Partager via

Activer le suivi et les alertes pour les changements critiques

  • Article

Les services Change Tracking et Inventory d’Azure fournissent des alertes sur l’état de la configuration de votre environnement hybride et sur les modifications apportées à cet environnement. Ils peuvent faire des rapports sur les modifications de fichiers, de services, de logiciels et de registres critiques susceptibles d’affecter vos serveurs déployés.

Par défaut, le service d’inventaire Azure Automation ne supervise pas les fichiers ou les paramètres de registre. La solution fournit une liste de clés de Registre que nous vous recommandons de superviser. Pour voir cette liste, accédez à votre compte Azure Automation sur le portail Azure, puis sélectionnez Inventorier>Modifier les paramètres.

Capture d’écran de l’affichage Inventaire d’Azure Automation dans le portail Azure.

Pour plus d’informations sur chaque clé de Registre, consultez Suivi des modifications des clés de Registre. Sélectionnez une clé quelconque à évaluer, puis activez-la. Le paramétrage s’applique à toutes les machines virtuelles activées dans l’espace de travail actuel.

Vous pouvez également utiliser le service pour assurer le suivi des modifications de fichiers critiques. Par exemple, vous pouvez suivre le fichier C:\windows\system32\drivers\etc\hosts, car le système d’exploitation l’utilise pour mapper les noms d’hôte à des adresses IP. Les modifications apportées à ce fichier peuvent entraîner des problèmes de connectivité ou rediriger le trafic vers des sites web dangereux.

Pour activer le suivi du contenu du fichier hosts, suivez les étapes décrites dans Activer le suivi de contenu de fichier.

Vous pouvez également ajouter une alerte en cas de modifications des fichiers que vous suivez. Par exemple, vous pouvez souhaiter définir une alerte pour les modifications du fichier hosts. Pour ce faire, sélectionnez Log Analytics dans la barre de commandes, ou Log Search pour l’espace de travail Log Analytics lié. Dans Log Analytics, utilisez la requête suivante pour rechercher des modifications apportées au fichier hosts :

ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts"

Capture d’écran de l’éditeur de requête Log Analytics dans le portail Azure

Cette requête recherche les changements apportés au contenu des fichiers dont le chemin contient le mot hosts. Vous pouvez également rechercher un fichier spécifique en changeant le paramètre du chemin. (Par exemple : FileSystemPath == "c:\\windows\\system32\\drivers\\etc\\hosts".)

Une fois que la requête a retourné les résultats, sélectionnez Nouvelle règle d’alerte pour ouvrir l’éditeur de règles d’alerte. Vous pouvez également accéder à cet éditeur via Azure Monitor dans le portail Azure.

Dans l’éditeur de règles d’alerte, passez en revue la requête et changez la logique d’alerte, si nécessaire. Dans ce cas, nous voulons que l’alerte soit déclenchée si des modifications sont détectées sur n’importe quelle machine de l’environnement.

Capture d’écran de l’éditeur de règles d’alerte Log Analytics dans le portail Azure

Une fois que vous avez défini la logique de condition, vous pouvez attribuer des groupes d’actions pour répondre à l’alerte. Dans cet exemple, quand l’alerte est déclenchée, des e-mails sont envoyés et un ticket ITSM est créé. Vous pouvez entreprendre de nombreuses autres actions utiles, telles que le déclenchement d’une fonction Azure, d’un runbook Azure Automation, d’un webhook ou d’une application logique.

Capture d’écran de l’exemple de récapitulatif de règles d’alerte dans le portail Azure

Une fois que vous avez défini tous les paramètres et la logique, appliquez l’alerte à l’environnement.

Exemples de suivi et d’alerte

Cette section présente d’autres scénarios courants de suivi et d’alerte que vous voulez peut-être utiliser.

Fichier de pilote modifié

Utilisez la requête suivante pour détecter si des fichiers de pilote sont changés, ajoutés ou supprimés. C’est utile pour le suivi des modifications apportées aux fichiers système critiques.

ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\\windows\\system32\\drivers\\"

Service spécifique arrêté

Utilisez la requête suivante pour suivre les modifications apportées aux services critiques pour le système.

ConfigurationChange | where SvcState == "Stopped" and SvcName contains "w3svc"

Nouveau logiciel installé

Utilisez la requête suivante pour les environnements devant verrouiller des configurations logicielles.

ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"

Une version du logiciel spécifique est ou n’est pas installée sur une machine

Utilisez la requête suivante pour évaluer la sécurité. Cette requête référence ConfigurationData, qui contient les journaux d’activité pour Inventory et indique le dernier état de configuration rapportée, pas les modifications.

ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"

DLL connue changée par le biais du registre

Utilisez la requête suivante pour détecter les modifications apportées à des clés de Registre bien connues.

ConfigurationChange | where RegistryKey == "HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Session Manager\\KnownDlls"

Étapes suivantes

Découvrez comment Azure Automation crée des planifications de mise à jour afin de gérer les mises à jour de vos serveurs.

Créer des planifications de mise à jour