Guide de planification de la surveillance de la sécurité et de la détection des attaques

Chapitre 1 - Introduction

Dernière mise à jour le 23 mai 2005

Sur cette page

Synthèse
Présentation du guide de planification

Synthèse

La forte médiatisation des cas de diffusion de logiciels malveillants sur Internet a considérablement augmenté la notoriété des menaces externes qui pèsent sur les ressources réseau des organisations. Toutefois, c'est du réseau interne que proviennent certaines des attaques les plus dangereuses contre l'infrastructure d'une organisation. Les attaques internes susceptibles de causer le plus de dégâts sont celles qui résultent des activités des personnes de confiance maximale, comme les administrateurs réseau. L'analyse des menaces aussi bien internes qu'externes a conduit de nombreuses organisations à s'intéresser à des systèmes qui surveillent les réseaux et détectent les attaques.

Pour les organisations dont les activités sont fortement réglementées, la surveillance de la sécurité est une exigence opérationnelle. Tandis que de nombreuses institutions dans le monde ne cessent de renforcer leurs exigences, les organisations sont contraintes de surveiller leurs réseaux, de contrôler les demandes d'accès aux ressources et d'identifier les utilisateurs qui ouvrent et ferment des sessions réseau. Une réglementation peut également obliger une société à archiver ses données de sécurité pendant un certain temps.

Les journaux de sécurité de Microsoft® Windows® constituent le point de départ d'un système capable de surveiller la sécurité. Cela dit, les informations qu'ils contiennent ne permettent pas de planifier une réponse à un incident. En revanche, associés à d'autres technologies de collecte et d'analyse, ils peuvent former l'axe central d'un système complet de surveillance de la sécurité et de détection des attaques.

Ce guide explique comment planifier un système de surveillance de la sécurité sur des réseaux Windows. Ce système est capable de détecter des attaques provenant de sources aussi bien internes qu'externes. Son objectif principal est d'identifier les événements inhabituels indiquant une activité malveillante ou des erreurs de procédure sur le réseau.

Défi pour l'entreprise

Pour une société, l'implémentation d'un système de surveillance de la sécurité efficace sur un réseau de grande envergure pose un certain nombre de défis. L'entreprise doit :

  • identifier le besoin de protéger les informations ;

  • définir les niveaux d'autorisation des administrateurs et des utilisateurs ;

  • implémenter une stratégie de surveillance complète ;

  • mettre cette stratégie en corrélation avec les événements de sécurité détectés.

Ces mêmes défis concernent aussi les organisations dont les impératifs de réseau sont moins complexes.

Avantages pour l'entreprise

La surveillance de la sécurité présente deux avantages pour les organisations de toutes tailles : la possibilité d'identifier des attaques en temps réel et la capacité à effectuer des recherches et analyses de preuves sur les événements qui se sont produits avant, pendant et après une attaque.

La détection des attaques en temps réel permet aux départements de sécurité de réagir plus vite et, par conséquent, de réduire considérablement les dégâts causés à l'infrastructure réseau. Les données issues de la recherche et analyse de preuves aident également les enquêteurs à identifier l'étendue d'une attaque. Autres avantages :

  • Réduction des conséquences d'une attaque

  • Identification rapide des comportements inhabituels par le personnel de sécurité

  • Génération d'informations d'audit exigées par règlement

Pour plus d'informations sur ces avantages, consultez le chapitre 2, « Approches en matière de surveillance de la sécurité ».

À qui s'adresse ce document

Ce guide contient des informations utiles pour les organisations qui ont des besoins très stricts en matière de confidentialité, et particulièrement celles dont les activités sont fortement réglementées. Ce guide s'adresse aux organisations de toutes tailles qui doivent protéger les identités de leurs utilisateurs et contrôler l'accès aux données.

Il est destiné aux responsables et aux spécialistes en informatique tels que les architectes système d'entreprise et les administrateurs de la sécurité. Les informations qu'il contient sont également susceptibles d'intéresser les consultants chargés de planifier, de déployer ou d'exploiter des réseaux Windows et les décideurs techniques.

Connaissances prérequises

Pour comprendre les solutions présentées dans ce guide, le lecteur doit bien connaître le profil de risque et les problèmes de sécurité propres au réseau dont il est responsable. Il doit également connaître le service d'enregistrement des événements de Windows.

Ce guide utilise les quadrants Exploitation et Support du modèle de processus de la structure Microsoft Operations Framework (MOF). Il utilise également deux fonctions de gestion de service (SMF, Service management functions) de la structure MOF : la SMF Administration de la sécurité (Security Administration) et la SMF Gestion des incidents (Incident Management). Pour plus d'informations sur la structure MOF, reportez-vous au site Web Microsoft Operations Framework, à l'adresse www.microsoft.com/france/technet/solutions/parc/info/info.asp?mar=/france/technet/solutions/parc/info/20030221\_mofeo.html.

Haut de page

Présentation du guide de planification

Ce guide se compose de quatre chapitres centrés sur les aspects et les concepts essentiels de la planification d'une solution de surveillance de la sécurité et d'identification des attaques. Sommaire :

Chapitre 1 : Introduction

Le chapitre 1 est un chapitre de synthèse qui introduit les avantages et les défis pour l'entreprise, indique à qui ce document s'adresse, répertorie les connaissances prérequises et présente chaque chapitre ainsi que les scénarios de solutions compris dans le guide.

Chapitre 2 : Approches en matière de surveillance de la sécurité

Ce chapitre présente les différentes options disponibles pour l'implémentation d'une solution de surveillance de la sécurité et de détection des attaques qui utilise des technologies de Microsoft et de tiers.

Chapitre 3 : Questions et besoins

Ce chapitre explique comment mettre en corrélation l'étendue de la surveillance avec d'autres besoins de l'entreprise et avec l'éventail connu de menaces et d'attaques potentielles contre un réseau d'entreprise. Il aborde les défis d'entreprise, techniques et sécuritaires posés par :

  • la détection des violations de stratégie ;

  • l'identification des attaques externes ;

  • la mise en œuvre de recherches et d'analyses de preuves.

Au sens de ce chapitre, une violation de stratégie est un écart par rapport aux stratégies organisationnelles. Pour terminer, ce chapitre énumère les besoins d'un système de surveillance de la sécurité et de détection des attaques.

Chapitre 4 : Conception de la solution

Ce chapitre fournit des informations détaillées sur la détection des attaques et l'implémentation d'archives d'audits de sécurité au moyen d'une solution de surveillance de la sécurité. Il décrit les paramètres de configuration recommandés pour une surveillance efficace de la sécurité ainsi que les modifications que les organisations doivent apporter à leurs stratégies de sécurité.

Ce chapitre fournit également des conseils précis sur la mise en œuvre d'une surveillance avancée de la sécurité dans des organisations de grande envergure. Ces instructions normatives s'appliquent à la gestion des problèmes de stockage, à des fins d'audit, de quantités importantes d'événements de sécurité. Elles concernent également la planification de la détection des attaques dans des réseaux distribués.

Téléchargez

Guide de planification de la surveillance de la sécurité et de la détection des attaques

Haut de page