Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se ofrece una visión general sobre el Seguimiento de Cambios e Inventario de Azure mediante el agente de Azure Monitor (AMA). En este artículo también se incluyen las características clave y las ventajas del servicio.
¿Qué es Seguimiento de Cambios e Inventario?
Seguimiento de cambios e inventario mejora la auditoría y la gobernanza de las operaciones de invitado mediante la supervisión de los cambios y proporcionando registros detallados de inventario para los servidores en Azure, locales y otros entornos en la nube.
Importante
Recomendamos usar Change Tracking e Inventario con la extensión Change Tracking versión 2.20.0.0 o posterior.
Change Tracking
- Supervisa los cambios, incluidas las modificaciones en archivos, claves del Registro, instalaciones de software y servicios de Windows o servicios de Linux.
- Proporciona registros detallados de qué y cuándo se realizaron los cambios para que pueda detectar rápidamente desfases de configuración o cambios no autorizados.
Los metadatos de seguimiento de cambios se ingieren en la tablaConfigurationChangedel área de trabajo de Log Analytics conectada. Para obtener más información, vea ConfigurationChange.
Nota:
Los datos de Change Tracking e Inventario se registran tanto para aplicaciones de nivel de sistema como de usuario. Los datos de nivel de sistema siempre se registran, pero las aplicaciones de nivel de usuario solo aparecen cuando un usuario inicia sesión en una máquina. Si el usuario cierra la sesión, esas aplicaciones se marcan como Quitadas.
Inventario
- Recopila y mantiene una lista actualizada de software instalado, detalles del sistema operativo y otras configuraciones de servidor en áreas de trabajo de Log Analytics vinculadas.
- Ayuda a crear información general sobre los recursos del sistema, lo que resulta útil para el cumplimiento, las auditorías y el mantenimiento proactivo.
- Ingiere metadatos de inventario en la
ConfigurationDatatabla del área de trabajo de Log Analytics conectada. Para obtener más información, vea ConfigurationData.
Principales ventajas de Azure Seguimiento de Cambios e Inventario
Estas son las principales ventajas:
- Compatibilidad con el agente de supervisión unificado: Es compatible con AMA que mejora la seguridad y la confiabilidad y facilita la experiencia de multi-homing para almacenar datos.
- Compatibilidad con la herramienta de seguimiento: es compatible con la extensión Change Tracking implementada a través de Azure Policy en la máquina virtual (VM) del cliente. Puede cambiar a la AMA y, a continuación, la extensión Change Tracking envía el software, los archivos y el registro del sistema a la AMA.
- Experiencia de hospedaje múltiple: proporciona estandarización de la administración desde un área de trabajo central. Puede realizar la transición de los registros de Azure Monitor a AMA para que todas las máquinas virtuales apunten a una sola área de trabajo para la recopilación y el mantenimiento de datos.
- Administración de reglas: usa reglas de recopilación de datos para configurar o personalizar varios aspectos de la recopilación de datos. Por ejemplo, puede cambiar la frecuencia de la recopilación de archivos.
Para obtener información sobre los sistemas operativos compatibles, consulte Matriz de compatibilidad y regiones para el seguimiento de cambios e inventario.
Habilitación de Azure Seguimiento de cambios e Inventario
Puede habilitar Seguimiento de cambios e inventario de las siguientes maneras:
- Servidores habilitados para Azure Arc (máquinas que no son de Azure): en el portal de Azure, en el Centro de seguimiento de cambios e inventario | Máquinas, seleccione Directiva, >Tipo de definición, >Categoría, > Seguimiento de cambios e inventario . En Iniciativa, seleccione Activar el seguimiento de cambios y el inventario para máquinas virtuales con Arc habilitado. Para habilitar Seguimiento de cambios e inventario a gran escala, use la solución basada en política DINE (deploy-if-not-exists"). Para más información, consulte Inicio rápido: habilitar el Seguimiento de cambios e inventario de Azure.
- Máquina virtual de Azure única: en Azure Portal, seleccione la máquina virtual en el panel Máquinas virtuales. Este escenario está disponible para las VM Linux y Windows.
- Máquinas virtuales de Azure únicas y múltiples: en Azure Portal, seleccione las máquinas virtuales en el panel Máquinas virtuales .
Seguimiento de los cambios de archivos
Para realizar un seguimiento de los cambios en los archivos de Windows y Linux, Seguimiento de cambios e inventario utiliza los valores hash SHA256 de los archivos. La característica usa los hashes para detectar si se realizaron cambios desde el último inventario.
Seguimiento de los cambios en el contenido del archivo
Con Seguimiento de cambios e inventario, puede ver el contenido de un archivo de Windows o Linux. Para cada cambio en un archivo, Change Tracking e Inventario almacena el contenido del archivo en una cuenta de Azure Storage. Al realizar un seguimiento de un archivo, puede ver su contenido antes o después de un cambio. Puede ver el contenido del archivo en línea o en paralelo. Para obtener más información, consulte Tutorial: Cambio de un área de trabajo y configuración de la regla de recopilación de datos.
Seguimiento de las claves del Registro
Change Tracking e Inventario permite la supervisión de los cambios en las claves del Registro de Windows. Al usar la supervisión, puede identificar puntos de extensibilidad en los que el código y el malware que no son de Microsoft pueden activarse. En la tabla siguiente se enumeran las claves del Registro preconfiguradas (pero no habilitadas). Para realizar el seguimiento de estas claves, debe habilitar cada una de ellas.
| Clave del Registro | Propósito |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Supervisa los scripts que se ejecutan al arrancar. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Supervisa los scripts que se ejecutan al apagar el equipo. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Supervisa las claves que se cargan antes de que el usuario inicie sesión en la cuenta de Windows. La clave se usa para aplicaciones de 32 bits que se ejecutan en equipos de 64 bits. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Supervisa los cambios en la configuración de la aplicación. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Supervisa los controladores de menú contextual que enlazan directamente con el Explorador de Windows y normalmente se ejecutan en el mismo proceso con explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Supervisa los controladores de copia que enlazan directamente con el Explorador de Windows y se suelen ejecutar en el proceso con explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Supervisa el registro del controlador de superposición de iconos. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Supervisa el registro del controlador de superposición de iconos para aplicaciones de 32 bits que se ejecutan en equipos de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Supervisa si hay nuevos complementos de objetos auxiliares de explorador para Internet Explorer. Se usa para acceder al Modelo de objetos de documento (DOM) del panel actual y para controlar la navegación. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Supervisa si hay nuevos complementos de objetos auxiliares de explorador para Internet Explorer. Se usa para acceder al DOM del panel actual y para controlar la navegación de aplicaciones de 32 bits que se ejecutan en equipos de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Supervisa si hay nuevas extensiones de Internet Explorer, como menús de la herramienta personalizada y botones de la barra de herramientas personalizada. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Supervisa si hay nuevas extensiones de Internet Explorer, como menús de la herramienta personalizada y botones de la barra de herramientas personalizada para aplicaciones de 32 bits que se ejecutan en equipos de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Supervisa los controladores de 32 bits asociados a wavemapper, wave1 y wave2, msacm.imaadpcm, .msadpcm, .msgsm610 y vidc. Similar a la [drivers] sección del system.ini archivo. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Supervisa los controladores de 32 bits asociados a wavemapper, wave1 y wave2, msacm.imaadpcm, .msadpcm, .msgsm610 y vidc para aplicaciones de 32 bits que se ejecutan en equipos de 64 bits. Similar a la [drivers] sección del system.ini archivo. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Supervisa la lista de DDL del sistema conocidas o utilizadas habitualmente. La supervisión impide que las personas se aprovechen de permisos de directorio de aplicaciones débiles colocando versiones de troyanos en archivos DLL del sistema. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Supervisa la lista de paquetes que pueden recibir notificaciones de eventos de winlogon.exe, que es el modelo de soporte para el inicio de sesión interactivo en Windows. |
Contenido relacionado
- Revise la matriz de compatibilidad y regiones de Seguimiento de cambios e inventario.