Aller au contenu
Journaux d'événements Windows, journaux d'événements, Windows, solutions iDiscovery

De Bobby R. Williams Jr. le 10/11/20 07:00

Les enquêteurs ne commencent pas avec des réponses. Nous posons des questions. Notre mission (si nous choisissons de l'accepter) est de déterminer ce qui s'est passé et quand. Il y a peut-être un joyau précieux caché dans vos données, mais nous ne le saurons pas tant que nous n'aurons pas commencé à creuser. Dans l'univers numérique en expansion, il y a des artefacts tout autour de nous. Savoir ce qu'ils sont et comment les analyser est essentiel pour découvrir le récit dans les données. Si vous avez besoin de créer une chronologie des événements, les journaux d'événements sur les stations de travail et les serveurs Windows sont un excellent point de départ.

Les journaux d'événements suivent de nombreuses actions utiles. Les événements tels que les connexions, les déconnexions et la mise sous tension de la machine ne sont que quelques exemples. Si vous répondez à un incident, les journaux d'événements seront probablement une source d'informations vitale. Pour vous assurer que les informations sont là quand vous en avez besoin, vous devez vous assurer que les journaux sont archivés. Cela semble simple, non ?

Certains paramètres de configuration que vous contrôlez permettent de déterminer jusqu'où peuvent remonter vos journaux. Si vous utilisez simplement les paramètres par défaut, la taille peut être trop petite pour enregistrer les principaux journaux d'événements. Il est également utile de savoir quels journaux suivent quels événements. Cela peut vous aider à décider où apporter des modifications à votre protocole d'archivage des journaux.

Pourquoi les journaux d'événements sont-ils importants ?

Tout comme les enfants du milieu, les journaux d'événements sont souvent une réflexion après coup. Les organisations se concentrent beaucoup sur les mesures de sécurité préventives, comme les points d'accès, l'authentification et le cryptage. C'est important. Vous voulez être proactif. Dans les enquêtes de criminalistique numérique et de cybersécurité, vous devez reconstituer ce qui s'est passé. Qui avait accès ? Lorsque? Les journaux d'événements peuvent contenir les réponses, qu'il s'agisse de déterminer les activités d'un employé parti, de répondre à un incident ou de défendre une intrusion active. Si vous n'êtes pas intentionnel sur la façon dont les journaux sont gérés, vous pouvez laisser les réponses aux questions futures glisser à travers vos… disques durs.

Quel est mon plat à emporter ?

  1. Comprenez qu'il se peut qu'il n'y ait pas un seul événement principal dans votre enquête. Les réponses résident souvent dans la corrélation d'une série d'événements. Un expert qualifié peut vous aider à comprendre les entrées du journal des événements et à vous rapprocher de ce qui s'est passé. Pour ce faire, vous devez vous assurer que les journaux d'événements sont archivés avec un protocole intentionnel.
  2. L'augmentation de la taille des fichiers journaux de clés peut vous aider à conserver davantage de données. Les nouveaux événements peuvent repousser les anciens événements une fois que vous atteignez la taille maximale du journal. Heureusement, le stockage de la machine est devenu relativement peu coûteux et la génération de journaux ne monopolisera pas vos ressources. Ainsi, augmentez la taille des journaux d'événements importants de 20 Mo à quelques Go. Je dis augmenter la taille de tous les journaux chaque fois que possible. Si la taille et l'espace de stockage sont toujours un problème, choisissez les journaux de clé pour la taille étendue. Mon collègue Jonathan Karchmer recommande Security.evtx comme exemple sur lequel se concentrer.
  3. Si votre organisation ne le fait pas déjà, envisagez d'utiliser la technologie SIEM pour agréger et examiner les journaux d'événements. Au minimum, commencez par transférer les journaux d'événements des postes de travail critiques et sauvegardez les journaux d'événements de la machine et du serveur vers un autre référentiel. La redondance aide à protéger contre la perte de données. Lorsque les événements expirent sur vos ordinateurs et serveurs, l'emplacement de sauvegarde peut contenir des années d'activité qui auraient été perdues autrement. Pour les organisations ayant des postures de sécurité plus avancées, l'utilisation et le réglage du SIEM aideront à la « chasse » proactive aux méchants. Un expert qualifié peut être en mesure de commencer le triage simplement en collectant une copie de vos journaux d'événements archivés, ce qui pourrait ensuite aider à cibler une enquête et vous faire économiser de l'argent.

Ces étapes simples peuvent aider votre organisation à se préparer pour l'événement principal.

fr_FRFR