共用方式為

使用 Azure 監視器代理程式時,啟用檔案完整性監視

  • 發行項

為提供檔案完整性監視 (FIM),Azure 監視器代理程式 (AMA) 會根據資料收集規則,從機器中收集資料。 當系統檔案的目前狀態與先前掃描期間的狀態進行比較時,FIM 會通知您可疑的修改。

注意

在適用於雲端的 Defender 已更新的策略中,Azure 監視器代理程式不必再接收適用於伺服器的 Defender 所有功能。 目前依賴 Azure 監視器代理程式的所有功能,包括此頁面所述的功能,會在 2024 年 8 月之前,透過適用於端點的 Microsoft Defender 整合無代理程式掃描提供。 若要在電腦上存取適用於 SQL 伺服器的 Defender 完整功能,則需要 Azure 監視代理程式 (也稱為 AMA)。 如需功能藍圖的詳細資訊,請參閱此公告

使用 Azure 監視器代理程式的檔案完整性監視提供:

  • 與統一監視代理程式的相容性 - 與 Azure 監視器代理程式相容,可增強安全性、可靠性,並協助多路連接體驗來儲存資料。
  • 與追蹤工具的相容性- 與透過用戶端虛擬機器上 Azure 原則部署的變更追蹤 (CT) 擴充功能相容。 您可以切換至 Azure 監視器代理程式 (AMA),然後 CT 延伸項目會將軟體、檔案和登錄推送至 AMA。
  • 簡化上線 - 您可以透過適用於雲端的 Microsoft Defender 將 FIM 上線。
  • 多路連接體驗 – 提供一個中央工作區的標準化管理。 您可以從記錄分析 (LA) 轉換為 AMA,讓所有 VM 都指向單一工作區,以進行資料收集和維護。
  • 規則管理 – 使用 資料收集規則來設定或自訂資料收集的各個層面。 例如,您可以變更檔案集合的頻率。

在本文章中,您將了解如何:

可用性

層面 詳細資料
版本狀態: 預覽​​
定價: 需要適用於伺服器的 Microsoft Defender 方案 2
必要的角色和權限: 擁有者
參與者
雲端: 商業雲端 - 僅在以下區域中支援:australiaeastaustraliasoutheastcanadacentralcentralindiacentraluseastasiaeastus2euapeastuseastus2francecentraljapaneastkoreacentralnorthcentralusnortheuropesouthcentralussoutheastasiaswitzerlandnorthuksouthwestcentraluswesteuropewestuswestus2
國家/地區 (Azure Government、由 21Vianet 營運的 Microsoft Azure)
已啟用 Azure Arc 的裝置。
已連線的 AWS 帳戶
已連線的 GCP 帳戶

必要條件

若要使用 AMA 追蹤機器上檔案的變更:

使用 AMA 啟用檔案完整性監視

若要啟用檔案完整性監視 (FIM),請使用 FIM 建議選取要監視的機器:

  1. 從適用於雲端的 Defender 資訊看板中,開啟 [建議] 頁面。

  2. 選取應該在機器上啟用檔案完整性監視的建議。 深入了解適用於雲端的 Defender 建議

  3. 選取您想要使用檔案完整性監視的機器,選取 [修正],然後選取 [修正 X 資源]

    建議修正:

    • 在機器電腦上安裝 ChangeTracking-WindowsChangeTracking-Linux 擴充功能。
    • 針對名為 Microsoft-ChangeTracking-[subscriptionId]-default-dcr 的訂閱產生資料收集規則 (DCR),以定義應該根據預設設定,監視哪些檔案和登錄。 修正程式會將 DCR 連結至已安裝 AMA 且已啟用 FIM 之訂閱中的所有機器。
    • 使用命名慣例 defaultWorkspace-[subscriptionId]-fim 和預設工作區設定,建立新的 Log Analytics 工作區。

    您可以在稍後更新 DCR 和 Log Analytics 工作區設定。

  4. 從適用於雲端的 Defender 側邊欄,前往 [工作負載保護] > [檔案完整性監視],然後選取橫幅以顯示具有 Azure 監視器代理程式的機器結果。

    螢幕擷取畫面:檔案完整性監視中的橫幅,以顯示具有 Azure 監視器代理程式的電腦結果。

  5. 顯示已啟用檔案完整性監視的機器。

    螢幕擷取畫面:顯示具有 Azure 監視器代理程式的電腦檔案完整性監視結果。

    您可以看到對追蹤檔案所做的變更數目,而且您可以選取 [檢視變更] 以查看對該機器上追蹤檔案所做的變更。

編輯追蹤檔案和登錄機碼的清單

對於具有 Azure 監視器代理程式的機器,檔案完整性監視 (FIM) 使用資料收集規則 (DCR) 定義要追蹤的檔案和登錄機碼清單。每個訂閱都有適用於該訂閱中機器的 DCR。

FIM 會使用追蹤檔案和登錄機碼的預設設定,來建立 DCR。 您可以編輯 DCR 以新增、移除或更新 FIM 所追蹤的檔案和登錄清單。

若要編輯追蹤檔案和登錄的清單:

  1. 在 [檔案完整性監視] 中,選取 [資料收集規則]

    您可以看到針對您有權存取之訂閱所建立的每個規則。

  2. 選取您要更新訂閱的 DCR。

    Windows 登錄機碼、Windows 檔案和 Linux 檔案清單中的每個檔案都包含檔案或登錄機碼的定義,包括名稱、路徑和其他選項。 您也可以將 [已啟用] 設定為 False,以在不移除定義的情況下,取消追蹤檔案或登錄機碼。

    深入瞭解系統檔案和登錄機碼定義

  3. 選取檔案,然後新增或編輯檔案或登錄機碼定義。

  4. 選取 [新增] 以儲存變更。

將機器從檔案完整性監視中排除

已監視連結至 DCR 之訂閱的每台機器。 您可以中斷機器與 DCR 的連結,如此一來,就不會追蹤檔案和登錄機碼。

若要將機器從檔案完整性監視中排除:

  1. 在 FIM 結果的受監視機器清單中,選取機器的功能表 (...)
  2. 選取 [中斷連結資料收集規則]

螢幕擷取畫面:透過選項,中斷電腦與資料收集規則的連結,並將電腦從檔案完整性監視中排除。

機器會移至未受監視的機器清單,而且不會再追蹤該機器的檔案變更。

下一步

在以下位置深入了解適用於雲端的 Defender: