Migration zur Dateiintegritätsüberwachung mit Defender for Endpoint

Die Dateiintegritätsüberwachung in Defender for Servers Plan 2 verwendet den Microsoft Defender for Endpoint-Agent, um Daten von Computern gemäß den Sammlungsregeln zu sammeln.

Die frühere Version der Dateiintegritätsüberwachung verwendete den Log Analytics Agent (auch bekannt als Microsoft Monitoring Agent [MMA]) oder den Azure Monitor Agent (AMA) für die Datensammlung. In diesem Artikel wird beschrieben, wie frühere MMA- und AMA-Versionen zur neuen Version migriert werden.

Voraussetzungen

• Defender for Servers Plan 2 muss für die Verwendung der Dateiintegritätsüberwachung aktiviert sein.
• Die Migration ist relevant, wenn die Dateiintegritätsüberwachung derzeit mithilfe des MMA oder AMA aktiviert ist.
• Auf Computern, die durch Defender for Servers-Plan 2 geschützt sind, sollte der Defender for Endpoint-Agent ausgeführt werden. Den Agentstatus auf Computern in Ihrer Umgebung können Sie mit dieser Arbeitsmappe überprüfen.

Migrieren von MMA

Wenn Sie über eine frühere Version der Dateiintegritätsüberwachung mit dem MMA verfügen, können Sie die Migration mithilfe der produktinternen Migrationsoberfläche durchführen. Mithilfe der produktinternen Oberfläche können Sie Folgendes tun:

• Überprüfen der aktuellen Umgebung/des aktuellen Zustands vor der Migration
• Exportieren der aktuellen Regeln zur Überwachung der Dateiintegrität, die MMA verwenden und sich in einem Log Analytics-Arbeitsbereich befinden
• Migrieren auf die neue Oberfläche, wenn Defender for Servers-Plan 2 aktiviert ist

Vor der Installation

Beachten Sie dabei Folgendes:

• Sie können das Migrationstool nur einmal für ein Abonnement ausführen. Sie können es nicht noch einmal ausführen, um Regeln aus zusätzlichen oder mehreren Arbeitsbereichen desselben Abonnements zu migrieren.
• • Zur Verwendung der produktinternen Migration benötigen Sie die Berechtigung Sicherheitsadmin für das Zielabonnement und die Berechtigung Besitzer für den Zielarbeitsbereich von Log Analytics.
• Mit dem Tool können Sie bestehende Überwachungsregeln auf die neue Oberfläche übertragen.
• Benutzerdefinierte und ältere integrierte Regeln, die nicht Teil der neuen Oberfläche sind, können nicht migriert werden, aber Sie können sie in eine JSON-Datei exportieren.
• Das Migrationstool listet alle Computer in einem Abonnement auf, und nicht alle Computer, die tatsächlich in die Dateiintegritätsüberwachung mit MMA eingebunden wurden.
  • Die Legacy-Version erforderte eine Verbindung von MMA mit dem Log Analytics-Arbeitsbereich. Dies bedeutete, dass Computer, die durch Defender for Servers-Plan 2 geschützt waren, aber nicht die MMA ausgeführt haben, nicht von der Überwachung der Dateiintegrität profitierten.
  • Mit der neuen Oberfläche profitieren alle Computer im Aktivierungsbereich von der Dateiintegritätsüberwachung.
• Obwohl die neue Oberfläche keinen Microsoft Monitoring Agent (MMA) benötigt, müssen Sie im Migrationstool einen Quell- und Zielarbeitsbereich angeben.
  • Die Quelle ist der Arbeitsbereich, aus dem Sie bestehende Regeln in die neue Oberfläche übertragen möchten.
  • Das Ziel ist der Arbeitsbereich, in den die Änderungsprotokolle geschrieben werden, wenn sich überwachte Dateien und Registrierungen ändern.
• Nachdem die neue Oberfläche für ein Abonnement aktiviert wurde, gelten für alle Computer im Aktivierungsbereich dieselben Regeln zur Dateiintegritätsüberwachung.
• Wenn Sie einzelne Computer von der Dateiintegritätsüberwachung ausnehmen möchten, können Sie diese auf Defender for Servers Plan 1 herunterstufen, indem Sie Defender for Servers auf Ressourcenebene aktivieren.

Migrieren mit der produktinternen Oberfläche

1. Öffnen Sie in Defender for Cloud >Workloadschutz Dateiintegritätsüberwachung.

2. Wählen Sie in der Bannermeldung Hier klicken, um Ihre Umgebungen zu migrieren.

   

3. Starten Sie auf der Seite Vorbereitung Ihrer Umgebungen auf die Einstellung von MMA die Migration.

4. Wählen Sie auf der Registerkarte Migrieren zur neuen FIM unter Zur neuen Version von FIM über MDE migrieren Jetzt handeln aus.

   

5. In der Registerkarte Migrieren zur neuen FIM finden Sie alle Abonnements, die Computer hosten, auf denen die Legacy-Dateiintegritätsüberwachung aktiviert ist.

   • Gesamtzahl der Computer im Abonnement zeigt alle Azure-VMs und Azure Arc-fähigen VMs im Abonnement an.
   • Computer, die für FIM konfiguriert sind zeigt die Anzahl der Computer an, auf denen die Legacy-Dateiintegritätsüberwachung aktiviert ist.

6. Wählen Sie in der Spalte Aktion neben jedem Abonnement Migrieren aus.

7. In Abonnement aktualisieren>Überprüfen von Computern des Abonnements wird eine Liste der Computer angezeigt, auf denen die Legacy-Dateiintegritätsüberwachung aktiviert ist, und der zugehörige Log Analytics-Arbeitsbereich. Wählen Sie Weiter aus.

8. Wählen Sie auf der Registerkarte Migrationseinstellungen einen Arbeitsbereich als Migrationsquelle aus.

9. Überprüfen Sie die Konfiguration des Arbeitsbereichs, einschließlich der Windows-Registrierung und der Windows/Linux-Dateien. Es gibt einen Hinweis, ob Einstellungen und Dateien migriert werden können.

10. Wenn Sie Dateien und Einstellungen haben, die nicht migriert werden können, können Sie die Option Arbeitsbereichseinstellungen als Datei speichern auswählen.

11. Geben Sie unter Auswahl des Zielarbeitsbereichs für FIM-Datenspeicherung den Log Analytics-Arbeitsbereich an, in dem Sie Änderungen mit der neuen Erfahrung der Dateiintegritätsüberwachung speichern möchten. Sie können denselben Arbeitsbereich verwenden oder einen anderen auswählen.

12. Wählen Sie Weiter aus.

13. Überprüfen Sie auf der Registerkarte Überprüfen und Genehmigen die Zusammenfassung der Migration. Klicken Sie auf Migrieren, um den Migrationsvorgang zu starten.

Nach Abschluss der Migration wird das Abonnement aus dem Migrationsassistenten entfernt und die Regeln zur Überwachung der Integrität der migrierten Dateien werden angewendet.

Deaktivieren der älteren MMA-Lösung

Befolgen Sie diese Anweisungen, um die Überwachung der Dateiintegrität mit MMA manuell zu deaktivieren.

1. Entfernen Sie die Azure ChangeTracking-Lösung aus dem Log Analytics-Arbeitsbereich.

   Nachdem Sie die Überwachung der Dateiintegrität deaktiviert haben, werden keine neuen Events der Dateiintegritätsüberwachung mehr erfasst. Historische Ereignisse bleiben in dem entsprechenden Log Analytics-Arbeitsbereich im Abschnitt Änderungsverfolgung in der Tabelle ConfigurationChange gespeichert. Ereignisse werden gemäß den Einstellungen für die Datenspeicherung im Arbeitsbereich gespeichert.

2. Wenn Sie die MMA auf den Computern nicht mehr benötigen, können Sie die Verwendung des Log Analytics-Agents deaktivieren.

   • Wenn Sie den Agent auf keinem Computer benötigen, schalten Sie die automatische Bereitstellung des Agent im Abonnement aus.
   • Für einen bestimmten Computer entfernen Sie den Agent mit dem Azure Monitor Discovery and Removal-Hilfsprogramm.

Migrieren von AMA

Folgen Sie diesen Anweisungen, um von der Dateiintegritätsüberwachung mit dem AMA zu migrieren.

1. Entfernen Sie die zugehörigen Datensammlungsregeln (Data Collection Rules, DCR) der Dateiänderungsnachverfolgung.

2. Folgen Sie dazu den Anweisungen unter Remove-AzDataCollectionRuleAssociation und Remove-AzDataCollectionRule.

   Nachdem Sie die Überwachung der Dateiintegrität deaktiviert haben, werden keine neuen Events der Dateiintegritätsüberwachung mehr erfasst. Historische Ereignisse bleiben in dem betreffenden Arbeitsbereich in der Tabelle ConfigurationChange im Abschnitt „Änderungsnachverfolgung“ gespeichert. Ereignisse werden gemäß den Einstellungen für die Datenspeicherung im Arbeitsbereich gespeichert.

Wenn Sie den AMA weiterhin verwenden möchten, um Ereignisse zur Überwachung der Dateiintegrität zu konsumieren, können Sie sich mit dem entsprechenden Arbeitsbereich verbinden und mit dieser Abfrage Änderungen in der Tabelle Änderungsnachverfolgung anzeigen.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Um mit dem Onboarding neuer Bereiche oder der Konfiguration von Überwachungsregeln fortzufahren, müssen Sie manuell mit Datenerfassungsregeln arbeiten und die Datenerfassung anpassen.

Nächste Schritte

Überprüfen Sie die Änderungen der Dateiintegritätsüberwachung.