MA : Vue Configuration des services - onglet Audit

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente les fonctionnalités et fonctions de l'onglet Audit disponible dans la vue Configuration des services pour Security Analytics Malware Analysis. L'onglet Audit dans la vue Configuration des services pour Security Analytics Malware Analysis fournit une manière de configurer la fonctionnalité d'audit. Malware Analysis est doté d'un système d'audit automatique capable d'envoyer des alertes (Syslog, SNMP, entrées du fichier de log d'audit) lorsque Malware Analysis dépasse les seuils de valeur de score configurés pour chaque module de notation (Network, Static, Community, Sandbox). Security Analytics Malware Analysis peut alimenter automatiquement tout système externe capable d'acquérir les formats d'audit pris en charge. Une alerte est générée pour chaque fichier dans une session analysée qui atteint ou dépasse le seuil configuré.
Le log d'audit est un fichier log tenu à jour sur l'appliance Malware Analysis pour chaque action ou événement important. Les logs d'audit sont déployés et archivés au fur et à mesure qu'ils grossissent afin de constituer un historique des audits à conserver. La taille de ces logs d'audit et leur nombre sont deux paramètres configurables.
Certains exemples d'événements qui sont journalisés sont les suivants :

  • Réussites et échec de la connexion utilisateur
  • Modifications des paramètres de configuration système
  • Redémarrage du serveur
  • Mise à niveau ou installation de version du serveur
  • Des événements suspects qui dépassent les Seuils d'audit

Security Analytics Malware Analysis peut envoyer des événements d'audit en tant que trap SNMP à un hôte de trap SNMP configuré et consolider des logs au format Syslog. Reportez-vous à la rubrique de tâche suivante pour obtenir des procédures détaillées : Configurer l'audit sur l'appliance Malware Analysis.

Fonctions

L'onglet Audit comprend quatre sections et un bouton Appliquer utilisé pour enregistrer des modifications apportées dans cet onglet et les rendre effectives.

Seuils d'audit

Ce tableau décrit les fonctions de la section Seuils d'audit.

                                
NameValeur de configuration
Communauté, Statique, Réseau et Seuils SandboxLes seuils du module de notation de Malware Analysis pour l'enregistrement d'informations d'événement dans un fichier log. Security Analytics Malware Analysis enregistre les informations d'événement dans un fichier log si l'événement a obtenu un score suffisamment élevé pour satisfaire tous les seuils d'audit. Chaque catégorie de notation qui a terminé l'analyse (par exemple, les sessions n'appellent pas toute l'analyse sandbox) est comparée au seuil d'audit configuré pour cette catégorie. Toutes les catégories réalisées doivent dépasser le seuil afin qu'un événement d'audit puisse être déclenché.
Un nombre entier compris entre 0 et 100 est une valeur valide. Un réglage trop bas de ces seuils peut entraîner un volume très important de notifications et d'événements d'audit.
Avertir en cas d'échecs de l'antivirus et de détections de l''antivirus principal installéEnregistre un message dans un fichier log lorsque l'antivirus installé n'identifie pas un virus et que l'antivirus principal le détecte. Le message enregistré est envoyé vers toutes les méthodes d'audit activées : SNMP, fichier et Syslog.
Par défaut, l'option est désactivée.
Avertir en cas d'échecs de l'antivirus et de détections de l''antivirus secondaire installéEnregistre un message dans un fichier log lorsque l'antivirus installé n'identifie pas un virus et que l'antivirus secondaire le détecte. Le message enregistré est envoyé vers toutes les méthodes d'audit activées : SNMP, fichier et Syslog.
Par défaut, l'option est désactivée.
Avertir en cas d'échecs de l'antivirus et de détections d'un autre antivirus installéEnregistre un message dans un fichier log lorsque l'antivirus installé n'identifie pas un virus et que l'autre antivirus le détecte. Le message enregistré est envoyé vers toutes les méthodes d'audit activées : SNMP, fichier et Syslog.
Par défaut, l'option est désactivée.
Avertir en cas de déclenchement des indicateurs de compromission de forte probabilitéEnregistre un message dans un fichier log lorsqu'un IOC (Indicateur de compromis) de forte probabilité se déclenche. Le message enregistré est envoyé vers toutes les méthodes d'audit activées : SNMP, fichier et Syslog.
Par défaut, l'option est désactivée.

Audit SNMP

Le SNMP est un protocole standard Internet pour la gestion des services sur des réseaux IP. Lorsque l'audit SNMP est activé, Security Analytics Malware Analysis peut envoyer un événement d'audit comme trap SNMP à l'hôte du trap SNMP configuré. 

Ce tableau décrit les fonctions de la section Audit SNMP.

                                           
NameValeur de configuration
EnabledCliquez pour activer ou désactiver l'audit SNMP.
Nom du serveurL'hôte sur lequel le serveur SNMP cible s'exécute.
Port de serveurLe port utilisé sur lequel le récepteur du trap SNMP est à l'écoute.
SNMP VersionVersion du protocole SNMP à utiliser lors de l'envoi des traps.
ID d'objet de trapL'ID d'objet à utiliser pour identifier le type de trap à envoyer.
CommunautéLe groupe SNMP auquel appartient Security Analytics Malware Analysis.
Nombre de tentativesLe nombre de nouvelles tentatives d'envoi d'un trap.
TimeoutLa période d'expiration du délai devant être respectée avant d'obtenir un accusé de réception.

Audit de gestion des incidents

La section Audit de gestion des incidents fournit une case à cocher pour activer la fonction Gestion des incidents Security Analytics pour recevoir des alertes depuis Malware Analysis. Cliquer sur l'option Enabled active ou désactive l'Audit Syslog

Audit de fichiers

Ce tableau décrit les fonctions de la section Audit de fichiers. Évitez de définir la taille de fichier max et le nombre de fichier d'archive sur des valeurs trop élevées. En effet, cela peut avoir un effet négatif sur l'espace disque disponible sur l'appliance Security Analytics Malware Analysis.

                       
NameValeur de configuration
Activer l'audit des fichiers

Cliquez pour activer ou désactiver l'audit de fichiers.

Nombre de fichiers d'archive

Sécurité Analytique Malware Analysis conserve uniquement autant de fichiers Logs, tel que défini par ce paramètre. Lorsque le nombre maximum est atteint, les fichiers logs les plus anciens sont supprimés et ne peuvent pas être restaurés.
La valeur par défaut est 20. Valeur valide : Nombre entier compris entre 1 et 50 inclus.

Taille max. de fichier

La taille de fichier maximum pour un log d'audit unique avant l'archivage. La valeur par défaut est 10 485 760 octets.

Audit Syslog


Ce tableau décrit les fonctions de la section Seuils d'audit.

                                                   
FonctionnalitéDescription :
EnabledCliquez pour activer ou désactiver l'audit Syslog.
Nom du serveurIl s'agit de l'hôte où le processus Syslog cible est en cours d'exécution.
Port de serveurIl s'agit du port où le processus Syslog cible est à l'écoute.
SiteIl s'agit de la fonction Syslog désignée devant être utilisée pour tous les messages sortants. Les valeurs possibles sont les suivantes : KERN, USER, MAIL, DAEMON, AUTH, SYSLOG, LPR, NEWS, UUCP, CRON, AUTHPRIV et LOCAL1 à LOCAL7.
EncodingIl s'agit de l'encodage à utiliser pour le texte dans des messages Syslog ; par exemple, UTF-8.
FormatIl s'agit du format de message souhaité. Les valeurs possibles sont les suivantes : Défaut, PCI DSS ou SEC.
Longueur max.Il s'agit de la longueur maximale, en octets, autorisée pour tout message Syslog. Par défaut : 1024. Les messages dépassant la longueur maximum sont tronqués.
Inclure l'horodatage localCochez cette case pour inclure l'horodatage local dans des messages.
Inclure le nom d'hôte localCochez cette case pour inclure le nom d'hôte local.
Identifier la chaîneIl s'agit d'une chaîne d'identité à ajouter comme préfixe à chaque alerte syslog. Si la chaîne est vierge, aucune chaîne d'identité n'est ajoutée comme préfixe aux alertes syslog sortantes. Vous pouvez l'utiliser pour identifier la source de l'alerte. Les utilisateurs la définissent conventionnellement sur le nom du programme qui soumettra les messages à un audit syslog.
You are here
Table of Contents > Références de Malware Analysis > Vue Configuration des services - onglet Audit

Attachments

    Outcomes