Config. de SA : Configurer la consignation globale des audits

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Présentation

La consignation globale des audits donne aux auditeurs Security Analytics une vue consolidée des activités des utilisateurs au sein de Security Analytics, en temps réel et à partir d’un emplacement centralisé. Cette visibilité comprend les logs d'audit collectés à partir du système Security Analytics et les différents services au sein de l'infrastructure Security Analytics. 

Les logs d’audit Security Analytics collectent les informations dans un système centralisé qui les convertit au format requis et les transfère vers un système syslog externe. Le système syslog externe peut être un serveur syslog tiers ou un Log Decoder.   

Vous configurez la consignation globale des audits dans le panneau Configurations de la consignation d'audit globale. Un modèle de consignation des audits définit les champs de format et de message des entrées de log d'audit. Une configuration de serveur de notification Syslog définit la destination pour envoyer les logs d'audit. Si vous souhaitez transférer des logs d'audit vers un Log Decoder, configurez un type Syslog de serveur de notification pour le Log Decoder.

Voici des exemples d'actions d'utilisateur consignées à partir de Security Analytics :

  • Connexions utilisateur réussies 
  • Échec de la connexion utilisateur 
  • Déconnexions utilisateur
  • Nombre d'échecs de la connexion dépassé
  • Toutes les pages de l'interface utilisateur consultées
  • Modifications de configuration validées (y compris lorsque l'utilisateur modifie son propre mot de passe)
  • Requêtes effectuées par l'utilisateur
  • Accès utilisateur refusés
  • Opérations liées à l'exportation de données

Après la création d'une configuration de consignation globale des audits, les logs d'audit contenant ces actions utilisateur accèdent automatiquement au système syslog externe au format spécifié dans le modèle Consignation des audits sélectionné. Vous pouvez créer plusieurs configurations de la consignation globale des audits pour différentes destinations utilisant différents modèles. Par exemple, vous pouvez créer une configuration de consignation globale des audits pour un serveur Syslog externe avec un modèle qui contient toutes les métaclés disponibles et une autre configuration pour un Log Decoder avec un modèle qui contient les métaclés sélectionnées. 

Pour les Log Decoders, utilisez le modèle CEF d'audit par défaut 10.5. Vous pouvez ajouter ou supprimer des champs dans le modèle CEF (Common Event Format) si vous avez des exigences spécifiques. Définir un modèle pour la consignation globale des audits fournit des instructions et Métaclés CEF prises en charge décrit les métaclés CEF disponibles dans les modèles de consignation d’audit.

Pour les serveurs Syslog tiers, vous pouvez utiliser un modèle de consignation d'audit par défaut ou définir votre propre format (CEF ou non-CEF). Définir un modèle pour la consignation globale des audits fournit des instructions et Variables de métaclés prises en charge pour la consignation globale des audits décrit les variables disponibles.

Les auditeurs peuvent afficher les logs d'audit sur le Log Decoder sélectionné ou un serveur syslog tiers. Si vous utilisez un Log Decoder, les auditeurs peuvent afficher les logs d'audit avec les Procédures d'enquête ou Rapports Security Analytics. 

La figure suivante affiche les logs d'audit globaux dans les Procédures d'enquête (Procédures d'enquête > Événements).

Pour obtenir des exemples d'actions d'utilisateur consignées, voir Boîte de dialogue Ajouter une nouvelle configuration. Pour obtenir les types de messages consignés par les divers composants de Security Analytics, voir Référence aux opérations de consignation globale des audits

Configurer la consignation globale des audits - procédure générale

La consignation globale des audits est configuré dans le panneau Configurations de la consignation d'audit globale, qui est accessible depuis la vue Administration - Système > Audit global. Avant de pouvoir configurer la consignation globale des audits, vous devez configurer un serveur de notification Syslog et un modèle de consignation des audits. Un serveur de notification Syslog définit la destination pour envoyer les logs d'audit. Un modèle de consignation des audits définit les champs de format et de message de l'entrée de log d'audit. 

Le panneau Configurations de la consignation d'audit globale fournit un lien aux paramètres de la vue qui vous renvoie au panneau Notifications globales (vue Administration - Système > Notifications globales) où vous pouvez configurer le serveur de notification Syslog et le modèle de consignation des audits. 

Effectuez les procédures suivantes dans l'ordre indiqué pour configurer la consignation globale des audits.

                             
ProcéduresRéférence/Instructions
  1. Configurer un serveur de notification Syslog.
Configurez un serveur de notification Syslog à utiliser la consignation globale des audits. Vous pouvez définir un serveur Syslog tiers ou un Log Decoder en tant que destination pour recevoir les logs d'audit.
Configurer une destination pour recevoir des logs d'audit globaux. Les configurations de la consignation globale des audits utilisent le type de serveur de notification Syslog. Si vous souhaitez transférer des logs d'audit à un Log Decoder, créez un serveur de notification du type Syslog. 
  1. Sélectionnez ou configurez un modèle de consignation des audits à utiliser.
Sélectionnez un modèle de consignation des audits pour le serveur de notification Syslog. Vous pouvez utiliser un modèle de consignation des audits par défaut ou définir votre propre modèle de consignation des audits. Les configurations de la consignation globale des audits utilisent le type de modèle de consignation des audits et un serveur de notification Syslog.
Configurer des modèles pour les notifications fournit des informations supplémentaires.
Pour les Log Decoders, utilisez le modèle CEF d'audit par défaut 10.5. Vous pouvez ajouter ou supprimer des champs dans le modèle CEF (Common Event Format) si vous avez des exigences spécifiques. La rubrique Définir un modèle pour la consignation globale des audits fournit des instructions. 
Pour les serveurs Syslog tiers, vous pouvez utiliser un modèle de consignation d'audit par défaut ou définir votre propre format (CEF ou non-CEF). Définir un modèle pour la consignation globale des audits fournit des instructions et la rubrique Variables de métaclés prises en charge pour la consignation globale des audits décrit les variables disponibles.
  1. (Facultatif - Uniquement en cas d'utilisation avec un Log Decoder) Déployer l'analyseur Common Event Format (CEF) sur votre Log Decoder à partir de Live.
Vérifiez que vous avez déployé et activé la dernière version de l'analyseur Common Event Format à partir de Live. Les rubriques Rechercher et déployer des ressouces Live et Activer et désactiver les analyseurs de logs fournissent des instructions. 
  1. Définissez une configuration de consignation globale des audits, qui détermine comment les logs d'audit globaux sont transférés vers les systèmes Syslog externes. 
Définir une configuration de consignation globale des audits fournit des instructions à ce sujet. Après avoir ajouté la configuration de consignation globale des audits, les logs d'audit sont transférés au serveur de notification sélectionné dans la configuration.
  1. Vérifiez que les logs d'audit globaux affichent les événements d'audit.
Testez vos logs d'audit pour vérifier qu'ils affichent les événements tels que définis dans votre modèle de consignation des audits. Vérifier les logs d'audits globaux fournit des instructions à ce sujet.
You are here
Table of Contents > Procédures standard > Configurer la consignation globale des audits

Attachments

    Outcomes