Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece uma visão geral do Azure Change Tracking and Inventory (CTI) usando o AMA (Agente do Azure Monitor). Este artigo também inclui os principais recursos e benefícios do serviço.
O que é controle de alterações e inventário
O serviço CTI do Azure aprimora a auditoria e a governança para operações em convidado monitorando as alterações e fornecendo logs de inventário detalhados para servidores no Azure, no local e em outros ambientes de nuvem.
Importante
Recomendamos que você use o CTI do Azure com a extensão de controle de alterações versão 2.20.0.0 ou posterior.
Controle de Alterações:
- Monitora alterações, incluindo modificações em arquivos, chaves do Registro, instalações de software e serviços do Windows ou daemons do Linux.
- Fornece logs detalhados do que e quando as alterações foram feitas, permitindo que você detecte rapidamente desvios de configuração ou alterações não autorizadas.
Os metadados do Controle de Alterações serão ingeridos na tabela ConfigurationChange no workspace do LA conectado. Saiba mais.
Observação
Os dados de CTI do Azure são registrados em log para aplicativos no nível do sistema e no nível do usuário. Os dados no nível do sistema são sempre registrados, mas os aplicativos no nível do usuário aparecem somente quando um usuário faz login em uma máquina; se o usuário fizer logout, esses aplicativos serão marcados como Removidos.
Inventário:
- Coleta e mantém uma lista atualizada de software instalado, detalhes do sistema operacional e outras configurações de servidor no workspace LA vinculado.
- Ajuda a criar uma visão geral dos ativos do sistema, que é útil para conformidade, auditorias e manutenção proativa.
- Os metadados de inventário serão ingeridos na tabela ConfigurationData no workspace do LA conectado. Saiba mais.
Principais benefícios do Controle e Inventário de Alterações do Azure
Aqui estão os principais benefícios:
- Compatibilidade com o agente de monitoramento unificado – compatível com o Agente do Azure Monitor que aprimora a segurança, a confiabilidade e facilita a experiência de multi-homing para armazenar dados.
- Compatibilidade com a ferramenta de acompanhamento – compatível com a extensão CT (Controle de Alterações) implantada por meio do Azure Policy na máquina virtual do cliente. Você pode alternar para AMA e, em seguida, a extensão CT envia o software, os arquivos e o registro para a AMA.
- Experiência de hospedagem múltipla – fornece padronização do gerenciamento de um workspace central. Você pode fazer a transição do LA (Log Analytics) para AMA para que todas as VMs apontem para um único workspace para coleta e manutenção de dados.
- Gerenciamento de regras – usa Regras de Coleta de Dados para configurar ou personalizar vários aspectos da coleta de dados. Por exemplo, você pode alterar a frequência da coleta de arquivos.
Para obter informações sobre sistemas operacionais com suporte, consulte a matriz de suporte e as regiões para o CTI do Azure.
Habilitar o Controle de Alterações e Inventário do Azure
Você pode habilitar o CTI do Azure das seguintes maneiras:
Para servidores habilitados para Azure Arc (computadores que não são do Azure), consulte a Iniciativa Habilitar Controle de Alterações e Inventário para máquinas virtuais habilitadas para Arc em Categoria Selecionar Definições > de Política > = ChangeTrackingAndInventory. Para habilitar o CTI do Azure em escala, use a solução baseada em Política DINE . Para obter mais informações, consulte Início Rápido – Habilitar o Controle de Alterações e Inventário do Azure.
Para uma única VM do Azure a partir do Painel de Máquina Virtual no portal do Azure. Esse cenário está disponível para VMs do Linux e do Windows.
Para VMs individuais e múltiplas do Azure , selecione-as no painel máquinas virtuais no portal do Azure.
Controlar alterações de arquivo
Para acompanhar alterações em arquivos no Windows e no Linux, o CTI do Azure usa hashes SHA256 dos arquivos. O recurso usa os hashes para detectar se foram feitas alterações desde o último inventário.
Controlar alterações de conteúdo do arquivo
O CTI do Azure permite que você exiba o conteúdo de um arquivo Windows ou Linux. Para cada alteração em um arquivo, o CTI do Azure armazena o conteúdo do arquivo em uma conta de Armazenamento do Azure. Quando estiver controlando um arquivo, você poderá exibir seu conteúdo antes ou depois de uma alteração. O conteúdo do arquivo pode ser exibido em linha ou lado a lado. Saiba mais.
Monitorar chaves do Registro
O CTI do Azure permite o monitoramento de alterações nas chaves do Registro do Windows. O monitoramento permite identificar os pontos de extensibilidade em que código de terceiros e o malware podem ser ativados. A tabela a seguir lista as chaves do Registro pré-configuradas (mas não habilitadas). Para controlar essas chaves, é necessário habilitar cada uma delas.
| Chave do Registro | Propósito |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Monitora scripts que são executados na inicialização. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Monitora scripts que são executados no desligamento. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Monitora as chaves que são carregadas antes que o usuário entre na conta do Windows. A chave é usada para aplicativos de 32 bits em execução em computadores de 64 bits. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Monitora as alterações às configurações do aplicativo. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Monitora manipuladores do menu de contexto que comuns de inicialização automática que conectam-se diretamente ao Windows Explorer e geralmente são executadas no processo com o explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Monitora manipuladores do gancho de cópia que conectam-se diretamente ao Windows Explorer e geralmente são executadas no processo com o explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitora o registro do manipulador de sobreposição de ícone. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitora o registro do manipulador de sobreposição de ícone para aplicativos de 32 bits executados em computadores de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitora os novos plug-ins de objeto auxiliar de navegador para o Internet Explorer. Usado para acessar o DOM (Modelo de Objeto de Documento) do painel atual e para controlar a navegação. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitora os novos plug-ins de objeto auxiliar de navegador para o Internet Explorer. Usado para acessar o DOM (Document Object Model) do painel atual e controlar a navegação para aplicativos de 32 bits em execução em computadores de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Monitora novas extensões do Internet Explorer, tais como menus de ferramentas personalizadas e botões da barra de ferramentas personalizada. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Monitora novas extensões do Internet Explorer, como menus de ferramentas personalizadas e botões de barra de ferramentas personalizada para aplicativos de 32 bits executados em computadores de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitora os drivers de 32 bits associados com wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc. Semelhante à seção [drivers] no arquivo system.ini. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitora os drivers de 32 bits associados com wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc para aplicativos de 32 bits executados em computadores de 64 bits. Semelhante à seção [drivers] no arquivo system.ini. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Monitora a lista de DLLs de sistema conhecidas ou comumente usadas. O monitoramento impede que pessoas explorem as permissões de diretório de aplicativo fracas via depósito de versões com cavalo de troia das DLLs do sistema. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Monitora a lista de pacotes que pode receber notificações de eventos do winlogon.exe, o modelo de suporte de logon interativo para o Windows. |
Próximas etapas
Examine a matriz de suporte e as regiões do CTI do Azure.