Partager via

Migrer les versions précédentes de la solution de surveillance de l’intégrité des fichiers

  • Article

Microsoft Defender pour serveurs Plan 2 offre désormais une nouvelle solution de surveillance de l’intégrité des fichiers (FIM) avec Microsoft Defender for Endpoint.

Si vous n’utilisez pas les versions précédentes de FIM, vous pouvez intégrer directement la nouvelle solution FIM. Pour plus d’informations, consultez Activer la surveillance de l’intégrité des fichiers avec Microsoft Defender for Endpoint.

Migrer FIM sur MMA

Conseil

Pour vous aider à migrer de manière fluide votre ensemble précédent de règles de surveillance de la solution FIM basée sur MMA vers la nouvelle version de FIM avec Defender for Endpoint, nous avons introduit une expérience de migration intégrée au produit qui est accessible à partir du panneau de gestion de FIM.   Cette expérience de migration vous permet de passer en revue les environnements actuels dans lesquels une solution FIM héritée est activée, d’exporter vos règles FIM héritées et de migrer vers la nouvelle solution de surveillance de l’intégrité des fichiers sur des abonnements sur lesquels Defender pour serveurs Plan 2 est activé. Apprenez-en davantage sur l’utilisation de l’expérience de migration de FIM. Vous pouvez également choisir d’activer FIM sur MDE, puis de supprimer FIM sur MMA, en suivant les instructions ci-dessous.

Si vous utilisez la solution de surveillance de l’intégrité des fichiers (FIM) sur Microsoft Monitoring Agent (MMA), vous pouvez migrer vers la nouvelle solution FIM avec Microsoft Defender for Endpoint. Effectuez les étapes suivantes :

  1. Pour désactiver FIM sur MMA, supprimez la solution Azure Change Tracking. Pour plus d’informations, consultez Supprimer la solution ChangeTracking.

  2. Quand vous désactivez les collections d’événements liés aux fichiers, les nouveaux événements cessent d’être collectés sur les étendues sélectionnées. Les événements historiques qui ont déjà été collectés restent stockés dans l’espace de travail approprié sous la table ConfigurationChange dans la section Change Tracking. Ces événements restent disponibles dans l’espace de travail approprié en fonction de la période de rétention définie dans cet espace de travail. Pour plus d’informations, consultez Gérer la conservation des données dans un espace de travail log Analytique.

Remarque

Si vous n’avez plus besoin de l’agent Log Analytics hérité, veillez à le supprimer de vos environnements. À cet effet, veillez à désactiver l’approvisionnement automatique de l’agent des paramètres d’abonnement, puis utilisez l’utilitaire Azure Monitor pour découvrir l’agent Log Analytics et le supprimer de vos machines.

Migrer FIM sur AMA

Si vous utilisez la solution de surveillance de l’intégrité des fichiers (FIM) sur l’agent Azure Monitor (AMA), vous pouvez migrer vers la nouvelle solution FIM avec Microsoft Defender for Endpoint. Effectuez les étapes suivantes :

  1. Dans la mesure où l’intégration de nouveaux abonnements ou serveurs à la solution FIM basée sur AMA et l’extension Change Tracking, ainsi que l’affichage des modifications, ne seront plus disponibles via le portail Defender for Cloud, vous devez ajuster vos processus en conséquence.

  2. Si vous souhaitez continuer à consommer les événements FIM collectés par AMA, vous pouvez vous connecter manuellement à l’espace de travail concerné et afficher les modifications dans la table Change Tracking à l’aide de la requête suivante :

    ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

  3. Si vous souhaitez continuer à intégrer de nouvelles étendues ou à configurer des règles de surveillance, vous pouvez utiliser manuellement des règles de collecte de données pour configurer ou personnaliser différents aspects de la collecte de données.

Désactiver FIM sur AMA

Nous vous recommandons de désactiver FIM sur AMA et d’utiliser la nouvelle solution FIM avec Microsoft Defender for Endpoint. Pour désactiver FIM sur AMA, effectuez les étapes suivantes :

  1. Supprimez les règles de collecte de données de suivi des modifications de fichiers associées. Pour plus d’informations, consultez les instructions dans Remove-AzDataCollectionRuleAssociation et Remove-AzDataCollectionRule.
  2. Quand vous désactivez les collections d’événements liés aux fichiers, les nouveaux événements cessent d’être collectés sur les étendues sélectionnées. Les événements historiques qui ont déjà été collectés restent stockés dans l’espace de travail approprié sous la table ConfigurationChange dans la section Change Tracking. Ces événements restent disponibles dans l’espace de travail approprié en fonction de la période de rétention définie dans cet espace de travail. Pour plus d’informations, consultez Gérer la conservation des données dans un espace de travail log Analytique.

Étapes suivantes