Surveillance de l’intégrité des fichiers à l’aide de Microsoft Defender pour point de terminaison

Pour fournir la surveillance de l’intégrité des fichiers (FIM), Microsoft Defender pour point de terminaison collecte des données à partir des machines selon des règles de collecte. Lorsque l’état actuel de vos fichiers système est comparé à l’état au cours de l’analyse précédente, FIM vous informe de modifications suspectes.

Grâce à FIM, vous pouvez :

  • Surveiller en temps réel les modifications apportées aux fichiers critiques et aux registres Windows à partir d’une liste prédéfinie.
  • Accéder aux modifications auditées et les analyser dans un espace de travail désigné.
  • Profiter de l’avantage de 500 Mo inclus dans le plan Defender pour serveurs Plan 2.
  • Maintenir la conformité : FIM offre une prise en charge intégrée des normes de conformité réglementaire en matière de sécurité, telles que PCI-DSS, CIS, NIST, et d’autres.

FIM vous alerte de toute activité potentiellement suspecte. Parmi ces activités, citons les suivantes :

  • La création ou la suppression de fichiers et de clés de registre
  • Les modifications des fichiers, telles que les changements de taille, de nom, d’emplacement ou de hachage de leur contenu
  • Les altérations du registre, y compris les changements de taille, de type et de contenu
  • Les détails sur la modification, y compris la source du changement. Cela inclut les détails du compte, qui indiquent qui a effectué les changements, ainsi que des informations sur le processus initiateur.

Pour obtenir des conseils sur les fichiers à surveiller, veuillez consulter la section Quels fichiers dois-je surveiller ?.

Disponibilité

Aspect Détails
État de sortie : PRÉVERSION
Prix : Nécessite Microsoft Defender pour les serveurs Plan 2
Rôles et autorisations obligatoires : Le propriétaire de l’espace de travail ou l’administrateur de sécurité peut activer et désactiver FIM. Pour plus d’informations, consultez la section Rôles Azure pour Log Analytics.
Le lecteur peut visualiser les résultats.
Clouds : Clouds commerciaux
Appareils avecAzure Arc.
Comptes AWS connectés
Comptes GCP connectés

Prérequis

Pour suivre les modifications de vos fichiers et registres sur les machines avec Defender pour point de terminaison, vous devez :

Activer Supervision de l’intégrité des fichiers

Activer dans le portail Azure

Pour activer FIM dans le portail Azure, procédez comme suit :

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Microsoft Defender pour le cloud.

  3. Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.

  4. Sélectionnez l’abonnement approprié.

  5. Recherchez le plan Defender pour serveurs et sélectionnez Paramètres.

  6. Dans la section Surveillance de l’intégrité des fichiers, activez l’interrupteur en le basculant sur Activé. Ensuite, sélectionnez Modifier la configuration.

    Capture d’écran montrant comment activer la surveillance de l’intégrité des fichiers.

  7. Le volet Configuration de FIM s’ouvre. Dans la liste déroulante Sélection de l’espace de travail, sélectionnez l’espace de travail où vous souhaitez stocker les données FIM. Si vous souhaitez créer un nouvel espace de travail, sélectionnez Créer un nouveau.

    Capture d’écran du volet de configuration FIM.

    Important

    Les événements collectés pour FIM, alimenté par Defender pour point de terminaison, sont inclus dans les types de données éligibles à l’avantage de 500 Mo pour les clients de Defender pour serveurs Plan 2. Pour plus d’informations, consultez la section Quels types de données sont inclus dans l’allocation journalière ?.

  8. Dans la partie inférieure du volet Configuration de FIM, sélectionnez les onglets Registre Windows, Fichiers Windows, et Fichiers Linux pour choisir les fichiers et registres que vous souhaitez surveiller. Si vous choisissez la sélection en haut de chaque onglet, tous les fichiers et registres sont surveillés. Sélectionnez Appliquer pour enregistrer vos modifications.

    Capture d’écran des onglets de configuration FIM.

  9. Sélectionnez Continuer.

  10. Cliquez sur Enregistrer.

Désactiver Supervision de l’intégrité des fichiers

Après la désactivation de FIM, aucun nouvel événement n’est collecté. Cependant, les données collectées avant la désactivation de la fonctionnalité restent dans l’espace de travail, conformément à la politique de rétention de l’espace de travail. Pour plus d’informations, consultez Gérer la conservation des données dans un espace de travail log Analytique.

Désactiver dans le portail Azure

Pour désactiver FIM dans le portail Azure, procédez comme suit :

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Microsoft Defender pour le cloud.

  3. Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.

  4. Sélectionnez l’abonnement approprié.

  5. Recherchez le plan Defender pour serveurs et sélectionnez Paramètres.

  6. Dans la section Surveillance de l’intégrité des fichiers, désactivez l’interrupteur en le basculant sur Désactivé.

    Capture d’écran montrant comment désactiver la surveillance de l’intégrité des fichiers.

  7. Sélectionnez Appliquer.

  8. Sélectionnez Continuer.

  9. Cliquez sur Enregistrer.

Surveiller les entités et les fichiers

Pour surveiller les entités et les fichiers, procédez comme suit :

Remarque

Si vous n’avez pas encore activé FIM, un message s’affichera indiquant La surveillance de l’intégrité des fichiers n’est pas activée. Pour activer FIM, sélectionnez Abonner des abonnements, puis suivez les instructions dans Activer la surveillance de l’intégrité des fichiers.

  1. Dans la barre latérale de Defender pour le cloud, rendez-vous sur Protections de la charge de travail>Surveillance de l’intégrité des fichiers.

    Capture d’écran montrant comment accéder à la surveillance de l’intégrité des fichiers dans les protections de la charge de travail.

  2. Une fenêtre s’ouvre avec toutes les ressources contenant des fichiers et des registres modifiés suivis.

    Capture d’écran des résultats de la surveillance de l’intégrité des fichiers.

  3. Si vous sélectionnez une ressource, une fenêtre s’ouvre avec une requête montrant les modifications apportées aux fichiers et registres suivis sur cette ressource.

    Capture d’écran de la requête de surveillance de l’intégrité des fichiers.

  4. Si vous sélectionnez l’abonnement de la ressource (sous la colonne Nom de l’abonnement), une requête s’ouvre avec tous les fichiers et registres suivis dans cet abonnement.

Remarque

Si vous avez déjà utilisé la surveillance de l’intégrité des fichiers via MMA, vous pouvez revenir à cette méthode en sélectionnant Changer pour l’expérience précédente. Cela sera disponible jusqu’à ce que la fonctionnalité FIM via MMA soit dépréciée. Pour des informations sur le plan de dépréciation, consultez la section Préparer la mise hors service de l’agent Log Analytics.

Récupérer et analyser les données FIM

Les données de surveillance de l’intégrité des fichiers résident dans l’espace de travail Azure Log Analytics dans la table MDCFileIntegrityMonitoringEvents. La table apparaît dans l’espace de travail Log Analytics sous la table LogManagment.

  1. Définissez un intervalle de temps pour récupérer un résumé des modifications par ressource. Dans l’exemple suivant, nous récupérons tous les changements des 14 derniers jours dans les catégories de registre et de fichiers :

    MDCFileIntegrityMonitoringEvents  
    | where TimeGenerated > ago(14d)
    | where MonitoredEntityType in ('Registry', 'File')
    | summarize count() by Computer, MonitoredEntityType
    
  2. Pour afficher des informations détaillées sur les modifications du registre :

    1. Supprimez Files de la clause where.

    2. Remplacez la ligne de synthèse par une clause d’ordonnancement :

    MDCFileIntegrityMonitoringEvents 
    | where TimeGenerated > ago(14d)
    | where MonitoredEntityType == 'Registry'
    | order by Computer, RegistryKey
    
  3. Les rapports peuvent être exportés au format CSV à des fins d’archivage et canalisés vers un rapport Power BI pour une analyse plus approfondie.

En savoir plus sur Defender pour le cloud dans :