Pourquoi la gestion des journaux est importante

0

La surveillance des journaux fonctionne comme une sentinelle. Dans le passé, les forts militaires avaient des tours de guet sur leurs murs où des sentinelles ou des gardes étaient postés pour surveiller les environs. Il était de leur responsabilité d'alerter ceux qui se trouvaient à l'intérieur s'ils voyaient une activité suspecte afin que les habitants des ports puissent se préparer en cas d'attaque.

Avec la surveillance des journaux, c'est un peu similaire. Le système de journalisation gardera une trace des événements dans le système, des activités dans le réseau et des diverses actions entreprises par l'utilisateur.

Les informations produites par votre système de journalisation portent plusieurs noms : journaux d'événements, fichiers journaux, pistes d'audit et enregistrements d'audit. Le travail du système de surveillance des journaux consiste à surveiller les fichiers journaux et à s'assurer que tout fonctionne correctement.

Presque tous les logiciels génèrent des journaux. Des navigateurs Internet aux systèmes d'exploitation en passant par les pare-feu et les logiciels de point de vente (POS). Certains d'entre eux peuvent avoir la capacité de se connecter mais ne le feront pas par défaut, il est donc important de toujours s'assurer que les journaux sont activés dans le système avec lequel vous travaillez. De plus, bien que les systèmes disposent de leurs propres outils de journalisation intégrés, tous ne disposent pas non plus d'outils de gestion des journaux intégrés. C'est pourquoi il est important de connaître les capacités de votre système et même d'installer des solutions tierces pour la gestion des journaux si nécessaire.

Examen quotidien nécessaire

Il est important de consulter constamment vos journaux car ils vous montreront toute activité suspecte se produisant dans votre système. Vous devriez consulter vos journaux quotidiennement pour trouver toute activité suspecte qui se produit dans votre système.

Les journaux sont importants pour des raisons de sécurité car ils sont les premiers indicateurs que quelque chose ne va pas. Lorsque vous les examinez régulièrement, vous vous donnez la possibilité d'étouffer les attaques dans l'œuf.

Le problème avec les journaux, cependant, est que de nombreux fichiers journaux sont générés quotidiennement, même par le système le plus simple. Lorsque vous disposez d'un système de grande entreprise, le nombre de fichiers journaux peut être stupéfiant. Il ne serait pas pratique de les parcourir et de rechercher manuellement les événements anormaux. La meilleure façon de gérer le problème consiste à disposer d'un système de surveillance des journaux en temps réel qui vous alerte chaque fois que quelque chose d'inattendu est détecté.

Filtrez ce dont vous n'avez pas besoin

Bien sûr, les systèmes et les réseaux sont différents d'un bout à l'autre et donc tous les fichiers journaux générés par votre système ne vous seront pas utiles. Par conséquent, vous devez être en mesure de filtrer ce dont vous n'avez pas besoin afin de ne conserver que ce qui est important pour vous. Cela peut être un peu une forme d'art puisque vous devez constamment modifier les paramètres pour aller avec le type d'environnement que votre système traverse en ce moment.

La plupart des solutions de surveillance des journaux sont fournies avec des modèles d'alertes afin que vous ayez un point de départ. Ce n'est pas la solution ultime, mais au moins vous obtenez un point de départ à partir duquel vous pouvez effectuer une optimisation. Vous devez prendre votre temps pour optimiser ces fonctions d'alerte dès le début afin de ne pas traverser une période difficile par la suite. Il existe divers événements pour lesquels vous pouvez souhaiter recevoir des alertes, selon le type de système que vous utilisez :

  • Connexions non autorisées
  • Modifications des mots de passe
  • Nouvelles connexions
  • Échecs de connexion
  • La détection des malwares
  • Attaques de logiciels malveillants
  • Attaques par déni de service
  • Analyse les ports ouverts et fermés ainsi que vos pare-feux
  • Modifications des noms de fichiers
  • Erreurs associées aux périphériques réseau
  • Données exportées
  • Modifications de l'intégrité des fichiers
  • Événements d'accès partagé
  • L'arrêt des processus en cours d'exécution ou le démarrage de nouveaux processus
  • Audits sur dossiers
  • L'installation de nouveaux services
  • Événements déconnectés
  • Modification des valeurs de registre
  • Nouveaux comptes d'utilisateurs

Ce ne sont là que quelques-uns des nombreux éléments pour lesquels vous souhaitez peut-être recevoir une alerte. Tout dépend du type de système que vous utilisez.

Gérez les journaux plus efficacement

En attendant, vous pouvez prendre certaines mesures pour gérer vos journaux plus efficacement, quel que soit le type de système que vous utilisez :

  • Déterminez comment vous souhaitez générer vos journaux et quand
  • Stockez vos journaux dans un endroit sûr pour les protéger des pirates et également pour vous assurer que des personnes bien intentionnées ne les modifient pas par erreur.
  • Demandez à un employé de confiance d'examiner les journaux quotidiennement
  • Avoir une équipe pour surveiller les alertes suspectes de votre outil de surveillance des journaux
  • Avoir des protocoles en place pour régir la génération d'alertes ; faites-le correctement la première fois en fonction de votre situation particulière afin de ne pas avoir de problèmes plus tard
  • Avoir vos journaux stockés pendant au moins un an à partir du moment de la génération ; à tout moment, avoir les trois derniers mois de journaux immédiatement accessibles
  • Cherchez toujours des moyens de faciliter la collecte, le stockage et l'analyse des journaux
Source d'enregistrement: instantshift.com

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More