Migrera från Microsoft Monitoring Agent eller Azure Monitor-agenten

Övervakning av filintegritet i Defender för servrar Plan 2 använder Microsoft Defender för Endpoint-agenten för att samla in data från datorer enligt insamlingsregler.

Den tidigare versionen av filintegritetsövervakningen använde Log Analytics-agenten (även kallad Microsoft Monitoring Agent (MMA)) eller Azure Monitor Agent (AMA) för datainsamling. Den här artikeln beskriver hur du migrerar tidigare versioner av MMA och AMA till den nya versionen.

Förutsättningar

• Du måste aktivera Defender for Servers Plan 2 för att kunna använda övervakning av filintegritet.
• Migrering är relevant om övervakning av filintegritet för närvarande är aktiverat med hjälp av MMA eller AMA.
• Datorer som skyddas av Defender for Servers Plan 2 måste köra Microsoft Defender för Endpoint-agenten. Om du vill kontrollera agentstatus på datorer i din miljö använder du den här arbetsboken för att göra det.

Migrera från MMA

Om du använder en tidigare version av filintegritetsövervakning med MMA kan du migrera med hjälp av migreringsupplevelsen i produkten. Med produktupplevelsen kan du:

• Granska den aktuella miljön innan du migrerar.
• Exportera aktuella regler för övervakning av filintegritet som använder MMA på en Log Analytics-arbetsyta.
• Migrera till den nya upplevelsen om Defender för servrar plan 2 är aktiv.

Innan du börjar

Tänk på följande:

• Du kan bara köra migreringsverktyget en gång per prenumeration. Du kan inte köra den igen för att migrera regler från flera arbetsytor i samma prenumeration.
• Migreringen i produkten kräver säkerhetsadministratörsbehörigheter för målprenumerationen och ägarbehörigheter på log analytics-målarbetsytan.
• Med verktyget kan du överföra befintliga övervakningsregler till den nya upplevelsen.
• Du kan inte migrera anpassade och äldre inbyggda regler som inte ingår i den nya upplevelsen, men du kan exportera dem till en JSON-fil.
• Migreringsverktyget visar en lista över alla datorer i en prenumeration, inte bara de som registrerats för övervakning av filintegritet med MMA.
  • Den äldre versionen krävde MMA ansluten till Log Analytics-arbetsytan. Datorer som skyddas av Defender för servrar, plan 2 men som inte kör MMA, har inte nytta av övervakning av filintegritet.
  • Med den nya upplevelsen drar alla datorer i det aktiverade omfånget nytta av övervakning av filintegritet.
• Även om den nya upplevelsen inte behöver någon MMA-agent måste du ange en käll- och målarbetsyta i migreringsverktyget.
  • Källan är den arbetsyta som du överför befintliga regler från till den nya upplevelsen.
  • Målet är den arbetsyta där ändringsloggar skrivs när övervakade filer och register ändras.
• När du har aktiverat den nya upplevelsen för en prenumeration omfattas datorer i det aktiverade omfånget av samma regler för övervakning av filintegritet.
• Om du vill undanta enskilda datorer från övervakning av filintegritet nedgraderar du dem till Defender för servrar plan 1 genom att aktivera Defender för servrar på resursnivå

Migrera med produktupplevelsen

1. I Defender för molnet går du till ArbetsbelastningsskyddFilintegritetsövervakning>.

2. I banderollmeddelandet väljer du Klicka här för att migrera dina miljöer.

   

3. På sidan Förbered dina miljöer för MMA-utfasning, starta migreringen.

4. På fliken Migrera till den nya FIM går du till Migrera till FIM:s nya version via MDE och väljer Vidta åtgärd.

   

5. På fliken Migrera till den nya FIM kan du se alla prenumerationer som är värdar för datorer med äldre övervakning av filintegritet aktiverat.

   • Totalt antal datorer i prenumerationen visar alla virtuella Azure-datorer och Azure Arc-aktiverade virtuella datorer i prenumerationen.
   • Datorer som konfigurerats för FIM visar antalet datorer med äldre övervakning av filintegritet aktiverat.

6. I kolumnen Åtgärd bredvid varje prenumeration väljer du Migrera.

7. På Uppdateringsprenumeration>Granska datorer i prenumerationen visas en lista över datorer som har äldre övervakning av filintegritet aktiverat samt deras relaterade Log Analytics-arbetsytor. Välj Nästa.

8. På fliken Migrera inställningar väljer du en arbetsyta som migreringskälla.

9. Granska konfigurationen av arbetsytan, inklusive Windows-registret och Windows-/Linux-filerna. Det finns en indikation på om inställningar och filer kan migreras.

10. Om du har filer och inställningar som inte kan migreras väljer du Spara arbetsyteinställningar som fil.

11. Under Välj målarbetsyta för FIM-datalagring anger du den Log Analytics-arbetsyta där du vill lagra ändringar med den nya funktionen för övervakning av filintegritet. Du kan använda samma arbetsyta eller välja en annan.

12. Välj Nästa.

13. Granska migreringssammanfattningen på fliken Granska och godkänn . Välj Migrera för att starta migreringsprocessen.

När migreringen är klar tas prenumerationen bort från migreringsguiden och regler för övervakning av migrerad filintegritet tillämpas.

Inaktivera den äldre MMA-lösningen

Följ de här stegen för att inaktivera övervakning av filintegritet med MMA manuellt.

1. Ta bort Azure ChangeTracking-lösningen från Log Analytics-arbetsytan.

   Efter borttagningen samlas inga nya händelser för filintegritetsövervakning in. Historiska händelser lagras fortfarande på relevant Log Analytics-arbetsyta under avsnittet Ändringsspårning i ConfigurationChange tabellen. Händelser lagras enligt inställningarna för datakvarhållning på arbetsytan.

2. Om du inte längre behöver MMA på datorer inaktiverar du användningen av Log Analytics-agenten.

   • Om du inte behöver agenten på några datorer inaktiverar du automatisk agentetablering i prenumerationen.
   • För en specifik dator tar du bort agenten med hjälp av Verktyget för identifiering och borttagning av Azure Monitor.

Migrera från AMA

Följ de här stegen för att migrera från övervakning av filintegritet med AMA.

1. Ta bort de relaterade reglerna för filändringsspårning för datainsamling (DCR).

2. Det gör du genom att följa anvisningarna i Remove-AzDataCollectionRuleAssociation och Remove-AzDataCollectionRule.

   Efter borttagningen samlas inga nya händelser för filintegritetsövervakning in. Historiska händelser lagras fortfarande på den relevanta arbetsytan under tabellen ConfigurationChange i avsnittet Ändringsspårning. Händelser lagras enligt arbetsytans inställningar för datalagring.

Om du vill fortsätta använda AMA för att använda övervakningshändelser för filintegritet ansluter du manuellt till relevant arbetsyta och visar ändringar i tabellen Ändringsspårning med den här frågan.

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

Om du vill fortsätta registrera nytt omfång eller konfigurera övervakningsregler kan du arbeta manuellt med datainsamlingsregler och anpassa datainsamling.