Vue d’ensemble du suivi des modifications et de l’inventaire à l’aide de l’agent Azure Monitoring

S'applique à : ✔️ Machines virtuelles Windows ✔️ Machines virtuelles Linux ✔️ Registre Windows ✔️ Fichiers Windows ✔️ Fichiers Linux ✔️ Logiciels Windows ✔️ Services Windows et Démons Linux

Important

• Actuellement, le suivi des modifications et l'inventaire utilisent Log Analytics Agent et son retrait est prévu d'ici le 31 août 2024. Nous vous recommandons d’utiliser Azure Monitoring Agent comme nouvel agent de prise en charge.
• Des conseils sur la migration de Change Tracking et Inventory à l’aide de l’agent Log Analytics vers l’agent d’analyse Azure seront disponibles une fois la disponibilité générale. Plus d’informations
• Nous vous recommandons d'utiliser Change Tracking avec Azure Monitoring Agent avec l'extension de suivi des modifications version 2.20.0.0 (ou supérieure) pour accéder à la version GA de ce service.

Cet article explique la dernière version de la prise en charge du suivi des modifications utilisant Azure Monitoring Agent comme agent unique pour la collecte de données.

Remarque

La version GA actuelle de File Integrity Monitoring basée sur l'agent Log Analytics sera obsolète en août 2024 et une nouvelle version sera bientôt fournie via MDE.  L'aperçu public FIM basé sur Azure Monitor Agent (AMA) sera obsolète lorsque l'alternative sera fournie via MDE. Par conséquent, la version FIM avec AMA Public Preview n’est pas prévue pour GA. Lisez l'annonce ici.

Principaux avantages

• Compatibilité avec l’agent de surveillance unifiée : compatible avec l’agent Azure Monitor qui améliore la sécurité et la fiabilité, et facilite l’expérience d’hébergement multiple pour stocker des données.
• Compatibilité avec l’outil de suivi : compatible avec l’extension Change Tracking (CT) déployée via l’Azure Policy sur la machine virtuelle du client. Vous pouvez basculer vers l’agent Azure Monitor (AMA), avec pour effet que l’extension CT envoie (push) les logiciels, les fichiers et le registre à l’AMA.
• Expérience d’hébergement multiple : fournit une normalisation de la gestion à partir d’un espace de travail central. Vous pouvez passer de Log Analytics (LA) à AMA afin que toutes les machines virtuelles pointent vers un seul espace de travail pour la collecte et la maintenance des données.
• Gestion des règles : utilise des Règles de collecte de données pour configurer ou personnaliser différents aspects de la collecte de données. Par exemple, vous pouvez modifier la fréquence du regroupement de fichiers.

Limites actuelles

Le suivi des modifications et l’inventaire à l’aide d’Azure Monitoring Agent ne prennent pas en charge ou présentent les limitations suivantes :

• Récursivité pour le suivi du Registre Windows
• Systèmes de fichiers réseau
• Méthodes d'installation différentes
• *.exe fichiers stockés sur Windows
• La colonne Taille maximale des fichiers et ses valeurs ne sont pas utilisées dans l’implémentation actuelle.
• Si vous effectuez le suivi des modifications de fichiers, la taille de fichier est limitée à 5 Mo.
• Si la taille du fichier apparaît à >1,25 Mo, FileContentChecksum est incorrect en raison de contraintes de mémoire dans le calcul de la somme de contrôle.
• Si vous essayez de collecter plus de 2500 fichiers dans le cycle de collecte de 30 minutes, les performances de Change Tracking and Inventory peuvent être dégradées.
• Si le trafic réseau est élevé, l’affichage des enregistrements de modifications peut prendre jusqu’à six heures.
• Si vous modifiez une configuration quand une machine ou un serveur est arrêté, ce matériel risque de publier des modifications appartenant à la configuration précédente.
• Les mises à jour de correctif logiciel ne sont pas collectées sur les machines Windows 2016 Core RS3.
• Les démons Linux peuvent indiquer un état modifié même si aucune modification n’est intervenue. Ce problème survient en raison de la façon SvcRunLevels dont les données de la table ConfigurationChange d’Azure Monitor sont écrites.
• L'extension Change Tracking ne prend en charge aucune norme de renforcement pour les systèmes d'exploitation ou distributions Linux.

Limites

Le tableau suivant indique les limites d'articles suivis par machine pour le suivi des modifications et l'inventaire.

Ressource	Limite	Remarques
Fichier	500
Taille du fichier	5 Mo
Registre	250
Logiciels Windows	250	N’inclut pas les mises à jour logicielles.
Packages Linux	1250
services Windows	250
Démons Linux	250

Systèmes d’exploitation pris en charge

Le suivi des modifications et l’inventaire sont pris en charge sur tous les systèmes d’exploitation qui répondent aux exigences de l’agent Azure Monitor. Consultez systèmes d’exploitation pris en charge pour obtenir la liste des versions du système d’exploitation Windows et Linux actuellement prises en charge par l’agent Azure Monitor.

Pour comprendre les exigences client pour TLS, consultez TLS pour Azure Automation.

Activer Change Tracking et Inventory

Vous pouvez activer Suivi des modifications et inventaire en procédant de l’une des façons suivantes :

• Manuellement pour les machines non compatibles Avec Azure Arc, reportez-vous à l’initiative Activer le suivi des modifications et l’inventaire des machines virtuelles avec Arc dans Définitions de stratégie >> Sélectionner une catégorie = ChangeTrackingAndInventory. Pour activer le suivi des modifications et l'inventaire à grande échelle, utilisez la solution basée sur la stratégie DINE. Pour plus d’informations, voir Activer le Suivi des modifications et l’inventaire à l’aide de l’agent Azure Monitoring (préversion).

• Pour une machine virtuelle Azure unique à partir de la page Machine virtuelle dans le Portail Azure. Ce scénario est disponible pour les machines virtuelles Linux et Windows.

• Pour plusieurs machines virtuelles Azure, sélectionnez-les dans la page Machines virtuelles du Portail Azure.

Suivi des modifications de fichiers

Pour suivre les modifications apportées aux fichiers sous Windows et Linux, Change Tracking and Inventory utilise les hachages SHA256 des fichiers. La fonctionnalité utilise les hachages pour détecter si des modifications ont été apportées depuis le dernier inventaire.

Suivi des modifications de contenu de fichier

Change Tracking and Inventory vous permet d’afficher le contenu d’un fichier Windows ou Linux. Pour chaque modification apportée à un fichier, Suivi des modifications et inventaire stocke le contenu du fichier dans un compte Stockage Azure. Quand vous effectuez le suivi d’un fichier, vous pouvez afficher son contenu avant ou après une modification. Le contenu du fichier peut être affiché en ligne ou côte à côte. Plus d’informations

Suivi des clés de Registre

Change Tracking and Inventory autorise la supervision des modifications apportées aux clés de Registre Windows. La supervision vous permet d’identifier les points d’extensibilité où du code tiers et des logiciels malveillants peuvent être activés. Le tableau suivant répertorie les clés de registre préconfigurées (mais non activées). Pour effectuer le suivi de ces clés de Registre, vous devez les activer.

Clé de Registre	Objectif
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup	Surveille les scripts qui s’exécutent au démarrage.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown	Surveille les scripts qui s’exécutent à l’arrêt.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run	Supervise les clés qui sont chargées avant que l’utilisateur se connecte à son compte Windows. La clé est utilisée pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components	Surveille les modifications apportées aux paramètres d’application.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers	Supervise les gestionnaires de menu contextuel qui se raccordent directement à l’Explorateur Windows et s’exécutent généralement in-process avec explorer.exe.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers	Supervise les gestionnaires de raccordement de copie qui se raccordent directement à l’Explorateur Windows et s’exécutent généralement in-process avec explorer.exe.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers	Surveille l’inscription du gestionnaire de superposition d’image sur une icône.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers	Supervise l’inscription du gestionnaire de superposition d’image sur une icône pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	Surveille la présence de nouveaux plug-ins d’objet application d’assistance du navigateur pour Internet Explorer. Utilisé pour accéder à l’objet DOM (Document Object Model) de la page actuelle et contrôler la navigation.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	Surveille la présence de nouveaux plug-ins d’objet application d’assistance du navigateur pour Internet Explorer. Utilisée pour accéder à l’objet DOM (Document Object Model) de la page actuelle et contrôler la navigation pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions	Surveille les nouvelles extensions Internet Explorer, notamment les menus d’outils et boutons de barre d’outils personnalisés.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions	Supervise les nouvelles extensions Internet Explorer, telles que les menus d’outils et boutons de barre d’outils personnalisés pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32	Supervise les pilotes 32 bits associés à wavemapper, wave1 et wave2, msacm.imaadpcm, .msadpcm, .msgsm610 et vidc. Analogue à la section [pilotes] du fichier system.ini.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32	Supervise les pilotes 32 bits associés à wavemapper, wave1 et wave2, msacm.imaadpcm, .msadpcm, .msgsm610 et vidc pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits. Analogue à la section [pilotes] du fichier system.ini.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls	Supervise la liste des DLL système connues ou couramment utilisées. La supervision empêche quiconque d’exploiter des autorisations faibles de répertoire d’application en déposant des versions de type cheval de Troie des DLL système.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	Supervise la liste des packages capables de recevoir des notifications d’événements de la part de winlogon.exe, le modèle de prise en charge de l’ouverture de session interactive de Windows.

Prise en charge de la récursivité

Suivi des modifications et inventaire prend en charge la récursivité, qui vous permet de spécifier des caractères génériques pour simplifier le suivi parmi les répertoires. La récursivité fournit également des variables d’environnement pour vous permettre d’effectuer le suivi des fichiers dans des environnements avec des noms de lecteurs multiples ou dynamiques. La liste suivante indique les informations courantes que vous devez connaître lors de la configuration de la récursivité :

• Les caractères génériques sont requis pour effectuer le suivi de plusieurs fichiers.

• Vous pouvez utiliser des caractères génériques uniquement dans le dernier segment d'un chemin d'accès à un fichier, par exemple, c:\folder\file * ou /etc/*.conf.

• Si le chemin d’une variable d’environnement n’est pas valide, la validation réussit, mais ce chemin échoue lors de l’exécution.

• Nous vous conseillons d’éviter les chemins généraux lors de la définition du chemin, car dans ce cas un trop grand nombre de dossiers peuvent être parcourus.

Collecte de données dans Suivi des modifications et inventaire

Le tableau suivant indique la fréquence de collecte des données pour les types de modifications pris en charge par Suivi des modifications et inventaire. Pour chaque type, la capture instantanée de données de l’état actuel est également actualisée au moins toutes les 24 heures.

Modifier de type	Fréquence
Registre Windows	50 minutes
Fichier Windows	30 à 40 minutes
Fichier Linux	15 minutes
Services Windows	10 minutes à 30 minutes Valeur par défaut : 30 minutes
Logiciels Windows	30 minutes
Logiciels Linux	5 minutes
Démons Linux	5 minutes

Le tableau suivant montre les limites des éléments suivis par machine pour Suivi des modifications et inventaire.

Ressource	Limite
File	500
Registre	250
Logiciels Windows (correctifs non compris)	250
Packages Linux	1250
services Windows	250
Démons Linux	500

Données services Windows

Prérequis

Pour activer le suivi des données des services Windows, vous devez mettre à niveau l'extension CT et utiliser une extension supérieure ou égale à 2.11.0.0

Pour les machines virtuelles Windows Azure

- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true

Pour les machines virtuelles Azure Linux

– az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Linux --enable-auto-upgrade true

Pour les machines virtuelles Windows compatibles avec Arc

– az connectedmachine extension create --name ChangeTracking-Windows --publisher Microsoft.Azure.ChangeTrackingAndInventory --type ChangeTracking-Windows --machine-name <arc-server-name> --resource-group <resource-group-name> --location <arc-server-location> --enable-auto-upgrade true

Pour les machines virtuelles Linux compatibles avec Arc

- az connectedmachine extension create --name ChangeTracking-Linux --publisher Microsoft.Azure.ChangeTrackingAndInventory --type ChangeTracking-Linux --machine-name <arc-server-name> --resource-group <resource-group-name> --location <arc-server-location> --enable-auto-upgrade true

Configurer la fréquence

Pour les services Windows, la fréquence de collecte par défaut est de 30 minutes. Pour configurer la fréquence,

• sous Modifier les paramètres, utilisez un curseur sur l'onglet Services Windows.

Prise en charge des alertes relatives à l’état de configuration

L’une des principales caractéristiques de Suivi des modifications et inventaire est sa capacité à alerter en cas de modifications apportées à l’état de la configuration de votre environnement hybride. De nombreuses actions utiles peuvent être déclenchées en réponse à des alertes. Par exemple, les actions sur des fonctions Azure, des runbooks Automation, des webhooks et autres. L’alerte en cas de modification apportée au fichier c:\windows\system32\drivers\etc\hosts pour une machine est une bonne application des alertes pour Change Tracking and Inventory. Il existe de nombreux autres scénarios d’alerte, notamment les scénarios de requête définis dans le tableau suivant.

Requête	Description
ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\"	Utile pour le suivi des modifications apportées aux fichiers critiques du système.
ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"	Utile pour le suivi des modifications apportées aux fichiers de configuration de clés.
ConfigurationChange | where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped"	Utile pour le suivi des modifications apportées aux services critiques du système
ConfigurationChange | where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState!= "Running"	Utile pour le suivi des modifications apportées aux services critiques du système
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"	Utile pour les environnements nécessitant des configurations logicielles verrouillées.
ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"	Utile pour voir sur quelles machines une version obsolète ou non conforme d’un logiciel est installée. Cette requête indique le dernier état de configuration signalé, mais n’indique pas les modifications.
ConfigurationChange | où RegistryKey = = @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"	Utile pour le suivi des modifications apportées aux clés antivirus essentielles.
ConfigurationChange | où RegistryKey contient @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"	Utile pour le suivi des modifications apportées aux paramètres de pare-feu.

Étapes suivantes

• Pour activer la fonctionnalité depuis le portail Azure, consultez Activer la fonctionnalité Change Tracking and Inventory sur le portail Azure.