Gestion des fichiers journaux

Transcription

Gestion des fichiers journaux
Jean-Marc Robert
Génie logiciel et des TI
Surveillance et audit
Afin de s’assurer de l’efficacité des moyens de protection et de
contrôle, il faut mettre en place des moyens de surveillance et
d’audit.
Surveillance: activité continue examinant les comportements des
divers usagers et ressources informatiques.
Audit: activité périodique (ou ponctuelle) permettant d’évaluer la
sécurité d’un système ou de détecter les traces d’une activité
malveillante (computer forensics).
Jean-Marc Robert, ETS
MTI 719 - Gestion des fichiers journaux v1.0
2
Surveillance et Audit
Surveillance
Événements
Systèmes de détection d’anomalies
Systèmes d’exploitation
Applications
Analyse des violations des
politiques mises en place
Audit
Tests d’intrusions
Balayage (scanning)
Vérification (probing)
Écoute (sniffing)
Analyse des fichiers journaux
Computer forensics
Clipping level – niveau acceptable
d’erreurs
Analyse des fichiers journaux
3
Événements à surveiller ou à auditer
A Guide to Understanding Audit in Trusted Systems (Tan Book)
Analyser les accès aux ressources et les accès des divers
usagers ainsi que revoir les divers mécanismes de protection.
Découvrir les tentatives infructueuses de passer outre à une
politique de sécurité.
Découvrir les tentatives réussies de passer outre à une
politique de sécurité.
Découvrir lorsqu’un usager obtient des privilèges plus élevés.
Dissuader les contrevenants.
Toutefois, ces personnes doivent savoir que des audits sont faits
régulièrement.
4
Gestion des fichiers journaux (log files)
Cette section est basée sur le document NIST SP 800-92,
Guide to Computer Security Log Management, Septembre 2006.
Un fichier journal enregistre divers événements survenant dans
les systèmes et les réseaux.
Ces informations peuvent servir à diverses fins:
Retracer la cause d’une panne.
Optimiser les performances d’un système ou d’un réseau.
Conserver les actions des divers usagers et processus.
Conserver les informations nécessaires afin d’enquêter sur une intrusion
(computer forensics).
5
Objectifs généraux
S’assurer que les événements liés à la sécurité sont bien
enregistrés et conservés pour une période relativement longue.
S’assurer que les fichiers journaux sont périodiquement revus
et analysés.
Identifier les incidents de sécurité, les violations des politiques de
sécurité, les activités malveillantes ou frauduleuses, …
Permettre de retrouver la ou les causes d’une intrusion ou d’une panne
(computer forensics)
Permettre de caractériser l’utilisation des ressources.
Afin de fournir aux IDS/IPS des modèles plus précis.
6
Objectifs législatifs
Federal Information Security Manangement Act of 2002 (FISMA)
Loi fédérale américaine demandant aux agences gouvernementales de mettre
en place un programme afin d’assurer de la sécurité des actifs et des
systèmes essentiels à leur bon fonctionnement.
Gramm-Leach-Bliley Act (GLBA)
Loi fédérale américaine demandant aux institutions financières de protéger
les informations personnelles de leurs clients des diverses menaces.
Heal Insurance Portability and Accountability Act of 1996 (HIPAA)
Loi fédérale américaine définissant un certain nombre de normes de sécurité
à respecter au sujet des informations personnelles dans le milieu de la santé.
Demande explicitement d’effectuer régulièrement la revue des fichiers journaux.
7
Objectifs législatifs
Sarbannes-Oxley Act of 2002 (SOX)
Loi fédérale américaine régissant les pratiques du milieu financier.
Demande d’effectuer régulièrement la revue des fichiers journaux.
Payment Card Industry Data Security Standard (PCI DSS)
Norme mise en place l’industrie des cartes de paiement afin de protéger
les informations personnelles.
Demande de surveiller tout accès aux informations personnelles.
8
Générateurs de données
Logiciels de sécurité
Anti-virus, anti-spyware, anti-adware, détecteurs de rootkits
Systèmes de détection et de prévention d’intrusions
Proxies – web, courriel, ...
Logiciels d’accès à distance (Remote Access Software)
Logiciels de diagnostics
Serveurs d’authentification
Routeurs
Vulnérabilités, Niveaux de mise à jour
ACLs
Pare-feu
Serveurs de quarantaine
9
Générateurs de données
Systèmes d’exploitation
Événements système (p.ex. services interrompus ou démarrés)
Événements d’audit (p.ex. les tentatives d’accès infructueuses ou les accès)
Applications
Fichiers journaux propres ou réutilisation de celui du système d’exploitation
Événements importants:
Requêtes des clients et réponses des serveurs
Information au sujet des comptes usager
Statistiques d’utilisation
Actions opérationnelles importantes (p.e. services interrompus ou démarrés)
10
Défis – Génération et stockage
Sources multiples d’information
Incohérence des contenus
Formats multiples de messages
Nomenclature, représentations des données, etc.
XML, Syslog, SNMP, base de données, etc.
Incohérence des horloges
Un effort dans la bonne direction: IETF RFC 4765: The Intrusion
Detection Message Exchange Format (IDMEF), Mars 2007.
11
Défis – Protection des fichiers
Protéger la confidentialité et l’intégrité des fichiers journaux
Informations sensibles et personnelles
Protéger disponibilité des fichiers journaux
S’assurer de ne pas perdre des informations
12
Défis – Analyse des fichiers
Développement d’outils permettant d’automatiser l’analyse des
informations.
Filtrer, regrouper, et corréler les alarmes.
13
Défis – Comment surmonter les obstacles
Accorder la priorité à la gestion des fichiers journaux à tous les
niveaux de l’entreprise.
Établir des politiques et des procédures de gestion de fichiers
journaux.
Créer et maintenir une infrastructure de gestion de fichiers
journaux.
Fournir une formation adéquate aux personnes responsables du
traitement des fichiers journaux.
14
Infrastructure
Architecture à trois niveaux
Génération
Générer les événements
Créer les fichiers journaux locaux
Analyse et le stockage
Analyse en temps réel
Un ou plusieurs serveurs pouvant avoir des rôles différents lors de l’analyse
Filtrage, Agrégation, Corrélation
Stockage des informations pour une longue période
Console de surveillance et de visualisation
15
Infrastructure
Communication entre les composantes
Modèle du pousser (push) – du point de vue du générateur
Modèle du tirer (pull) – du point de vue du générateur
La composante générant les événements envoie ces informations à la composante
d’analyse.
La composante analyse les événements demande directement les informations à la
composante de génération.
Réseau de communication
Réseau dédié (outband)
Difficile à déployer et à maintenir.
Facilite la communication en cas d’intrusions.
Confidentialité des communications.
Réseau courant (inband)
Facile à déployer.
Problèmes de confidentialité et disponibilité
16
Infrastructure
Certains facteurs doivent être considérés lors de la conception
de l’infrastructure:
Volume de données à traiter en temps normal et en période de pointe
Utilisation du réseau en temps normal et en période de pointe
Volume de données à stocker en temps normal et en période de pointe
Protection requise pour les données – confidentialité et intégrité
17
Infrastructure – Fonctionnalités
Général
Analyse syntaxique des fichiers
Filtrage des événements sans importance
Agrégation des événements similaires
18
Stockage
Rotation des fichiers (p.ex., heure, journée, semaine)
Archivage des fichiers
Type de média (p.ex., CD, DVD, SAN)
Rétention base régulière
Préservation base exceptionnelle en cas de problème
Compression des fichiers (p.ex. lors de l’archivage)
Réduction des fichiers
Conversion des fichiers (p.ex. syslog XML)
Normalisation des fichiers (p.ex. heures, port/service)
Vérification d’intégrité
19
Analyse
Corrélation d’événements
Intelligence artificielle, inférence de règles, …
Visualisation des fichiers
Rapport d’analyse
Élimination
Destruction des fichiers après une certaine période
20
Infrastructure – Syslog
Norme de facto – RFC 3164 The BSD Syslog Protocol
(informational)
Format des événements à conserver dans les fichiers journaux
Mécanismes de stockage et de transfert des fichiers journaux
Format:
Type de message (p.ex., noyau, courriel, imprimante, etc.) + Sévérité
Heure + Adresse IP de l’hôte
Message (non-formaté)
<34>Oct 11 22:14:15 myPC su: 'sudo' failed for jmr on /dev/pts/8
21
Sécurité
RFC 3164 aucune fonctionnalité de sécurité (+ trafic UDP)
RFC 3195 Reliable Delivery for syslog
Protocole de communication : TCP
Confidentialité lors de la communication : TLS
Intégrité et authentification lors de communication : empreinte MD5 ou SHA-1
22
Les produits commerciaux offrent un vaste éventail de
fonctionnalités
Filtrage flexible (hôte et expressions régulières)
Corrélation des événements
Réponses aux événements (p.ex. SNMP, courriels, etc.)
Formats de message alternatifs (p.ex. SNMP)
Chiffrement des fichiers journaux
Stockage dans une base de données
Limitation du taux de messages provenant d’une source donnée
23
Infrastructure – SIEM
Security Information and Event Management System
Produits commerciaux
Intégration avec les systèmes TI
Sans agent
Avantage: Pas d’installation
Désavantages: Pas de filtrage ou d’agrégation à la source, Serveur doit s’authentifier à la source
Avec agent
Interface graphique
Base de connaissance de sécurité
Gestion des actifs – priorité des événements en fonction de la priorité des
actifs.
24
Politique
Une organisation doit définir les besoins et les objectifs d’un
système de gestion de fichiers journaux.
Lois et règlements existants
Politiques organisationnelles
Conservation des informations
25
Politique
Génération
Quels sont les événements devant être conservés? Quelles sont leur
priorités?
Quelles sont les caractéristiques devant être conservées pour chaque
événement?
Quelle est la fréquence à laquelle un événement doit être conservé?
Quels sont les équipements devant conserver les événements de sécurité?
Quelles sont les applications devant conserver les événements de
sécurité?
Lorsque le fichier journal a atteint sa limite, quelle action doit être prise?
Informations personnelles!
Arrêter l’enregistrement? Écraser les anciennes informations? Arrêter l’application
générant les événements?
Comment l’intégrité, la confidentialité et la disponibilité des informations
doivent-elles être assurées durant leur stockage localement?
26
Politique
Transmission
Quels sont les équipements devant transmettre leurs informations à une
infrastructure de gestion de fichiers journaux?
Quelles sont les informations (et leurs caractéristiques) devant être
transmises à une infrastructure de gestion de fichiers journaux?
Comment les informations doivent-elles être transmises – protocoles,
réseau dédié, …?
À quelle fréquence les informations doivent-elles être transmises –
temps réel, chaque cinq minutes, chaque heure?
Comment l’intégrité, la confidentialité et la disponibilité des
informations doivent-elles être assurées durant leur transmission?
27
Politique
Stockage et élimination
Comment doit se faire la rotation des fichiers?
Comment l’intégrité, la confidentialité et la disponibilité des informations
doivent-elles être assurées durant leur stockage?
Pendant combien de temps les informations doivent-elles être
conservées?
Quels sont les besoins du point de vue légal?
Comment les informations doivent-elles être éliminées?
Combien d’espace mémoire est requis?
Qui doit conserver les informations?
Le système les ayant générées? Le système et l’infrastructure? L’infrastructure seule?
28
Politique
Analyse
Comment chaque type d’information doit-il être traité?
Qui doit accéder aux informations?
Comment ces accès doivent-ils être enregistrés?
Quelle est la procédure à prendre lors de la détection d’une activité
malveillante?
Comment l’intégrité, la confidentialité et la disponibilité des résultats de
l’analyse doivent-elles être assurées durant leur transmission? Durant
leur stockage?
Comment traiter la divulgation accidentelle d’information personnelle
dans les fichiers journaux?
29
Politique
Provenant de NIST SP 800-92
30
Processus opérationnels
Configurer les générateurs d’événements
Configurer la génération d’événements
Choisir le moyen de conservation des informations
Être conservateur!
Pas conservées.
Conservées par les générateurs
Conservées par les générateurs et l’infrastructure
Conservées par l’infrastructure
Déterminer gérer la capacité des moyens de conservation
Arrêter de conserver
Écraser les informations les plus anciennes
Arrêter l’application générant les événements
31
Configurer les générateurs d’événements
Sécurité
Limiter l’accès aux fichiers journaux
Éviter de conserver des informations sensibles superflues
Protéger les fichiers journaux archivés
Sécuriser les processus générant les événements
Déterminer le comportement lorsque une erreur survient
Utiliser des moyens sécurisés pour transférer les informations
32
Analyser les fichiers journaux
Interpréter les événements de sécurité
Prioriser les événements
Répondre aux incidents
Gérer la conservation à long terme
Format
Archiver les informations et s’assurer du contrôle d’accès
S’assurer de l’intégrité des informations
Conserver les information de façon sécurisée
Éliminer les information de façon sécurisée
33
Références
Karen Kent et Murugiah Souppaya, Guide to Computer
Security Log Masnagement, NIST SP 800-92, septembre 2006.
34

Gestion des fichiers journaux

Transcription

Documents pareils

kiosque a journaux - Espace Educatif

la page 53 - L`oeil ébloui

RAPIDEMENT

Tr1-jmr Résumé de l`intervention de : Jean

STOP PUB - Familles à énergie positive

Les bateaux en papier. - Œuvre du Marin Breton

Toute la presse en ligne en 1 clic !

le courrier de l`ouest wefa et stephanie

Journal de classe de l`enseignement catholique Du

Université de Valenciennes