Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo fornece uma visão geral do Azure Change Tracking and Inventory (CTI) utilizando o Azure Monitor Agent (AMA). Este artigo também inclui os principais recursos e benefícios do serviço.
O que é o Controle de Alterações e o Inventário
O serviço CTI do Azure aprimora a auditoria e a governança para operações em convidados, monitorando alterações e fornecendo logs de inventário detalhados para servidores no Azure, no local e em outros ambientes de nuvem.
Importante
Recomendamos que você use a CTI do Azure com a extensão de controle de alterações versão 2.20.0.0 ou posterior.
Controlo de Alterações:
- Monitora alterações, incluindo modificações em arquivos, chaves do Registro, instalações de software e serviços do Windows ou daemons do Linux.
- Fornece logs detalhados do que e quando as alterações foram feitas, permitindo que você detete rapidamente desvios de configuração ou alterações não autorizadas.
Os metadados do Controle de Alterações serão ingeridos na tabela ConfigurationChange no espaço de trabalho LA conectado. Mais informações.
Observação
Os dados de CTI do Azure são registrados para aplicativos no nível do sistema e no nível do usuário. Os dados no nível do sistema são sempre registrados, mas os aplicativos no nível do usuário aparecem somente quando um usuário faz login em uma máquina; se o usuário fizer logout, esses aplicativos serão marcados como Removidos.
Inventário:
- Coleta e mantém uma lista atualizada de software instalado, detalhes do sistema operacional e outras configurações de servidor no espaço de trabalho LA vinculado.
- Ajuda a criar uma visão geral dos ativos do sistema, o que é útil para conformidade, auditorias e manutenção proativa.
- Os metadados de inventário serão ingeridos na tabela ConfigurationData no espaço de trabalho LA conectado. Mais informações.
Principais benefícios do Controle de Alterações e Inventário do Azure
Aqui estão os principais benefícios:
- Compatibilidade com o agente de monitoramento unificado – Compatível com o Agente de Monitor do Azure que aprimora a segurança, a confiabilidade e facilita a experiência de multi-homing para armazenar dados.
- Compatibilidade com a ferramenta de rastreio – Compatível com a extensão de Rastreamento de Alterações (CT) implementada através da Azure Policy na máquina virtual do cliente. Você pode alternar para AMA e, em seguida, a extensão CT envia o software, arquivos e registro para AMA.
- Experiência multi-homing – Fornece padronização de gerenciamento a partir de um espaço de trabalho central. Você pode fazer a transição do Log Analytics (LA) para o AMA para que todas as VMs apontem para um único espaço de trabalho para coleta e manutenção de dados.
- Gerenciamento de regras – Usa regras de coleta de dados para configurar ou personalizar vários aspetos da coleta de dados. Por exemplo, é possível alterar a frequência da recolha de ficheiros.
Para obter informações sobre sistemas operacionais com suporte, consulte matriz de suporte e regiões para CTI do Azure.
Habilitar o Controle de Alterações e o Inventário do Azure
Você pode habilitar a CTI do Azure das seguintes maneiras:
Para servidores habilitados com Azure Arc (máquinas não Azure), consulte a Iniciativa Ativar Monitorização e Inventário de Alterações para máquinas virtuais habilitadas com Arc em Definições > de Política > Select Category = ChangeTrackingAndInventory. Para habilitar a CTI do Azure em escala, use a solução baseada em Política de DINE . Para mais informações, veja Quickstart - Ativar o Azure Change Tracking and Inventory.
Para uma única VM do Azure a partir do painel Máquina virtual no portal do Azure. Este cenário está disponível para VMs Linux e Windows.
Para VMs Azure únicas e múltiplas , selecionando-as no painel de máquinas virtuais no portal Azure.
Controlar alterações de arquivos
Para controlar alterações em arquivos no Windows e Linux, a CTI do Azure usa hashes SHA256 dos arquivos. O recurso usa os hashes para detetar se as alterações foram feitas desde o último inventário.
Controlar alterações no conteúdo do arquivo
A CTI do Azure permite que você exiba o conteúdo de um arquivo Windows ou Linux. Para cada alteração em um arquivo, a CTI do Azure armazena o conteúdo do arquivo em uma conta de Armazenamento do Azure. Ao acompanhar um arquivo, você pode visualizar seu conteúdo antes ou depois de uma alteração. O conteúdo do arquivo pode ser visualizado em linha ou lado a lado. Mais informações.
Rastrear chaves de registro
A CTI do Azure permite o monitoramento de alterações nas chaves do Registro do Windows. O monitoramento permite identificar pontos de extensibilidade onde o código de terceiros e o malware podem ser ativados. A tabela a seguir lista chaves do Registro pré-configuradas (mas não habilitadas). Para rastrear essas chaves, você deve habilitar cada uma.
| Chave do Registo | Propósito |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Monitora scripts que são executados na inicialização. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Monitora scripts que são executados no desligamento. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Monitoriza as chaves que são carregadas antes de o utilizador iniciar sessão na conta do Windows. A chave é usada para aplicativos de 32 bits executados em computadores de 64 bits. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Monitora as alterações nas configurações do aplicativo. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Monitora manipuladores de menu de contexto que se conectam diretamente ao Windows Explorer e geralmente são executados em processo com explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Monitora manipuladores de gancho de cópia que se conectam diretamente ao Windows Explorer e geralmente são executados em processo com explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitora o registo do gestor de sobreposição de ícones. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitora o registro do manipulador de sobreposição de ícones para aplicativos de 32 bits executados em computadores de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitora novos plug-ins de objeto auxiliar do navegador para o Internet Explorer. Usado para acessar o DOM (Document Object Model) do painel atual e para controlar a navegação. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitora novos plug-ins de objeto auxiliar do navegador para o Internet Explorer. Usado para acessar o DOM (Document Object Model) do painel atual e para controlar a navegação de aplicativos de 32 bits executados em computadores de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Monitora novas extensões do Internet Explorer, como menus de ferramentas personalizados e botões de barra de ferramentas personalizados. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Monitora novas extensões do Internet Explorer, como menus de ferramentas personalizados e botões de barra de ferramentas personalizados para aplicativos de 32 bits executados em computadores de 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitora os drivers de 32 bits associados ao wavemapper, ao wave1 e ao wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc. Semelhante à seção [drivers] no arquivo system.ini . |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitora drivers de 32 bits associados a wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc para aplicações de 32 bits em execução em computadores de 64 bits. Semelhante à seção [drivers] no arquivo system.ini . |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Monitora a lista de DLLs de sistema conhecidas ou comumente usadas. A monitorização impede que as pessoas explorem permissões fracas nos diretórios de aplicativos ao colocar versões de cavalos de Troia nos DLLs do sistema. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Monitora a lista de pacotes que podem receber notificações de eventos do winlogon.exe, o componente de logon interativo do Windows. |
Próximos passos
Analise a matriz de suporte e as regiões da CTI do Azure.