Aracılığıyla paylaş

Uç Nokta için Defender ile dosya bütünlüğünü izlemeye geçiş

  • Makale

Sunucular için Defender Plan 2'de dosya bütünlüğünü izleme, toplama kurallarına uygun olarak makinelerden veri toplamak için Uç Nokta için Microsoft Defender aracısını kullanır.

Dosya bütünlüğü izlemenin önceki sürümü, veri toplama için Log Analytics aracısını (Microsoft izleme aracısı (MMA) olarak da bilinir) veya Azure İzleyici aracısını (AMA) kullanıyordu. Bu makalede, önceki MMA ve AMA sürümlerini yeni sürüme geçirme açıklanmaktadır.

Önkoşullar

  • Dosya bütünlüğü izlemeyi kullanmak için Sunucular için Defender Plan 2 etkinleştirilmelidir.
  • Geçiş, dosya bütünlüğü izleme şu anda MMA veya AMA kullanılarak etkinleştirildiğinde geçerlidir.
  • Sunucular için Defender Plan 2 tarafından korunan makineler Uç Nokta için Defender aracısını çalıştırıyor olmalıdır. Ortamınızdaki makinelerde aracı durumunu denetlemek istiyorsanız, bunu yapmak için bu çalışma kitabını kullanın.

MMA'dan geçiş

MMA kullanarak dosya bütünlüğünü izlemenin önceki bir sürümüne sahipseniz, ürün içi geçiş deneyimini kullanarak geçiş yapabilirsiniz. Ürün içi deneyimi kullanarak aşağıdakileri yapabilirsiniz:

  • Geçirmeden önce geçerli ortamı/durumu gözden geçirin.
  • MMA kullanan ve Log Analytics çalışma alanında bulunan geçerli dosya bütünlüğü izleme kurallarını dışarı aktarın.
  • Sunucular için Defender Plan 2 etkinse yeni deneyime geçin.

Başlamadan önce

Şunlara dikkat edin:

  • Geçiş aracını abonelik için yalnızca bir kez çalıştırabilirsiniz. Aynı abonelikteki ek veya birden çok çalışma alanından kuralları geçirmek için yeniden çalıştıramazsınız.
    • Ürün içi geçişi kullanmak için hedef abonelikte Güvenlik Yöneticisi izinleri ve hedef Log Analytics çalışma alanında Sahip izinleri gerekir.
  • Araç, mevcut izleme kurallarını yeni deneyime aktarmanızı sağlar.
  • Yeni deneyimin parçası olmayan özel ve eski yerleşik kurallar geçirilemiyor, ancak bunları bir JSON dosyasına aktarabilirsiniz.
  • Geçiş aracı, MMA ile dosya bütünlüğü izlemesine gerçekten eklenen tüm makineleri değil, abonelikteki tüm makineleri listeler.
    • Eski sürümde Log Analytics çalışma alanına bağlı MMA gerekiyordu. Bu, Sunucular için Defender Plan 2 tarafından korunan ancak MMA'nın çalıştırılmadığı makinelerin dosya bütünlüğü izlemesinden yararlanmadığı anlamına geliyordu.
    • Yeni deneyimle birlikte, etkinleştir kapsamındaki tüm makineler dosya bütünlüğü izlemeden yararlanıyor.
  • Yeni deneyimin bir MMA aracısına ihtiyacı olmasa da, geçiş aracısında bir kaynak ve hedef çalışma alanı belirtmeniz gerekir.
    • Kaynak, mevcut kuralları yeni deneyime aktarmak istediğiniz çalışma alanıdır.
    • Hedef, izlenen dosyalar ve kayıt defterleri değiştiğinde değişiklik günlüklerinin yazıldığı çalışma alanıdır.
  • Abonelikte yeni deneyim etkinleştirildikten sonra, etkin kapsamdaki makinelerin tümü aynı dosya bütünlüğü izleme kuralları kapsamındadır.
  • Tek tek makineleri dosya bütünlüğü izlemeden muaf tutabilmek istiyorsanız, kaynak düzeyinde Sunucular için Defender'ı etkinleştirerek bunları Sunucular için Defender Plan 1'e düşürebilirsiniz.

Ürün içi deneyimle geçiş

  1. Bulut için Defender >İş Yükü korumalarında Dosya Bütünlüğünü İzleme'yi açın.

  2. Başlık iletisinde Ortamlarınızı geçirmek için buraya tıklayın'ı seçin.

    Bulut için Defender başlığındaki geçiş düğmesini gösteren ekran görüntüsü.

  3. Ortamlarınızı MMA kullanımdan kaldırmaya hazırlama sayfasında geçişi başlatın.

  4. Yeni FIM'e geçir sekmesinde, MDE üzerinden FIM'in yeni sürümüne geçir'in altında Eylem yap'ı seçin.

    Bulut için Defender başlığındaki eylem gerçekleştir düğmesini gösteren ekran görüntüsü.

  5. Yeni FIM sekmesine geçiş bölümünde, eski dosya bütünlüğü izlemesinin etkinleştirildiği makineleri barındıran tüm abonelikleri görebilirsiniz.

    • Abonelikteki toplam makineler, abonelikteki tüm Azure VM'lerini ve Azure Arc özellikli VM'leri gösterir.
    • FIM için yapılandırılan makineler, eski dosya bütünlüğünü izlemenin etkinleştirildiği makine sayısını gösterir.

  6. Her aboneliğin yanındaki Eylem sütununda Geçir'i seçin.

  7. Aboneliği>güncelleştirme Aboneliğin makinelerini gözden geçirme bölümünde, eski dosya bütünlüğü izlemesi etkinleştirilmiş makinelerin ve ilgili Log Analytics çalışma alanının listesini görürsünüz. İleri'yi seçin.

  8. Geçiş ayarları sekmesinde, geçiş kaynağı olarak bir çalışma alanı seçin.

  9. Windows kayıt defteri ve Windows/Linux dosyaları dahil olmak üzere çalışma alanı yapılandırmasını gözden geçirin. Ayarların ve dosyaların geçirilip geçirilemeyeceğini gösteren bir gösterge vardır.

  10. Geçirilmeyecek dosyalarınız ve ayarlarınız varsa Çalışma alanı ayarlarını dosya olarak kaydet'i seçebilirsiniz.

  11. FIM veri depolaması için hedef çalışma alanı seçin altında, yeni dosya bütünlüğü izleme deneyimiyle değişiklikleri depolamak istediğiniz Log Analytics çalışma alanını belirtin. Aynı çalışma alanını kullanabilir veya bir kez farklı bir çalışma alanı seçebilirsiniz.

  12. İleri'yi seçin.

  13. Gözden geçir ve onayla sekmesinde geçiş özetini gözden geçirin. Geçiş işlemini başlatmak için Geçir'i seçin.

Geçiş tamamlandıktan sonra, abonelik geçiş sihirbazından kaldırılır ve geçirilen dosya bütünlüğü izleme kuralları uygulanır.

Eski MMA çözümünü devre dışı bırakma

MMA kullanarak dosya bütünlüğünü izlemeyi el ile devre dışı bırakmak için bu yönergeleri izleyin.

  1. Azure ChangeTracking çözümünü Log Analytics çalışma alanından kaldırın.

    Kaldırdıktan sonra yeni dosya bütünlüğü izleme olayları toplanmaz. Geçmiş olaylar, tablodaki Değişiklik İzleme bölümü ConfigurationChange altında ilgili Log Analytics çalışma alanında depolanır. Olaylar çalışma alanı veri saklama ayarlarına uygun olarak depolanır.

  2. Makinelerde MMA'ya artık ihtiyacınız yoksa Log Analytics aracısının kullanımını devre dışı bırakabilirsiniz.

AMA'dan geçiş

AMA kullanarak dosya bütünlüğü izlemeden geçiş yapmak için bu yönergeleri izleyin.

  1. İlgili dosya değişikliği izleme veri toplama kurallarını (DCR) kaldırın.

  2. Bunu yapmak için Remove-AzDataCollectionRuleAssociation ve Remove-AzDataCollectionRule yönergelerini izleyin.

    Kaldırdıktan sonra yeni dosya bütünlüğü izleme olayları toplanmaz. Geçmiş olaylar, Değişiklik İzleme bölümünün altındaki tablonun ConfigurationChange altındaki ilgili çalışma alanında depolanır. Olaylar çalışma alanı veri saklama ayarlarına uygun olarak depolanır.

Dosya bütünlüğü izleme olaylarını kullanmak için AMA kullanmaya devam etmek istiyorsanız, bu sorguyla ilgili çalışma alanına el ile bağlanabilir ve Değişiklik İzleme tablosundaki değişiklikleri görüntüleyebilirsiniz.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Yeni kapsam eklemeye veya izleme kurallarını yapılandırmaya devam etmek için veri toplama kurallarıyla el ile çalışmanız ve veri toplamayı özelleştirmeniz gerekir.

Sonraki adımlar

Dosya bütünlüğü izlemedeki değişiklikleri gözden geçirin.