De nos jours, il est de plus en plus difficile de détecter une activité malveillante, ce qui rend extrêmement important la collecte des journaux d’événements. Cet article fournit une introduction pour celle-ci et pourra être appliquée à tous les types de log ; peu importe si ce sont des événements système, applicatif, réseau, etc… Nous verrons également comment ces derniers devront être stockés et gérés. L'objectif de ce document est double : - Présenter à un responsable les bienfaits de collecter et superviser ses logs, - Orienter avec les bases, une équipe de sécurité opérationnelle ou une équipe d’analystes forensic. De nombreux outils disponibles dans le commerce existent pour collecter les journaux d’événements, je vous présenterai via un cas pratique comment collecter tous types d’événements, et comment mettre en place un SIEM facilement et rapidement.
Sans une bonne compréhension des équipements de votre parc informatique, de certains détails primordiaux comme les différents types de comptes, de connexions et de méthodes d'authentification disponibles sous Windows, la réponse aux incidents et les résultats d'analyse forensic pourraient-être sujets à des erreurs. Au travers de cet article nous essaierons de voir ensemble comment simplifier la gestion des logs avec la mise en place d’un collecteur et d’un SIEM.
1. Présentation
1.1 Objectif
Les objectifs peuvent être divers et variés ; voyons chacun des points qui pourront vous inciter à mettre en place un collecteur de log et un SIEM :
- Conformité :
Beaucoup d’autres objectifs appartiennent de près ou de loin à la conformité. Celle-ci dépendra du pays dans lequel est implantée votre entreprise, de la taille de la structure, de la réglementation dans le secteur dans lequel vous êtes etc…
En fonction des contraintes réglementaires...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
