Surveillance de l’intégrité des fichiers à l’aide de Microsoft Defender pour point de terminaison
Pour fournir la surveillance de l’intégrité des fichiers (FIM), Microsoft Defender pour point de terminaison collecte des données à partir des machines selon des règles de collecte. Lorsque l’état actuel de vos fichiers système est comparé à l’état au cours de l’analyse précédente, FIM vous informe de modifications suspectes.
Grâce à FIM, vous pouvez :
- Surveiller en temps réel les modifications apportées aux fichiers critiques et aux registres Windows à partir d’une liste prédéfinie.
- Accéder aux modifications auditées et les analyser dans un espace de travail désigné.
- Profiter de l’avantage de 500 Mo inclus dans le plan Defender pour serveurs Plan 2.
- Maintenir la conformité : FIM offre une prise en charge intégrée des normes de conformité réglementaire en matière de sécurité, telles que PCI-DSS, CIS, NIST, et d’autres.
FIM vous alerte de toute activité potentiellement suspecte. Parmi ces activités, citons les suivantes :
- La création ou la suppression de fichiers et de clés de registre
- Les modifications des fichiers, telles que les changements de taille, de nom, d’emplacement ou de hachage de leur contenu
- Les altérations du registre, y compris les changements de taille, de type et de contenu
- Les détails sur la modification, y compris la source du changement. Cela inclut les détails du compte, qui indiquent qui a effectué les changements, ainsi que des informations sur le processus initiateur.
Pour obtenir des conseils sur les fichiers à surveiller, veuillez consulter la section Quels fichiers dois-je surveiller ?.
Disponibilité
Aspect | Détails |
---|---|
État de sortie : | PRÉVERSION |
Prix : | Nécessite Microsoft Defender pour les serveurs Plan 2 |
Rôles et autorisations obligatoires : | Le propriétaire de l’espace de travail ou l’administrateur de sécurité peut activer et désactiver FIM. Pour plus d’informations, consultez la section Rôles Azure pour Log Analytics. Le lecteur peut visualiser les résultats. |
Clouds : | Clouds commerciaux Appareils avecAzure Arc. Comptes AWS connectés Comptes GCP connectés |
Prérequis
Pour suivre les modifications de vos fichiers et registres sur les machines avec Defender pour point de terminaison, vous devez :
Activez Defender pour serveurs Plan 2.
Activer Defender pour point de terminaison sur les machines que vous souhaitez surveiller.
Important
À compter de juin 2025, la supervision de l’intégrité des fichiers (FIM) nécessitera une version minimale du client Defender for Endpoint (MDE). Vérifiez que vous disposez de l’une des versions de client minimales suivantes pour continuer à bénéficier de l’expérience FIM dans Microsoft Defender for Cloud : pour Windows : 10.8760, pour Linux : 30.124082.
- Pour mettre à jour le client Microsoft Defender for Endpoint pour des serveurs Windows Server 2012 R2 ou 2016, installez la KB5005292 autonome via le Catalogue Microsoft Update.
- Pour mettre à jour le client Microsoft Defender for Endpoint pour des serveurs Windows Server 2019 et versions ultérieures, reportez-vous à la dernière mise à jour Windows. En savoir plus sur la mise à jour de toutes les machines concernées à grande échelle
- Le client Microsoft Defender for Endpoint pour Linux est mis à jour automatiquement lors du déploiement à l’aide de Defender for Cloud. Vous pouvez également exécuter une mise à jour manuelle via une commande – Déployer les mises à jour pour Microsoft Defender for Endpoint sur Linux
Activer Supervision de l’intégrité des fichiers
Activer dans le portail Azure
Pour activer FIM dans le portail Azure, procédez comme suit :
Connectez-vous au portail Azure.
Recherchez et sélectionnez Microsoft Defender pour le cloud.
Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.
Sélectionnez l’abonnement approprié.
Recherchez le plan Defender pour serveurs et sélectionnez Paramètres.
Dans la section Surveillance de l’intégrité des fichiers, activez l’interrupteur en le basculant sur Activé. Ensuite, sélectionnez Modifier la configuration.
Le volet Configuration de FIM s’ouvre. Dans la liste déroulante Sélection de l’espace de travail, sélectionnez l’espace de travail où vous souhaitez stocker les données FIM. Si vous souhaitez créer un nouvel espace de travail, sélectionnez Créer un nouveau.
Important
Les événements collectés pour FIM, alimenté par Defender pour point de terminaison, sont inclus dans les types de données éligibles à l’avantage de 500 Mo pour les clients de Defender pour serveurs Plan 2. Pour plus d’informations, consultez la section Quels types de données sont inclus dans l’allocation journalière ?.
Dans la partie inférieure du volet Configuration de FIM, sélectionnez les onglets Registre Windows, Fichiers Windows, et Fichiers Linux pour choisir les fichiers et registres que vous souhaitez surveiller. Si vous choisissez la sélection en haut de chaque onglet, tous les fichiers et registres sont surveillés. Sélectionnez Appliquer pour enregistrer vos modifications.
Sélectionnez Continuer.
Cliquez sur Enregistrer.
Désactiver Supervision de l’intégrité des fichiers
Après la désactivation de FIM, aucun nouvel événement n’est collecté. Cependant, les données collectées avant la désactivation de la fonctionnalité restent dans l’espace de travail, conformément à la politique de rétention de l’espace de travail. Pour plus d’informations, consultez Gérer la conservation des données dans un espace de travail log Analytique.
Désactiver dans le portail Azure
Pour désactiver FIM dans le portail Azure, procédez comme suit :
Connectez-vous au portail Azure.
Recherchez et sélectionnez Microsoft Defender pour le cloud.
Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.
Sélectionnez l’abonnement approprié.
Recherchez le plan Defender pour serveurs et sélectionnez Paramètres.
Dans la section Surveillance de l’intégrité des fichiers, désactivez l’interrupteur en le basculant sur Désactivé.
Sélectionnez Appliquer.
Sélectionnez Continuer.
Cliquez sur Enregistrer.
Surveiller les entités et les fichiers
Pour surveiller les entités et les fichiers, procédez comme suit :
Remarque
Si vous n’avez pas encore activé FIM, un message s’affichera indiquant La surveillance de l’intégrité des fichiers n’est pas activée. Pour activer FIM, sélectionnez Abonner des abonnements, puis suivez les instructions dans Activer la surveillance de l’intégrité des fichiers.
Dans la barre latérale de Defender pour le cloud, rendez-vous sur Protections de la charge de travail>Surveillance de l’intégrité des fichiers.
Une fenêtre s’ouvre avec toutes les ressources contenant des fichiers et des registres modifiés suivis.
Si vous sélectionnez une ressource, une fenêtre s’ouvre avec une requête montrant les modifications apportées aux fichiers et registres suivis sur cette ressource.
Si vous sélectionnez l’abonnement de la ressource (sous la colonne Nom de l’abonnement), une requête s’ouvre avec tous les fichiers et registres suivis dans cet abonnement.
Remarque
Si vous avez déjà utilisé la surveillance de l’intégrité des fichiers via MMA, vous pouvez revenir à cette méthode en sélectionnant Changer pour l’expérience précédente. Cela sera disponible jusqu’à ce que la fonctionnalité FIM via MMA soit dépréciée. Pour des informations sur le plan de dépréciation, consultez la section Préparer la mise hors service de l’agent Log Analytics.
Récupérer et analyser les données FIM
Les données de surveillance de l’intégrité des fichiers résident dans l’espace de travail Azure Log Analytics dans la table MDCFileIntegrityMonitoringEvents
. La table apparaît dans l’espace de travail Log Analytics sous la table LogManagment
.
Définissez un intervalle de temps pour récupérer un résumé des modifications par ressource. Dans l’exemple suivant, nous récupérons tous les changements des 14 derniers jours dans les catégories de registre et de fichiers :
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType in ('Registry', 'File') | summarize count() by Computer, MonitoredEntityType
Pour afficher des informations détaillées sur les modifications du registre :
Supprimez
Files
de la clausewhere
.Remplacez la ligne de synthèse par une clause d’ordonnancement :
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType == 'Registry' | order by Computer, RegistryKey
Les rapports peuvent être exportés au format CSV à des fins d’archivage et canalisés vers un rapport Power BI pour une analyse plus approfondie.
Contenu connexe
En savoir plus sur Defender pour le cloud dans :
- Définition des stratégies de sécurité : découvrez comment configurer des stratégies de sécurité pour vos groupes de ressources et abonnements Azure.
- Gestion des recommandations de sécurité : découvrez la façon dont les recommandations peuvent vous aider à protéger vos ressources Azure.
- Blog Azure Security : tenez-vous informé au sujet de la sécurité Azure.