Supervision de l’intégrité des fichiers
La fonctionnalité de surveillance de l’intégrité des fichiers dans Defender pour serveurs Plan 2 dans Microsoft Defender for Cloud permet de sécuriser les actifs et les ressources de l’entreprise en parcourant et en analysant les fichiers du système d’exploitation, les Registres Windows, les logiciels d’application et les fichiers système Linux, à la recherche de modifications susceptibles d’indiquer une attaque. La surveillance de l’intégrité des fichiers vous aide à :
- Respectent les exigences en matière de conformité. La surveillance de l’intégrité des fichiers est souvent requise par les normes de conformité réglementaire telles que PCI-DSS et ISO 17799.
- Améliorer l’état de la sécurité et identifier les problèmes de sécurité potentiels en détectant des modifications suspectes apportées à des fichiers.
Surveiller l’activité suspecte
La surveillance de l’intégrité des fichiers examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application et les fichiers système Linux pour y détecter une activité suspecte, comme :
- La création ou la suppression de fichiers et de clés de Registre
- Les modifications de fichiers, telles que des modifications de la taille de fichier, des listes de contrôle d’accès et du hachage du contenu
- Les modifications du Registre, telles que des modifications de la taille du Registre, des listes de contrôle d’accès, du type et du contenu
Collecte de données
La surveillance de l’intégrité des fichiers utilise l’agent Microsoft Defender for Endpoint pour collecter des données auprès des machines.
- L’agent Defender for Endpoint collecte des données auprès des machines conformément aux fichiers et ressources définis pour la surveillance de l’intégrité des fichiers.
- Les données collectées par l’agent Defender for Endpoint sont stockées pour en permettre l’accès et l’analyse dans un espace de travail Log Analytics.
- Les données de surveillance de l’intégrité des fichiers collectées font partie de l’avantage de 500 Mo inclus dans Defender pour serveurs Plan 2.
- La surveillance de l’intégrité des fichiers fournit des informations sur les modifications du fichier et de la ressource, y compris la source de la modification, les détails du compte, une indication de la personne qui a effectué les modifications et des informations sur le processus initiateur.
Migrer vers la nouvelle version
Pour collecter les données, la surveillance de l’intégrité des fichiers utilisait autrefois l’agent Log Analytics (également connu sous le nom d’agent MMA pour Microsoft Monitoring Agent) ou l’agent AMA (Azure Monitor Agent). Si vous utilisez la surveillance de l’intégrité des fichiers avec l’une de ces méthodes héritées, vous pouvez migrer la surveillance de l’intégrité des fichiers pour utiliser Defender for Endpoint.
Configurer la Supervision de l’intégrité des fichiers
Après avoir activé Defender pour serveurs – Plan 2, vous activez et configurez la surveillance de l’intégrité des fichiers. Il n’est pas activé par défaut.
- Vous sélectionnez un espace de travail Log Analytics où stocker les événements de modification pour les fichiers/ressources surveillés. Vous pouvez utiliser un espace de travail existant ou en définir un nouveau.
- Defender for Cloud recommande des ressources à surveiller avec la surveillance de l’intégrité des fichiers.
Choisir ce qu’il faut surveiller
Defender for Cloud recommande des entités à surveiller avec la surveillance de l’intégrité des fichiers. Vous pouvez choisir des éléments dans les recommandations. Lors du choix des fichiers à surveiller :
- Considérez les fichiers qui sont critiques pour votre système et pour vos applications.
- Surveillez des fichiers qui ne sont pas susceptibles d’être modifiés sans planification.
- Si vous choisissez des fichiers qui sont fréquemment modifiés par des applications ou le système d’exploitation (par exemple, les fichiers journaux et les fichiers texte), cela crée une surcharge et compromet la détection des attaques.
Éléments recommandés à monitorer
Quand vous utilisez la surveillance de l’intégrité des fichiers avec l’agent Defender for Endpoint, nous vous recommandons de surveiller ces éléments en fonction de modèles d’attaque connus.
| Fichier Linux | Fichiers Windows | Clés de Registre Windows (HKEY_LOCAL_MACHINE) |
|---|---|---|
| bin/ | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe | Clé : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Valeurs : loadappinit_dlls, appinit_dlls, iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe | Clé : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Valeurs : démarrage commun, démarrage |
| /etc/cron.daily | C:\autoexec.bat | Clé : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Valeurs : démarrage commun, démarrage |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | Clé : HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows Valeurs : appinit_dlls, loadappinit_dlls |
|
| /etc/init.d | Clé : HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Valeurs : démarrage commun, démarrage |
|
| /opt/sbin | Clé : HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Valeurs : démarrage commun, démarrage |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
Étapes suivantes
Activer la surveillance de l’intégrité des fichiers avec Defender for Endpoint