Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Important
- Отслеживание изменений и инвентаризация с помощью агента Log Analytics прекращено 31 августа 2024 г. и больше не будет поддерживаться. Следуйте рекомендациям по миграции из отслеживания изменений и инвентаризации с помощью Log Analytics для отслеживания изменений и инвентаризации с помощью версии агента мониторинга Azure
- Мы рекомендуем использовать отслеживание изменений с агентом мониторинга Azure с расширением отслеживания изменений версии 2.20.0.0 (или более поздней) для доступа к общедоступной версии этой службы.
В этой статье описывается последняя версия поддержки отслеживания изменений с помощью агента мониторинга Azure в качестве единого агента для сбора данных.
Note
Мониторинг целостности файлов (FIM) с помощью Microsoft Defender для конечной точки (MDE) теперь доступен. Если вы настроили FIM с помощью AMA или LA, следуйте инструкциям по миграции:
Что такое отслеживание изменений и инвентаризация
Служба отслеживания изменений и инвентаризации Azure улучшает аудит и управление для гостевых операций, отслеживая изменения и предоставляя подробные журналы инвентаризации для серверов в Azure, локальной среде и других облачных средах.
Отслеживание изменений
a. Отслеживает изменения, включая изменения файлов, разделов реестра, установки программного обеспечения и служб Windows или управляющей программы Linux.
b. Предоставляет подробные журналы о том, что и когда были внесены изменения, что позволяет быстро обнаруживать смещения конфигурации или несанкционированные изменения.
Метаданные отслеживания изменений будут получать прием в таблицу ConfigurationChange в подключенной рабочей области LA. ПодробнееInventory
a. Собирает и поддерживает обновленный список установленных программ, сведений о операционной системе и других конфигурациях сервера в связанной рабочей области
LA b. Помогает создавать общие сведения о системных ресурсах, которые полезны для соответствия требованиям, аудита и упреждающего обслуживания.
Метаданные инвентаризации будут получать прием в таблицу ConfigurationData в подключенной рабочей области LA. Подробнее
Матрица поддержки
| Component | Относится к |
|---|---|
| Операционные системы | Windows Linux |
| Типы ресурсов | Масштабируемый набор виртуальных машин Azure Arc с поддержкой Azure Arc |
| Типы данных | Программное обеспечение windows registry Windows services Linux Daemons Files Software |
Ключевые преимущества
- Совместимость с единым агентом мониторинга . Совместимая с агентом Azure Monitor , который повышает безопасность, надежность и упрощает использование нескольких устройств для хранения данных.
- Совместимость с средством отслеживания— совместимо с расширением "Отслеживание изменений" (CT), развернутом с помощью политики Azure на виртуальной машине клиента. Вы можете переключиться на агент Azure Monitor (AMA), а затем расширение CT отправляет программное обеспечение, файлы и реестр в AMA.
- Многодоменная возможность — обеспечивает стандартизацию управления из одной центральной рабочей области. Вы можете перейти из Log Analytics (LA) в AMA , чтобы все виртуальные машины указывали на одну рабочую область для сбора и обслуживания данных.
- Управлениеправилами — использует правила сбора данных для настройки или настройки различных аспектов сбора данных. Например, можно изменить частоту сбора файлов.
Limits
В следующей таблице показаны ограничения отслеживаемых элементов для каждого компьютера для отслеживания изменений и инвентаризации.
| Resource | Limit | Notes |
|---|---|---|
| File | 500 | |
| Размер файла | 5 МБ | |
| Registry | 250 | |
| Программное обеспечение Windows | 250 | Обновления программного обеспечения не учитываются. |
| Пакеты Linux | 1,250 | |
| Службы Windows | 250 | |
| Linux Daemons | 250 |
Поддерживаемые операционные системы
Отслеживание изменений и инвентаризация поддерживаются во всех операционных системах, удовлетворяющих требованиям агента Azure Monitor. Сведения о поддерживаемых операционных системах см. в списке версий операционной системы Windows и Linux, поддерживаемых агентом Azure Monitor.
Сведения о требованиях клиента для TLS см. в статье TLS для службы автоматизации Azure.
Включение отслеживания изменений и инвентаризации
Отслеживание изменений и инвентаризация можно включить следующим образом:
Вручную для компьютеров с поддержкой Azure Arc см. сведения о включении отслеживания изменений и инвентаризации виртуальных машин с поддержкой Arc в определениях > политик > select Category = ChangeTrackingAndInventory. Чтобы включить отслеживание изменений и инвентаризацию в большом масштабе, используйте решение на основе политики DINE . Дополнительные сведения см. в статье "Включение отслеживания изменений и инвентаризации" с помощью агента мониторинга Azure (предварительная версия).
Для одной виртуальной машины Azure на странице "Виртуальная машина " на портале Azure. Этот сценарий доступен для виртуальных машин Linux и Windows.
Для нескольких виртуальных машин Azure выберите их на странице "Виртуальные машины" на портале Azure.
Отслеживание изменений файла
Для отслеживания изменений в файлах в Windows и Linux отслеживание изменений и инвентаризации используют хэши SHA256 файлов. Эта функция использует хэши для обнаружения изменений с момента последнего инвентаризации.
Отслеживание изменений содержимого файла
Отслеживание изменений и инвентаризация позволяют просматривать содержимое файла Windows или Linux. Для каждого изменения в файле отслеживание изменений и инвентаризация хранят содержимое файла в учетной записи хранения Azure. При отслеживании файла можно просмотреть его содержимое до или после изменения. Содержимое файла можно просматривать как встроенным, так и параллельно. Подробнее.
Отслеживание разделов реестра
Отслеживание изменений и инвентаризация позволяют отслеживать изменения в разделах реестра Windows. Мониторинг позволяет закреплять точки расширяемости, где сторонний код и вредоносные программы могут активироваться. В следующей таблице перечислены предварительно настроенные (но не включенные) разделы реестра. Чтобы отслеживать эти ключи, необходимо включить каждый из них.
| Раздел реестра | Purpose |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Отслеживает скрипты, выполняемые при запуске. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Отслеживает сценарии, выполняемые при завершении работы. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Отслеживает ключи, загруженные перед входом пользователя в учетную запись Windows. Ключ используется для 32-разрядных приложений, работающих на 64-разрядных компьютерах. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Отслеживает изменения параметров приложения. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Отслеживает обработчики контекстного меню, которые перехватывались непосредственно в проводнике Windows и обычно выполняются в процессе с explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Отслеживает обработчики перехватчиков копирования, которые перехватывались непосредственно в проводнике Windows и обычно выполняются в процессе с explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Отслеживает регистрацию обработчика наложения значков. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Отслеживает регистрацию обработчика наложения значков для 32-разрядных приложений, работающих на 64-разрядных компьютерах. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Отслеживает новые подключаемые модули вспомогательных объектов браузера для Internet Explorer. Используется для доступа к объектной модели документа (DOM) текущей страницы и управления навигацией. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Отслеживает новые подключаемые модули вспомогательных объектов браузера для Internet Explorer. Используется для доступа к объектной модели документа (DOM) текущей страницы и управления навигацией для 32-разрядных приложений, работающих на 64-разрядных компьютерах. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Отслеживает новые расширения Internet Explorer, такие как пользовательские меню инструментов и пользовательские кнопки панели инструментов. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Отслеживает новые расширения Internet Explorer, такие как пользовательские меню инструментов и пользовательские кнопки панели инструментов для 32-разрядных приложений, работающих на 64-разрядных компьютерах. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Отслеживает 32-разрядные драйверы, связанные с wavemapper, wave1 и wave2, msacm.imaadpcm, msadpcm, msgsm610 и vidc. Аналогично разделу [драйверы] в файлеsystem.ini . |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Отслеживает 32-разрядные драйверы, связанные с wavemapper, wave1 и wave2, msacm.imaadpcm, msadpcm, MSGSm610 и vidc для 32-разрядных приложений, работающих на 64-разрядных компьютерах. Аналогично разделу [драйверы] в файлеsystem.ini . |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Отслеживает список известных или часто используемых системных БИБЛИОТЕК DLL. Мониторинг предотвращает использование пользователями слабых разрешений каталога приложений путем удаления версий системных БИБЛИОТЕК DLL троянских лошадей. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Отслеживает список пакетов, которые могут получать уведомления о событиях из winlogon.exe, модель интерактивной поддержки входа в Windows. |
Поддержка рекурсии
Отслеживание изменений и инвентаризация поддерживают рекурсию, которая позволяет указать подстановочные знаки для упрощения отслеживания в разных каталогах. Рекурсия также предоставляет переменные среды, позволяющие отслеживать файлы в разных средах с несколькими или динамическими именами дисков. В следующем списке содержатся общие сведения, которые следует знать при настройке рекурсии:
Подстановочные знаки необходимы для отслеживания нескольких файлов.
Подстановочные знаки можно использовать только в последнем сегменте пути к файлу, например c:\folder\file* или /etc/*.conf.
Если переменная среды имеет недопустимый путь, проверка завершается успешно, но путь завершается ошибкой во время выполнения.
При настройке пути следует избегать общих имен путей, так как этот тип параметра может привести к переключениям слишком большого количества папок.
Сбор данных отслеживания изменений и инвентаризации
В следующей таблице показана частота сбора данных для типов изменений, поддерживаемых отслеживанием изменений и инвентаризацией. Журналы инвентаризации будут заполняться каждые 10 часов по умолчанию для всех типов данных. Кроме того, если для любого типа данных зарегистрировано изменение, для этого экземпляра будут созданы журналы инвентаризации и изменений.
| Тип изменения | Frequency |
|---|---|
| Реестр Windows | 50 минут |
| Файл Windows | От 30 до 40 минут |
| Файл Linux | 15 минут |
| Службы Windows | 10 минут до 30 минут по умолчанию: 30 минут |
| Программное обеспечение Windows | 30 минут |
| Программное обеспечение Linux | 5 мин |
| Linux Daemons | 5 мин |
В следующей таблице показаны ограничения отслеживаемых элементов на компьютер для отслеживания изменений и инвентаризации.
| Resource | Limit |
|---|---|
| File | 500 |
| Registry | 250 |
| Программное обеспечение Windows (не включая исправления) | 250 |
| Пакеты Linux | 1250 |
| Службы Windows | 250 |
| Linux Daemons | 500 |
Данные служб Windows
Prerequisites
Чтобы включить отслеживание данных служб Windows, необходимо обновить расширение CT и использовать расширение больше или равно 2.11.0.0
- Для виртуальных машин Windows Azure
- Для виртуальных машин Linux Azure
- Для виртуальных машин Windows с поддержкой Arc
- Для виртуальных машин Linux с поддержкой Arc
- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true
Настройка частоты
Частота сбора по умолчанию для служб Windows составляет 30 минут. Чтобы настроить частоту,
- в разделе "Изменение параметров" используйте ползунок на вкладке служб Windows .
Текущие ограничения
Отслеживание изменений и инвентаризация с помощью агента мониторинга Azure не поддерживает или имеет следующие ограничения:
- Рекурсия для отслеживания реестра Windows
- В настоящее время поддерживается только HKEY_LOCAL_MACHINE. Это ограничение будет возникать при каждом добавлении раздела реестра вручную.
- Сетевые файловые системы
- Различные методы установки
- * .exe файлы, хранящиеся в Windows
- Столбец и значения максимального размера файла не используются в текущей реализации.
- Если вы отслеживаете изменения файлов, размер файла составляет 5 МБ или меньше.
- Если размер файла отображается >1,25 МБ, файлContentChecksum некорректен из-за ограничений памяти в расчете контрольной суммы.
- Если вы пытаетесь собрать более 2500 файлов в 30-минутном цикле сбора, производительность отслеживания изменений и инвентаризации может снизиться.
- Если сетевой трафик высок, записи изменений могут занять до шести часов для отображения.
- Если вы изменяете конфигурацию во время завершения работы компьютера или сервера, она может публиковать изменения, относящиеся к предыдущей конфигурации.
- Сбор обновлений исправлений на компьютерах Windows Server 2016 Core RS3.
- Управляющая программа Linux может показать измененное состояние, даже если изменения не произошли. Эта проблема возникает из-за того, как
SvcRunLevelsданные в таблице ConfigurationChange Azure Monitor записываются. - Расширение отслеживания изменений не поддерживает какие-либо стандарты защиты для операционных систем Linux или дистрибутивов.
- Расширение отслеживания изменений не поддерживает инвентаризацию приложений Магазина Майкрософт для любых операционных систем Windows или дистрибутивов.
Поддержка оповещений о состоянии конфигурации
Ключевой возможностью отслеживания изменений и инвентаризации является оповещение об изменениях состояния конфигурации гибридной среды. Многие полезные действия доступны для активации в ответ на оповещения. Например, действия в функциях Azure, модулях Runbook службы автоматизации, веб-перехватчиках и таких функциях. Оповещение об изменениях в файле c:\windows\system32\drivers\etc\hosts для компьютера является одним из хороших приложений оповещений для данных отслеживания изменений и инвентаризации. Существует множество других сценариев для оповещения, включая сценарии запросов, определенные в следующей таблице.
| Query | Description |
|---|---|
| ConfigurationChange | where ConfigChangeType == "Files" и FileSystemPath содержит "c:\windows\system32\drivers\" |
Полезно для отслеживания изменений в системных критически важных файлах. |
| ConfigurationChange | Where FieldsChanged содержит FileContentChecksum и FileSystemPath == "c:\windows\system32\drivers\etc\hosts" |
Полезно для отслеживания изменений в файлах конфигурации ключей. |
| ConfigurationChange | where ConfigChangeType == "WindowsServices" и SvcName содержит "w3svc" и SvcState == "Остановлено" |
Полезно для отслеживания изменений в системных критически важных службах. |
| ConfigurationChange | where ConfigChangeType == "Daemons" и SvcName содержит ssh и SvcState!= "Running" |
Полезно для отслеживания изменений в системных критически важных службах. |
| ConfigurationChange | where ConfigChangeType == "Software" и ChangeCategory == "Added" |
Полезно для сред, требующих заблокированных конфигураций программного обеспечения. |
| ConfigurationData | where SoftwareName содержит "Агент мониторинга" и CurrentVersion!= "8.0.11081.0". |
Полезно узнать, какие компьютеры имеют устаревшую или несоответствующую версию программного обеспечения. Этот запрос сообщает о последнем состоянии конфигурации, но не сообщает об изменениях. |
| ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
Полезно для отслеживания изменений в важных антивирусных ключах. |
| ConfigurationChange | Where RegistryKey содержит @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
Полезно для отслеживания изменений параметров брандмауэра. |
Дальнейшие шаги
- Сведения о включении на портале Azure см. в статье "Включение отслеживания изменений и инвентаризации" на портале Azure.