L’analyse d’intégrité des fichiers est le processus consistant à utiliser la technologie pour un suivi centralisé de chaque modification apportée à des fichiers/dossiers sensibles pour garantir l’intégrité de leur contenu.
En bref : l’analyse d’intégrité des fichiers sert à suivre et valider les modifications apportées à des fichiers ou dossiers. Une telle solution garantit l’exactitude des données en empêchant des modifications non autorisées. Les actions peuvent consister en la création, la suppression, l’accès, la modification ou le changement de nom de fichiers/dossiers, y compris les tentatives échouées d’exécuter l’une de ces actions.
Les fichiers concernés sont habituellement de type données, système et journal, donc essentiels à toute activité. Les modifications non autorisées de ces types de fichiers peuvent produire des effets négatifs.
Ces cas illustrent l’importance de suivre l’activité des fichiers et dossiers, ainsi que de surveiller les modifications. Analyser l’intégrité des fichiers est vital pour garantir la sécurité, à tel point que de nombreuses normes de conformité imposent ce processus et qu’il forme un aspect clé de la stratégie de sécurité de la DSI d’une organisation.
L’objectif premier du processus consiste à suivre les modifications des fichiers/dossiers et avertir en cas d’activité suspecte. Les outils d’analyse vérifient les fichiers/dossiers et consignent toutes les modifications apportées. Le détail des modifications doit comprendre les quatre Q vitaux d’un audit :
Qui a effectué la modification
Quoi a été modifié
Quand la modification a été effectuée
Quelle est la nouvelle valeur et était l’ancienne
Le moyen le plus efficace de suivre ces modifications consiste à générer des rapports graphiques qui décrivent les événements. Les rapports permettent aux équipes de sécurité d’examiner régulièrement et de valider toutes les modifications des fichiers/dossiers. Pour rendre le processus efficace, les équipes de sécurité peuvent planifier des rapports pour vérifier la liste des modifications survenues.
Une fois les rapports planifiés, on peut configurer des alertes pour détecter les modifications non autorisées. Comme l’analyse concerne étroitement la gestion des événements et des informations de sécurité (SIEM), la plupart des solutions SIEM intègrent des fonctions d’analyse, offrant un outil complet aux équipes de sécurité. En outre, on peut appliquer l’apprentissage machine aux données que collecte la solution d’analyse pour détecter plus précisément des anomalies.
L’analyse du comportement utilisateur (UBA) intervient alors. Celle-ci enrichit l’analyse d’intégrité en appliquant des techniques d'apprentissage machine aux données pour détecter des activités anormales. Cela renforce grandement la lutte préventive contre les menaces internes et les tentatives d’exfiltration de données. Il est conseillé d’envisager une solution SIEM couvrant à la fois l’analyse d’intégrité des fichiers et l’analyse du comportement utilisateur.
Log360, solution SIEM complète de ManageEngine, intègre un module FIM (analyse d’intégrité des fichiers) efficace qui permet aux organisations de remplir leurs objectifs de sécurité et de conformité. La solution vérifie entièrement les activités des fichiers et dossiers pour prendre les mesures requises. Log360 prend instantanément en charge les éléments suivants :
Log360 utilise à la fois des mécanismes avec et sans agent pour l’analyse, donnant aux équipes de sécurité la liberté de choisir le déploiement selon leurs besoins. Log360 génère des rapports pour suivre chaque accès, création, suppression, modification et changement d’autorisation des fichiers et dossiers. La solution déclenche des alertes via SMS ou courrier en cas d’actions non autorisées.
Le module FIM de Log360 intègre un module UBA qui émet des alarmes en cas d’anomalies selon le nombre, le temps et le profil des événements. Les équipes de sécurité identifient ainsi les anomalies du comportement utilisateur pour détecter des menaces que l’on pourrait ignorer autrement.
Pour prouver la conformité, les équipes de sécurité doivent conserver la piste d’audit des modifications de fichier et dossier et pouvoir produire des rapports pour une période donnée. Voici certaines des normes de conformité les plus connues à respecter :
PCI DSSL’exigence 11.5 oblige les organisations à déployer un outil FIM pour suivre les modifications des fichiers et avertir en cas d’actions non autorisées. Le module FIM intégré de Log360 répond à ce besoin.
SOXLe module FIM de Log360 aide à mettre en place des contrôles informatiques internes comme l’impose la section 404.
FISMALes rapports d'audit de Log360 jouent un rôle crucial dans le respect des exigences d’audit et de responsabilité de la réglementation FISMA.
HIPPAL’objectif visant à protéger les données de santé, le module FIM de Log360 permet d’analyser et d’assurer l’intégrité des dossiers médicaux de patient.
Log360 offre des rapports prédéfinis pour respecter les exigences de ces normes et d’autres.
Génération de rapports d’audit : les rapports sur les modifications de Log360 sont précis et concernent les serveurs, les utilisateurs et les processus. On peut planifier les rapports pour examiner régulièrement les modifications.
Alerte en cas d’échecs d’accès multiples : Log360 suit les tentatives de modification avortées et avertit les équipes de sécurité si le nombre d’échecs d’accès ou de modification dépasse un seuil.
Alerte en cas d’événements arrivant dans un bref laps de temps : Log360 détecte et signale la survenue d’une chaîne d’événements suspecte, comme un modèle de force brute suivi de modifications de fichiers.
Détection de modifications d’autorisations exposant des données sensibles : les modifications d'autorisations de fichier créent un risque pour les données sensibles et peuvent aboutir à des violations de conformité. Log360 informe instantanément les équipes de sécurité des modifications apportées aux autorisations des fichiers, dossiers et partages cruciaux.
Détection d’activités de fichier inhabituelles : le module UBA de Log360 profile le comportement des utilisateurs et établit une base de sécurité de leurs activités. Si un utilisateur effectue une action inhabituelle, il détecte instantanément l’anomalie et émet une alarme. Par exemple, si un utilisateur travaillant normalement de 10 à 18 heures supprime un fichier à 23 h, la solution désigne l’activité comme anormale.
Commencez par télécharger une version d’évaluation gratuite de 30 jours.
Votre téléchargement est en cours et il sera terminé en quelques secondes!
Si vous rencontrez des problèmes, téléchargez manuellement ici