Passer au contenu principal

Moniteur d'utilisateurs

Alert when a device's local user accounts drift from your expected list. Catch rogue or unauthorized accounts the moment they appear, or get notified when a required service account goes missing.

Introduction

Déclenche une alerte lorsque les comptes d'utilisateurs locaux d'un appareil diffèrent de la liste attendue. Le moniteur d'utilisateurs compare les comptes présents sur chaque appareil couvert à votre liste d'utilisateurs connus et se déclenche lorsqu'il y a une discordance : un compte que vous n'avez pas autorisé, ou un compte qui devrait exister mais qui est absent.

C'est l'un des moyens les plus rapides de détecter des comptes administrateurs non autorisés, une technique de persistance courante après une compromission, et de repérer la suppression d'un compte de service requis.

Fonctionnement du moniteur d'utilisateurs

L'agent inventorie les comptes d'utilisateurs locaux sur les appareils couverts et les compare à votre Utilisateurs connus liste. La vérification s'effectue environ toutes les 60 secondes et l'intervalle n'est pas configurable.

L'alerte se déclenche lors de la première vérification qui détecte une discordance, la latence de détection est donc d'environ une minute. La condition se lève lors de la prochaine vérification après que la discordance a disparu, selon le paramètre de résolution automatique.

Le texte de l'alerte indique les comptes concernés : «Utilisateurs inconnus détectés : guest, hacker» ou «Utilisateurs manquants détectés : svc_backup». Avec la portée administrateur activée, il indique «utilisateurs admin» à la place.

Ce qui compte comme utilisateur

Le moniteur compare les comptes locaux ordinaires, pas tous les comptes connus du système d'exploitation. L'agent filtre automatiquement les comptes système et de service, vous n'avez donc pas besoin de les ajouter à votre liste d'utilisateurs connus.

🖥️ NOTE DE PLATEFORME :

  • Windows: Comptes locaux uniquement. Les comptes machine (se terminant par $) et les comptes système intégrés (WDAGUtilityAccount, DefaultAccount, ASPNET, Network/Local Service, krbtgt, IUSR_/IWAM_) sont exclus. Les utilisateurs de domaine ne sont pas énumérés, même sur les machines jointes à un domaine.

  • macOS: Les comptes de service commençant par _ et les comptes avec des UID inférieurs à 501 sont exclus. root est toujours inclus.

  • Linux: Les comptes hors de la plage UID_MIN à UID_MAX définie dans /etc/login.defs sont exclus. root est toujours inclus.

⚠️ AVERTISSEMENT : L'agent n'énumère pas les utilisateurs sur les contrôleurs de domaine Windows, ce moniteur n'a donc aucun effet sur un DC. Excluez les DC des balises cibles de la politique plutôt que de supposer qu'ils sont couverts.

Configuration du moniteur d'utilisateurs

Ouvrez la politique de moniteur cible, puis cliquez sur + Ajouter un nouveau moniteur. Le Ajouter un nouveau moniteur le panneau s'ouvre.

Admin Monitor

Nom et type

  1. Saisissez un nom dans le Nom champ. Nommez-le en fonction de ce qu'il détecte : «Administrateur inattendu détecté» est immédiatement lisible dans une liste d'alertes ; «Moniteur d'utilisateurs» ne l'est pas.

  2. Définissez Type sur Utilisateur.

Sévérité

Définissez Sévérité en fonction de l'impact des modifications de comptes inattendues dans ce contexte :

  • Information

  • Avertissement

  • Critique

  • Urgence

💡 CONSEIL : Pour les moniteurs à portée administrateur, Critique ou Urgence est généralement le bon choix. Un compte administrateur non autorisé est un signal de sécurité sérieux, et il vaut mieux le traiter comme tel dès le départ.

Utilisateurs connus

Saisissez les comptes d'utilisateurs attendus sur les appareils couverts dans le Utilisateurs connus champ. Chaque compte apparaît sous la forme d'une pastille supprimable. Appuyez sur tabulation ou ajoutez une virgule pour ajouter des utilisateurs supplémentaires, et cliquez sur × sur une pastille pour la supprimer.

La correspondance est insensible à la casse et les espaces autour des noms sont ignorés. Jacob et jacob correspondent au même compte.

💡 CONSEIL : Vous ne savez pas quels comptes existent actuellement sur un appareil ? Ouvrez l'appareil et consultez l' Utilisateurs onglet sous les détails de l'appareil. C'est votre référence pour construire la liste.

ℹ️ REMARQUE : Cliquez sur le {x} bouton à droite du champ pour insérer une variable, comme un champ personnalisé (par exemple, {{cf_known_users}}). La variable est résolue par appareil, et sa valeur est divisée sur les virgules et les sauts de ligne. Cela vous permet de piloter la liste à partir d'un champ personnalisé au lieu de coder les noms en dur dans chaque moniteur. Utile lorsque les comptes attendus varient par appareil ou par client.

Portée

Portée contrôle quels comptes le moniteur compare à votre liste :

  • Tous les utilisateurs — chaque compte d'utilisateur local sur l'appareil est vérifié

  • Administrateurs uniquement — seuls les comptes avec des privilèges administrateurs sont vérifiés

💡 CONSEIL : Administrateurs uniquement est le point de départ générant le moins de bruit. Les comptes d'utilisateurs standard vont et viennent sur les postes de travail partagés, mais la liste des administrateurs sur un appareil sain devrait être courte et stable.

🖥️ NOTE DE PLATEFORME :

  • Windows: Administrateur signifie un membre du groupe Administrateurs intégré.

  • macOS: Administrateur signifie un membre du groupe admin ou wheel.

  • Linux: Administrateur signifie un membre du groupe sudo, wheel ou root.

Alerte lors de

Alerte lors de définit la condition qui déclenche l'alerte :

  • Apparition d'un utilisateur inconnu — se déclenche lorsqu'un compte existe sur l'appareil mais n'est pas dans votre liste d'utilisateurs connus. Détecte les comptes pirates ou non autorisés.

  • Absence d'un utilisateur attendu — se déclenche lorsqu'un compte de votre liste d'utilisateurs connus est introuvable sur l'appareil. Détecte la suppression de comptes de service requis.

Dans les deux cas, la liste des utilisateurs connus est l'ensemble de référence. En mode inconnu, elle fonctionne comme une liste d'autorisation ; en mode manquant, elle fonctionne comme une liste obligatoire.

ℹ️ REMARQUE : Chaque moniteur surveille une seule condition. Pour détecter à la fois les comptes inconnus et les comptes manquants, créez deux moniteurs d'utilisateurs dans la même politique, un pour chaque condition. Ils peuvent partager la même liste d'utilisateurs connus.

Remédiation

Associez une ou plusieurs automatisations à exécuter lorsque ce moniteur se déclenche. Pour un compte administrateur inattendu, cela pourrait signifier verrouiller l'appareil, désactiver le compte via un script ou alerter votre contact sécurité.

  1. Cliquez dans le Remédiation champ et sélectionnez une automatisation.

  2. Pour en ajouter d'autres, cliquez sur + Ajouter une autre remédiation.

  3. Pour en supprimer une, cliquez sur × à côté.

Une fois une automatisation associée, ouvrez-la depuis l'icône de lien pour l'examiner, et affectez la charge utile du moniteur à une variable d'automatisation si vous souhaitez transmettre les données d'alerte à la logique de l'automatisation.

⚠️ AVERTISSEMENT : Les remédiations agressives comme Verrouiller l'appareil agissent immédiatement lorsque l'alerte se déclenche. Testez votre liste d'utilisateurs connus sur de vrais appareils avant d'associer une remédiation perturbatrice, car une entrée manquante dans votre liste verrouillera une machine légitime.

Notifications

Les Notifier les destinataires cases à cocher contrôlent si les destinataires de la politique reçoivent un e-mail :

  • À la création de l'alerte — les destinataires reçoivent un e-mail lorsque l'alerte se déclenche

  • À la résolution de l'alerte — les destinataires reçoivent un e-mail lorsque l'alerte est résolue

Les destinataires sont gérés au niveau de la politique de moniteur, dans la Destinataires section.

Résolution automatique

Résoudre automatiquement l'alerte lorsque les conditions disparaissent ferme automatiquement l'alerte lorsque l'état des comptes redevient conforme à votre liste d'utilisateurs connus, par exemple lorsque le compte pirate est supprimé ou que le compte manquant est restauré.

Pour un moniteur axé sur la sécurité, vous souhaitez généralement que cette option soit désactivée pour une révision manuelle. L'apparition puis la disparition d'un compte non autorisé est exactement le type d'événement qu'un humain devrait examiner, même après que la condition a disparu.

FAQ

  • Qui peut créer et modifier des moniteurs ? Les techniciens ayant accès à la politique de moniteur concernée. Les paramètres de permissions sont gérés dans Espace de travail → Permissions.

  • Ce moniteur couvre-t-il les comptes de domaine, ou uniquement les comptes locaux ? Comptes locaux uniquement. Les utilisateurs de domaine ne sont pas énumérés, même sur les machines jointes à un domaine. Pour surveiller l'appartenance aux comptes de domaine, utilisez un moniteur Exécuter un script avec une vérification personnalisée.

  • Pourquoi ce moniteur ne fait-il rien sur mon contrôleur de domaine ? L'agent n'énumère pas les utilisateurs sur les contrôleurs de domaine Windows, le moniteur n'y a donc aucun effet. Excluez les DC des balises cibles de la politique.

  • Dois-je ajouter des comptes intégrés comme Administrateur ou root à ma liste d'utilisateurs connus ? Parfois. Les comptes système et de service sont filtrés automatiquement, mais les comptes intégrés standard qui survivent au filtre (Administrateur et Invité sur Windows, root partout) comptent comme des utilisateurs. Si l'un d'eux existe sur l'appareil et entre dans votre portée, ajoutez-le à la liste, sinon il déclenchera une alerte d'utilisateur inconnu.

  • La liste des utilisateurs connus est-elle sensible à la casse ? Non. La correspondance est insensible à la casse et ignore les espaces environnants.

  • Un seul moniteur peut-il alerter à la fois sur les utilisateurs inconnus et les utilisateurs manquants ? Non. Chaque moniteur se déclenche sur une seule condition. Créez deux moniteurs dans la même politique, un défini sur Apparition d'un utilisateur inconnu et un défini sur Absence d'un utilisateur attendu.

  • Mes appareils ont des comptes attendus différents par client. Ai-je besoin d'un moniteur par client ? Pas nécessairement. Utilisez le {x} sélecteur de variables dans le champ Utilisateurs connus pour référencer un champ personnalisé, puis stockez les comptes attendus de chaque appareil dans ce champ (séparés par des virgules ou des sauts de ligne). Un seul moniteur, des listes par appareil.

  • Pourquoi mon alerte ne s'est-elle pas déclenchée lorsque j'ai créé un compte de test ? Quelques éléments à vérifier : l'appareil doit être en ligne et couvert par les balises cibles de la politique, la vérification s'effectue environ toutes les 60 secondes (attendez donc une minute), et un compte de test standard ne déclenchera pas un moniteur configuré sur Administrateurs uniquement.

  • Que se passe-t-il pour les alertes d'utilisateurs ouvertes si je supprime le moniteur ? Les alertes existantes restent en place. La suppression d'un moniteur ne ferme pas les alertes qu'il a déjà créées. Résolvez-les manuellement.

Articles connexes
Moniteur de connexion
Moniteur de processus
Moniteur d'applications
Moniteur de connexions échouées
Moniteur de temps de fonctionnement
Avez-vous trouvé la réponse à votre question ?