Abilitare monitoraggio dell'integrità dei file quando si usa l'agente di Monitoraggio di Azure

  • Articolo

Per fornire Il monitoraggio dell'integrità dei file (FIM), l'agente di Monitoraggio di Azure raccoglie i dati dai computer in base alle regole di raccolta dei dati. Quando lo stato corrente dei file di sistema viene confrontato con lo stato durante l'analisi precedente, FIM notifica le modifiche sospette.

Nota

Nell'ambito della strategia aggiornata Defender per il cloud, l'agente di Monitoraggio di Azure non sarà più necessario per ricevere tutte le funzionalità di Defender per server. Tutte le funzionalità attualmente basate sull'agente di Monitoraggio di Azure, incluse quelle descritte in questa pagina, saranno disponibili tramite l'integrazione Microsoft Defender per endpoint o l'analisi senza agente entro agosto 2024. Per accedere alle funzionalità complete di Defender per SQL Server nei computer, è necessario l'agente di monitoraggio di Azure (noto anche come AMA). Per altre informazioni sulla roadmap delle funzionalità, vedere questo annuncio.

Monitoraggio dell'integrità dei file con l'agente di Monitoraggio di Azure offre:

  • Compatibilità con l'agente di monitoraggio unificato: compatibile con l'agente di Monitoraggio di Azure che migliora la sicurezza, l'affidabilità e facilita l'esperienza di multihoming per archiviare i dati.
  • Compatibilità con lo strumento di rilevamento: compatibile con l'estensione Rilevamento modifiche distribuita tramite il Criteri di Azure nella macchina virtuale del client. È possibile passare all'agente di Monitoraggio di Azure (AMA) e quindi l'estensione CT esegue il push del software, dei file e del Registro di sistema in AMA.
  • Onboarding semplificato: è possibile eseguire l'onboarding di FIM da Microsoft Defender per il cloud.
  • Esperienza multihoming: fornisce la standardizzazione della gestione da un'area di lavoro centrale. È possibile passare da Log Analytics (LA) ad AMA in modo che tutte le macchine virtuali puntino a una singola area di lavoro per la raccolta e la manutenzione dei dati.
  • Gestione delle regole: usa regole di raccolta dati per configurare o personalizzare vari aspetti della raccolta dati. Ad esempio, è possibile modificare la frequenza della raccolta di file.

Questo articolo descrive come:

Disponibilità

Aspetto Dettagli
Stato della versione: Anteprima
Prezzi: Richiede Microsoft Defender per server piano 2
Autorizzazioni e ruoli obbligatori: Proprietario
Collaboratore
Cloud: Cloud commerciali: supportato solo nelle aree: , australiasoutheast, , , centralus, eastasiawesteuropewestcentralusuksouthswitzerlandnorthsoutheastasiasouthcentralusnortheuropenorthcentraluseastus2euapkoreacentraljapaneasteastuseastus2francecentral, westuscentralindiacanadacentralaustraliaeastwestus2
Nazionale (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet)
Dispositivi con abilitazione di Azure Arc .
account AWS Connessione ed
account GCP Connessione ed

Prerequisiti

Per tenere traccia delle modifiche apportate ai file nei computer con AMA:

Abilitare monitoraggio dell'integrità dei file con AMA

Per abilitare Il monitoraggio dell'integrità dei file (FIM), usare la raccomandazione FIM per selezionare i computer da monitorare:

  1. Dalla barra laterale di Defender per il cloud aprire la pagina Consigli.

  2. Selezionare la raccomandazione Monitoraggio dell'integrità dei file deve essere abilitato nei computer. Altre informazioni sulle raccomandazioni Defender per il cloud.

  3. Selezionare i computer in cui si vuole usare Monitoraggio dell'integrità dei file, selezionare Correggi e selezionare Correggi X risorse.

    Correzione della raccomandazione:

    • Installa l'estensione ChangeTracking-Windows o ChangeTracking-Linux nei computer.
    • Genera una regola di raccolta dati per la sottoscrizione denominata Microsoft-ChangeTracking-[subscriptionId]-default-dcr che definisce i file e i registri da monitorare in base alle impostazioni predefinite. La correzione collega il DCR a tutti i computer nella sottoscrizione in cui è installato AMA e FIM abilitato.
    • Crea una nuova area di lavoro Log Analytics con la convenzione defaultWorkspace-[subscriptionId]-fim di denominazione e con le impostazioni predefinite dell'area di lavoro.

    È possibile aggiornare le impostazioni dell'area di lavoro DCR e Log Analytics in un secondo momento.

  4. Dalla barra laterale di Defender per il cloud passare a Protezione>del carico di lavoro Monitoraggio dell'integrità dei file e selezionare il banner per visualizzare i risultati per i computer con l'agente di Monitoraggio di Azure.

    Screenshot of banner in File integrity monitoring to show the results for machines with Azure Monitor Agent.

  5. Vengono visualizzati i computer con monitoraggio dell'integrità dei file abilitati.

    Screenshot of File integrity monitoring results for machines with Azure Monitor Agent.

    È possibile visualizzare il numero di modifiche apportate ai file rilevati ed è possibile selezionare Visualizza modifiche per visualizzare le modifiche apportate ai file rilevati nel computer.

Modificare l'elenco di file rilevati e chiavi del Registro di sistema

Monitoraggio dell'integrità dei file (FIM) per i computer con l'agente di Monitoraggio di Azure usa regole di raccolta dati (DCR) per definire l'elenco di file e chiavi del Registro di sistema da tenere traccia. Ogni sottoscrizione ha un registro di dominio per i computer in tale sottoscrizione.

FIM crea controller di dominio con una configurazione predefinita di file rilevati e chiavi del Registro di sistema. È possibile modificare i controller di dominio per aggiungere, rimuovere o aggiornare l'elenco di file e registri rilevati da FIM.

Per modificare l'elenco di file e registri rilevati:

  1. In Monitoraggio dell'integrità dei file selezionare Regole di raccolta dati.

    È possibile visualizzare ognuna delle regole create per le sottoscrizioni a cui si ha accesso.

  2. Selezionare il record di controllo di dominio da aggiornare per una sottoscrizione.

    Ogni file nell'elenco di chiavi del Registro di sistema di Windows, file di Windows e file Linux contiene una definizione per un file o una chiave del Registro di sistema, inclusi nome, percorso e altre opzioni. È anche possibile impostare Enabled su False per annullare il rilevamento del file o della chiave del Registro di sistema senza rimuovere la definizione.

    Altre informazioni sulle definizioni di file di sistema e delle chiavi del Registro di sistema.

  3. Selezionare un file e quindi aggiungere o modificare il file o la definizione della chiave del Registro di sistema.

  4. Selezionare Aggiungi per salvare le modifiche.

Escludere i computer dal monitoraggio dell'integrità dei file

Ogni computer nella sottoscrizione collegata al Registro Azure Container viene monitorato. È possibile scollegare un computer dal Controller di dominio in modo che i file e le chiavi del Registro di sistema non vengano rilevati.

Per escludere un computer dal monitoraggio dell'integrità dei file:

  1. Nell'elenco dei computer monitorati nei risultati FIM selezionare il menu (...) per il computer
  2. Selezionare Scollega regola di raccolta dati.

Screenshot of the option to detach a machine from a data collection rule and exclude the machines from File Integrity Monitoring.

Il computer passa all'elenco dei computer non monitorati e le modifiche ai file non vengono più rilevate per quel computer.

Passaggi successivi

Altre informazioni sui Defender per il cloud in:

  • Impostazione dei criteri di sicurezza: informazioni su come configurare i criteri di sicurezza per le sottoscrizioni e i gruppi di risorse di Azure.
  • Gestione delle raccomandazioni sulla sicurezza: informazioni su come le raccomandazioni consentono di proteggere le risorse di Azure.
  • Blog sulla sicurezza di Azure: ottenere le ultime notizie e informazioni sulla sicurezza di Azure.