Миграция на мониторинг целостности файлов с помощью Defender для конечной точки

Мониторинг целостности файлов в Defender для серверов плана 2 использует агент Microsoft Defender для конечной точки для сбора данных с компьютеров в соответствии с правилами сбора.

Предыдущая версия мониторинга целостности файлов использовала агент Log Analytics (также известный как агент мониторинга Майкрософт (MMA)) или агент Azure Monitor (AMA) для сбора данных. В этой статье описывается перенос предыдущих версий MMA и AMA в новую версию.

Необходимые компоненты

• Защитник для серверов план 2 должен быть включен для использования мониторинга целостности файлов.
• Миграция имеет значение, если в настоящее время включен мониторинг целостности файлов с помощью MMA или AMA.
• Компьютеры, защищенные defender для серверов плана 2, должны запускать агент Defender для конечной точки. Если вы хотите проверить состояние агента на компьютерах в вашей среде, используйте эту книгу для этого.

Миграция из MMA

Если у вас есть предыдущая версия мониторинга целостности файлов с помощью MMA, можно перенести с помощью интерфейса миграции в продукте. Используя встроенный интерфейс, вы можете:

• Перед миграцией просмотрите текущую среду или состояние.
• Экспорт текущих правил мониторинга целостности файлов, использующих MMA и находящихся в рабочей области Log Analytics.
• Миграция на новый интерфейс, если включен план 2 Defender для серверов.

Перед началом работы

Обратите внимание на следующие условия.

• Средство миграции можно запустить только один раз для подписки. Вы не можете снова запустить его, чтобы перенести правила из дополнительных или нескольких рабочих областей в одной подписке.
• • Для миграции в продукте требуются разрешения администратора безопасности для целевой подписки и разрешения владельца в целевой рабочей области Log Analytics.
• Это средство позволяет перенести существующие правила мониторинга в новый интерфейс.
• Пользовательские и устаревшие встроенные правила, которые не являются частью нового интерфейса, нельзя перенести, но их можно экспортировать в JSON-файл.
• Средство миграции перечисляет все компьютеры в подписке, а не все компьютеры, которые были на самом деле подключены к мониторингу целостности файлов с помощью MMA.
  • Устаревшая версия требуетСЯ MMA, подключенная к рабочей области Log Analytics. Это означало, что компьютеры, защищенные планом 2 Defender для серверов, но не работали с MMA, не пользовались мониторингом целостности файлов.
  • Благодаря новому интерфейсу все компьютеры в области включения получают преимущества мониторинга целостности файлов.
• Хотя новый интерфейс не требует агента MMA, необходимо указать исходную и целевую рабочую область в средстве миграции.
  • Источником является рабочая область, из которой требуется перенести существующие правила в новый интерфейс.
  • Цель — это рабочая область, в которую журналы изменений записываются при изменении отслеживаемых файлов и реестров.
• После включения нового интерфейса в подписке все компьютеры в области поддержки охватываются теми же правилами мониторинга целостности файлов.
• Если вы хотите исключить отдельные компьютеры из мониторинга целостности файлов, их можно уменьшить до Плана 1 Defender для серверов, включив Defender для серверов на уровне ресурсов.

Миграция с помощью интерфейса в продукте

1. В Defender для облака >защиты рабочих нагрузок откройте мониторинг целостности файлов.

2. В сообщении баннера щелкните здесь, чтобы перенести среды.

   

3. На странице подготовки сред к отмене mmA запустите миграцию.

4. На вкладке "Миграция на новую вкладку FIM" в разделе "Миграция на новую версию FIM через MDE" выберите "Выполнить действие".

   

5. На новой вкладке FIM вы увидите все подписки, на которых размещаются компьютеры с поддержкой мониторинга целостности устаревших файлов.

   • Всего компьютеров в подписке отображаются все виртуальные машины Azure и виртуальные машины с поддержкой Azure Arc в подписке.
   • Компьютеры, настроенные для FIM , показывают количество компьютеров с включенным мониторингом целостности устаревших файлов.

6. В столбце "Действие" рядом с каждой подпиской выберите "Миграция".

7. В разделе "Обновление компьютеров с проверкой подписки>" вы увидите список компьютеров с поддержкой мониторинга целостности файлов прежних версий и связанной с ней рабочей области Log Analytics. Выберите Далее.

8. На вкладке "Параметры миграции " выберите рабочую область в качестве источника миграции.

9. Просмотрите конфигурацию рабочей области, включая реестр Windows и файлы Windows/Linux. Существует указание на возможность переноса параметров и файлов.

10. Если у вас есть файлы и параметры, которые не могут быть перенесены, можно выбрать "Сохранить параметры рабочей области в качестве файла".

11. В разделе "Выбор целевой рабочей области для хранения данных FIM" укажите рабочую область Log Analytics, в которой требуется сохранить изменения с новым интерфейсом мониторинга целостности файлов. Вы можете использовать ту же рабочую область или выбрать другой один раз.

12. Выберите Далее.

13. На вкладке "Проверка и утверждение " просмотрите сводку по миграции. Выберите Миграция, чтобы начать процесс миграции.

После завершения миграции подписка удаляется из мастера миграции и применяются правила мониторинга целостности файлов.

Отключение устаревшего решения MMA

Следуйте этим инструкциям, чтобы отключить мониторинг целостности файлов с помощью MMA вручную.

1. Удалите решение Azure ChangeTracking из рабочей области Log Analytics.

   После удаления новые события мониторинга целостности файлов не собираются. Исторические события сохраняются в соответствующей рабочей области Log Analytics в разделе Отслеживание изменений таблицыConfigurationChange. События хранятся в соответствии с параметрами хранения данных рабочей области.

2. Если на компьютерах больше не требуется MMA, можно отключить использование агента Log Analytics.

   • Если агент не нужен на компьютерах, отключите автоматическую подготовку агента в подписке.
   • Для определенного компьютера удалите агент с помощью программы обнаружения и удаления Azure Monitor.

Миграция из AMA

Следуйте этим инструкциям, чтобы перейти из мониторинга целостности файлов с помощью AMA.

1. Удалите правила сбора данных отслеживания изменений связанных файлов (DCR).

2. Для этого следуйте инструкциям в разделе Remove-AzDataCollectionRuleAssociation и Remove-AzDataCollectionRule.

   После удаления новые события мониторинга целостности файлов не собираются. Исторические события сохраняются в соответствующей рабочей области в таблице ConfigurationChange в разделе Отслеживание изменений. События хранятся в соответствии с параметрами хранения данных рабочей области.

Если вы хотите использовать AMA для использования событий мониторинга целостности файлов, можно вручную подключиться к соответствующей рабочей области и просмотреть изменения в таблице Отслеживание изменений с помощью этого запроса.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Чтобы продолжить подключение к новой области или настройке правил мониторинга, необходимо вручную работать с правилами сбора данных и настраивать сбор данных.

Следующие шаги

Просмотрите изменения в мониторинге целостности файлов.