Réseau de Windows : Les Secrets de l'audit des événements Windows
La nécessité du contrôle de l'accès, de la conformité aux normes et de la complexité du réseau rend l'audit d'événement plus important que jamais.
David Rowe
Montagne des exigences d'audit d'accès continue de croître. Par conséquent, trop, effectuez les questions entourant l'accès aux données d'entreprise, telles que :
- Qui a accès à quoi ?
- Qui est l'accès aux données ?
- Les contrôles sont en place autour de gestion des autorisations
Ces questions — et d'autres personnes — sont devenues courante comme une partie de discussions informatique que le déploiement de capacité ou un logiciel de serveur.
Bien que les exigences d'audit sont impossibles à ignorer, les tactiques qui constituent une approche idéale pour vos besoins restent insaisissables. Chaque organisation varie en termes d'applications, des pare-feu, configuration du réseau et autres subtilités. La plupart partage les mêmes composants fondamentaux, y compris Microsoft Active Directory et ses systèmes de fichiers Windows connexes.
Windows et Active Directory sont devenus des agrafes dans pratiquement chaque entreprise. L'audit des événements de sécurité sur ces plates-formes est un défi omniprésent pertinent à presque tout chef de service. Cependant, les solutions évidentes présentent des défis cachés.
Serveurs Microsoft Windows, y compris les serveurs Active Directory, disposent de fonctionnalités de journalisation des événements prédéfinies. Vous pouvez configurer ces journaux d'événements pour capturer les événements de sécurité critiques telles que la création de compte d'utilisateur et sécurité modifications d'appartenance de groupe. Toutefois, la capture les bonnes informations dans la bonne façon de sorte que vous pouvez agir est une entreprise délicate. Il existe un nombre d'étapes à suivre pour configurer la journalisation des événements Windows. Même alors, les résultats peuvent être pas satisfaisante.
Configurer l'enregistrement des événements Windows
La sagesse autour de réponse d'audit indique qu'il faut simplement capturer tout ce qui se produit à partir de chaque système. Activer l'enregistrement et un mécanisme de mettre en place pour convertir des fichiers journaux dans un format de stockage à long terme qui est indexé, disponibles pour le reporting et pratique pour l'archivage.
Informations de sécurité et gestion des événements (SIEM) et gestion des journaux des solutions généralement s'abonner à cette ligne de pensée. Cela leur donne l'avantage d'être en mesure de surveiller des centaines de solutions provenant de différents fournisseurs — de matériel de réseau pour les applications logicielles — avec une approche commune. Inutile de dire que la mise en œuvre de cette approche est plus facile dire qu'à faire.
Voici quelques étapes à suivre lors de la configuration de Windows et Active Directory enregistrement des événements, que ce soit pour l'intégration avec une solution SIEM ou simplement à capturer pour l'audit futures.
1. Déterminer les événements que vous avez besoin
Tout d'abord, vous devez comprendre les événements que vous avez besoin pour effectuer le suivi. Vous devrez également rassembler les identificateurs d'événement associé (ID). Compliquer cette tâche est que l'ID d'événement numérotation est différente entre les versions de Windows. Par exemple, Windows Server 2008 utilise des ID d'événement à quatre chiffres avec des sous-catégories d'audit pour chacune des catégories d'audit principal.
Il existe de nombreux événements semblables aux autres, vous devez vraiment de savoir que vous vous connectez à l'événement de droite. Une seule action génèrent souvent les nombreux événements dans le journal, il est donc important de comprendre la corrélation entre les ID d'événement.
Les sous-catégories dans Windows Server 2008 peuvent être utiles car vous pouvez activer l'audit sur certains événements, mais pas d'autres. Il s'agit d'une étape dans la bonne direction pour l'audit de Microsoft. Par exemple, au lieu de traiter tous les événements de gestion des comptes identiques, vous pouvez activer l'audit de gestion de groupe de sécurité mais désactiver l'audit sur la gestion de groupe de Distribution.
Vous devez utiliser un outil de ligne de commande pour appliquer les paramètres d'audit à des sous-catégories. Vous encore n'obtenir filtrage avancé des fonctionnalités, telles que les alertes sur les modifications apportées aux actions prises par un sous-ensemble d'utilisateurs ou groupes à haut risque.
Il existe également des événements d'audit de gestion des comptes et les événements d'audit accès au Service d'annuaire qui se chevauchent. Tâche compliquée questions supplémentaires. Si les deux sont activés, vous pouviez visualiser plusieurs événements en double, qui crée la confusion sur l'endroit où trouver les meilleures données d'événement. « Avant » et « Après que » les valeurs sont écrites aux différents événements. Dans de nombreux cas, vous devez établir une corrélation entre plusieurs événements pour répondre aux questions de base.
2. Activer l'audit des objets souhaités
Une fois que vous connaissez le jeu d'événements à auditer et ont les ID d'événement associé, vous devez activer l'audit sur les objets eux-mêmes. Dans certains cas, les paramètres par défaut peuvent être suffisant.
Vous pouvez gérer les paramètres d'audit sur une base objet par objet, il est donc important de comprendre les paramètres d'audit et appliquent les modifications que vous avez besoin pour satisfaire vos besoins. Par exemple, vous pouvez avec le bouton droit sur un objet, accédez à l'onglet sécurité et cliquez sur « Avancées ». Cela vous permettra d'appliquer les modifications sur l'onglet audit, telles que l'interdiction de leur paramètres d'audit héritées des objets parents ou ajouter des paramètres d'audit pour cet objet particulier ou tous les objets enfants.
En d'autres termes, si vous activez l'audit sur les groupes de sécurité, vous devez toujours vous assurer que l'audit est activé sur ces objets de groupe de sécurité spécifiques. En règle générale, activer l'audit sur les objets d'annuaire est aussi simple que l'activation de « Audit de gestion de compte » dans l'objet de stratégie de groupe approprié. Gardez à l'esprit, cependant, cet audit paramètres diffèrent légèrement dans différentes versions de Windows. Si vous avez un environnement mixte, veillez à consulter la documentation pour obtenir des instructions paramètre d'audit appropriées. Vérifiez également que vos stratégies d'audit sont correctement configurés sur chaque contrôleur de domaine Active Directory.
Vous pouvez également utiliser l'éditeur Active Directory Service Interfaces, ou ADSI Edit, pour appliquer un indicateur « ne pas auditer » sur les attributs que vous souhaitez filtrer en dehors du processus d'audit. Cette procédure supprime tout audit de cet attribut pour tous les objets, donc cela avec soin. Par exemple, vous ne pourrez pas faire la distinction entre les comptes d'utilisateurs administratifs et d'autres comptes.
3. Configurer les paramètres du journal des événements
La troisième étape consiste à configurer les paramètres du journal. Vous avez besoin définir les autorisations d'accès appropriées aux utilisateurs expérimentés qui cherchent à couvrir leurs traces ne peut pas effacer les journaux pour dissimuler leurs traces. Si la stratégie de sécurité du journal n'est pas activée, tout utilisateur authentifié possède un accès suffisant pour l'écriture et les journaux applications clair. Par défaut, les journaux système et de sécurité ne peuvent être désactivées que par un logiciel système ou les administrateurs.
Vous devez également définir les règles de rétention et la taille maximale du journal en fonction de vos exigences et un environnement particulier. Ces paramètres permettent de contrôler la taille de journal fichiers peuvent augmenter et que se passe-t-il lorsqu'ils atteignent la taille maximale spécifiée. Ceci est essentiel, car vous avez besoin de vos systèmes de collecte de journal pour pouvoir gérer efficacement les journaux. Lorsqu'ils devenir trop volumineuses, journaux peuvent ralentir considérablement les performances du serveur.
Idéalement, les journaux système ne sont pas conçus pour faciliter la recherche, de reporting flexibles ou l'archivage à long terme. Ils sont soumis à la configuration correcte et diligence. En supposant que tout est parfaitement déployée et gérée, vous serez en mesure de collecter les données que nécessaires liées rapports de vérification. Extraction des informations utiles et de générer des résultats exploitables à partir de ces données sont un défi entièrement nouveau.
Par exemple, une seule action souvent génère plusieurs événements du journal. Cela rend difficile de distinguer des actions spécifiques, comme un utilisateur qui ne figure pas dans les fichiers de finance accès finance department. Chaque événement est étiquetée avec un ID d'événement et un langage qui semble souvent énigmatique auprès des auditeurs et les chefs d'entreprise non formé. Vous devrez consacrent beaucoup de temps et les données du journal traduction effort lors de l'audit ou droit passer en revue les processus.
Il est également intéressant d'examiner que les journaux d'événements capturent uniquement une petite partie de ce qui se passe. Par exemple, il peut y avoir un jeu de modifications objet et attribut dans Active Directory qui apparaissent dans le journal des événements de sécurité prédéfini. Une modification de l'attribut de description d'un groupe de sécurité n'apparaîtrait pas dans le journal.
Vous pourriez potentiellement des journaux des événements pour capturer les modifications apportées aux attributs qui ne sont pas disponibles par défaut, mais ne la plupart des organisations. Cela crée une couche de gestion et de configuration peut causer des problèmes. Journaux laissent également souvent des informations critiques, telles que qui l'a fait ou la valeur a été avant la modification s'est produite (au cas où vous auriez besoin de revenir).
Solutions SIEM et les journaux peuvent parfois améliorer la situation en facilitant les journaux à la recherche, de rapport et d'archivage. De nombreuses entreprises sous-estiment l'effort initial et en cours requis pour obtenir les réponses que dont ils ont besoin.
Pour certaines organisations, cela peut être toujours la meilleure approche, car le coût et les efforts peuvent être pesés contre le résultat final : stockage à long terme des journaux des événements de plusieurs centaines de systèmes et la possibilité de répondre aux exigences de contrôle, de conservation et de conformité de l'accès. Si votre principal objectif est de votre environnement de réseau Windows et que vous souhaitez reporting plus simple, de réduction des coûts et d'effort et de mieux contrôler la réponse à un événement, il existe une alternative.
Une autre approche
Vous devez vraiment est informations, pas de journaux. Ne pas démarrer le raisonnement processus quant à la collecte des journaux. Démarrez en examinant les actions humaines importants pour votre entreprise. Sont nouvellement créés les comptes d'utilisateurs important ? Vous voulez savoir qui modifie les listes de membres de groupe de sécurité ? Vous devez savoir à qui vous devez ajouter au groupe ? Attention lorsqu'un membre du service ouvre un fichier pertinent pour ce service ? Vous voulez savoir quand les membres de votre groupe informatique accèdent à ces données ? Ces questions sont importantes.
Ne vous limiter à ce qui est s'affiche dans les journaux des événements. Vous pouvez penser à ce que vous voulez, qui est des réponses à ces types de questions. Vous avez besoin de réponses aux questions et les informations qui sont exploitables et compréhensible par le personnel non informatique.
En recueillant des informations à partir de la source plutôt que des journaux d'événements, vous pouvez accéder à plus d'informations, plus de détails et une approche plus fiable et cohérente. Il est également plus facile à gérer, car aucun des paramètres d'audit ou l'ID d'événement numérique.
Si vous avez besoin d'une gestion des journaux, vous pouvez organiser vos informations pour une intégration facile et télécharger. Vous devez aider le processus un peu en éliminant certaines données et en fournissant ce dont vous avez besoin dans un format facile à lire.
L'audit n'est pas liée pour
Alors que les informations sur les événements de sécurité sont clairement utile et important, capturer ces informations à partir de l'enregistrement des événements Windows présente un certain nombre de défis et des efforts importants. Ces défis peuvent être gérés avec suffisamment de temps, efforts et coûts. Le résultat final peut manquer toujours bien que la cible.
Capture d'informations sur l'événement sans se baser sur les journaux d'événements vous permet de générer les réponses que vous avez besoin sans mise en œuvre et la gestion de l'audit journal des événements de sécurité Windows. L'approche conventionnelle génère des données. L'approche améliorée crée des réponses avec moins d'efforts, générer des rapports et des informations exploitables.
.jpg)
**David Rowe**le PDG de NetVision, une société privée fournissant des solutions de conformité et de contrôle d'accès de l'entreprise est l'audit. Rowe a occupé directeur, conseiller et rôles au niveau exécutif avec plusieurs démarrages, y compris Imperva, Cerberian, PS'Soft, Inc Doyenz. et Avinti Inc. Il a été précédemment en tant que directeur marketing de Trend Micro Inc. et responsable d'unité stratégique et directeur du marketing, de produits et de développement pour Intel Corp. dans les États-Unis, Japon, Europe et Israël.