazione importanti.
ConfigurationChange
| where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped"
Utile per tenere traccia delle modifiche ai servizi di sistema critici.
ConfigurationChange
| where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState!= "Running"
Utile per tenere traccia delle modifiche ai servizi di sistema critici.
ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Added"
Utile per gli ambienti che richiedono il blocco delle configurazioni software.
ConfigurationData
| where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"
Utile per visualizzare i computer in cui è installata una versione del software obsoleta o non conforme. Questa query segnala l'ultimo stato della configurazione indicato, ma non segnala le modifiche.
ConfigurationChange
| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"
Utile per tenere traccia delle modifiche alle chiavi antivirus di importanza cruciale.
ConfigurationChange
| where RegistryKey contains @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"
Utile per tenere traccia delle modifiche alle impostazioni del firewall.

Passaggi successivi