Vue d’ensemble du suivi des modifications et de l’inventaire à l’aide de l’agent Azure Monitoring
S'applique à : ✔️ Machines virtuelles Windows ✔️ Machines virtuelles Linux ✔️ Registre Windows ✔️ Fichiers Windows ✔️ Fichiers Linux ✔️ Logiciels Windows ✔️ Services Windows et Démons Linux
Important
- La fonctionnalité Suivi des modifications et inventaire avec l’agent Log Analytics a été mise hors service le 31 août 2024 et fonctionnera avec un support limité jusqu’au 1er février 2025. Suivez les instructions de la migration du Suivi des modifications et inventaire en utilisant Log Analytics vers le Suivi des modifications et inventaire en tirant parti de l’agent Azure Monitor
- Nous vous recommandons d'utiliser Change Tracking avec Azure Monitoring Agent avec l'extension de suivi des modifications version 2.20.0.0 (ou supérieure) pour accéder à la version GA de ce service.
Cet article explique la dernière version de la prise en charge du suivi des modifications utilisant Azure Monitoring Agent comme agent unique pour la collecte de données.
Remarque
La supervision de l’intégrité des fichiers (FIM) à l’aide de Microsoft Defender for Endpoint (MDE) est désormais disponible. Suivez les instructions pour migrer à partir de :
Principaux avantages
- Compatibilité avec l’agent de surveillance unifiée : compatible avec l’agent Azure Monitor qui améliore la sécurité et la fiabilité, et facilite l’expérience d’hébergement multiple pour stocker des données.
- Compatibilité avec l’outil de suivi : compatible avec l’extension Change Tracking (CT) déployée via l’Azure Policy sur la machine virtuelle du client. Vous pouvez basculer vers l’agent Azure Monitor (AMA), avec pour effet que l’extension CT envoie (push) les logiciels, les fichiers et le registre à l’AMA.
- Expérience d’hébergement multiple : fournit une normalisation de la gestion à partir d’un espace de travail central. Vous pouvez passer de Log Analytics (LA) à AMA afin que toutes les machines virtuelles pointent vers un seul espace de travail pour la collecte et la maintenance des données.
- Gestion des règles : utilise des Règles de collecte de données pour configurer ou personnaliser différents aspects de la collecte de données. Par exemple, vous pouvez modifier la fréquence du regroupement de fichiers.
Limites actuelles
Le suivi des modifications et l’inventaire à l’aide d’Azure Monitoring Agent ne prennent pas en charge ou présentent les limitations suivantes :
- Récursivité pour le suivi du Registre Windows
- Systèmes de fichiers réseau
- Méthodes d'installation différentes
- *.exe fichiers stockés sur Windows
- La colonne Taille maximale des fichiers et ses valeurs ne sont pas utilisées dans l’implémentation actuelle.
- Si vous effectuez le suivi des modifications de fichiers, la taille de fichier est limitée à 5 Mo.
- Si la taille du fichier apparaît à >1,25 Mo, FileContentChecksum est incorrect en raison de contraintes de mémoire dans le calcul de la somme de contrôle.
- Si vous essayez de collecter plus de 2500 fichiers dans le cycle de collecte de 30 minutes, les performances de Change Tracking and Inventory peuvent être dégradées.
- Si le trafic réseau est élevé, l’affichage des enregistrements de modifications peut prendre jusqu’à six heures.
- Si vous modifiez une configuration quand une machine ou un serveur est arrêté, ce matériel risque de publier des modifications appartenant à la configuration précédente.
- Les mises à jour de correctif logiciel ne sont pas collectées sur les machines Windows 2016 Core RS3.
- Les démons Linux peuvent indiquer un état modifié même si aucune modification n’est intervenue. Ce problème survient en raison de la façon
SvcRunLevels
dont les données de la table ConfigurationChange d’Azure Monitor sont écrites. - L'extension Change Tracking ne prend en charge aucune norme de renforcement pour les systèmes d'exploitation ou distributions Linux.
Limites
Le tableau suivant indique les limites d'articles suivis par machine pour le suivi des modifications et l'inventaire.
Ressource | Limite | Remarques |
---|---|---|
Fichier | 500 | |
Taille du fichier | 5 Mo | |
Registre | 250 | |
Logiciels Windows | 250 | N’inclut pas les mises à jour logicielles. |
Packages Linux | 1250 | |
services Windows | 250 | |
Démons Linux | 250 |
Systèmes d’exploitation pris en charge
Le suivi des modifications et l’inventaire sont pris en charge sur tous les systèmes d’exploitation qui répondent aux exigences de l’agent Azure Monitor. Consultez systèmes d’exploitation pris en charge pour obtenir la liste des versions du système d’exploitation Windows et Linux actuellement prises en charge par l’agent Azure Monitor.
Pour comprendre les exigences client pour TLS, consultez TLS pour Azure Automation.
Activer Change Tracking et Inventory
Vous pouvez activer Suivi des modifications et inventaire en procédant de l’une des façons suivantes :
Manuellement pour les machines non compatibles Avec Azure Arc, reportez-vous à l’initiative Activer le suivi des modifications et l’inventaire des machines virtuelles avec Arc dans Définitions de stratégie > > Sélectionner une catégorie = ChangeTrackingAndInventory. Pour activer le suivi des modifications et l'inventaire à grande échelle, utilisez la solution basée sur la stratégie DINE. Pour plus d’informations, voir Activer le Suivi des modifications et l’inventaire à l’aide de l’agent Azure Monitoring (préversion).
Pour une machine virtuelle Azure unique à partir de la page Machine virtuelle dans le Portail Azure. Ce scénario est disponible pour les machines virtuelles Linux et Windows.
Pour plusieurs machines virtuelles Azure, sélectionnez-les dans la page Machines virtuelles du Portail Azure.
Suivi des modifications de fichiers
Pour suivre les modifications apportées aux fichiers sous Windows et Linux, Change Tracking and Inventory utilise les hachages SHA256 des fichiers. La fonctionnalité utilise les hachages pour détecter si des modifications ont été apportées depuis le dernier inventaire.
Suivi des modifications de contenu de fichier
Change Tracking and Inventory vous permet d’afficher le contenu d’un fichier Windows ou Linux. Pour chaque modification apportée à un fichier, Suivi des modifications et inventaire stocke le contenu du fichier dans un compte Stockage Azure. Quand vous effectuez le suivi d’un fichier, vous pouvez afficher son contenu avant ou après une modification. Le contenu du fichier peut être affiché en ligne ou côte à côte. Plus d’informations
Suivi des clés de Registre
Change Tracking and Inventory autorise la supervision des modifications apportées aux clés de Registre Windows. La supervision vous permet d’identifier les points d’extensibilité où du code tiers et des logiciels malveillants peuvent être activés. Le tableau suivant répertorie les clés de registre préconfigurées (mais non activées). Pour effectuer le suivi de ces clés de Registre, vous devez les activer.
Clé de Registre | Objectif |
---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Surveille les scripts qui s’exécutent au démarrage. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Surveille les scripts qui s’exécutent à l’arrêt. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Supervise les clés qui sont chargées avant que l’utilisateur se connecte à son compte Windows. La clé est utilisée pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Surveille les modifications apportées aux paramètres d’application. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Supervise les gestionnaires de menu contextuel qui se raccordent directement à l’Explorateur Windows et s’exécutent généralement in-process avec explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Supervise les gestionnaires de raccordement de copie qui se raccordent directement à l’Explorateur Windows et s’exécutent généralement in-process avec explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Surveille l’inscription du gestionnaire de superposition d’image sur une icône. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Supervise l’inscription du gestionnaire de superposition d’image sur une icône pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Surveille la présence de nouveaux plug-ins d’objet application d’assistance du navigateur pour Internet Explorer. Utilisé pour accéder à l’objet DOM (Document Object Model) de la page actuelle et contrôler la navigation. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Surveille la présence de nouveaux plug-ins d’objet application d’assistance du navigateur pour Internet Explorer. Utilisée pour accéder à l’objet DOM (Document Object Model) de la page actuelle et contrôler la navigation pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Surveille les nouvelles extensions Internet Explorer, notamment les menus d’outils et boutons de barre d’outils personnalisés. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Supervise les nouvelles extensions Internet Explorer, telles que les menus d’outils et boutons de barre d’outils personnalisés pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Supervise les pilotes 32 bits associés à wavemapper, wave1 et wave2, msacm.imaadpcm, .msadpcm, .msgsm610 et vidc. Analogue à la section [pilotes] du fichier system.ini. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Supervise les pilotes 32 bits associés à wavemapper, wave1 et wave2, msacm.imaadpcm, .msadpcm, .msgsm610 et vidc pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits. Analogue à la section [pilotes] du fichier system.ini. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Supervise la liste des DLL système connues ou couramment utilisées. La supervision empêche quiconque d’exploiter des autorisations faibles de répertoire d’application en déposant des versions de type cheval de Troie des DLL système. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Supervise la liste des packages capables de recevoir des notifications d’événements de la part de winlogon.exe, le modèle de prise en charge de l’ouverture de session interactive de Windows. |
Prise en charge de la récursivité
Suivi des modifications et inventaire prend en charge la récursivité, qui vous permet de spécifier des caractères génériques pour simplifier le suivi parmi les répertoires. La récursivité fournit également des variables d’environnement pour vous permettre d’effectuer le suivi des fichiers dans des environnements avec des noms de lecteurs multiples ou dynamiques. La liste suivante indique les informations courantes que vous devez connaître lors de la configuration de la récursivité :
Les caractères génériques sont requis pour effectuer le suivi de plusieurs fichiers.
Vous pouvez utiliser des caractères génériques uniquement dans le dernier segment d'un chemin d'accès à un fichier, par exemple, c:\folder\file * ou /etc/*.conf.
Si le chemin d’une variable d’environnement n’est pas valide, la validation réussit, mais ce chemin échoue lors de l’exécution.
Nous vous conseillons d’éviter les chemins généraux lors de la définition du chemin, car dans ce cas un trop grand nombre de dossiers peuvent être parcourus.
Collecte de données dans Suivi des modifications et inventaire
Le tableau suivant indique la fréquence de collecte des données pour les types de modifications pris en charge par Suivi des modifications et inventaire. Pour chaque type, la capture instantanée de données de l’état actuel est également actualisée au moins toutes les 24 heures.
Modifier de type | Fréquence |
---|---|
Registre Windows | 50 minutes |
Fichier Windows | 30 à 40 minutes |
Fichier Linux | 15 minutes |
Services Windows | 10 minutes à 30 minutes Valeur par défaut : 30 minutes |
Logiciels Windows | 30 minutes |
Logiciels Linux | 5 minutes |
Démons Linux | 5 minutes |
Le tableau suivant montre les limites des éléments suivis par machine pour Suivi des modifications et inventaire.
Ressource | Limite |
---|---|
File | 500 |
Registre | 250 |
Logiciels Windows (correctifs non compris) | 250 |
Packages Linux | 1250 |
services Windows | 250 |
Démons Linux | 500 |
Données services Windows
Prérequis
Pour activer le suivi des données des services Windows, vous devez mettre à niveau l'extension CT et utiliser une extension supérieure ou égale à 2.11.0.0
- Pour les machines virtuelles Windows Azure
- Pour les machines virtuelles Azure Linux
- Pour les machines virtuelles Windows compatibles avec Arc
- Pour les machines virtuelles Linux compatibles avec Arc
- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true
Configurer la fréquence
Pour les services Windows, la fréquence de collecte par défaut est de 30 minutes. Pour configurer la fréquence,
- sous Modifier les paramètres, utilisez un curseur sur l'onglet Services Windows.
Prise en charge des alertes relatives à l’état de configuration
L’une des principales caractéristiques de Suivi des modifications et inventaire est sa capacité à alerter en cas de modifications apportées à l’état de la configuration de votre environnement hybride. De nombreuses actions utiles peuvent être déclenchées en réponse à des alertes. Par exemple, les actions sur des fonctions Azure, des runbooks Automation, des webhooks et autres. L’alerte en cas de modification apportée au fichier c:\windows\system32\drivers\etc\hosts pour une machine est une bonne application des alertes pour Change Tracking and Inventory. Il existe de nombreux autres scénarios d’alerte, notamment les scénarios de requête définis dans le tableau suivant.
Requête | Description |
---|---|
ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\" |
Utile pour le suivi des modifications apportées aux fichiers critiques du système. |
ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts" |
Utile pour le suivi des modifications apportées aux fichiers de configuration de clés. |
ConfigurationChange | where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped" |
Utile pour le suivi des modifications apportées aux services critiques du système |
ConfigurationChange | where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState!= "Running" |
Utile pour le suivi des modifications apportées aux services critiques du système |
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added" |
Utile pour les environnements nécessitant des configurations logicielles verrouillées. |
ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0" |
Utile pour voir sur quelles machines une version obsolète ou non conforme d’un logiciel est installée. Cette requête indique le dernier état de configuration signalé, mais n’indique pas les modifications. |
ConfigurationChange | où RegistryKey = = @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
Utile pour le suivi des modifications apportées aux clés antivirus essentielles. |
ConfigurationChange | où RegistryKey contient @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
Utile pour le suivi des modifications apportées aux paramètres de pare-feu. |
Étapes suivantes
- Pour activer la fonctionnalité depuis le portail Azure, consultez Activer la fonctionnalité Change Tracking and Inventory sur le portail Azure.