Vérifier les modifications apportées à la surveillance de l’intégrité des fichiers

Dans Defender pour serveurs Plan 2 de Microsoft Defender pour le cloud, la fonctionnalité de surveillance de l’intégrité des fichiers permet de sécuriser les ressources et les actifs de l’entreprise en analysant les fichiers et en comparant leur état actuel avec les analyses précédentes.

La surveillance de l’intégrité des fichiers utilise l’agent Microsoft Defender pour point de terminaison pour collecter des données sur les machines, conformément aux règles de collecte. Defender pour point de terminaison est intégré par défaut à Defender pour le cloud.

Remarque

L’ancienne méthode de collecte de données utilise l’agent Log Analytics (également connu sous le nom d’agent MMA pour Microsoft Monitoring Agent). La prise en charge de l’utilisation de l’agent MMA a pris fin en novembre 2024.

Cet article vous montre comment passer en revue les modifications apportées aux fichiers.

Prérequis

• Defender pour serveurs Plan 2 doit être activé.
• La surveillance de l’intégrité des fichiers avec l’agent Defender pour point de terminaison doit être activée. S’il n’est pas activé, le message suivant apparaît : La surveillance de l’intégrité des fichiers n’est pas activée. Pour l’activer, sélectionnez Abonnements intégrés, puis activez la fonctionnalité.

Surveiller les entités et les fichiers

Pour surveiller les entités et les fichiers, procédez comme suit :

1. Dans la barre latérale de Defender pour le cloud, rendez-vous sur Protections de la charge de travail>Surveillance de l’intégrité des fichiers.

   

2. Une fenêtre s’ouvre avec toutes les ressources contenant des fichiers et des registres modifiés suivis.

   

3. Si vous sélectionnez une ressource, une fenêtre s’ouvre avec une requête montrant les modifications apportées aux fichiers et registres suivis sur cette ressource.

   

4. Si vous sélectionnez l’abonnement de la ressource (sous la colonne Nom de l’abonnement), une requête s’ouvre avec tous les fichiers et registres suivis dans cet abonnement.

Remarque

Si vous avez déjà utilisé la surveillance de l’intégrité des fichiers via MMA, vous pouvez revenir à cette méthode en sélectionnant Changer pour l’expérience précédente. Cela sera disponible jusqu’à ce que la fonctionnalité FIM via MMA soit dépréciée. Pour des informations sur le plan de dépréciation, consultez la section Préparer la mise hors service de l’agent Log Analytics.

Récupérer et analyser les données de contrôle de l’intégrité des fichiers

Les données de surveillance de l’intégrité des fichiers résident dans l’espace de travail Azure Log Analytics dans la table MDCFileIntegrityMonitoringEvents.

1. Définissez un intervalle de temps pour récupérer un résumé des modifications par ressource. Dans l’exemple suivant, nous récupérons tous les changements des 14 derniers jours dans les catégories de registre et de fichiers :

   MDCFileIntegrityMonitoringEvents  
   | where TimeGenerated > ago(14d)  
   | where ConfigChangeType in ('Registry', 'Files')  
   | summarize count() by Computer, ConfigChangeType  
   

2. Pour afficher des informations détaillées sur les modifications du registre :

   1. Supprimez Files de la clause where.

   2. Remplacez la ligne de synthèse par une clause d’ordonnancement :

   MDCFileIntegrityMonitoringEvents  
   | where TimeGenerated > ago(14d)  
   | where ConfigChangeType == 'Registry'  
   | order by Computer, RegistryKey  
   

3. Les rapports peuvent être exportés au format CSV à des fins d’archivage et canalisés vers un rapport Power BI pour une analyse plus approfondie.