Vue d’ensemble du suivi des modifications et de l’inventaire à l’aide de l’agent Azure Monitoring

S'applique à : ✔️ Machines virtuelles Windows ✔️ Machines virtuelles Linux ✔️ Registre Windows ✔️ Fichiers Windows ✔️ Fichiers Linux ✔️ Logiciels Windows ✔️ Services Windows et Démons Linux

Important

Cet article explique la dernière version de la prise en charge du suivi des modifications utilisant Azure Monitoring Agent comme agent unique pour la collecte de données.

Remarque

La supervision de l’intégrité des fichiers (FIM) à l’aide de Microsoft Defender for Endpoint (MDE) est désormais disponible. Suivez les instructions pour migrer à partir de :

Principaux avantages

  • Compatibilité avec l’agent de surveillance unifiée : compatible avec l’agent Azure Monitor qui améliore la sécurité et la fiabilité, et facilite l’expérience d’hébergement multiple pour stocker des données.
  • Compatibilité avec l’outil de suivi : compatible avec l’extension Change Tracking (CT) déployée via l’Azure Policy sur la machine virtuelle du client. Vous pouvez basculer vers l’agent Azure Monitor (AMA), avec pour effet que l’extension CT envoie (push) les logiciels, les fichiers et le registre à l’AMA.
  • Expérience d’hébergement multiple : fournit une normalisation de la gestion à partir d’un espace de travail central. Vous pouvez passer de Log Analytics (LA) à AMA afin que toutes les machines virtuelles pointent vers un seul espace de travail pour la collecte et la maintenance des données.
  • Gestion des règles : utilise des Règles de collecte de données pour configurer ou personnaliser différents aspects de la collecte de données. Par exemple, vous pouvez modifier la fréquence du regroupement de fichiers.

Limites actuelles

Le suivi des modifications et l’inventaire à l’aide d’Azure Monitoring Agent ne prennent pas en charge ou présentent les limitations suivantes :

  • Récursivité pour le suivi du Registre Windows
  • Systèmes de fichiers réseau
  • Méthodes d'installation différentes
  • *.exe fichiers stockés sur Windows
  • La colonne Taille maximale des fichiers et ses valeurs ne sont pas utilisées dans l’implémentation actuelle.
  • Si vous effectuez le suivi des modifications de fichiers, la taille de fichier est limitée à 5 Mo.
  • Si la taille du fichier apparaît à >1,25 Mo, FileContentChecksum est incorrect en raison de contraintes de mémoire dans le calcul de la somme de contrôle.
  • Si vous essayez de collecter plus de 2500 fichiers dans le cycle de collecte de 30 minutes, les performances de Change Tracking and Inventory peuvent être dégradées.
  • Si le trafic réseau est élevé, l’affichage des enregistrements de modifications peut prendre jusqu’à six heures.
  • Si vous modifiez une configuration quand une machine ou un serveur est arrêté, ce matériel risque de publier des modifications appartenant à la configuration précédente.
  • Les mises à jour de correctif logiciel ne sont pas collectées sur les machines Windows 2016 Core RS3.
  • Les démons Linux peuvent indiquer un état modifié même si aucune modification n’est intervenue. Ce problème survient en raison de la façon SvcRunLevels dont les données de la table ConfigurationChange d’Azure Monitor sont écrites.
  • L'extension Change Tracking ne prend en charge aucune norme de renforcement pour les systèmes d'exploitation ou distributions Linux.

Limites

Le tableau suivant indique les limites d'articles suivis par machine pour le suivi des modifications et l'inventaire.

Ressource Limite Remarques
Fichier 500
Taille du fichier 5 Mo
Registre 250
Logiciels Windows 250 N’inclut pas les mises à jour logicielles.
Packages Linux 1250
services Windows 250
Démons Linux 250

Systèmes d’exploitation pris en charge

Le suivi des modifications et l’inventaire sont pris en charge sur tous les systèmes d’exploitation qui répondent aux exigences de l’agent Azure Monitor. Consultez systèmes d’exploitation pris en charge pour obtenir la liste des versions du système d’exploitation Windows et Linux actuellement prises en charge par l’agent Azure Monitor.

Pour comprendre les exigences client pour TLS, consultez TLS pour Azure Automation.

Activer Change Tracking et Inventory

Vous pouvez activer Suivi des modifications et inventaire en procédant de l’une des façons suivantes :

  • Manuellement pour les machines non compatibles Avec Azure Arc, reportez-vous à l’initiative Activer le suivi des modifications et l’inventaire des machines virtuelles avec Arc dans Définitions de stratégie > > Sélectionner une catégorie = ChangeTrackingAndInventory. Pour activer le suivi des modifications et l'inventaire à grande échelle, utilisez la solution basée sur la stratégie DINE. Pour plus d’informations, voir Activer le Suivi des modifications et l’inventaire à l’aide de l’agent Azure Monitoring (préversion).

  • Pour une machine virtuelle Azure unique à partir de la page Machine virtuelle dans le Portail Azure. Ce scénario est disponible pour les machines virtuelles Linux et Windows.

  • Pour plusieurs machines virtuelles Azure, sélectionnez-les dans la page Machines virtuelles du Portail Azure.

Suivi des modifications de fichiers

Pour suivre les modifications apportées aux fichiers sous Windows et Linux, Change Tracking and Inventory utilise les hachages SHA256 des fichiers. La fonctionnalité utilise les hachages pour détecter si des modifications ont été apportées depuis le dernier inventaire.

Suivi des modifications de contenu de fichier

Change Tracking and Inventory vous permet d’afficher le contenu d’un fichier Windows ou Linux. Pour chaque modification apportée à un fichier, Suivi des modifications et inventaire stocke le contenu du fichier dans un compte Stockage Azure. Quand vous effectuez le suivi d’un fichier, vous pouvez afficher son contenu avant ou après une modification. Le contenu du fichier peut être affiché en ligne ou côte à côte. Plus d’informations

Capture d’écran de l’affichage des modifications dans un fichier Windows ou Linux.

Suivi des clés de Registre

Change Tracking and Inventory autorise la supervision des modifications apportées aux clés de Registre Windows. La supervision vous permet d’identifier les points d’extensibilité où du code tiers et des logiciels malveillants peuvent être activés. Le tableau suivant répertorie les clés de registre préconfigurées (mais non activées). Pour effectuer le suivi de ces clés de Registre, vous devez les activer.

Clé de Registre Objectif
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Surveille les scripts qui s’exécutent au démarrage.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Surveille les scripts qui s’exécutent à l’arrêt.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Supervise les clés qui sont chargées avant que l’utilisateur se connecte à son compte Windows. La clé est utilisée pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Surveille les modifications apportées aux paramètres d’application.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Supervise les gestionnaires de menu contextuel qui se raccordent directement à l’Explorateur Windows et s’exécutent généralement in-process avec explorer.exe.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Supervise les gestionnaires de raccordement de copie qui se raccordent directement à l’Explorateur Windows et s’exécutent généralement in-process avec explorer.exe.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Surveille l’inscription du gestionnaire de superposition d’image sur une icône.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Supervise l’inscription du gestionnaire de superposition d’image sur une icône pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Surveille la présence de nouveaux plug-ins d’objet application d’assistance du navigateur pour Internet Explorer. Utilisé pour accéder à l’objet DOM (Document Object Model) de la page actuelle et contrôler la navigation.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Surveille la présence de nouveaux plug-ins d’objet application d’assistance du navigateur pour Internet Explorer. Utilisée pour accéder à l’objet DOM (Document Object Model) de la page actuelle et contrôler la navigation pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions Surveille les nouvelles extensions Internet Explorer, notamment les menus d’outils et boutons de barre d’outils personnalisés.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Supervise les nouvelles extensions Internet Explorer, telles que les menus d’outils et boutons de barre d’outils personnalisés pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Supervise les pilotes 32 bits associés à wavemapper, wave1 et wave2, msacm.imaadpcm, .msadpcm, .msgsm610 et vidc. Analogue à la section [pilotes] du fichier system.ini.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Supervise les pilotes 32 bits associés à wavemapper, wave1 et wave2, msacm.imaadpcm, .msadpcm, .msgsm610 et vidc pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits. Analogue à la section [pilotes] du fichier system.ini.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Supervise la liste des DLL système connues ou couramment utilisées. La supervision empêche quiconque d’exploiter des autorisations faibles de répertoire d’application en déposant des versions de type cheval de Troie des DLL système.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Supervise la liste des packages capables de recevoir des notifications d’événements de la part de winlogon.exe, le modèle de prise en charge de l’ouverture de session interactive de Windows.

Prise en charge de la récursivité

Suivi des modifications et inventaire prend en charge la récursivité, qui vous permet de spécifier des caractères génériques pour simplifier le suivi parmi les répertoires. La récursivité fournit également des variables d’environnement pour vous permettre d’effectuer le suivi des fichiers dans des environnements avec des noms de lecteurs multiples ou dynamiques. La liste suivante indique les informations courantes que vous devez connaître lors de la configuration de la récursivité :

  • Les caractères génériques sont requis pour effectuer le suivi de plusieurs fichiers.

  • Vous pouvez utiliser des caractères génériques uniquement dans le dernier segment d'un chemin d'accès à un fichier, par exemple, c:\folder\file * ou /etc/*.conf.

  • Si le chemin d’une variable d’environnement n’est pas valide, la validation réussit, mais ce chemin échoue lors de l’exécution.

  • Nous vous conseillons d’éviter les chemins généraux lors de la définition du chemin, car dans ce cas un trop grand nombre de dossiers peuvent être parcourus.

Collecte de données dans Suivi des modifications et inventaire

Le tableau suivant indique la fréquence de collecte des données pour les types de modifications pris en charge par Suivi des modifications et inventaire. Pour chaque type, la capture instantanée de données de l’état actuel est également actualisée au moins toutes les 24 heures.

Modifier de type Fréquence
Registre Windows 50 minutes
Fichier Windows 30 à 40 minutes
Fichier Linux 15 minutes
Services Windows 10 minutes à 30 minutes
Valeur par défaut : 30 minutes
Logiciels Windows 30 minutes
Logiciels Linux 5 minutes
Démons Linux 5 minutes

Le tableau suivant montre les limites des éléments suivis par machine pour Suivi des modifications et inventaire.

Ressource Limite
File 500
Registre 250
Logiciels Windows (correctifs non compris) 250
Packages Linux 1250
services Windows 250
Démons Linux 500

Données services Windows

Prérequis

Pour activer le suivi des données des services Windows, vous devez mettre à niveau l'extension CT et utiliser une extension supérieure ou égale à 2.11.0.0

- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true

Configurer la fréquence

Pour les services Windows, la fréquence de collecte par défaut est de 30 minutes. Pour configurer la fréquence,

  • sous Modifier les paramètres, utilisez un curseur sur l'onglet Services Windows.

Capture d’écran du curseur de fréquence.

Prise en charge des alertes relatives à l’état de configuration

L’une des principales caractéristiques de Suivi des modifications et inventaire est sa capacité à alerter en cas de modifications apportées à l’état de la configuration de votre environnement hybride. De nombreuses actions utiles peuvent être déclenchées en réponse à des alertes. Par exemple, les actions sur des fonctions Azure, des runbooks Automation, des webhooks et autres. L’alerte en cas de modification apportée au fichier c:\windows\system32\drivers\etc\hosts pour une machine est une bonne application des alertes pour Change Tracking and Inventory. Il existe de nombreux autres scénarios d’alerte, notamment les scénarios de requête définis dans le tableau suivant.

Requête Description
ConfigurationChange
| where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\"
Utile pour le suivi des modifications apportées aux fichiers critiques du système.
ConfigurationChange
| where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"
Utile pour le suivi des modifications apportées aux fichiers de configuration de clés.
ConfigurationChange
| where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped"
Utile pour le suivi des modifications apportées aux services critiques du système
ConfigurationChange
| where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState!= "Running"
Utile pour le suivi des modifications apportées aux services critiques du système
ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Added"
Utile pour les environnements nécessitant des configurations logicielles verrouillées.
ConfigurationData
| where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"
Utile pour voir sur quelles machines une version obsolète ou non conforme d’un logiciel est installée. Cette requête indique le dernier état de configuration signalé, mais n’indique pas les modifications.
ConfigurationChange
| où RegistryKey = = @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"
Utile pour le suivi des modifications apportées aux clés antivirus essentielles.
ConfigurationChange
| où RegistryKey contient @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"
Utile pour le suivi des modifications apportées aux paramètres de pare-feu.

Étapes suivantes