Journaux d'événements Syslog et Windows

Pourquoi la gestion des journaux ?

Gestion des journaux, condition d'une sécurité réseau garantie

Les journaux fournissent des informations directes sur l'activité du réseau. La gestion des journaux garantit que les données sur l'activité réseau cachées dans les journaux se traduisent en une information pertinente et exploitable. La gestion des journaux constitue une condition de la sécurité réseau, d'où sa criticité pour l'administrateur.

Les journaux fournissent des informations directes sur l'activité du réseau. La gestion des journaux garantit que les données sur l'activité réseau cachées dans les journaux se traduisent en une information pertinente et exploitable. La gestion des journaux constitue une condition de la sécurité réseau, d'où sa criticité pour l'administrateur. collecte, le stockage sécurisé, la normalisation, l'analyse, les rapports et la génération d'alertes.

Collecte des journaux

  • La collecte des journaux ne doit pas être intrusive.
  • Il s'agit de recueillir les journaux provenant d'une gamme variée de dispositifs, de serveurs et d'applications disponibles dans le réseau.
  • La collecte s'effectue de préférence sans agent. Dans certains environnements réseau, la collecte de journaux avec un agent doit être une option facultative

Stockage sécurisé

  • Les données de journal exigent un stockage d'archives pour répondre aux impératifs d'analyse d'expertise et de conformité réglementaire.
  • Il faut veiller à la protection des données stockées (par exemple, par chiffrement).
  • Le stockage doit également s'avérer inviolable.
  • La durée de rétention doit rester souple (de préférence, configurable par l'utilisateur).
  • L'emplacement de stockage et le support doivent aussi être flexibles (support en lecture seule, système de stockage de masse, etc.).

Normalisation des journaux

Il faut normaliser les journaux de sources hétérogènes pour obtenir un format commun. C'est obligatoire pour l'analyse et la corrélation.

Analyse des journaux

Les journaux exigent une analyse pour délivrer un aperçu complet des événements de sécurité réseau.

Génération de rapports et d'alertes

Les journaux sont analysés pour générer des rapports et des alertes.

  • L'utilisateur doit disposer de rapports prédéfinis, personnalisables, sur mesure et planifiés dans différents formats et pouvoir les diffuser.
  • Il faut notifier les alertes en temps réel. Il doit exister d' autres mécanismes de notification et il faut prévoir l'exécution d'une autre application pour prendre des mesures correctives.

La gestion des journaux fait partie intégrante du contrôle de la sécurité réseau.