Activer la surveillance de l’intégrité des fichiers lors de l’utilisation de l’agent Azure Monitor

Pour assurer la surveillance de l’intégrité des fichiers (FIM), l’agent Azure Monitor (AMA) collecte des données de machines conformément à des Règles de collecte de données. Lorsque l’état actuel de vos fichiers système est comparé à l’état au cours de l’analyse précédente, FIM vous informe de modifications suspectes.

Remarque

Dans le cadre de notre stratégie mise à jour Defender pour le cloud, l’agent Azure Monitor ne sera plus nécessaire pour recevoir toutes les fonctionnalités de Defender pour serveurs. Toutes les fonctionnalités qui s’appuient actuellement sur l’agent Azure Monitor, y compris celles décrites sur cette page, seront disponibles via l’intégration Microsoft Defender for Endpoint ou via l’analyse sans agent, d’ici août 2024. Pour accéder aux fonctionnalités complètes de Defender pour SQL Server sur les machines, l’agent de supervision Azure (également appelé AMA) est requis. Pour plus d’informations sur la feuille de route des fonctionnalités, consultez cette annonce.

Le Monitoring de l’intégrité des fichiers avec l’agent Azure Monitor offre les avantages suivants :

• Compatibilité avec l’agent de surveillance unifiée : compatible avec l’agent Azure Monitor qui améliore la sécurité et la fiabilité, et facilite l’expérience d’hébergement multiple pour stocker des données.
• Compatibilité avec l’outil de suivi : compatible avec l’extension Change Tracking (CT) déployée via l’Azure Policy sur la machine virtuelle du client. Vous pouvez basculer vers l’agent Azure Monitor (AMA), avec pour effet que l’extension CT envoie (push) les logiciels, les fichiers et le registre à l’AMA.
• Intégration simplifiée : vous pouvez intégrer FIM à partir de Microsoft Defender pour le cloud.
• Expérience d’hébergement multiple : fournit une normalisation de la gestion à partir d’un espace de travail central. Vous pouvez passer de Log Analytics (LA) à AMA afin que toutes les machines virtuelles pointent vers un seul espace de travail pour la collecte et la maintenance des données.
• Gestion des règles : utilise des Règles de collecte de données pour configurer ou personnaliser différents aspects de la collecte de données. Par exemple, vous pouvez modifier la fréquence du regroupement de fichiers.

Cet article porte sur les points suivants :

• Activer la Surveillance de l’intégrité des fichiers avec l’AMA
• Modifier la liste des fichiers suivis et des clés de Registre
• Exclure des machines de la Surveillance de l’intégrité des fichiers

Disponibilité

Aspect	Détails
État de sortie :	PRÉVERSION
Prix :	Nécessite Defender pour les serveurs Plan 2
Rôles et autorisations obligatoires :	Propriétaire Contributeur
Clouds :	Clouds commerciaux - Pris en charge uniquement dans les régions : australiaeast, australiasoutheast, canadacentral, centralindia, centralus, eastasia, eastus2euap, eastus, eastus2, francecentral, japaneast, koreacentral, northcentralus, northeurope, southcentralus, southeastasia, switzerlandnorth, uksouth, westcentralus, westeurope, westus, westus2 Nationaux (Azure Government, Microsoft Azure géré par 21Vianet) Appareils avecAzure Arc. Comptes AWS connectés Comptes GCP connectés

Prérequis

Pour suivre les modifications apportées à vos fichiers sur des machines avec l’AMA :

• Activez Defender pour serveurs Plan 2.

• Installer AMA sur les machines que vous souhaitez surveiller.

Activer la Surveillance de l’intégrité des fichiers avec l’AMA

Pour activer la surveillance de l’intégrité des fichiers (FIM), appliquez la recommandation FIM pour sélectionner les machines concernées par l’analyse :

1. Dans la barre latérale de Defender pour le cloud, ouvrez la page Recommandations.

2. Sélectionnez la recommandation La surveillance de l’intégrité des fichiers doit être activée sur les ordinateurs. Apprenez-en davantage sur les Recommandations Defender pour le cloud.

3. Sélectionnez les machines sur lesquelles vous souhaitez exercer la Surveillance de l’intégrité des fichiers, choisissez Corriger, puis Corriger X ressources.

   Le correctif de la recommandation :

   • Installe l’extension ChangeTracking-Windows ou ChangeTracking-Linux sur les machines.
   • Génère une règle de collecte de données (DCR) pour l’abonnement nommé Microsoft-ChangeTracking-[subscriptionId]-default-dcr qui définit les fichiers et registres à surveiller en fonction des paramètres par défaut. Le correctif attache la DCR à toutes les machines de l’abonnement sur utilisant l’AMA est installée et la FIM activée.
   • Crée un espace de travail Log Analytics avec la convention d’affectation de noms defaultWorkspace-[subscriptionId]-fim et les paramètres d’espace de travail par défaut.

   Vous pourrez mettre à jour la DCR et les paramètres de l’espace de travail Log Analytics ultérieurement.

4. Dans la barre latérale de Defender pour le cloud, accédez à Protections de charge de travail>Surveillance de l’intégrité des fichiers, puis sélectionnez la bannière afin d’afficher les résultats pour les machines avec l’agent Azure Monitor.

   

5. Les machines pour lesquelles la Surveillance de l’intégrité des fichiers est activée sont affichées.

   

   Vous pouvez voir le nombre de modifications apportées aux fichiers suivis, et sélectionner Afficher les modifications pour voir les modifications apportées aux fichiers suivis sur cette machine.

Modifier la liste des fichiers suivis et des clés de Registre

La Surveillance de l’intégrité des fichiers (FIM) pour les machines avec l’agent Azure Monitor utilise des Règles de collecte de données (DCR) pour définir la liste des fichiers et des clés de Registre à suivre. Chaque abonnement dispose d’une DCR pour les machines concernées.

La FIM crée des DCR avec une configuration par défaut des fichiers et clés de Registre suivis. Vous pouvez modifier les DCR pour ajouter, supprimer ou mettre à jour la liste des fichiers et registres suivis par la FIM.

Pour modifier la liste des fichiers et registres suivis :

1. Dans Surveillance de l’intégrité des fichiers, sélectionnez Règles de collecte de données.

   Vous pouvez voir chacune des règles créées pour les abonnements auxquels vous avez accès.

2. Sélectionnez la DCR que vous souhaitez mettre à jour pour un abonnement.

   Chaque fichier figurant dans la liste des clés de Registre Windows, des fichiers Windows et des fichiers Linux contient une définition pour un fichier ou une clé de Registre, incluant son nom, son chemin d’accès et d’autres options. Vous pouvez également définir Activé sur False pour annuler le suivi du fichier ou de la clé de Registre sans supprimer la définition.

   Apprenez-en davantage sur les définitions de fichiers système et de clés de Registre.

3. Sélectionnez un fichier, puis ajoutez ou modifiez la définition de fichier ou de clé de Registre.

4. Sélectionnez Ajouter pour enregistrer les modifications.

Exclure des machines de la Surveillance de l’intégrité des fichiers

Chaque machine dans l’abonnement attaché à la DCR est surveillée. Vous pouvez détacher une machine de la DCR de façon à ce que les fichiers et clés de Registre ne soient pas suivis.

Pour exclure une machine de la Surveillance de l’intégrité des fichiers :

1. Dans la liste des machines surveillées dans les résultats de la FIM, sélectionnez le menu (…) correspondant à la machine.
2. Sélectionnez Détachement d’une règle de collecte de données.

La machine passe à la liste des machines non surveillées, et les modifications de fichier ne sont plus suivies pour cette machine.

Étapes suivantes

En savoir plus sur Defender pour le cloud dans :

• Définition des stratégies de sécurité : découvrez comment configurer des stratégies de sécurité pour vos groupes de ressources et abonnements Azure.
• Gestion des recommandations de sécurité : découvrez la façon dont les recommandations peuvent vous aider à protéger vos ressources Azure.
• Blog Azure Security : tenez-vous informé au sujet de la sécurité Azure.