Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece uma visão geral do Controle de Alterações e Inventário do Azure usando o AMA (Agente do Azure Monitor). Este artigo também inclui os principais recursos e benefícios do serviço.
O que é controle de alterações e inventário
O recurso de Controle de Alterações e Inventário aprimora a auditoria e a governança das operações internas, monitorando as alterações e fornecendo registros de inventário detalhados para servidores no Azure, em ambientes locais e em outras nuvens.
Importante
Recomendamos que você use o Controle de Alterações e Inventário com a extensão controle de alterações versão 2.20.0.0 ou posterior.
Controle de alterações
- Monitora alterações, incluindo modificações em arquivos, chaves do Registro, instalações de software e serviços do Windows ou daemons do Linux.
- Fornece logs detalhados sobre o que foi alterado e quando, permitindo que você detecte rapidamente desvios de configuração ou alterações não autorizadas.
Os metadados de rastreamento de alterações são ingeridosConfigurationChangena tabela no espaço de trabalho conectado de análise de dados. Para obter mais informações, consulte ConfigurationChange.
Observação
Os dados de Controle de Alterações e Inventário são registrados em log para aplicativos no nível do sistema e no nível do usuário. Os dados no nível do sistema são sempre registrados, mas os aplicativos no nível do usuário aparecem somente quando um usuário entra em um computador. Se o usuário sair, esses aplicativos serão marcados como Removidos.
Inventário
- Coleta e mantém uma lista atualizada de software instalado, detalhes do sistema operacional e outras configurações de servidor em workspaces vinculados do Log Analytics.
- Ajuda a criar uma visão geral dos ativos do sistema, que é útil para conformidade, auditorias e manutenção proativa.
- Ingere metadados de inventário na tabela do
ConfigurationDataespaço de trabalho conectado de análise de logs. Para obter mais informações, consulte ConfigurationData.
Principais benefícios do Controle e Inventário de Alterações do Azure
Aqui estão os principais benefícios:
- Compatibilidade com o agente de monitoramento unificado: é compatível com o AMA que aprimora a segurança e a confiabilidade e facilita a experiência multi-homing para armazenar dados.
- Compatibilidade com a ferramenta de acompanhamento: é compatível com a extensão controle de alterações implantada por meio do Azure Policy na VM (máquina virtual) do cliente. Você pode mudar para o AMA e, em seguida, a extensão Rastreamento de Alterações faz o push do software, dos arquivos e do registro para o AMA.
- Experiência de hospedagem múltipla: fornece padronização do gerenciamento de um espaço de trabalho central. Você pode fazer a transição dos Logs do Azure Monitor para o AMA para que todas as VMs apontem para um único workspace para coleta e manutenção de dados.
- Gerenciamento de regras: usa regras de coleta de dados para configurar ou personalizar vários aspectos da coleta de dados. Por exemplo, você pode alterar a frequência da coleta de arquivos.
Para obter informações sobre sistemas operacionais com suporte, consulte Matriz de suporte e regiões para Controle de Alterações e Inventário.
Habilitar o Controle de Alterações e Inventário do Azure
Você pode habilitar o Controle de Alterações e Inventário das seguintes formas:
- Servidores habilitados pelo Azure Arc (máquinas não-Azure): no portal do Azure, no painel Centro de Controle de Alterações e Inventário | Máquinas, selecione Política>Tipo de Definição>Categoria>Controle de Alterações e Inventário. Em Iniciativa, selecione Habilitar Controle de Alterações e Inventário para máquinas virtuais habilitadas para Arc. Para habilitar o Controle de Alterações e Inventário em larga escala, utilize a solução baseada em política DINE (deploy-if-not-exists). Para obter mais informações, consulte Início Rápido: Habilitar o Controle de Alterações e Inventário do Azure.
- Única VM do Azure: no portal do Azure, selecione a VM no painel máquinas virtuais. Esse cenário está disponível para VMs do Linux e do Windows.
- VMs do Azure simples e múltiplas: no portal do Azure, selecione as VMs no painel máquinas virtuais .
Controlar alterações de arquivo
Para rastrear alterações em arquivos no Windows e no Linux, o Controle de Alterações e Inventário usa os hashes SHA256 dos arquivos. O recurso usa os hashes para detectar se foram feitas alterações desde o último inventário.
Controlar alterações de conteúdo do arquivo
Com o Controle de Alterações e Inventário, você pode exibir o conteúdo de um arquivo Windows ou Linux. Para cada alteração em um arquivo, o Controle de Alterações e Inventário armazena o conteúdo do arquivo em uma conta de Armazenamento do Azure. Ao rastrear um arquivo, você pode exibir seu conteúdo antes ou depois de uma alteração. Você pode visualizar o conteúdo do arquivo em linha ou lado a lado. Para obter mais informações, consulte Tutorial: Alterar um workspace e configurar a regra de coleta de dados.
Monitorar chaves do Registro
O Controle de Alterações e Inventário permite o monitoramento de alterações nas chaves do Registro do Windows. Ao usar o monitoramento, você pode identificar pontos de extensibilidade em que o código e o malware que não são da Microsoft podem ser ativados. A tabela a seguir lista as chaves do Registro pré-configuradas (mas não habilitadas). Para controlar essas chaves, é necessário habilitar cada uma delas.
| Chave do Registro | Propósito |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Monitora scripts que são executados na inicialização. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Monitora scripts que são executados no desligamento. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Monitora as chaves que são carregadas antes que o usuário entre na conta do Windows. A chave é usada para aplicativos de 32 bits em execução em computadores de 64 bits. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Monitora as alterações às configurações do aplicativo. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Monitora manipuladores de menu de contexto que se conectam diretamente ao Windows Explorer e geralmente são executados no mesmo processo com explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Monitora manipuladores do gancho de cópia que conectam-se diretamente ao Windows Explorer e geralmente são executadas no processo com o explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitora o registro do manipulador de sobreposição de ícone. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitora o registro do manipulador de sobreposição de ícone para aplicativos de 32 bits executados em computadores de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitora os novos plug-ins de objeto auxiliar de navegador para o Internet Explorer. Usado para acessar o DOM (Modelo de Objeto de Documento) do painel atual e para controlar a navegação. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitora os novos plug-ins de objeto auxiliar de navegador para o Internet Explorer. Usado para acessar o DOM do painel atual e controlar a navegação para aplicativos de 32 bits em execução em computadores de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Monitora novas extensões do Internet Explorer, tais como menus de ferramentas personalizadas e botões da barra de ferramentas personalizada. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Monitora novas extensões do Internet Explorer, como menus de ferramentas personalizadas e botões de barra de ferramentas personalizada para aplicativos de 32 bits executados em computadores de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitora os drivers de 32 bits associados com wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc. Semelhante à seção [drivers] no arquivo system.ini. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitora os drivers de 32 bits associados com wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc para aplicativos de 32 bits executados em computadores de 64 bits. Semelhante à seção [drivers] no arquivo system.ini. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Monitora a lista de DLLs de sistema conhecidas ou comumente usadas. O monitoramento impede que pessoas explorem as permissões de diretório de aplicativo fracas via depósito de versões com cavalo de troia das DLLs do sistema. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Monitora a lista de pacotes que pode receber notificações de eventos do winlogon.exe, o modelo de suporte de login interativo para o Windows. |
Conteúdo relacionado
- Examine a matriz de suporte e as regiões para Controle de Alterações e Inventário.