通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

从 Microsoft Monitoring Agent 或 Azure Monitor 代理迁移

Defender for Servers 计划 2 中的文件完整性监视使用 Microsoft Defender for Endpoint 代理根据收集规则从计算机收集数据。

以前的文件完整性监视版本使用 Log Analytics 代理(也称为Microsoft监视代理(MMA)或 Azure Monitor 代理(AMA)进行数据收集。 本文介绍如何将早期版本的 MMA 和 AMA 迁移到新版本。

先决条件

  • 必须启用 Defender for Servers 计划 2 才能使用文件完整性监视。
  • 如果当前使用 MMA 或 AMA 启用文件完整性监视,则迁移是相关的。
  • Defender for Servers 计划 2 保护的计算机必须运行 Microsoft Defender for Endpoint 代理。 若要检查环境中的计算机上的代理状态, 请使用此工作簿 执行此作。

从 MMA 迁移

如果将早期版本的文件完整性监视与 MMA 配合使用,则可以使用产品内迁移体验进行迁移。 通过产品内体验,可以:

  • 在迁移之前查看当前环境。
  • 导出在 Log Analytics 工作区中使用 MMA 的当前文件完整性监视规则。
  • 如果启用了 Defender for Servers 计划 2,请迁移到新体验。

开始之前

请注意:

  • 每个订阅只能运行一次迁移工具。 无法再次运行它来从同一订阅中的多个工作区迁移规则。
  • 产品内迁移需要目标订阅的安全管理员权限,以及目标 Log Analytics 工作区的所有者权限。
  • 借助该工具,可以将现有监视规则传输到新体验。
  • 无法迁移不属于新体验的自定义和旧内置规则,但可以将其导出到 JSON 文件。
  • 迁移工具列出了订阅中的所有计算机,而不仅限于使用 MMA 载入到文件完整性监视的计算机。
    • 旧版本需要连接到 Log Analytics 工作区的 MMA。 受 Defender for Servers 计划 2 保护但未运行 MMA 的计算机无法受益于文件完整性监视。
    • 有了新的体验,启用的范围中的所有计算机都将受益于文件完整性监视。
  • 尽管新体验不需要 MMA 代理,但必须在迁移工具中指定源和目标工作区。
    • 源是要从中将现有规则转移到新体验的工作区。
    • 目标是在受监视的文件和注册表发生更改时,在其中写入更改日志的工作区。
  • 在订阅上启用新体验后,启用范围中的计算机由相同的文件完整性监视规则涵盖。
  • 若要免除单个计算机的文件完整性监视,请在资源级别启用 Defender for Servers,将其降级为 Defender for Servers 计划 1

使用产品内体验进行迁移

  1. 在 Defender for Cloud 中,转到 工作负载保护>文件完整性监视

  2. 在横幅消息中,选择“单击此处迁移环境”

    显示 Defender for Cloud 横幅中的“迁移”按钮的屏幕截图。

  3. 在“准备环境到 MMA 弃用”页中,开始迁移。

  4. 迁移到新的 FIM选项卡上,在通过 MDE 迁移到 FIM 的新版本下,选择采取行动

    显示 Defender for Cloud 横幅中的“迁移”按钮的屏幕截图。

  5. 在“迁移到新的 FIM”选项卡中,可以看到托管启用了旧文件完整性监视的计算机的所有订阅。

    • “订阅上的计算机总数”显示订阅中的所有 Azure VM 和已启用 Azure Arc 的 VM。
    • 为 FIM 配置的计算机显示启用了旧文件完整性监视的计算机数。

  6. 在每个订阅旁边的“操作”列中,选择“迁移”

  7. 更新订阅>中查看订阅的计算机时,您会看到启用了传统文件完整性监控的计算机及其相关的 Log Analytics 工作区的列表。 选择下一步

  8. 在“ 迁移设置 ”选项卡上,选择工作区作为迁移源。

  9. 查看工作区配置,包括 Windows 注册表和 Windows/Linux 文件。 有指示表明是否可以迁移设置和文件。

  10. 如果你有无法迁移的文件和设置,请选择“ 将工作区设置另存为文件”。

  11. “为 FIM 数据存储选择目标工作区”下,指定要使用新文件完整性监视体验存储更改的 Log Analytics 工作区。 可以使用同一工作区或选择其他工作区。

  12. 选择下一步

  13. 在“ 审阅和批准 ”选项卡上,查看迁移摘要。 选择“迁移”以启动迁移过程。

迁移完成后,将从迁移向导中删除订阅,并应用迁移的文件完整性监视规则。

禁用旧版 MMA 解决方案

按照以下步骤手动禁用 MMA 的文件完整性监控功能。

  1. 从 Log Analytics 工作区中删除“Azure ChangeTracking”解决方案。

    删除后,不会收集新的文件完整性监视事件。 历史事件仍存储在“更改跟踪”部分“ConfigurationChange”表下的相关 Log Analytics 工作区中。 事件根据 工作区数据保留设置进行存储。

  2. 如果您不再需要在计算机上使用 MMA,请禁用 Log Analytics 代理。

从 AMA 迁移

按照以下步骤使用 AMA 从文件完整性监视执行迁移。

  1. 移除相关的文件更改跟踪数据收集规则 (DCR)。

  2. 要执行此操作,请按照 Remove-AzDataCollectionRuleAssociationRemove-AzDataCollectionRule 中的说明操作。

    删除后,不会收集新的文件完整性监视事件。 历史事件仍存储在“更改跟踪”部分表 ConfigurationChange 下的相关工作区中。 事件根据 工作区数据保留设置进行存储。

如果要继续使用 AMA 来使用文件完整性监视事件,请手动连接到相关工作区,并使用此查询查看 更改跟踪 表中的更改。

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

若要继续载入新范围或配置监视规则,请手动处理数据收集规则并自定义数据收集。

在文件完整性监视中查看更改