Pourquoi avez-vous besoin d'une stratégie d'audit ?

Les incidents de sécurité sont en augmentation, il est donc crucial pour les organisations de prendre les bonnes mesures pour se renforcer. Une stratégie d'audit Windows efficace garantit que les événements appropriés sont enregistrés pour chaque activité liée à la sécurité sur votre réseau. L'examen attentif de ces événements peut vous aider à détecter une violation dès qu'elle se produit, limitant ainsi ses dommages. Les données d'audit servent également de preuves pour l'analyse forensique à la suite de tout incident, et leur archivage garantit que votre organisation se conforme aux mandats réglementaires. Voici sept recommandations de stratégie d'audit pour vous aider à répondre à vos exigences de sécurité et de conformité.

Les 7 meilleures pratiques de journalisation d'audit

 

Définir des politiques d'audit sur les postes de travail

Toute stratégie de gestion des journaux de sécurité doit inclure la surveillance des postes de travail. Alors que les serveurs et les contrôleurs de domaine sont strictement surveillés, il est impératif que les postes de travail soient également surveillés, car ils sont généralement le premier point d'une violation. L'activation de politiques d'audit sur tous vos postes de travail peut aider à identifier les failles de sécurité avant que vous ne subissiez trop de dégâts.

 

Identifier les événements critiques

La configuration de la stratégie d'audit pour auditer chaque activité sur votre réseau peut rapidement inonder vos journaux de sécurité d'informations non pertinentes. Cela rend l'identification des événements critiques difficile pour les administrateurs. Assurez-vous donc que les  événements les plus critiques qui indiquent clairement des activités non autorisées et ne représentent pas de faux positifs sont prioritaires pour la journalisation.

 

Configurer des stratégies d'audit avancées

Windows offre un choix binaire entre les neuf catégories de stratégie d'audit et les  sous-catégories de stratégie d'audit avancée . Les sous-catégories sont préférables, car elles permettent de limiter le nombre d'événements de la catégorie associée, réduisant ainsi le bruit. Ainsi, configurez les sous-catégories pour un contrôle plus granulaire sur les événements qui sont audités.

Remarque : pour empêcher les paramètres de catégorie d'audit traditionnels de remplacer les sous-catégories, activez les paramètres de sous-catégorie de stratégie d'audit de force (Windows Vista ou version ultérieure) pour remplacer l'option de sécurité des paramètres de catégorie de stratégie d'audit située sous Computer Configuration (Configuration d’ordinateur) > Windows Settings (Paramètres Windows) > Security Settings  (Paramètres de sécurité) > Local Policies (Stratégies locales) > Security Options (Options de sécurité).

 

Configurer les SACL pour activer l'audit au niveau de l'objet

L'audit au niveau des objets vous permet de surveiller les modifications apportées à vos objets, fichiers et dossiers Active Directory (AD). Activez l'audit sur les objets d'annuaire en configurant les listes de contrôle d'accès au système (SACL) en plus des stratégies d'audit et d'audit avancé. Cela garantit que les événements sont enregistrés chaque fois qu'un objet AD ou une activité liée à un fichier se produit.

 

Choisir d'auditer les réussites, les échecs ou les deux

Toutes les activités ne justifient pas à la fois un audit de réussite et d'échec. Par exemple, pour le paramètre Auditer le partage de fichiers, vous devez auditer les événements de réussite et d'échec pour suivre toutes les tentatives de création, de suppression, de modification et d'accès aux partages réseau. Cependant, pour le paramètre Auditer le partage de fichiers détaillé, vous pouvez activer uniquement l'audit des échecs pour identifier les tentatives d'accès non autorisées, car l'audit des événements de réussite pour ce paramètre entraînera un volume élevé d'événements bénins. C'est pourquoi vous devez évaluer soigneusement les avantages et les inconvénients de la journalisation des événements de réussite et/ou d'échec pour chaque sous-catégorie lors de la configuration de votre stratégie d'audit.

 

Allouer suffisamment d'espace de stockage

Les données d'audit collectées doivent être stockées et conservées pendant une période spécifique pour se conformer à la réglementation. En fonction de votre stratégie d'audit, les données d'audit peuvent rapidement remplir votre espace disque. Ainsi, définissez la taille de votre journal des événements et les paramètres de rétention pour éviter les écrasements et allouez suffisamment d'espace pour archiver les données d'audit après la rétention.

 

Tester la stratégie d'audit avant de la mettre en œuvre

Les modifications apportées à votre stratégie d'audit peuvent avoir un impact sur les performances de vos ordinateurs. Après avoir modifié les paramètres d'audit, utilisez l'Assistant Résultats de Stratégie de Groupe pour afficher la liste des paramètres de stratégie d'audit qui seront appliqués. Affinez les paramètres selon vos besoins avant de les implémenter dans votre environnement AD.

L'audit AD simplifié avec
ADAudit Plus

L'utilisation d'outils natifs pour interpréter et analyser les informations contenues dans les journaux d'audit peut ralentir votre réponse forensique à une faille de sécurité. ManageEngine ADAudit Plus est un auditeur de changement basé sur l'analyse du comportement des utilisateurs (UBA) qui aide à maintenir votre écosystème Windows Server sécurisé et conforme en offrant une visibilité complète sur toutes les activités.

Téléchargez un essai gratuit de 30 jours.