Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Un guide pour le contrôle CIS 8 : Gestion des journaux d'audit

Un guide pour le contrôle CIS 8 : Gestion des journaux d'audit

Jun 16, 2022

Introduction au CIS Control 8

Le CIS Control 8 Center for Internet Security (CIS) version 8 couvre la gestion des journaux d'audit. (Dans la version 7, ce sujet était traité par le Control 6.) Ce contrôle de sécurité détaille les mesures de protection importantes pour établir et maintenir les journaux d'audit, y compris leur collecte, stockage, synchronisation temporelle, conservation et examen.

Contenu connexe sélectionné :

Deux types de journaux sont configurés indépendamment lors de la mise en œuvre du système :

  • Les journaux système fournissent des données sur les événements au niveau du système tels que les heures de début et de fin des processus.
  • Les journaux d'audit incluent des événements au niveau de l'utilisateur tels que les connexions et l'accès aux fichiers. Les journaux d'audit sont essentiels pour enquêter sur les incidents de cybersécurité et nécessitent plus d'efforts de configuration que les journaux système.

Gestion des journaux

Parce que les environnements informatiques génèrent tant d'événements, vous avez besoin d'une gestion des journaux pour vous assurer de capturer des informations précieuses et de pouvoir les analyser rapidement. Tous les actifs logiciels et matériels, y compris les pare-feu, les serveurs proxy, les VPN et les systèmes d'accès à distance, doivent être configurés pour conserver des données précieuses.

De plus, il est recommandé selon les meilleures pratiques que les organisations analysent périodiquement leurs journaux et les comparent à leur inventaire d'actifs informatiques (qui devrait être assemblé conformément au CIS Control 1) afin d'évaluer si chaque actif est activement connecté à votre réseau et génère des journaux comme prévu.

Un aspect de la gestion efficace des journaux souvent négligé est la nécessité de synchroniser l'heure de tous les systèmes avec un serveur central de protocole de temps réseau (NTP) afin d'établir une séquence d'événements claire.

Le rôle de la gestion des journaux

La gestion des journaux implique la collecte, l'examen et la conservation des journaux, ainsi que l'alerte en cas d'activité suspecte dans le réseau ou sur un système. Une gestion appropriée des journaux aide les organisations à détecter les premiers signes d'une violation ou d'une attaque qui apparaissent dans les journaux système.

Cela aide également à enquêter et à se remettre des incidents de sécurité. Les journaux d'audit fournissent un niveau de détail de type forensique, incluant un enregistrement séquentiel de l'origine, de l'identité et de la méthodologie des attaquants. Les journaux d'audit sont également cruciaux pour la médecine légale des incidents, vous indiquant quand et comment l'attaque s'est produite, quelles informations ont été consultées et si des données ont été volées ou détruites. Les journaux sont aussi essentiels pour les enquêtes de suivi et peuvent être utilisés pour identifier le début de toute attaque de longue durée qui est restée non détectée pendant des semaines ou des mois.

Un détail du CIS Control 8 : Audit Log Management pour guider vos efforts de conformité suit.

Safeguard 8.1 : Établir et maintenir un processus de gestion des journaux d'audit

Mettez en place et maintenez un processus de gestion des journaux d'audit qui définit les exigences de journalisation de l'entreprise. Au minimum, abordez la collecte, l'examen et la conservation des journaux d'audit pour les actifs de l'entreprise. Révisez et mettez à jour la documentation annuellement ou lorsque des changements importants dans l'entreprise pourraient avoir un impact sur cette mesure de protection.

Pourquoi la journalisation des audits est-elle nécessaire ?

Les journaux d'audit capturent et enregistrent les événements et les modifications dans les appareils informatiques à travers le réseau. Au minimum, les données de journal doivent inclure :

  • Groupe — L'équipe, l'organisation ou le compte d'où provient l'activité
  • Acteur — Les UUID, noms d'utilisateur et noms de jetons d'API du compte responsable de l'action
  • Nom de l'événement — Le nom standard pour un événement spécifique
  • Description — Une description lisible par l'homme qui peut inclure des liens vers des informations connexes
  • Action — Comment l'objet a été modifié
  • Type d'action — Le type d'action, tel que créer, lire, mettre à jour ou supprimer
  • Quand — L'horodatage synchronisé par NTP
  • — Le pays d'origine, le numéro d'identification de l'appareil ou l'adresse IP d'origine

Les administrateurs système et les auditeurs utilisent ces détails pour examiner l'activité réseau suspecte et résoudre les problèmes. Les journaux fournissent une base de référence pour le comportement normal et des informations sur le comportement anormal.

Avantages de la journalisation des audits

La journalisation des audits présente les avantages suivants :

  • Amélioration de la sécurité, basée sur les aperçus de l'activité
  • Preuve de conformité avec des normes et réglementations telles que HIPAA et PCI DSS
  • Gestion des risques pour contrôler les niveaux de risque et démontrer la diligence raisonnable aux parties prenantes

Les quatre étapes de la journalisation des audits

Étape 1. Inventoriez vos systèmes et votre matériel et établissez des priorités préliminaires.

Faites un inventaire de tous les appareils et systèmes au sein du réseau, y compris :

  • Ordinateurs
  • Serveurs
  • Appareils mobiles
  • Plateformes de stockage de fichiers
  • Des appareils réseau tels que des pare-feu, des commutateurs et des routeurs

Attribuez une valeur aux données stockées dans chaque actif. Considérez la valeur des rôles que ces actifs remplissent et la criticité des données à des fins commerciales. L'objectif est une évaluation des risques estimée pour chaque actif pour une évaluation future.

Étape 2. Consolidez et remplacez les actifs.

Utilisez l'inventaire pour évaluer le matériel et les plateformes vieillissants en vue de leur remplacement. Incluez le temps estimé nécessaire pour mettre en œuvre les remplacements ou consolider les plateformes avec un objectif final d'audit de votre environnement.

Déterminez facilement les actifs facilement auditables par rapport aux actifs nécessitant un effort d'audit supplémentaire. Documentez tout pour mesurer les progrès et créer une référence pour les auditeurs.

Étape 3. Catégorisez les ressources restantes de la plus auditable à la moins auditable.

Examinez vos systèmes restants et déterminez leur lien avec le stockage des données ou le contrôle d'accès. Catégorisez les actifs en fonction de la probabilité attendue d'un audit. Assurez-vous que les informations présentant le plus haut risque ou la plus grande valeur soient stockées dans les systèmes les plus facilement auditables.

Étape 4. Recherchez une solution d'audit qui couvrira le plus d'actifs dans le moins de temps.

Lors de la sélection d'une solution, recherchez un fournisseur avec un large éventail d'outils et un excellent service client. Le fournisseur doit avoir une solide expérience dans la fourniture d'améliorations de produits et de mises à jour pour suivre l'évolution constante des exigences d'audit et de l'environnement des risques.

Pour simplifier la gestion, minimisez le nombre de licences, de contacts et d'accords de support. Recherchez également une licence flexible, une évolutivité et un stockage centralisé à long terme qui répondent à vos besoins.

Safeguard 8.2 : Collectez les journaux d'audit

Collectez les journaux d'audit. Assurez-vous que la journalisation a été activée sur les actifs de l'entreprise conformément au processus de gestion des journaux d'audit de l'entreprise.

Chaque organisation devrait auditer ce qui suit :

  • Systèmes, y compris tous les points d'accès
  • Des appareils, y compris des serveurs web, des serveurs d'authentification, des commutateurs, des routeurs et des postes de travail
  • Applications, y compris les pare-feu et autres solutions de sécurité

Safeguard 8.3 : Assurez un stockage adéquat des journaux d'audit

Assurez-vous que les destinations de journalisation disposent d'un espace de stockage adéquat pour se conformer au processus de gestion des journaux de l'entreprise.

La conservation des journaux d'audit est une exigence de la plupart des réglementations et normes légales. De plus, le stockage des journaux est nécessaire pour permettre l'analyse médico-légale afin d'investiguer et de remédier à un événement.

Les principaux types de données à conserver incluent :

  • Identifiants et informations d'identification des utilisateurs
  • Identités de terminal
  • Modifications de la configuration du système
  • Date et heure de l'événement
  • Tentatives de connexion réussies et échouées

La publication NIST SP 800-92 Sections 5.1 et 5.4 abordent le développement de politiques et la gestion du stockage à long terme.

Périodes de rétention des journaux

La politique organisationnelle doit déterminer la durée de conservation des données de chaque journal en fonction de la valeur des données et d'autres facteurs :

  • Non stocké — Données de peu de valeur
  • Uniquement au niveau du système — Des données d'une certaine valeur pour l'administration du système mais pas suffisantes pour être envoyées à l'infrastructure de gestion des journaux
  • Tant au niveau du système qu'au niveau de l'infrastructure — Données requises pour la rétention et la centralisation
  • Infrastructure uniquement — Lorsque les journaux système ont une capacité de stockage limitée

La politique définit également la rotation locale des journaux pour toutes les sources de journaux. Vous pouvez configurer vos journaux pour qu'ils tournent régulièrement et lorsque le journal atteint sa taille maximale. Si les journaux sont dans un format propriétaire qui ne permet pas une rotation facile, vous devez décider s'il faut arrêter la journalisation, écraser les entrées les plus anciennes ou arrêter le générateur de journal.

Les périodes de rétention des journaux dépendent de la nature de votre entreprise et de vos politiques organisationnelles. La plupart des entreprises conservent les journaux d'audit, les journaux IDS et les journaux de pare-feu pendant au moins deux mois. Certaines réglementations exigent une conservation allant de six mois à sept ans.

Si vous devez conserver les journaux pendant une période relativement longue, vous devriez choisir un format de journal pour toutes les données archivées et utiliser un type spécifique de support de sauvegarde sélectionné en fonction de votre budget et d'autres facteurs. Vérifiez l'intégrité des journaux transférés et stockez le support de manière sécurisée hors site.

Safeguard 8.4 : Standardisez la synchronisation de l'heure

Standardisez la synchronisation de l'heure. Configurez au moins deux sources de temps synchronisées à travers les actifs de l'entreprise, là où cela est pris en charge.

Chaque hôte qui génère des journaux se réfère à une horloge interne pour horodater les événements. Le défaut de synchronisation des journaux avec une source de temps centrale peut causer des problèmes lors de l'investigation médico-légale des chronologies d'incidents et conduire à de fausses interprétations des données de journal. Synchroniser les horodatages entre les actifs permet une corrélation des événements et une piste d'audit précise, surtout si les journaux proviennent de plusieurs hôtes.

Protégez 8.5 : Collectez des journaux d'audit détaillés

Configurez une journalisation d'audit détaillée pour les actifs d'entreprise contenant des données sensibles. Incluez la source de l'événement, la date, le nom d'utilisateur, l'horodatage, les adresses sources, les adresses de destination et d'autres éléments utiles qui pourraient aider dans une enquête médico-légale.

L'analyse médico-légale des journaux est impossible sans détails. Au-delà des informations mentionnées dans la sauvegarde, vous devez également capturer les entrées d'événements car elles fournissent des informations liées à un événement spécifique qui s'est produit et qui a eu un impact sur un appareil couvert.

Collectez des journaux d'audit détaillés pour :

  • Événements du système d'exploitation — Démarrage et arrêt du système, démarrage et arrêt de service, changements de connexion réseau ou échecs, et tentatives réussies et échouées de modification des paramètres et contrôles de sécurité du système
  • Enregistrements d'audit du système d'exploitation — Tentatives de connexion, fonctions exécutées après la connexion, modifications de compte, informations et opérations

Chaque journal d'audit doit fournir les informations suivantes :

  • Horodatage
  • Événement, statut et tous les codes d'erreur
  • Temps de service/commande/application
  • Compte utilisateur ou système associé à l'événement
  • Appareil utilisé et adresses IP source et destination
  • ID de session de terminal
  • Navigateur web
  • Autres données selon les besoins

Safeguard 8.6 : Collectez les journaux d'audit des requêtes DNS

Collectez les journaux d'audit des requêtes DNS sur les actifs de l'entreprise, là où cela est approprié et pris en charge.

L'importance de la collecte des journaux d'audit des requêtes DNS

La collecte des journaux d'audit des requêtes DNS réduit l'impact d'une attaque DNS. L'événement du journal peut inclure :

  • Mises à jour dynamiques
  • Transferts de zone
  • Limitation du taux
  • Signature DNS
  • D'autres détails importants

Risques et attaques DNS

Le détournement de DNS utilise des logiciels malveillants pour modifier les serveurs de noms configurés sur les postes de travail et faire en sorte que les requêtes DNS soient envoyées vers des serveurs malveillants. Le détournement permet le phishing, le pharming, la distribution de logiciels malveillants et la publication d'une version altérée de votre site web.

Le tunneling DNS fait référence à l'accès aux requêtes DNS, aux termes et aux réponses contenant des charges utiles de données qui peuvent transporter des logiciels malveillants, des données volées, des protocoles bidirectionnels, des droits et des informations de commande et de contrôle.

Les attaques par déni de service (DoS) augmentent la charge sur votre serveur jusqu'à ce qu'il ne puisse plus répondre aux demandes légitimes.

L'empoisonnement du cache DNS, également connu sous le nom d'usurpation, est similaire au détournement, où le résolveur DNS accepte un enregistrement source invalide en raison d'une vulnérabilité.

Safeguard 8.7 : Collectez les journaux d'audit des demandes d'URL

Collectez les journaux d'audit des demandes d'URL sur les actifs de l'entreprise, lorsque cela est approprié et pris en charge.

Les requêtes URL peuvent exposer des informations via la chaîne de requête et transmettre des données sensibles aux paramètres dans l'URL. Les attaquants peuvent alors obtenir des noms d'utilisateur, des mots de passe, des jetons et d'autres informations potentiellement sensibles. L'utilisation de HTTPS ne résout pas cette vulnérabilité.

Les risques potentiels liés aux demandes d'URL incluent :

  • Navigation forcée
  • Exploitation de chemin ou manipulation
  • Injection de ressources

Safeguard 8.8 : Collectez des journaux d'audit de ligne de commande

Collectez les journaux d'audit de ligne de commande. Les exemples de mise en œuvre incluent la collecte des journaux d'audit de PowerShell®, BASH®, et des terminaux d'administration à distance.

Un acteur de la menace peut utiliser une transmission de données non sécurisée, telle que des cookies et des formulaires, pour injecter une commande dans l'interpréteur de commandes d'un serveur web. L'attaquant tire ensuite parti des privilèges des applications vulnérables. L'injection de commande comprend l'exécution directe de commandes shell, l'injection de fichiers malveillants dans l'environnement d'exécution et l'exploitation des vulnérabilités de fichiers de configuration.

Un risque lié à une exploitation en ligne de commande est l'exécution de commandes arbitraires sur le système d'exploitation, en particulier lorsque une application transmet des données fournies par l'utilisateur non sécurisées à un shell système.

En conséquence, les organisations devraient consigner les données concernant l'utilisation de la ligne de commande.

Safeguard 8.9 : Centralisez les journaux d'audit

Dans la mesure du possible, centralisez la collecte et la conservation des journaux d'audit à travers les actifs de l'entreprise.

Les pirates utilisent souvent la tactique de suppression des fichiers journaux locaux pour éliminer les preuves de leur activité. Une base de données centralisée et sécurisée des données de journalisation contrecarre cette tactique et permet la comparaison des journaux à travers plusieurs systèmes.

Safeguard 8.10 : Conservez les journaux d'audit

Conservez les journaux d'audit sur les actifs de l'entreprise pour une durée minimale de 90 jours.

Les avantages de la conservation des journaux incluent la facilitation de l'analyse médico-légale des attaques découvertes longtemps après que le système a été compromis. De nombreuses normes et réglementations exigent la conservation des journaux d'audit pour la conformité, et la préservation des données de journalisation aide à garantir l'intégrité des données.

Les journaux enregistrent toutes les modifications apportées aux enregistrements afin que vous puissiez découvrir les modifications non autorisées effectuées par une source externe ou en raison d'erreurs dans le développement interne ou l'administration du système.

Protégez 8.11 : Réalisez des examens des journaux d'audit

Effectuez des examens des journaux d'audit pour détecter des anomalies ou des événements anormaux qui pourraient indiquer une menace potentielle. Réalisez ces examens sur une base hebdomadaire ou plus fréquente.

Examinez les journaux pour détecter des événements anormaux qui pourraient signaler une menace. Utilisez-les pour associer les points de terminaison à l'inventaire et configurer de nouveaux points de terminaison si nécessaire. De plus, examinez les journaux d'audit pour vous assurer que le système génère les journaux appropriés.

Effectuez des revues hebdomadaires ou plus fréquemment.

Protégez 8.12 Collectez les journaux des fournisseurs de services

Collectez les journaux des fournisseurs de services, lorsque cela est pris en charge. Les exemples de mise en œuvre incluent la collecte des événements d'authentification et d'autorisation, des événements de création et de suppression de données, et des événements de gestion des utilisateurs.

Bien que votre fournisseur de services puisse garantir la sécurité, vous souhaitez vérifier l'intégrité des journaux que vous recevez et vous assurer que le fournisseur respecte les réglementations. De plus, en cas d'incident, vous avez besoin des données pour l'analyse médico-légale.

Le fournisseur doit collecter les événements d'authentification et d'autorisation, les événements de création et de suppression de données, ainsi que les événements de gestion des utilisateurs.

À mesure que le cloud computing se développe, les attaquants ciblent de plus en plus les services. Un pirate pourrait usurper une URL et rediriger l'utilisateur vers un faux site fournisseur ou causer d'autres dommages. Si un fournisseur de services rencontre un problème de sécurité, il se peut qu'il n'en informe pas ses clients rapidement. De plus, vous pourriez découvrir que le fournisseur de services n'offre pas le niveau de sécurité que vous attendez ou exigez.

Résumé

Le contrôle 8 contient des mesures de protection mises à jour pour la gestion des journaux d'audit, une fonction critique requise pour l'établissement et le maintien des journaux d'audit, incluant la collecte, le stockage, la synchronisation temporelle, la conservation et la révision.

Chaque mesure de protection aborde un aspect de la gestion des journaux d'audit pour vous aider à maintenir la conformité avec les normes et vous fournir des informations en cas d'audits ou d'attaques.

FAQ

Que signifie journal d'audit ?

Un journal d'audit est une méthode de conservation des données concernant les événements au niveau de l'utilisateur. Il contient des informations spécifiques pour aider à identifier l'acteur et les actions entreprises.

Quelle est la fonction d'un journal d'audit ?

Le journal peut être utilisé pour une analyse médico-légale en cas d'attaque et pour déterminer l'intégrité des données du journal. Il fournit également une preuve de conformité avec les normes.

Que doit inclure un journal d'audit ?

Un journal d'audit doit inclure ce qui suit :

  • Groupe
  • Acteur
  • Type d'action
  • Nom et description de l'événement
  • Horodatage
  • Lieu d'origine

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité