{"id":146875,"date":"2021-12-22T21:40:44","date_gmt":"2021-12-22T21:40:44","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/comment-surveiller-les-fichiers-log4j-en-utilisant-ninjaone\/"},"modified":"2026-03-24T07:17:52","modified_gmt":"2026-03-24T07:17:52","slug":"comment-surveiller-les-fichiers-log4j-avec-ninjaone","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/fr\/blog\/comment-surveiller-les-fichiers-log4j-avec-ninjaone\/","title":{"rendered":"Comment surveiller les fichiers Log4j \u00e0 l&rsquo;aide de NinjaOne"},"content":{"rendered":"<p>Avec les derni\u00e8res nouvelles concernant <a href=\"https:\/\/www.lunasec.io\/docs\/blog\/log4j-zero-day\/\" target=\"_blank\" rel=\"noopener\">Log4Shell (CVE-2021-44228)<\/a> et des tentatives de piratage, les MSP et les \u00e9quipes informatiques ont travaill\u00e9 sans rel\u00e2che pour \u00e9valuer leur exposition, rechercher des Indicateurs de Compromission (IoC) potentiels, appliquer des mesures d&rsquo;att\u00e9nuation et appliquer des correctifs.<\/p>\n<p>Le probl\u00e8me est que, puisque <a href=\"https:\/\/www.techsolvency.com\/story-so-far\/cve-2021-44228-log4j-log4shell\/\" target=\"_blank\" rel=\"noopener\">cette vuln\u00e9rabilit\u00e9 affecte beaucoup d&rsquo;applications<\/a>, et que tous les fournisseurs n&rsquo;ont pas \u00e9t\u00e9 en mesure de fournir une r\u00e9ponse claire sur le fait que leurs produits sont affect\u00e9s ou non (<a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/log4j-vulnerabilite-ninjaone\/\">remarque\u00a0: NinjaOne ne l&rsquo;est pas<\/a>), d\u00e9terminer quels syst\u00e8mes sont potentiellement vuln\u00e9rables est un grand d\u00e9fi.<\/p>\n<p>Ce probl\u00e8me a conduit un certain nombre de chercheurs en s\u00e9curit\u00e9 et de membres de la communaut\u00e9 \u00e0 cr\u00e9er des scripts et des outils permettant de rechercher des fichiers Log4j potentiellement vuln\u00e9rables et des signes d&rsquo;IoC dans les environnements.<\/p>\n<p>En voici quelques exemples\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/log4shell.huntress.com\/\" target=\"_blank\" rel=\"noopener\">Testeur de vuln\u00e9rabilit\u00e9s Log4Shell<\/a> de Huntress<\/li>\n<li><a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-detecting-log4j-files\/\" target=\"_blank\" rel=\"noopener\">Script de d\u00e9tection des fichiers Log4j<\/a> de Kelvin Tegelaar<\/li>\n<li>\u00a0<a href=\"https:\/\/ninjarmm.zendesk.com\/hc\/en-us\/community\/posts\/4416326416397-Log4j\" target=\"_blank\" rel=\"noopener\">Ninja-Log4shell-Scanner<\/a> de Jan Scholte<\/li>\n<li><a href=\"https:\/\/github.com\/N-able\/ScriptsAndAutomationPolicies\/blob\/master\/Vulnerability%20-%20CVE-2021-44228%20(Log4j)\/get-log4jrcevulnerability.ps1\" target=\"_blank\" rel=\"noopener\">get-log4jrcevulnerability.ps1<\/a> par Prejay Shah<\/li>\n<li><a href=\"https:\/\/github.com\/datto\/log4shell-tool\" target=\"_blank\" rel=\"noopener\">Outil d&rsquo;\u00e9num\u00e9ration, d&rsquo;att\u00e9nuation et de d\u00e9tection des attaques Log4Shell<\/a> de Datto<\/li>\n<li><a href=\"https:\/\/github.com\/AshtonSolutions\/log4j-ninja-scanner\" target=\"_blank\" rel=\"noopener\">Scan Powershell Log4j\/Log4Shell<\/a> d&rsquo;AshtonSolutions, con\u00e7u pour \u00eatre utilis\u00e9 avec NinjaOne.<\/li>\n<li>\u00a0<a class=\"ext\" href=\"https:\/\/github.com\/mubix\/CVE-2021-44228-Log4Shell-Hashes\" data-extlink=\"\" target=\"_blank\" rel=\"noopener\">CVE-2021-44228-Log4Shell-Hashes<\/a> de Rob Fuller<\/li>\n<li><a href=\"https:\/\/github.com\/Neo23x0\/log4shell-detector\" target=\"_blank\" rel=\"noopener\">Log4shell-detector<\/a> de Florian Roth (d\u00e9tecte les tentatives d&rsquo;exploitation, mais PAS les applications vuln\u00e9rables)<\/li>\n<\/ul>\n<p>La d\u00e9cision d&rsquo;utiliser l&rsquo;un ou l&rsquo;autre des scripts disponibles vous appartient enti\u00e8rement (il faut toujours tester et effectuer les contr\u00f4les pr\u00e9alables appropri\u00e9s, bien s\u00fbr), mais si vous trouvez un script que vous voulez essayer, cet article vous montrera comment le d\u00e9ployer sur votre r\u00e9seau en utilisant les <a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/utilisations-avancees-des-champs-personnalises-dans-ninjaone-1ere-partie\/\">champs personnalis\u00e9s<\/a>\u00a0 dans NinjaOne.<\/p>\n<p>Avant de nous plonger dans le vif du sujet, vous trouverez ci-dessous d&rsquo;excellentes ressources si vous souhaitez vous familiariser avec Log4Shell (en anglais)\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/youtu.be\/igoDXnkYDy8?t=604\" target=\"_blank\" rel=\"noopener\">Une excellente explication de Log4Shell par John Strand, de chez Black Hills Information Security<\/a>\n<ul>\n<li><a href=\"https:\/\/www.youtube.com\/watch?v=igoDXnkYDy8&amp;t=1200s\" target=\"_blank\" rel=\"noopener\">Passer directement \u00e0 la partie o\u00f9 il parle des mesures d&rsquo;att\u00e9nuation<\/a><\/li>\n<\/ul>\n<\/li>\n<li><a href=\"https:\/\/www.huntress.com\/blog\/rapid-response-critical-rce-vulnerability-is-affecting-java\" target=\"_blank\" rel=\"noopener\">Bonne vue d\u2019ensemble de Log4Shell avec des mises \u00e0 jour r\u00e9guli\u00e8res de Huntress<\/a><\/li>\n<li><a href=\"https:\/\/www.cisa.gov\/uscert\/apache-log4j-vulnerability-guidance\" target=\"_blank\" rel=\"noopener\">Conseils de la \u00ab\u00a0Cybersecurity and Infrastructure Security Agency\u00a0\u00bb (CISA) sur les vuln\u00e9rabilit\u00e9s de Log4j<\/a><\/li>\n<\/ul>\n<h2>Exemple de surveillance des fichiers Log4j \u00e0 l&rsquo;aide de NinjaOne<\/h2>\n<p>Pour configurer depuis NinjaOne une surveillance personnalis\u00e9e qui d\u00e9tecte la pr\u00e9sence de fichiers de la biblioth\u00e8que Log4J sur les terminaux, il vous faudra\u00a0:<\/p>\n<ol>\n<li>Un <a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/utilisations-avancees-des-champs-personnalises-dans-ninjaone-1ere-partie\/\">champ personnalis\u00e9<\/a><\/li>\n<li>Un script pour collecter et stocker les donn\u00e9es (exemple ci-dessous, ou vous pouvez vous r\u00e9f\u00e9rer aux autres exemples cit\u00e9s ci-dessus)<\/li>\n<li>Une condition personnalis\u00e9e pour cr\u00e9er une alerte<\/li>\n<li>Une m\u00e9thode pour d\u00e9ployer le script de d\u00e9tection<\/li>\n<\/ol>\n<h3><strong>Configurer un champ personnalis\u00e9<\/strong><\/h3>\n<p>Le champ personnalis\u00e9 sera utilis\u00e9 pour stocker les donn\u00e9es renvoy\u00e9es par le script de d\u00e9tection.<\/p>\n<p>1) Ajoutez un nouveau champ personnalis\u00e9. Comme nous allons contr\u00f4ler le r\u00e9sultat du script sur tous les terminaux, nous allons cr\u00e9er un <strong>champ personnalis\u00e9 g\u00e9n\u00e9ral<\/strong>.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone size-full wp-image-102828\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/ninja-screen-log4j.png\" alt=\"ninja-screen-log4j\" width=\"780\" height=\"125\" \/><\/p>\n<p>2) Le champ personnalis\u00e9 sera nomm\u00e9 <strong>log4j<\/strong> et sera d\u00e9fini comme \u00e9tant de type <strong>multi-ligne<\/strong>. Nous utilisons le terme \u00ab\u00a0multi-ligne\u00a0\u00bb car chaque terminal peut avoir plusieurs fichiers pr\u00e9sentant des vuln\u00e9rabilit\u00e9s. La pr\u00e9sence de plusieurs lignes rendra cette information plus lisible.<\/p>\n<p><img decoding=\"async\" class=\"alignnone size-full wp-image-102841\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/create-field-log4j.png\" alt=\"create-field-log4j\" width=\"458\" height=\"286\" \/><\/p>\n<p>3) Il faut ensuite configurer le champ personnalis\u00e9. Nous allons d\u00e9finir l&rsquo;<strong>acc\u00e8s du script <\/strong>sur <strong>lecture\/\u00e9criture<\/strong>.<\/p>\n<p><em><strong>Remarque\u00a0: <\/strong>si l&rsquo;acc\u00e8s du script n&rsquo;est pas d\u00e9fini sur \u00ab\u00a0\u00e9criture seulement\u00a0\u00bb ou \u00ab\u00a0lecture\/\u00e9criture\u00a0\u00bb, ce champ ne sera pas \u00e9ditable \u00e0 partir d&rsquo;un script.<\/em><\/p>\n<p><img decoding=\"async\" class=\"alignnone size-full wp-image-102853\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/text-log4j.png\" alt=\"text-log4j\" width=\"650\" height=\"340\" \/><\/p>\n<p>C&rsquo;est tout en ce qui concerne la configuration d\u2019un champ personnalis\u00e9 si nous configurons un champ personnalis\u00e9 g\u00e9n\u00e9ral.<\/p>\n<h3><strong>Cr\u00e9er un script pour extraire des donn\u00e9es<\/strong><\/h3>\n<p>\u00c0 des fins d&rsquo;exemple, nous utiliserons ci-dessous un script inspir\u00e9 de celui de Kelvin Tegelaar, disponible sur <a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-detecting-log4j-files\/\" target=\"_blank\" rel=\"noopener\">CyberDrain<\/a> et dans la <a href=\"https:\/\/ninjarmm.zendesk.com\/hc\/en-us\/community\/posts\/4416918246669-CyberDrain-com-Log4J-Detection\" target=\"_blank\" rel=\"noopener\">Communaut\u00e9 du Dojo de NinjaOne<\/a>. La principale diff\u00e9rence avec le script de Kelvin est qu&rsquo;il utilise un outil externe appel\u00e9 \u00ab\u00a0Everything\u00a0\u00bb qui permet d&rsquo;acc\u00e9l\u00e9rer son ex\u00e9cution.<\/p>\n<p>Veuillez noter qu&rsquo;il existe d&rsquo;autres scripts en circulation auxquels vous pouvez \u00e9galement vous r\u00e9f\u00e9rer et que vous pouvez personnaliser\u00a0, notamment\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/ninjarmm.zendesk.com\/hc\/en-us\/community\/posts\/4416326416397-Log4j\" target=\"_blank\" rel=\"noopener\">Ninja-Log4shell-Scanner<\/a> de Jan Scholte<\/li>\n<li><a href=\"https:\/\/github.com\/N-able\/ScriptsAndAutomationPolicies\/blob\/master\/Vulnerability%20-%20CVE-2021-44228%20(Log4j)\/get-log4jrcevulnerability.ps1\" target=\"_blank\" rel=\"noopener\">get-log4jrcevulnerability.ps1<\/a> par Prejay Shah<\/li>\n<\/ul>\n<p>Ces derniers peuvent fournir des r\u00e9sultats plus rapides et plus efficaces.<\/p>\n<p><strong>*** Attention\u00a0: L&rsquo;utilisation de l&rsquo;un de ces scripts dans NinjaOne rel\u00e8ve de votre propre responsabilit\u00e9 et de vos propres risques. ***<\/strong><\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"generic\">$array = @()\r\n$Drives = Get-PSDrive -PSProvider 'FileSystem'<\/pre>\n<p>foreach($Drive in $Drives) {<\/p>\n<p>$drivePath = $Drive.name + \u00a0\u00bb :\u00a0\u00bb,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,<br \/>\n$array += gci $drivePath -rec -force -include *.jar -ea 0 | foreach {select-string \u00ab\u00a0\u00a0\u00bbJndiLookup.class\u00a0\u00bb\u00a0\u00bb $_} | select -exp Path\u00a0\u00bb<\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"generic\"><\/pre>\n","protected":false},"excerpt":{"rendered":"<p>Avec les derni\u00e8res nouvelles concernant Log4Shell (CVE-2021-44228) et des tentatives de piratage, les MSP et les \u00e9quipes informatiques ont travaill\u00e9 sans rel\u00e2che pour \u00e9valuer leur exposition, rechercher des Indicateurs de Compromission (IoC) potentiels, appliquer des mesures d&rsquo;att\u00e9nuation et appliquer des correctifs. Le probl\u00e8me est que, puisque cette vuln\u00e9rabilit\u00e9 affecte beaucoup d&rsquo;applications, et que tous les [&hellip;]<\/p>\n","protected":false},"author":35,"featured_media":132918,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4369],"tags":[],"class_list":["post-146875","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite"],"acf":[],"modified_by":"Laurie Mouret","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts\/146875","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/comments?post=146875"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts\/146875\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media\/132918"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media?parent=146875"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/categories?post=146875"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/tags?post=146875"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}