Supervision des événements de sécurité
Principes de supervision des événements de sécurité :
enregistrer les événements pertinents
centraliser les journaux
surveiller et corréler les activités suspectes dans les journaux
déclencher des alertes selon des seuils bien choisis
définir une procédure de réponse et d' escalade
archiver les journaux pour enquête ultérieure
Événements à enregistrer pour la sécurité :
connexion réussies et échouées
transactions importantes
création d'un utilisateur ou groupe localement sur un serveur
reconfiguration des interfaces réseau
chargement ou déchargement de pilotes de périphériques
passage en mode super utilisateur
modification ou suppression de journaux
modification de configuration
démarrage ou arrêt
erreur de traitement ou validation des données
Protection des journaux :
utiliser une partition dédiée
restreindre leur accès aux administrateurs
les centraliser
les archiver
les chiffrer
en contrôler l'accès