Surveiller les logs provenant d'Active Directory

Active Directory constitue la partie centrale de l'administration du domaine Microsoft Windows. C'est un élément très critique puisque s'il tombe, celui-ci peut perturber l'ensemble du réseau. Lorsque le service d'annuaire rencontre des problèmes, les informations sont directement enregistrées dans les logs. Si les logs sont analysés en profondeur, l'origine de l'incident peut être trouvée. Toute opération sur les objets Active Directory est également capturée. Les opérations Active Directory sur les objets du service d'annuaire affecte directement les accès des utilisateurs et les opérations des machines sur le réseau. Ainsi, la surveillance des logs Active Directory est essentielle pour assurer le bon fonctionnement des réseaux.

EventLog Analyzer peut surveiller les logs Active Directory et n'importe quel incident peut être suivi en temps réel. Grâce à cela, l'administrateur réseau peut être alerté instantanément, de sorte que des mesures correctives puissent être prises rapidement pour éviter une défaillance du réseau.

ELA permet de créer des rapports personnalisés pour surveiller des événements spécifiques Active Directory. Des ID d'événements spécifiques d'Active Directory peuvent être surveillés.

Assurez-vous que les logs sont activés pour les événements Active Directory et qu'ils ne sont pas filtrés par le filtre des événements d'EventLog Analyzer.

Une brève description d'Active Directory

Active Directory est un service d'annuaire des réseaux Microsoft Windows. AD fait partie du système d'exploitation Windows Server. Les serveurs qui intègrent Active Directory sont appelés des contrôleurs de domaine. Ils fournissent aux administrateurs une administration et une sécurité centralisée du réseau. Il authentifie et autorise tous les utilisateurs et les ordinateurs dans un domaine du réseau Windows. Il attribue et applique les politiques de sécurité à tous les ordinateurs. Il utilise Lightweight Directory Access Protocol (LDAP). Les logs d'Active Directory sont stockés dans l'Observateur d'événements de Windows.

ID d'événements liés à Active Directory

Les ID d'événements Windows Server 2000 et 2003 pour AD

Windows 565 - Objet ouvert (Active Directory)
Windows 566 - Opération sur un Objet (W3 Active Directory)

Les ID d'événements Windows Server 2008 pour AD

Windows 4661 - Traitement sur un objet demandé
Windows 4662 - Une opération a été effectuée sur un objet
Windows 4928 - Une réplication d'un contexte de nommage source Active Directory a été créée
Windows 4929 - Une réplication d'un contexte de nommage source Active Directory a été supprimée
Windows 4930 - Une réplication d'un contexte de nommage source Active Directory a été modifiée
Windows 4931 - Une réplication d'un contexte de nommage destination Active Directory a été créé
Windows 4932 - La synchronisation d'un contexte de nommage source Active Directory a commencé
Windows 4933 - La synchronisation d'un contexte de nommage source Active Directory est terminée
Windows 4934 - Les attributs d'un objet Active Directory ont été répliqués
Windows 4935 - Échec de réplication commencé
Windows 4936 - Échec de réplication terminé
Windows 4937 - Un objet en attente a été retiré d'une réplication
Windows 5136 - Un objet du service d'annuaire a été modifié
Windows 5137 - Un objet du service d'annuaire a été créé
Windows 5138 - Un objet du service d'annuaire a été récupéré
Windows 5139 - Un objet du service d'annuaire a été déplacé
Windows 5141 - Un objet du service d'annuaire a été supprimé

Le grand défi de la conformité

La conformité est l'un des plus grands défis auxquels font face les entreprises aujourd'hui. Mettre en place des politiques d'audit de conformité est une condition nécessaire pour toute organisation. Les données sensibles de l'entreprise sont toujours à risque. C'est pourquoi il est devenu nécessaire de sécuriser les informations sensibles par l'établissement de processus de sécurité du réseau et en suivant les lignes directrices des réglementations. Les normes de conformité réglementaires telles que PCI DSS , FISMA, GLBA, SOX et HIPAA imposent aux organisations de surveiller leur réseau en temps réel, d'assurer des niveaux élevés de sécurité pour les actifs de l'entreprise et fournir des rapports de vérification de la conformité du réseau lorsque cela est demandé. Il est essentiel pour les entreprises de respecter les recommandations des audits de conformité puisque ne pas être conforme aux normes réglementaires peut entraîner des peines sévères.

Pour répondre à toutes les exigences de conformité, les entreprises sont tenus de prendre des mesures proactives et mettre en place des processus de sécurité du réseau afin de détecter les anomalies du réseau, les attaques et les vulnérabilités qui peuvent nuire aux informations sensibles de l'entreprise. Les organisations doivent répondre aux exigences de l'auditeur de conformité en produisant des rapports de conformité telles que PCI DSS , FISMA, GLBA, SOX, HIPAA, etc. Les organismes de réglementation exigent également que les entreprises conservent les logs de leurs périphériques réseau et des applications sur de longues périodes. Cela permet aux auditeurs d'authentifier les incidents de sécurité en vérifiant les données des logs.

Simplifier l'audit de conformité avec EventLog Analyzer

Avec EventLog Analyzer, les administrateurs peuvent obtenir une meilleure visibilité sur les menaces de sécurité et satisfaire les exigences de conformité en surveillant et en analysant les données des logs de tous les périphériques du réseau et des applications. Ce logiciel de reporting de conformité permet de générer des rapports de conformité prédéfinis pour PCI DSS , FISMA, GLBA, SOX, HIPAA, etc. en collectant, en analysant et en archivant les logs windows et les syslogs provenant de toute l'infrastructure réseau.

EventLog Analyzer génère facilement des rapports de conformité en surveillant votre réseau et vos données sensibles en temps réel. EventLog Analyzer aide les organisations à conserver les logs pour de longues périodes ce qui permet aux administrateurs réseau d'effectuer des analyses approfondies sur les logs conservés pour répondre aux exigences d'audit de la conformité, enquêter sur les vols de données et détecter les intrus sur le réseau.

EventLog Analyzer | Avantages des rapports de conformité

• Rapports de conformité prédéfinis pour PCI DSS , FISMA, GLBA, SOX, HIPAA, etc.
• Rapports de conformité pour les logs Windows et les syslogs Linux/Unix
• Générer des rapports de conformité à partir d'un point central
• Générer des rapports de conformité dans différents formats : HTML, PDF ou CSV
• Programmez de façon périodique les rapports de conformité, et envoyez-les par email aux administrateurs

Rapports de conformité pour les audits PCI DSS, FISMA, HIPAA, SOX et GLBA

PCI DSS | Payment Card Industry - Data Security Standards

Vous devez respecter les directives de la norme PCI DSS (Payment Card Industry - Data Security Standards) si votre entreprise stocke, transmet ou utilise des données de cartes de crédit de clients. La norme PCI DSS a été créée pour répondre aux menaces grandissantes sur les informations bancaires des clients. Elles comprennent les vols d'informations des cartes, soit au sein de l'entreprise ou par la force. La conformité à PCI-DSS est obligatoire pour toutes les organisations qui s'occupent de carte de crédit, et de guichets automatiques, ce qui inclut des géants de l'industrie tels que Visa, Master Card et American Express.

FISMA | Federal Information Security Management Act

Tous les organismes gouvernementaux, les entrepreneurs du gouvernement et les organismes qui traitent et échangent des données avec les systèmes gouvernementaux doivent suivre les directives de conformité FISMA. Les organisations doivent surveiller, maintenir et conserver les dossiers de vérification de tous les événements de sécurité pour FISMA (Federal Information Security Management Act). L'objectif de la conformité FISMA est de s'assurer que les ministères et organismes fédéraux appliquent des mesures visant à atténuer les risques de sécurité pour les données critiques.

SOX | Sarbanes Oxley

La loi SOX oblige toutes les entreprises publiques et les cabinets comptables publics à dévoiler aux auditeurs l'exactitude de leurs rapports financiers. La loi oblige les entreprises à mettre en œuvre des processus et des contrôles pour protéger les données financières. Toutes les entreprises ont besoin de générer des rapports SOX qui montrent aux auditeurs comment la sécurité des données est gérée en interne.

HIPAA | Health Insurance Portability and Accountability Act

La Loi HIPAA concerne les entreprises de la santé qui échangent des informations sur des patients de façon électronique. Les réglementations HIPAA ont été établies pour protéger l'intégrité et la sécurité des informations sanitaires, y compris protéger contre l'utilisation ou la divulgation des informations non autorisées. HIPAA prévoit qu'un processus de gestion de la sécurité doit exister afin de protéger "l'accès, l'utilisation, la divulgation, la modification ou l'interférence avec les opérations du système". Lorsque des violations des dossiers médicaux se produisent, les fournisseurs de services de santé entachent leur image de marque et finissent par payer une amende salée.

GLBA | Gramm-Leach-Bliley Act

La loi GLBA annonce que chaque institution financière doit avoir des politiques et des processus en place pour protéger les "renseignements personnels non publics" contre les menaces. Il est nécessaire qu'un processus de gestion de la sécurité existe dans le but d'être protégé contre l'accès non autorisé, l'utilisation, la divulgation, la modification ou l'interférence aux dossiers des clients. En d'autres termes, être en mesure de surveiller, faire des rapports et alerter sur les accès aux systèmes et aux applications qui contiennent des informations sensibles sur leurs clients.

Fonction de création de rapports de conformité pour les normes et loi futures

Créer de nouveaux rapports de conformité

EventLog Analyzer propose une fonctionnalité pour créer des rapports pour de nouveaux audits de conformité.

Rapports de conformité personnalisés

EventLog Analyzer vous permet de personnaliser les rapports de conformité existants.

Rapports des tendances sur les journaux d'événements

Les rapports de tendances d'EventLog Analyzer vous permettent d'analyser les performances des hôtes sur une période de temps donnée. La surveillance des tendances permet de prévoir l'utilisation et les performances des hôtes Windows et UNIX et des commutateurs et routeurs Cisco du réseau. Les rapports de tendances d'EventLog Analyzer vous informent sur les événements générés par les hôtes, suivant leur gravité et leur type.

Tendances des gravités des événements

Ce rapport présente les tendances pour les événements générés par chaque groupe d'hôtes. Les tendances des gravités des événements sont utiles pour identifier la fréquence des pannes des systèmes et les performances des équipements pendant les pics d'utilisation.

Tendances des catégories des événements

Ce rapport montre l'évolution des événements générés pour chaque type d'événement. Les événements des applications, systèmes, et de sécurité sont décrits dans ce rapport. Les tendances des catégories des événements vous aident à identifier rapidement si un problème de système a été causé par une application ou le système lui-même.

Tendances des alertes

Ce rapport vous montre l'évolution des alertes déclenchées par le serveur EventLog Analyzer pour divers événements générés à travers le réseau. Cela dépend des alertes que vous aurez configurées.

Collecte sans agent des Syslogs et des journaux d'événements Windows

EventLog Analyzer collecte les logs d'événements provenant des hôtes Windows et les syslogs provenant des hôtes Linux et UNIX, des commutateurs et routeurs (Cisco). Les rapports sont générés en temps réel pour afficher des informations importantes sur les systèmes sur le réseau.

Logiciel de collecte des logs sans agent

Pour la collecte des journaux d'événements, l'application Eventlog Analyzer ne nécessite pas d'agent indépendant à installer sur chaque machine. L'agent qui collecte les logs Windows et les messages syslog est présent dans le serveur Analyzer EventLog. De cette façon, Eventlog Analyzer collecte les journaux d'événements sans imposer de charge supplémentaire aux hôtes.

Collecte des Syslogs Linux/UNIX et des journaux d'événements Windows

EventLog Analyzer collecte les événements générés par les machines Windows et UNIX sans déployer d'agent. Paramétrer EventLog Analyzer pour collecter les événements provenant d'un serveur est un processus simple, que ce soit pour les systèmes Windows ou UNIX.

Collecte des logs des commutateurs et routeurs Cisco

EventLog Analyzer collecte les journaux générés par les commutateurs et les routeurs Cisco. Paramétrer les commutateurs et routeurs Cisco pour envoyer les syslogs vers EventLog Analyzer est très simple.

Filtrage de la base de données lors de la collecte des journaux d'événements

EventLog Analyzer vous permet d'appliquer des filtres sur les journaux d'événements collectés avant de les stocker dans la base de données. Grâce aux filtres, vous pouvez enregistrer seulement les logs d'événements nécessaires dans la base de données, rendant la recherche d'un événement particulier plus facile et optimisant la base de données.

Collecte automatique des journaux lorsque le processus de collecte des journaux d'ELA est à l'arrêt

Cette caractéristique essentielle de la collecte des journaux assure que les journaux ne sont pas perdus, même lorsque le processus de récupération des journaux est à l'arrêt.

Notification d'alerte lorsque le processus de collecte des journaux d'ELA est à l'arrêt

EventLog Analyzer vous permet de configurer les alertes par courrier électronique au cas où le collecteur de logs d'EventLog Analyzer s'arrête. Les alertes emails peuvent être configurées pour plusieurs ID de messagerie.

Groupes d'hôtes

EventLog Analyzer vous permet de créer des groupes d'hôtes pour collecter et générer des rapports sur des hôtes spécifiques. Ceci est utile lors du suivi du comportement et des performances des systèmes pour un groupe restreint de serveurs critiques.

Gestion avancée des utilisateurs

Créez différents utilisateurs pouvant accéder aux journaux d'événements et générer des rapports. Alors que les administrateurs ont accès à toutes les fonctionnalités, les utilisateurs invités (Guest users) pourront seulement générer des rapports et récupérer les journaux d'événements archivés.