Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se ofrece una visión general sobre el Seguimiento de Cambios de Azure e Inventario (CTI) mediante el Agente de Azure Monitor (AMA). En este artículo también se incluyen las características clave y las ventajas del servicio.
¿Qué es Seguimiento de Cambios e Inventario?
El servicio CTI de Azure mejora la auditoría y la gobernanza de las operaciones en el invitado, ya que supervisa los cambios y aporta registros de inventario detallados de los servidores en Azure, locales y en otros entornos de nube.
Importante
Se recomienda usar Azure CTI con la extensión Change Tracking versión 2.20.0.0 o posterior.
Seguimiento de cambios:
- Supervisa los cambios, incluidas las modificaciones en archivos, claves del Registro, instalaciones de software y servicios de Windows o servicios de Linux.
- Proporciona registros detallados de qué y cuándo se realizaron los cambios, lo que le permite detectar rápidamente desfases de configuración o cambios no autorizados.
Los metadatos de seguimiento de cambios se introducirán en la tabla ConfigurationChange en el área de trabajo de LA conectada. Más información.
Nota:
Los datos de Azure CTI se registran tanto para aplicaciones de nivel de sistema como de usuario. Los datos de nivel de sistema siempre se registran, pero las aplicaciones de nivel de usuario solo aparecen cuando un usuario inicia sesión en una máquina; si el usuario cierra sesión, esas aplicaciones se marcan como Quitadas.
Inventario:
- Recopila y mantiene una lista actualizada de software instalado, detalles del sistema operativo y otras configuraciones de servidor en el área de trabajo de LA vinculada.
- Ayuda a crear información general sobre los recursos del sistema, lo que resulta útil para el cumplimiento, las auditorías y el mantenimiento proactivo.
- Los metadatos de inventario serán incorporados en la tabla ConfigurationData del espacio de trabajo de LA conectado. Más información.
Principales ventajas de Azure Seguimiento de Cambios e Inventario
Estas son las principales ventajas:
- Compatibilidad con el agente de supervisión unificado : compatible con el agente de Azure Monitor que mejora la seguridad, la confiabilidad y facilita la experiencia de hospedaje múltiple para almacenar datos.
- Compatibilidad con la herramienta de seguimiento : compatible con la extensión Change Tracking (CT) implementada a través de Azure Policy en la máquina virtual del cliente. Puede cambiar a AMA y, a continuación, la extensión CT inserta el software, los archivos y el registro en AMA.
- Experiencia de hospedaje múltiple: proporciona estandarización de la administración desde un área de trabajo central. Puede pasar de Log Analytics (LA) a AMA para que todas las máquinas virtuales apunten a una sola área de trabajo para la recopilación y el mantenimiento de datos.
- Administración de reglas: usa reglas de recopilación de datos para configurar o personalizar varios aspectos de la recopilación de datos. Por ejemplo, puede cambiar la frecuencia de la recopilación de archivos.
Para obtener información sobre los sistemas operativos compatibles, consulte matriz de compatibilidad y regiones para Azure CTI.
Habilitación de Azure Seguimiento de cambios e Inventario
Puede habilitar Azure CTI de las maneras siguientes:
Para los servidores habilitados para Azure Arc (que no son máquinas de Azure), consulte la iniciativa Habilitar el seguimiento de cambios e inventario para máquinas virtuales habilitadas para Arc en >. Para habilitar Azure CTI a escala, use la solución basada en directivas DINE . Para más información, consulte Inicio rápido: habilitar el Seguimiento de cambios e inventario de Azure.
Para una sola máquina virtual de Azure desde el panel Máquina virtual en Azure Portal. Este escenario está disponible para las VM Linux y Windows.
Para máquinas virtuales únicas y varias de Azure , selecciónelas en el panel Máquinas virtuales de Azure Portal.
Seguimiento de los cambios de archivos
Para realizar el seguimiento de los cambios en los archivos en Windows y Linux, Azure CTI usa hash SHA256 de los archivos. La característica usa los valores hash para detectar si se han realizado cambios desde el último inventario.
Seguimiento de los cambios en el contenido del archivo
Azure CTI permite ver el contenido de un archivo Windows o Linux. Para cada cambio en un archivo, Azure CTI almacena el contenido del archivo en una cuenta de Azure Storage. Cuando realiza el seguimiento de un archivo, puede ver su contenido antes o después de un cambio. El contenido del archivo se puede ver en línea o en paralelo. Más información.
Seguimiento de las claves del Registro
Azure CTI permite supervisar los cambios en las claves del Registro de Windows. La supervisión permite identificar los puntos de extensibilidad en los que se puede activar malware y código de terceros. En la tabla siguiente, se enumeran las claves del Registro preconfiguradas (pero no habilitadas). Para realizar el seguimiento de estas claves, debe habilitar cada una de ellas.
| Clave del Registro | Propósito |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Supervisa los scripts que se ejecutan al arrancar. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Supervisa los scripts que se ejecutan al apagar el equipo. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Supervisa las claves que se cargan antes de que el usuario inicie sesión en la cuenta de Windows. La clave se usa para aplicaciones de 32 bits que se ejecutan en equipos de 64 bits. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Supervisa los cambios en la configuración de la aplicación. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Supervisa los controladores de los menús contextuales que se enlazan directamente con el Explorador de Windows y se suelen ejecutar en el proceso con explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Supervisa los controladores de enlace de copia que se enlazan directamente con el Explorador de Windows y se suelen ejecutar en el proceso con explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Supervisa el registro del controlador de superposición de iconos. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Supervisa el registro del controlador de superposición de iconos para aplicaciones de 32 bits que se ejecutan en equipos de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Supervisa si hay nuevos complementos de objetos auxiliares de explorador para Internet Explorer. Se usa para acceder al Modelo de objetos de documento (DOM) del panel actual y para controlar la navegación. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Supervisa si hay nuevos complementos de objetos auxiliares de explorador para Internet Explorer. Se usa para acceder al Modelo de objetos de documento (DOM) del panel actual y para controlar la navegación de aplicaciones de 32 bits que se ejecutan en equipos de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Supervisa si hay nuevas extensiones de Internet Explorer, como menús de la herramienta personalizada y botones de la barra de herramientas personalizada. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Supervisa si hay nuevas extensiones de Internet Explorer, como menús de la herramienta personalizada y botones de la barra de herramientas personalizada para aplicaciones de 32 bits que se ejecutan en equipos de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Supervisa los controladores de 32 bits asociados a wavemapper, wave1 y wave2, msacm.imaadpcm, .msadpcm, .msgsm610 y vidc. Es similar a la sección [drivers] del archivo system.ini. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Supervisa los controladores de 32 bits asociados a wavemapper, wave1 y wave2, msacm.imaadpcm, .msadpcm, .msgsm610 y vidc para aplicaciones de 32 bits que se ejecutan en equipos de 64 bits. Es similar a la sección [drivers] del archivo system.ini. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Supervisa la lista de DDL del sistema conocidas o utilizadas habitualmente. La supervisión impide que las personas se aprovechen de permisos de directorio de aplicaciones débiles colocando versiones de troyanos en archivos DLL del sistema. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Supervisa la lista de paquetes que pueden recibir notificaciones de eventos de winlogon.exe, el modelo de compatibilidad de inicio de sesión interactivo para Windows. |
Pasos siguientes
Revise la matriz de compatibilidad y las regiones de Azure CTI.