Поделиться через

Сведения об отслеживании изменений и инвентаризации Azure

В этой статье представлен обзор отслеживания изменений и инвентаризации Azure (CTI) с помощью агента Azure Monitor (AMA). В этой статье также содержатся основные функции и преимущества службы.

Что такое отслеживание изменений и инвентаризация

Служба Azure CTI улучшает аудит и управление для гостевых операций, отслеживая изменения и предоставляя подробные журналы инвентаризации для серверов в Azure, локальной среде и других облачных средах.

Это важно

Мы рекомендуем использовать Azure CTI с расширением отслеживания изменений версии 2.20.0.0 или более поздней.

Отслеживание изменений:

  • Отслеживает изменения, включая изменения файлов, разделов реестра, установки программного обеспечения и служб Windows или управляющей программы Linux.
  • Предоставляет подробные журналы о том, что и когда были внесены изменения, что позволяет быстро обнаруживать смещения конфигурации или несанкционированные изменения.
    Метаданные отслеживания изменений будут внесены в таблицу ConfigurationChange в подключенной рабочей области "LA". Подробнее.

Замечание

Данные Azure CTI регистрируются как для приложений на уровне системы, так и для пользователей. Данные на уровне системы всегда регистрируются, но приложения уровня пользователя отображаются только в том случае, если пользователь входит в систему на компьютере; Если пользователь выходит из системы, эти приложения помечены как удаленные.

Инвентарь:

  • Собирает и поддерживает обновленный список установленных программ, операционных систем и других конфигураций сервера в связанной рабочей области LA.
  • Помогает создавать общие сведения о системных ресурсах, которые полезны для соответствия требованиям, аудита и упреждающего обслуживания.
  • Метаданные инвентаризации будут загружены в таблицу ConfigurationData в подключенной рабочей области LA. Подробнее.

Основные преимущества отслеживания изменений и инвентаризации Azure

Ниже приведены основные преимущества:

  • Совместимость с единым агентом мониторинга — совместима с агентом Azure Monitor , который повышает безопасность, надежность и упрощает использование нескольких устройств для хранения данных.
  • Совместимость с средством отслеживания — совместимо с расширением "Отслеживание изменений" (CT), развернутом с помощью политики Azure на виртуальной машине клиента. Вы можете переключиться на AMA, а затем расширение CT отправляет программное обеспечение, файлы и реестр в AMA.
  • Многодоменная возможность — обеспечивает стандартизацию управления из одной центральной рабочей области. Вы можете перейти из Log Analytics (LA) в AMA , чтобы все виртуальные машины указывали на одну рабочую область для сбора и обслуживания данных.
  • Управлениеправилами — использует правила сбора данных для настройки или настройки различных аспектов сбора данных. Например, можно изменить частоту сбора файлов.

Сведения о поддерживаемых операционных системах см. в матрице поддержки и регионах для Azure CTI.

Включение отслеживания изменений и инвентаризации Azure

Azure CTI можно включить следующим образом:

Отслеживание изменений файлов

Для отслеживания изменений в файлах в Windows и Linux Azure CTI использует хэши SHA256 файлов. Эта функция использует хэши для обнаружения изменений с момента последнего инвентаризации.

Отслеживание изменений содержимого файла

Azure CTI позволяет просматривать содержимое файла Windows или Linux. Для каждого изменения файла Azure CTI сохраняет содержимое файла в учетной записи хранения Azure. При отслеживании файла можно просмотреть его содержимое до или после изменения. Содержимое файла можно просматривать как встроенным, так и параллельно. Подробнее.

Снимок экрана: просмотр изменений в файле Windows или Linux.

Отслеживание разделов реестра

Azure CTI позволяет отслеживать изменения в разделах реестра Windows. Мониторинг позволяет закреплять точки расширяемости, где сторонний код и вредоносные программы могут активироваться. В следующей таблице перечислены предварительно настроенные (но не включенные) разделы реестра. Чтобы отслеживать эти ключи, необходимо включить каждый из них.

Раздел реестра Цель
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Отслеживает скрипты, выполняемые при запуске.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Отслеживает сценарии, выполняемые при завершении работы.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Отслеживает ключи, загруженные перед входом пользователя в учетную запись Windows. Ключ используется для 32-разрядных приложений, работающих на 64-разрядных компьютерах.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Отслеживает изменения параметров приложения.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Отслеживает обработчики контекстного меню, которые перехватывались непосредственно в проводнике Windows и обычно выполняются в процессе с explorer.exe.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Отслеживает обработчики перехватчиков копирования, которые перехватывались непосредственно в проводнике Windows и обычно выполняются в процессе с explorer.exe.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Отслеживает регистрацию обработчика наложения значков.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Отслеживает регистрацию обработчика наложения значков для 32-разрядных приложений, работающих на 64-разрядных компьютерах.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Отслеживает новые подключаемые модули вспомогательных объектов браузера для Internet Explorer. Используется для доступа к объектной модели документа (DOM) текущей панели и управления навигацией.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Отслеживает новые подключаемые модули вспомогательных объектов браузера для Internet Explorer. Используется для доступа к объектной модели документа (DOM) текущей панели и управления навигацией для 32-разрядных приложений, работающих на 64-разрядных компьютерах.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions Отслеживает новые расширения Internet Explorer, такие как пользовательские меню инструментов и пользовательские кнопки панели инструментов.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Отслеживает новые расширения Internet Explorer, такие как пользовательские меню инструментов и пользовательские кнопки панели инструментов для 32-разрядных приложений, работающих на 64-разрядных компьютерах.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Отслеживает 32-разрядные драйверы, связанные с wavemapper, wave1 и wave2, msacm.imaadpcm, msadpcm, msgsm610 и vidc. Аналогично разделу [драйверы] в файлеsystem.ini .
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Отслеживает 32-разрядные драйверы, связанные с wavemapper, wave1 и wave2, msacm.imaadpcm, msadpcm, MSGSm610 и vidc для 32-разрядных приложений, работающих на 64-разрядных компьютерах. Аналогично разделу [драйверы] в файлеsystem.ini .
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Отслеживает список известных или часто используемых системных БИБЛИОТЕК DLL. Мониторинг предотвращает использование пользователями слабых разрешений каталога приложений путем удаления версий системных БИБЛИОТЕК DLL троянских лошадей.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Отслеживает список пакетов, которые могут получать уведомления о событиях из winlogon.exe, модель интерактивной поддержки входа в Windows.

Дальнейшие шаги

Просмотрите матрицу поддержки и регионы для Azure CTI.

  • Last updated on