Guide de planification de la surveillance de la sécurité et de la détection des attaques
Annexe A - Événements superflus à exclure
Dernière mise à jour le 23 mai 2005
Les événements énumérés dans le tableau suivant sont souvent exclus des requêtes de surveillance de la sécurité en raison de leur fréquence ou de l'inutilité des informations qu'ils fournissent.
Remarque : l'exclusion de certaines informations d'un audit présente toujours un risque. Cependant, il convient de comparer ce risque à la fréquence des événements et à la charge qui en résulte au niveau de l'agent d'analyse.
Tableau A.1 : événements à supprimer pour réduire les besoins en espace de stockage
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 538 | Fermeture de la session utilisateur | Cet événement n'indique pas nécessairement l'heure à laquelle l'utilisateur a arrêté d'utiliser l'ordinateur. Par exemple, si l'utilisateur éteint l'ordinateur sans fermer la session au préalable, ou si la connexion réseau à un partage est interrompue, il se peut que l'ordinateur n'enregistre pas de fermeture du tout, ou uniquement s'il a remarqué que la connexion est interrompue. |
| 551 | Fermeture de session demandée par l'utilisateur | Utilisez l'événement 538 à la place (confirme la fermeture de session). |
| 562 | Un handle sur un objet a été fermé | Enregistre toujours une fermeture réussie. |
| 571 | Contexte client supprimé par le Gestionnaire d'autorisations. | Normal quand le Gestionnaire d'autorisation est en cours d'utilisation. |
| 573 | Un processus génère un événement d'audit non système au moyen de l'interface de programmation d'application Authorization (AuthZ API) | Comportement typique. |
| 577 578 | Appel d'un service de privilège, opération sur objet privilégié | Ces événements générés en grands volumes n'apportent généralement pas suffisamment d'informations pour comprendre ce qui s'est passé ou comment réagir. |
| 594 | Duplication d'un handle sur un objet | Comportement typique. |
| 595 | Obtention d'un accès indirect à un objet | Comportement typique. |
| 596 | Sauvegarde de la clé principale de protection des données | Se produit automatiquement tous les 90 jours (paramètres par défaut). |
| 597 | Récupération de la clé principale de protection des données | Comportement typique. |
| 624 642 | Événement 624 où Utilisateur est égal à Système, suivi de 642 où Nom du compte cible est égal à IUSR_nom_ordinateur ou IWAM_nom_ordinateur et Utilisateur appelant sont égaux à nom_ordinateur$. | Cette séquence d'événements indique qu'un administrateur a installé IIS sur l'ordinateur. |
| 624 630 642 | Utilisateur est égal à Système et les trois événements ont tous la même heure/date et Nouveau/Nom du compte cible est égal à Assistant d'aide et Utilisateur appelant est égal à Nom du contrôleur de domaine$. | Cette séquence est générée lorsqu'un administrateur installe Active Directory sur un ordinateur Windows Server 2003. |
| 624 ou 642 | Utilisateur est égal à nom_serveur_ExchangeServer$ et Nom du compte cible est un Identifiant absolument unique (Globally unique identifier) | Cet événement se produit lorsqu'un serveur Exchange Server se connecte pour la première fois et génère automatiquement les boîtes aux lettres système. |
| 624 | Utilisateur appelant est un utilisateur quelconque et Nom du nouveau compte est nom_machine$ | Un utilisateur du domaine a créé ou connecté un nouveau compte d'ordinateur au domaine. Cet événement est uniquement acceptable si les utilisateurs ont le droit d'affecter des ordinateurs à un domaine. Si ce n'est pas le cas, vous devez en rechercher l'origine. |
| 627 | Utilisateur est égal à Système et Nom du compte cible est égal à Utilisateur Internet Ts et Utilisateur appelant est généralement Nom du contrôleur de domaine$ | Ces événements résultent du comportement normal d'un ordinateur qui exécute les services Terminal Server. |
| 672 | Demande de ticket Kerberos AS | Si vous collectez des événements 528 et 540 auprès de tous les ordinateurs, l'événement 672 ne contient sans doute pas d'informations utiles supplémentaires, puisqu'il enregistre seulement l'octroi d'un TGT Kerberos. Pour qu'un accès puisse avoir lieu, un ticket de service doit encore être octroyé (événement 673). |
| 680 | Connexion de compte | Si vous collectez des événements 528 et 540 auprès de tous les ordinateurs, l'événement 680 ne contient sans doute pas d'informations utiles supplémentaires, puisqu'il enregistre seulement la validation des informations d'identification du compte. Un événement d'ouverture de session séparé enregistre l'emplacement auquel l'utilisateur a accédé. |
| 697 | Appel de l'API de vérification de la stratégie de mot de passe | Comportement typique. |
| 768 | Conflit entre deux espaces de noms d'une même forêt | N'est pas lié à la sécurité. |
| 769 770 771 | Ajout, suppression ou modification d'informations concernant la forêt approuvée | Ces événements indiquent un fonctionnement normal des relations d'approbation entre forêts. À ne pas confondre avec l'ajout, la suppression ou la modification de la relation d'approbation en soi. |
| De 832 à 841 | Divers problèmes de réplication Active Directory | Ne sont pas liés à la sécurité. |