Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une vue d’ensemble d’Azure Change Tracking and Inventory (CTI) à l’aide d’Azure Monitor Agent (AMA). Cet article inclut également les principales fonctionnalités et avantages du service.
Présentation du suivi des modifications et de l’inventaire
Le service Azure CTI améliore l’audit et la gouvernance des opérations in-guest en surveillant les modifications et en fournissant des journaux d’inventaire détaillés pour les serveurs dans Azure, en local et dans d’autres environnements cloud.
Important
Nous vous recommandons d’utiliser Azure CTI avec l’extension De suivi des modifications version 2.20.0.0 ou ultérieure.
Suivi des modifications :
- Surveille les modifications, notamment les modifications apportées aux fichiers, aux clés de Registre, aux installations logicielles et aux services Windows ou aux démons Linux.
- Fournit des journaux d’activité détaillés sur ce qui et quand les modifications ont été apportées, ce qui vous permet de détecter rapidement les dérives de configuration ou les modifications non autorisées.
Les métadonnées Change Tracking
sont ingérées dans la table ConfigurationChange dans l’espace de travail LA connecté. En savoir plus.
Note
Les données Azure CTI sont journalisées pour les applications au niveau du système et au niveau de l’utilisateur. Les données au niveau du système sont toujours journalisées, mais les applications au niveau de l’utilisateur apparaissent uniquement lorsqu’un utilisateur se connecte à un ordinateur ; si l’utilisateur se déconnecte, ces applications sont marquées comme supprimées.
Inventaire:
- Collecte et gère une liste mise à jour des logiciels installés, des détails du système d’exploitation et d’autres configurations de serveur dans l’espace de travail LA lié.
- Permet de créer une vue d’ensemble des ressources système, qui est utile pour la conformité, les audits et la maintenance proactive.
- Les métadonnées d’inventaire sont ingérées dans la table ConfigurationData dans l’espace de travail LA connecté. En savoir plus.
Principaux avantages d’Azure Change Tracking et d’Inventaire
Voici les principaux avantages :
- Compatibilité avec l’agent de supervision unifié : compatible avec l’agent Azure Monitor qui améliore la sécurité, la fiabilité et facilite l’expérience multihébergement pour stocker des données.
- Compatibilité avec l’outil de suivi : compatible avec l’extension Change Tracking (CT) déployée via Azure Policy sur la machine virtuelle du client. Vous pouvez basculer vers AMA, puis l’extension CT envoie le logiciel, les fichiers et le registre à AMA.
- Expérience d’hébergement multiple : fournit une normalisation de la gestion à partir d’un espace de travail central. Vous pouvez passer de Log Analytics (LA) à AMA afin que toutes les machines virtuelles pointent vers un seul espace de travail pour la collecte et la maintenance des données.
- Gestion des règles : utilise des Règles de collecte de données pour configurer ou personnaliser différents aspects de la collecte de données. Par exemple, vous pouvez modifier la fréquence du regroupement de fichiers.
Pour plus d’informations sur les systèmes d’exploitation pris en charge, consultez la matrice de prise en charge et les régions pour Azure CTI.
Activer Le suivi des modifications et l’inventaire Azure
Vous pouvez activer Azure CTI de la manière suivante :
Pour les serveurs avec Azure Arc (machines non-Azure), reportez-vous à l’initiative Activer le suivi des modifications et l’inventaire pour les machines virtuelles avec Arc dans > les définitions > de stratégie Sélectionner une catégorie = ChangeTrackingAndInventory. Pour activer Azure CTI à grande échelle, utilisez la solution basée sur la stratégie DINE . Pour plus d’informations, consultez Démarrage rapide - Activer Azure Change Tracking et Inventory.
Pour une machine virtuelle Azure unique à partir du volet Machine virtuelle dans le portail Azure. Ce scénario est disponible pour les machines virtuelles Linux et Windows.
Pour les machines virtuelles Azure uniques et multiples en les sélectionnant dans le volet Machines virtuelles du portail Azure.
Suivre les modifications apportées aux fichiers
Pour le suivi des modifications apportées aux fichiers sur Windows et Linux, Azure CTI utilise des hachages SHA256 des fichiers. La fonctionnalité utilise les hachages pour détecter si des modifications ont été apportées depuis le dernier inventaire.
Suivre les modifications apportées au contenu du fichier
Azure CTI vous permet d’afficher le contenu d’un fichier Windows ou Linux. Pour chaque modification apportée à un fichier, Azure CTI stocke le contenu du fichier dans un compte de stockage Azure. Quand vous effectuez le suivi d’un fichier, vous pouvez afficher son contenu avant ou après une modification. Le contenu du fichier peut être affiché en ligne ou côte à côte. En savoir plus.
Suivre les clés de Registre
Azure CTI permet de surveiller les modifications apportées aux clés de Registre Windows. La supervision vous permet d’identifier les points d’extensibilité où du code tiers et des logiciels malveillants peuvent être activés. Le tableau suivant répertorie les clés de registre préconfigurées (mais non activées). Pour effectuer le suivi de ces clés de Registre, vous devez les activer.
| Clé de Registre | Objectif |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Surveille les scripts qui s’exécutent au démarrage. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Surveille les scripts qui s’exécutent à l’arrêt. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Supervise les clés qui sont chargées avant que l’utilisateur se connecte à son compte Windows. La clé est utilisée pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Surveille les modifications apportées aux paramètres d’application. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Supervise les gestionnaires de menu contextuel qui se raccordent directement à l’Explorateur Windows et s’exécutent généralement in-process avec explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Supervise les gestionnaires de raccordement de copie qui se raccordent directement à l’Explorateur Windows et s’exécutent généralement in-process avec explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Surveille l’enregistrement du gestionnaire des icônes de recouvrement. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Supervise l’inscription du gestionnaire de superposition d’image sur une icône pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Surveille la présence de nouveaux plug-ins d’objet application d’assistance du navigateur pour Internet Explorer. Permet d’accéder au dom (Document Object Model) du volet actif et de contrôler la navigation. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Surveille la présence de nouveaux plug-ins d’objet application d’assistance du navigateur pour Internet Explorer. Permet d’accéder au dom (Document Object Model) du volet actif et de contrôler la navigation pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Surveille les nouvelles extensions Internet Explorer, notamment les menus d’outils personnalisés et les boutons de barre d’outils personnalisés. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Supervise les nouvelles extensions Internet Explorer, telles que les menus d’outils et boutons de barre d’outils personnalisés pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Supervise les pilotes 32 bits associés à wavemapper, wave1 et wave2, msacm.imaadpcm, .msadpcm, .msgsm610 et vidc. Analogue à la section [pilotes] du fichier system.ini. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Supervise les pilotes 32 bits associés à wavemapper, wave1 et wave2, msacm.imaadpcm, .msadpcm, .msgsm610 et vidc pour les applications 32 bits s’exécutant sur des ordinateurs 64 bits. Analogue à la section [pilotes] du fichier system.ini. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Supervise la liste des DLL système connues ou couramment utilisées. La supervision empêche quiconque d’exploiter des autorisations faibles de répertoire d’application en déposant des versions de type cheval de Troie des DLL système. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Supervise la liste des packages capables de recevoir des notifications d’événements de la part de winlogon.exe, le modèle de prise en charge de l’ouverture de session interactive de Windows. |
Étapes suivantes
Passez en revue la matrice de prise en charge et les régions pour Azure CTI.