Migrar para o monitoramento de integridade de arquivos com o Defender para Ponto de Extremidade

No Plano 2 do Defender para Servidores no Microsoft Defender para Nuvem, o recurso de monitoramento de integridade de arquivos ajuda a manter os ativos e recursos corporativos seguros ao verificar e analisar arquivos e comparar seu estado atual às verificações anteriores.

O monitoramento de integridade de arquivos usa o agente do Microsoft Defender para Ponto de Extremidade para coletar dados dos computadores, de acordo com as regras de coleta. O Defender para Ponto de Extremidade é integrado por padrão ao Defender para Nuvem.

Pré-requisitos

• O Plano 2 do Defender para Servidores precisa estar habilitado.
• Atualmente, o monitoramento de integridade de arquivos está habilitado usando um método herdado
• O uso da migração dentro do produto requer permissões de Administrador de Segurança na assinatura de destino e permissões de Proprietário no workspace do Log Analytics de destino.
• Os computadores protegidos pelo Plano 2 do Defender para Servidores devem estar executando o agente do Defender para Ponto de Extremidade. Se quiser verificar o status do agente nos computadores do seu ambiente, use essa pasta de trabalho para fazer isso.
• Você só pode executar a ferramenta de migração uma vez para cada assinatura. Você não poderá executá-la novamente para migrar regras de um ou vários workspaces adicionais na mesma assinatura.

Migrar do FIM para MMA

Versões anteriores do monitoramento de integridade de arquivos usavam o agente do Log Analytics (também conhecido como Microsoft Monitoring Agent [MMA]) ou o agente do Azure Monitor (AMA) para coletar dados.

Se você não estiver usando uma versão anterior do monitoramento de integridade de arquivo, você pode integrar diretamente ao monitoramento de integridade de arquivo usando o agente Defender for Endpoint.

Se tiver uma versão anterior do monitoramento de integridade de arquivos, você poderá migrar para a nova versão usando a experiência de migração dentro do produto para uma migração integrada.

Alternativamente, você pode habilitar o monitoramento de integridade de arquivos com o Defender para Ponto de Extremidade e, a seguir, remover o monitoramento de integridade de arquivos usando um agente mais antigo.

Ao usar a ferramenta de migração dentro do produto, você pode:

• Revisar o ambiente/estado atual antes de migrar.
• Exportar as regras atuais de monitoramento de integridade de arquivos que usam MMA e residem em um workspace do Log Analytics.
• Migrar para a nova experiência se o Plano 2 do Defender para Servidores estiver habilitado.

Observe que:

• A ferramenta permite que você transfira as regras de monitoramento existentes para a nova experiência.
• As regras integradas personalizadas e herdadas que não fazem parte da nova experiência não podem ser migradas, mas você pode exportá-las para um arquivo JSON.
• A ferramenta de migração lista todos os computadores em uma assinatura, mas não todos os computadores que foram realmente integrados ao monitoramento de integridade de arquivos com o MMA.
  • A versão herdada exigia um MMA conectado ao workspace do Log Analytics. Isso significa que os computadores que estavam sendo protegidos pelo Plano 2 do Defender para Servidores, mas não executando o MMA, não se beneficiavam do monitoramento de integridade de arquivos.
  • Com a nova experiência, todos os computadores no escopo de habilitação se beneficiam do monitoramento de integridade de arquivos.
• Embora a nova experiência não precise de um agente MMA, você vai precisar especificar um workspace de origem e destino na ferramenta de migração.
  • A origem é o workspace cujas regras existentes você quer transferir para a nova experiência.
  • O destino é o workspace no qual os logs de alterações serão gravados quando os arquivos e registros monitorados forem alterados.
• Após a nova experiência ter sido habilitada em uma assinatura, os computadores no escopo de habilitação serão todos cobertos pelas mesmas regras de monitoramento de integridade de arquivos.
• Se quiser isentar computadores individuais do monitoramento de integridade de arquivos, você poderá fazer o downgrade de alguns deles para o Plano 1 do Defender para Servidores ao habilitar o Defender para Servidores no nível do recurso.

Migrar com a experiência dentro do produto

1. Em Defender para Nuvem >Proteções de carga de trabalho, abra o Monitoramento de Integridade de Arquivos.

2. Na mensagem da barra de notificação, selecione Clique aqui para migrar seus ambientes.

   

3. Na página Preparar seus ambientes para a preterição do MMA, inicie a migração.

4. Na guia Migrar para o novo FIM, em Migrar para a nova versão do FIM por meio do MDE, selecione Executar ação.

   

5. Na guia Migrar para o novo FIM, você poderá ver todas as assinaturas que hospedam computadores com um monitoramento de integridade de arquivos herdado habilitado.

   • O Total de computadores na assinatura mostra todas as VMs do Azure e as VMs habilitadas para o Azure Arc na assinatura.
   • Computadores configurados para o FIM mostra o número de computadores com um monitoramento de integridade de arquivos herdado habilitado.

6. Na coluna Ação ao lado de cada assinatura, selecione Migrar.

7. Em Atualizar assinatura>Rever os computadores da assinatura, você verá uma lista dos computadores que têm um monitoramento de integridade de arquivos herdado habilitado e o workspace do Log Analytics relacionado. Selecione Avançar.

8. Na guia Migrar configurações, selecione um workspace como a origem da migração.

9. Revise a configuração do workspace, incluindo o Registro do Windows e os arquivos do Windows/Linux. Há uma indicação sobre se as configurações e os arquivos podem ser migrados.

10. Se você tiver arquivos e configurações que não podem ser migrados, selecione Salvar as configurações do workspace como um arquivo.

11. Em Escolher o workspace de destino para o armazenamento de dados do FIM, especifique o workspace do Log Analytics no qual você quer armazenar as alterações com a nova experiência de monitoramento de integridade de arquivos. Você pode usar o mesmo workspace ou selecionar um workspace diferente apenas uma vez.

12. Selecione Avançar.

13. Na guia Revisar e aprovar, revise o resumo da migração. Selecione Migrar para iniciar o processo de migração.

Após a conclusão da migração, a assinatura será removida do assistente de migração e as regras de monitoramento de integridade de arquivos migradas serão aplicadas.

Desabilitar a solução de MMA herdada

Siga essas instruções para desabilitar o monitoramento de integridade de arquivos manualmente usando o MMA.

1. Remova a solução de Controle de Alterações do Azure do workspace do Log Analytics.

   Após a remoção, nenhum novo evento de monitoramento de integridade de arquivos será coletado. Os eventos históricos permanecem armazenados no workspace do Log Analytics relevante na seção Controle de Alterações, na tabela ConfigurationChange. Os eventos são armazenados de acordo com as configurações de retenção de dados do workspace.

2. Se não precisar mais do MMA nos computadores, você poderá desabilitar o uso do agente do Log Analytics.

   • Se não precisar do agente em nenhum computador, desative o provisionamento automático do agente na assinatura.
   • Para um computador específico, remova o agente usando o Utilitário de Descoberta e Remoção do Azure Monitor.

Migrar do FIM para AMA

Siga essas instruções para migrar do monitoramento de integridade de arquivos usando o AMA.

1. Remova a solução de Controle de Alterações do Azure do workspace do Log Analytics.

2. Alternativamente, você pode remover as regras de coleta de dados (DCR) relacionadas do controle de alterações de arquivos. Para obter mais informações, siga as instruções em Remove-AzDataCollectionRuleAssociation e Remove-AzDataCollectionRule.

   Após a remoção, nenhum novo evento de monitoramento de integridade de arquivos será coletado. Os eventos históricos permanecem armazenados no workspace relevante na tabela ConfigurationChange, na seção Controle de Alterações. Os eventos são armazenados de acordo com as configurações de retenção de dados do workspace.

Se quiser continuar usando o AMA para consumir eventos de monitoramento de integridade de arquivos, você poderá se conectar manualmente ao workspace relevante e ver as alterações na tabela de Controle de Alterações com essa consulta.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Para continuar integrando um novo escopo ou configurando regras de monitoramento, você vai precisar trabalhar manualmente nas regras de coleta de dados e personalizar a coleta de dados.

Próximas etapas

Reveja as alterações no monitoramento de integridade de arquivos.