Partager via

À propos d’Azure Change Tracking et de l’inventaire

Cet article fournit une vue d’ensemble d’Azure Change Tracking et d’Inventaire à l’aide de l’agent Azure Monitor (AMA). Cet article inclut également les principales fonctionnalités et avantages du service.

Présentation du suivi des modifications et de l’inventaire

Suivi des modifications et inventaire améliore l’audit et la gouvernance des opérations à l'intérieur des machines virtuelles en surveillant les modifications et en fournissant des journaux d’inventaire détaillés pour les serveurs sur Azure, sur site, et dans d’autres environnements cloud.

Important

Nous vous recommandons d’utiliser Change Tracking et Inventory avec l’extension Change Tracking version 2.20.0.0 ou ultérieure.

Suivi des modifications

  • Surveille les modifications, notamment les modifications apportées aux fichiers, aux clés de Registre, aux installations logicielles et aux services Windows ou aux démons Linux.
  • Fournit des journaux d’activité détaillés sur ce qui et quand les modifications ont été apportées afin de détecter rapidement les dérives de configuration ou les modifications non autorisées.
    Les métadonnées de suivi des modifications sont ingérées dans la table ConfigurationChange de l’espace de travail Log Analytics connecté. Pour plus d’informations, consultez ConfigurationChange.

Note

Les données de suivi des modifications et d’inventaire sont journalisées pour les applications au niveau du système et au niveau de l’utilisateur. Les données au niveau du système sont toujours journalisées, mais les applications au niveau de l’utilisateur apparaissent uniquement lorsqu’un utilisateur se connecte à un ordinateur. Si l’utilisateur se déconnecte, ces applications sont marquées comme supprimées.

Inventaire

  • Collecte et gère une liste mise à jour des logiciels installés, des détails du système d’exploitation et d’autres configurations de serveur dans les espaces de travail Log Analytics liés.
  • Permet de créer une vue d’ensemble des ressources système, qui est utile pour la conformité, les audits et la maintenance proactive.
  • Ingère les métadonnées d’inventaire dans la ConfigurationData table de l’espace de travail Log Analytics connecté. Pour plus d’informations, consultez ConfigurationData.

Principaux avantages d’Azure Change Tracking et d’Inventaire

Voici les principaux avantages :

  • Compatibilité avec l’agent de surveillance unifié : est compatible avec l’AMA qui améliore la sécurité et la fiabilité et facilite l’expérience multihébergement pour stocker des données.
  • Compatibilité avec l’outil de suivi : est compatible avec l’extension Change Tracking déployée via Azure Policy sur la machine virtuelle du client. Vous pouvez basculer vers l’AMA, puis l’extension Suivi des modifications envoie (push) le logiciel, les fichiers et le Registre à l’AMA.
  • Expérience multihébergement : fournit une normalisation de la gestion à partir d’un espace de travail central. Vous pouvez passer des journaux Azure Monitor à l’AMA afin que toutes les machines virtuelles pointent vers un espace de travail unique pour la collecte et la maintenance des données.
  • Gestion des règles : utilise des règles de collecte de données pour configurer ou personnaliser différents aspects de la collecte de données. Par exemple, vous pouvez modifier la fréquence du regroupement de fichiers.

Pour plus d’informations sur les systèmes d’exploitation pris en charge, consultez la matrice de prise en charge et les régions pour le suivi des modifications et l’inventaire.

Activer Le suivi des modifications et l’inventaire Azure

Vous pouvez activer Suivi des modifications et inventaire en procédant de l’une des façons suivantes :

  • Serveurs activés par Azure Arc (machines non-Azure) : dans le portail Azure, dans le Centre de suivi des modifications et d’inventaire | Machines, sélectionnez Stratégie, Type de définition, Catégorie, Suivi des modifications et Inventaire. Sous Initiative, sélectionnez Activer le suivi des modifications et l’inventaire pour les machines virtuelles avec Arc. Pour activer Suivi des modifications et inventaire à grande échelle, utilisez la solution basée sur la stratégie Deploy-if-not-exists (DINE). Pour plus d’informations, consultez Démarrage rapide : Activer Azure Change Tracking et Inventory.
  • Machine virtuelle Azure unique : dans le portail Azure, sélectionnez la machine virtuelle dans le volet Machines virtuelles. Ce scénario est disponible pour les machines virtuelles Linux et Windows.
  • Machines virtuelles Azure uniques et multiples : dans le portail Azure, sélectionnez les machines virtuelles dans le volet Machines virtuelles .

Suivre les modifications apportées aux fichiers

Pour suivre les modifications apportées aux fichiers sous Windows et Linux, Change Tracking and Inventory utilise les hachages SHA256 des fichiers. La fonctionnalité utilise les hachages pour détecter si des modifications ont été apportées depuis le dernier inventaire.

Suivre les modifications apportées au contenu du fichier

Avec Change Tracking and Inventory, vous pouvez afficher le contenu d’un fichier Windows ou Linux. Pour chaque modification apportée à un fichier, Suivi des modifications et inventaire stocke le contenu du fichier dans un compte Stockage Azure. Lorsque vous effectuez le suivi d’un fichier, vous pouvez afficher son contenu avant ou après une modification. Vous pouvez afficher le contenu du fichier inline ou côte à côte. Pour plus d’informations, consultez Tutoriel : Modifier un espace de travail et configurer une règle de collecte de données.

Capture d’écran de l’affichage des modifications dans un fichier Windows ou Linux.

Suivre les clés de Registre

Change Tracking and Inventory autorise la supervision des modifications apportées aux clés de Registre Windows. Lorsque vous utilisez la surveillance, vous pouvez identifier les points d’extensibilité où le code et les programmes malveillants non-Microsoft peuvent s’activer. Le tableau suivant répertorie les clés de Registre préconfigurées (mais non activées). Pour effectuer le suivi de ces clés de Registre, vous devez les activer.

Clé du Registre Objectif
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Surveille les scripts qui s’exécutent au démarrage.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Surveille les scripts qui s’exécutent à l’arrêt.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Supervise les clés qui sont chargées avant que l’utilisateur se connecte à son compte Windows. La clé est utilisée pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Surveille les modifications apportées aux paramètres d’application.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Surveille les gestionnaires de menus contextuels qui se connectent directement à l’Explorateur Windows et qui s'exécutent généralement en processus avec explorer.exe.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Supervise les gestionnaires de raccordement de copie qui se raccordent directement à l’Explorateur Windows et s’exécutent généralement in-process avec explorer.exe.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Surveille l’enregistrement du gestionnaire des icônes de recouvrement.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Supervise l’inscription du gestionnaire de superposition d’image sur une icône pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Surveille la présence de nouveaux plug-ins d’objet application d’assistance du navigateur pour Internet Explorer. Permet d’accéder au dom (Document Object Model) du volet actif et de contrôler la navigation.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Surveille la présence de nouveaux plug-ins d’objet application d’assistance du navigateur pour Internet Explorer. Permet d’accéder au DOM du volet actif et de contrôler la navigation pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions Surveille les nouvelles extensions Internet Explorer, notamment les menus d’outils personnalisés et les boutons de barre d’outils personnalisés.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Supervise les nouvelles extensions Internet Explorer, telles que les menus d’outils et boutons de barre d’outils personnalisés pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Supervise les pilotes 32 bits associés à wavemapper, wave1 et wave2, msacm.imaadpcm, .msadpcm, .msgsm610 et vidc. Similaire à la [drivers] section du system.ini fichier.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Supervise les pilotes 32 bits associés à wavemapper, wave1 et wave2, msacm.imaadpcm, .msadpcm, .msgsm610 et vidc pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits. Similaire à la [drivers] section du system.ini fichier.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Supervise la liste des DLL système connues ou couramment utilisées. La supervision empêche quiconque d’exploiter des autorisations faibles de répertoire d’application en déposant des versions de type cheval de Troie des DLL système.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Surveille la liste des packages qui peuvent recevoir des notifications d’événements à partir du modèle de support winlogon.exe de connexion interactive pour Windows.

Contenu connexe

  • Last updated on