Surveillance de l’intégrité des fichiers à l’aide de l’agent Log Analytics
Pour assurer la Surveillance de l’intégrité des fichiers (FIM), l’agent Log Analytics charge les données dans l’espace de travail Log Analytics. FIM compare l’état actuel de ces éléments avec celui identifié pendant l’analyse précédente et vous indique si des modifications suspectes ont été apportées.
Remarque
L’agent Log Analytics (également appelé MMA) étant prévu pour être mis hors service en août 2024, toutes les fonctionnalités de Defender pour serveurs qui en dépendent actuellement, y compris celles décrites dans cette page, seront disponibles via l’intégration Microsoft Defender pour point de terminaison ou l’analyse sans agent, avant la date de mise hors service. Pour plus d’informations sur la feuille de route de chacune des fonctionnalités qui s’appuient actuellement sur l’agent Log Analytics, consultez cette annonce.
FIM (file integrity monitoring) utilise la solution Azure Change Tracking pour suivre et identifier les changements dans votre environnement. Quand FIM est activée, vous disposez d’une ressource Change Tracking de type Solution. Si vous supprimez la ressource Change Tracking, vous désactivez également la fonctionnalité FIM dans Defender pour le cloud. FIM vous permet de tirer parti du Suivi des modifications directement dans Defender pour le cloud. Pour plus d’informations sur la fréquence de collecte de données, consultez Détails de la collecte de données de suivi des modifications.
Remarque
L’Analyse d’intégrité des fichiers peut créer le compte suivant sur des serveurs SQL surveillés : NT Service\HealthService
Si vous supprimez le compte, il sera automatiquement recréé.
Disponibilité
Aspect | Détails |
---|---|
État de sortie : | Disponibilité générale |
Prix : | Nécessite Plan 2 Microsoft Defender pour les serveurs. À l’aide de l’agent Log Analytics, FIM charge des données dans l’espace de travail Log Analytics. Des frais de données seront appliqués en fonction de la quantité de données que vous téléchargez. Pour en savoir plus, consultez l’article Tarification - Log Analytics. |
Rôles et autorisations obligatoires : | Le propriétaire de l’espace de travail peut activer/désactiver FIM (pour plus d’informations, consultez Rôles Azure pour Log Analytics). Le lecteur peut visualiser les résultats. |
Clouds : | Clouds commerciaux Nationaux (Azure Government, Microsoft Azure géré par 21Vianet) Pris en charge uniquement dans les régions où la solution de suivi des modifications d’Azure Automation est disponible. Appareils avecAzure Arc. Consultez Régions prises en charge pour l’espace de travail Log Analytics lié. En savoir plus sur le suivi des modifications. Comptes AWS connectés |
Activer la surveillance de l’intégrité des fichiers avec l’agent Log Analytics
FIM est uniquement disponible à partir des pages Defender pour le cloud dans le portail Azure. Il n’existe actuellement aucune API REST pour l’utilisation de FIM.
Dans la zone Protection avancée du tableau de bord Protections de charge de travail, sélectionnez Analyse de l’intégrité du fichier.
Chaque espace de travail contient les informations suivantes :
- Nombre total de modifications apportées au cours de la dernière précédente (un trait d’union « - » peut apparaître lorsque la fonctionnalité FIM n’est pas activée dans l’espace de travail)
- Nombre total d’ordinateurs et de machines virtuelles envoyant des rapports à l’espace de travail
- Emplacement géographique de l’espace de travail
- Abonnement Azure auquel appartient l’espace de travail
Utilisez cette page pour :
Accéder à l’état et aux paramètres de chaque espace de travail, et y accéder
Mettez à niveau l’espace de travail pour utiliser les fonctionnalités de sécurité améliorées. Cette icône indique que l’espace de travail ou l’abonnement ne sont pas protégés par Microsoft Defender pour les serveurs. Pour utiliser les fonctionnalités FIM, votre abonnement doit être protégé par ce plan. Découvrez comment activer Defender pour serveurs.
Activez FIM sur tous les ordinateurs de l’espace de travail et configurez les options FIM. Cette icône indique que la fonctionnalité FIM n’est pas activée pour l’espace de travail. S’il n’existe pas de bouton Activer ou Mettre à niveau et que l’espace est vide, cela signifie que FIM est déjà activé sur l’espace de travail.
Sélectionnez ACTIVER. Les détails de l’espace de travail, notamment le nombre d’ordinateurs Windows et Linux sous l’espace de travail, s’affichent.
Les paramètres recommandés pour Windows et Linux sont également affichés. Développez les champs Fichiers Windows, Registre et fichiers Linux pour afficher la liste complète des éléments recommandés.
Désactivez les cases à cocher pour les entités recommandées que vous ne souhaitez pas analyser par FIM.
Sélectionnez Appliquer le Monitoring d’intégrité de fichier pour activer la fonctionnalité FIM.
Vous pouvez modifier les paramètres à tout moment. Apprenez-en davantage sur la modification des entités surveillées.
Désactiver Supervision de l’intégrité des fichiers
La fonctionnalité FIM utilise la solution Azure Change Tracking pour identifier les modifications apportées dans votre environnement. En la désactivant, vous supprimez la solution Change Tracking de l’espace de travail sélectionné.
Pour désactiver la fonctionnalité FIM :
Dans le tableau de bord de surveillance de l’intégrité des fichiers d’un espace de travail, sélectionnez Désactiver.
Sélectionnez Supprimer.
Surveiller les espaces de travail, les entités et les fichiers
Auditer les espaces de travail analysés
Le tableau de bord Monitoring d’intégrité de fichier affiche les espaces de travail sur lesquels la fonctionnalité FIM est activée. Le tableau de bord FIM s’ouvre lorsque vous avez activé la fonctionnalité FIM dans un espace de travail ou que vous sélectionnez un espace de travail dans la fenêtre monitoring d’intégrité de fichier pour lequel la fonctionnalité est activée.
Le tableau de bord FIM d’un espace de travail affiche les détails suivants :
- Nombre total d’ordinateurs connectés à l’espace de travail
- Nombre total de modifications apportées au cours de la période sélectionnée
- Détails des types de modification (fichiers, registre)
- Détails des catégories de modification (modification, ajout, suppression)
Sélectionnez Filtrer en haut du tableau de bord pour modifier la période pendant laquelle les modifications sont affichées.
L’onglet Serveurs répertorie les ordinateurs qui sont en rapport avec cet espace de travail. Pour chaque ordinateur, le tableau de bord affiche :
- Le nombre total de modifications apportées au cours de la période sélectionnée
- Une répartition des modifications selon leur type (modifications de fichier ou de registre)
Lorsque vous sélectionnez un ordinateur, la requête apparaît avec les résultats qui identifient les modifications apportées au cours de la période sélectionnée pour l'ordinateur. Vous pouvez développer chaque modification pour afficher des informations supplémentaires.
L’onglet Modifications (illustré ci-dessous) répertorie toutes les modifications associées à l’espace de travail pendant la période sélectionnée. Pour chaque entité qui a été modifiée, le tableau de bord affiche les informations suivantes :
- L'ordinateur sur lequel la modification a été apportée
- Le type de modification (registre ou fichier)
- La catégorie de modification (modification, ajout, suppression)
- La date et l’heure de modification
La fenêtre Détails des modifications s’ouvre lorsque vous saisissez une modification dans le champ de recherche ou que vous sélectionnez une entité répertoriée dans l’onglet Modifications.
Modifier des entités surveillées
Dans la barre d’outils du tableau de bord de surveillance de l’intégrité des fichiers d’un espace de travail, sélectionnez Paramètres.
La fenêtre Configuration de l'espace de travail s'ouvre avec des onglets pour chaque type d'élément qui peut être surveillé :
- Registre Windows
- Fichiers Windows
- Fichiers Linux
- le contenu d’un fichier ;
- Services Windows
Chaque onglet répertorie les entités que vous pouvez modifier dans cette catégorie. Pour chaque entité répertoriée, Defender pour le cloud identifie si la fonctionnalité FIM est activée (true) ou désactivée (false). Modifiez l’entité pour activer ou désactiver la fonctionnalité FIM.
Sélectionnez une entrée dans l'un des onglets et modifiez les champs disponibles dans le volet Modifier pour Change Tracking. Les options sont les suivantes :
- Activer (True) ou désactiver (False) le Monitoring d’intégrité de fichier
- Saisir ou modifier le nom de l’entité
- Saisir ou modifier la valeur ou le chemin d’accès
- Supprimer l'entité
Ignorez ou enregistrez vos modifications.
Ajouter une nouvelle entité à surveiller
Dans la barre d’outils du tableau de bord de surveillance de l’intégrité des fichiers d’un espace de travail, sélectionnez Paramètres.
La fenêtre Configuration de l'espace de travail s'ouvre.
Dans Configuration de l’espace de travail :
Sélectionnez Ajouter. La fenêtre Ajout pour Change Tracking s’affiche.
Entrez les informations nécessaires, puis sélectionnez Enregistrer.
Supervision de dossiers et chemins d’accès à l’aide de caractères génériques
Utilisez des caractères génériques pour simplifier le suivi au sein des répertoires. Les règles suivantes s’appliquent lorsque vous configurez la supervision d’un dossier à l’aide de caractères génériques :
- Les caractères génériques sont requis pour effectuer le suivi de plusieurs fichiers.
- Les caractères génériques ne peuvent être utilisés que dans le dernier segment d’un chemin, tel que
C:\folder\file
ou/etc/*.conf
- Si une variable d’environnement comprend un chemin non valide, la validation réussit, mais le chemin échoue pendant l’exécution de l’inventaire.
- Quand vous définissez le chemin, évitez les chemins généraux de type
c:\*.*
afin de limiter le nombre de dossiers à parcourir.
Comparer les bases de référence en utilisant la surveillance de l’intégrité des fichiers
La Surveillance de l’intégrité des fichiers (FIM) vous informe en cas de modifications apportées à des zones sensibles de vos ressources pour vous permettre d’examiner et de corriger toute activité non autorisée. Le Monitoring d'intégrité de fichier surveille les fichiers et les registres Windows, ainsi que les fichiers Linux.
Activer les vérifications intégrées et récursives de registre
Par défaut, la ruche du registre du Monitoring d'intégrité de fichier offre un moyen pratique de surveiller les modifications récursives dans des zones de sécurité courante. Par exemple, un pirate peut configurer un script qui s’exécute dans le contexte LOCAL_SYSTEM, en configurant une exécution au démarrage ou l’arrêt. Pour surveiller ce type de modifications, activez la vérification intégrée.
Notes
Les vérifications récursives s’appliquent uniquement aux ruches de sécurité recommandées, et pas aux chemins d’accès personnalisés au registre.
Ajouter une vérification de registre personnalisée
Dans un premier temps, le Monitoring d'intégrité de fichier identifie les caractéristiques d’un état valide connu du système d’exploitation. Pour cet exemple, nous allons nous concentrer sur les configurations de stratégie de mot de passe pour Windows Server 2008 ou version ultérieure.
Nom de la stratégie | Paramètre de registre |
---|---|
Contrôleur de domaine : Refuser les modifications de mot de passe de compte de machine | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RefusePasswordChange |
Membre de domaine : Chiffrer ou signer numériquement les données des canaux sécurisés (toujours) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal |
Membre de domaine : Chiffrer numériquement les données des canaux sécurisés (si possible) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel |
Membre de domaine : Signer numériquement les données des canaux sécurisés (si possible) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel |
Membre de domaine : Désactiver les modifications de mot de passe du compte de machine | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange |
Membre de domaine : Durée maximale du mot de passe du compte de machine | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge |
Membre de domaine : Exiger une clé de session forte (Windows 2000 ou version ultérieure) | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey |
Sécurité réseau : restreindre NTLM : authentification NTLM dans ce domaine | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain |
Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur dans ce domaine | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers |
Sécurité réseau : Restreindre NTLM : Auditer l’authentification NTLM dans ce domaine | MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain |
Notes
Pour en savoir plus sur les paramètres de registre pris en charge par les différentes versions du système d’exploitation, consultez la feuille de calcul de référence Paramètres de stratégie de groupe.
Pour configurer le Monitoring intégré de fichier pour surveiller les lignes de base de registre :
Dans la fenêtre Ajouter le Registre Windows pour Change Tracking, sélectionnez la zone de texte Clé de Registre Windows.
Saisissez la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Suivre les modifications apportées aux fichiers Windows
Dans la fenêtre Ajouter le fichier Windows pour Change Tracking, dans la zone de texte Entrer le chemin d’accès, entrez le dossier contenant les fichiers que vous souhaitez suivre. Dans l’exemple de la figure suivante, Contoso Web App se trouve sous le lecteur D:\ dans la structure de dossiers ContosWebApp.
Créez une entrée de fichier Windows personnalisée en entrant un nom pour la classe de paramètres, en activant la récursion et en spécifiant le dossier supérieur avec un suffixe de caractère générique (*).
Récupérer les données modifiées
Les données FIM se trouvent dans la table Azure Log Analytics/ConfigurationChange définie.
Définissez un intervalle de temps pour récupérer un résumé des modifications par ressource.
Dans l’exemple suivant, nous récupérons toutes les modifications apportées aux catégories du registre et aux fichiers au cours des 14 derniers jours :
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeType
Pour afficher les détails des modifications apportées au registre :
- Supprimez Fichiers de la clause où.
- Supprimez la ligne de résumé et remplacez-la par une clause de classement :
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry') | order by Computer, RegistryKey
Les rapports peuvent être exportés au format CSV à des fins d'archivage et/ou dirigés dans un rapport Power BI.
Éléments recommandés à monitorer
Defender pour le cloud fournit la liste suivante d’éléments recommandés à surveiller en fonction de modèles d’attaque connus.
Fichiers Linux | Fichiers Windows | Clés de Registre Windows (HKLM = HKEY_LOCAL_MACHINE) |
---|---|---|
/bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} |
/bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
/etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
/usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
/usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
/bin | C:\Windows\regedit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
/sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
/boot | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
/usr/local/bin | C:\Program Files\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
/usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
/opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
/opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
/etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
/etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
/etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
/etc/cron.daily | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
/etc/cron.weekly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
/etc/cron.monthly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Étapes suivantes
En savoir plus sur Defender pour le cloud dans :
- Définition des stratégies de sécurité : découvrez comment configurer des stratégies de sécurité pour vos groupes de ressources et abonnements Azure.
- Gestion des recommandations de sécurité : découvrez la façon dont les recommandations peuvent vous aider à protéger vos ressources Azure.
- Blog Azure Security : tenez-vous informé au sujet de la sécurité Azure.