Миграция из агента Microsoft Monitoring Agent или агента Azure Monitor

Мониторинг целостности файлов в Defender для серверов, план 2 использует агент Microsoft Defender для конечной точки для сбора данных с компьютеров в соответствии с правилами сбора.

Предыдущая версия мониторинга целостности файлов использовала агент Log Analytics (также известный как Microsoft Monitoring Agent (MMA)) или агент Azure Monitor (AMA) для сбора данных. В этой статье описывается перенос предыдущих версий MMA и AMA в новую версию.

Необходимые компоненты

• Для использования мониторинга целостности файлов необходимо включить Defender для серверов плана 2.
• Миграция имеет значение, если в настоящее время включен мониторинг целостности файлов с помощью MMA или AMA.
• Компьютеры, защищенные защитником для серверов плана 2, должны запускать агент Microsoft Defender для конечной точки. Чтобы проверить состояние агента на компьютерах в вашей среде, используйте эту книгу для этого.

Миграция из MMA

Если вы используете одну из предыдущих версий мониторинга целостности файлов с MMA, вы можете выполнить миграцию с использованием встроенных возможностей для миграции. При использовании продукта вы можете:

• Перед миграцией просмотрите текущую среду.
• Экспорт текущих правил мониторинга целостности файлов, использующих MMA в рабочей области Log Analytics.
• Перейдите на новый опыт, если Defender для серверов План 2 активен.

Перед началом работы

Обратите внимание на следующие условия.

• Средство миграции можно запускать только один раз для каждой подписки. Вы не можете снова запустить его, чтобы перенести правила из нескольких рабочих областей в одной подписке.
• Для миграции в продукте требуются разрешения администратора безопасности для целевой подписки и разрешений владельца в целевой рабочей области Log Analytics.
• Это средство позволяет перенести существующие правила мониторинга в новый интерфейс.
• Вы не можете перенести пользовательские и устаревшие встроенные правила, которые не являются частью нового интерфейса, но их можно экспортировать в JSON-файл.
• Средство миграции перечисляет все компьютеры в подписке, а не только те, которые подключены к системе мониторинга целостности файлов через MMA.
  • Устаревшая версия требуетСЯ MMA, подключенная к рабочей области Log Analytics. Компьютеры, которые защищены Защитником для серверов по плану 2, но на которых не запущен MMA, не пользуются преимуществами мониторинга целостности файлов.
  • Благодаря новому опыту, все устройства в области с включённой поддержкой получают преимущества от мониторинга целостности файлов.
• Хотя новый интерфейс не требует агента MMA, необходимо указать исходную и целевую рабочую область в средстве миграции.
  • Источником является рабочая область, из которой вы передаете существующие правила в новый интерфейс.
  • Цель — это рабочая среда, где ведутся журналы изменений при изменении отслеживаемых файлов и реестров.
• После включения нового интерфейса подписки компьютеры в включенной области охватываются теми же правилами мониторинга целостности файлов.
• Чтобы исключить отдельные компьютеры из мониторинга целостности файлов, опустите их на Defender для серверов плана 1, включив Defender для серверов на уровне ресурсов

Миграция с помощью интерфейса в продукте

1. В Defender для облака перейдите в раздел защиты рабочих нагрузок ,>Мониторинг целостности файлов.

2. В сообщении баннера щелкните здесь, чтобы перенести среды.

   

3. На странице подготовки сред к отмене MMA запустите миграцию.

4. На вкладке "Миграция на новую вкладку FIM " в разделе "Миграция на новую версию FIM через MDE" выберите "Выполнить действие".

   

5. На вкладке "Миграция на новую вкладку FIM " вы увидите все подписки, на которых размещены компьютеры с включенным мониторингом целостности устаревших файлов.

   • Общее количество машин в подписке показывает все виртуальные машины Azure и виртуальные машины с Azure Arc в подписке.
   • Компьютеры, настроенные для FIM , показывают количество компьютеров с включенным мониторингом целостности устаревших файлов.

6. В столбце "Действие" рядом с каждой подпиской выберите "Миграция".

7. На странице Обновление подписки>Обзор компьютеров подписки вы увидите список компьютеров с включенным мониторингом целостности файлов прежних версий и их связанных рабочих областей Log Analytics. Выберите Далее.

8. На вкладке "Параметры миграции " выберите рабочую область в качестве источника миграции.

9. Просмотрите конфигурацию рабочей области, включая реестр Windows и файлы Windows/Linux. Существует указание на возможность переноса параметров и файлов.

10. Если у вас есть файлы и параметры, которые не могут быть перенесены, выберите "Сохранить параметры рабочей области в качестве файла".

11. В разделе "Выбор целевой рабочей области для хранения данных FIM" укажите рабочую область Log Analytics, в которой требуется сохранить изменения с новым интерфейсом мониторинга целостности файлов. Вы можете использовать ту же рабочую область или выбрать другую.

12. Выберите Далее.

13. На вкладке "Проверка и утверждение " просмотрите сводку по миграции. Выберите Миграция, чтобы начать процесс миграции.

После завершения миграции подписка удаляется из мастера миграции и применяются правила мониторинга целостности файлов.

Отключение устаревшего решения MMA

Выполните следующие действия, чтобы отключить мониторинг целостности файлов с помощью MMA вручную.

1. Удалите решение Azure ChangeTracking из рабочей области Log Analytics.

   После удаления новые события мониторинга целостности файлов не собираются. Исторические события сохраняются в соответствующей рабочей области Log Analytics в разделе Отслеживание изменений таблицыConfigurationChange. События хранятся в соответствии с параметрами хранения данных рабочей области.

2. Если вам больше не нужен MMA на устройствах, деактивируйте использование агента Log Analytics.

   • Если агент не нужен на компьютерах, отключите автоматическую подготовку агента в подписке.
   • Для определенного компьютера удалите агент с помощью программы обнаружения и удаления Azure Monitor.

Миграция из AMA

Выполните следующие действия, чтобы выполнить миграцию из мониторинга целостности файлов с помощью AMA.

1. Удалите правила сбора данных отслеживания изменений связанных файлов (DCR).

2. Для этого следуйте инструкциям в разделе Remove-AzDataCollectionRuleAssociation и Remove-AzDataCollectionRule.

   После удаления новые события мониторинга целостности файлов не собираются. Исторические события сохраняются в соответствующей рабочей области в таблице ConfigurationChange в разделе "Отслеживание изменений". События хранятся в соответствии с параметрами хранения данных рабочей области.

Если вы хотите использовать AMA для использования событий мониторинга целостности файлов, вручную подключитесь к соответствующей рабочей области и просмотрите изменения в таблице отслеживания изменений с помощью этого запроса.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Чтобы продолжить внедрение нового объема или настройку правил мониторинга, вручную работайте с правилами сбора данных и настраивайте сбор данных.