This website uses cookies. By clicking OK, you consent to the use of cookies. Click Here to learn more about how we use cookies.
OK
Register Now
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Documentation RSA NetWitness® Platform (Français)

Parcourez la documentation officielle de RSA NetWitness Platform (en français) pour des didacticiels utiles, des instructions étape par étape et d'autres ressources précieuses.
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Versions
Collections
All Downloads

Product Resources

 

La consignation globale des audits donne aux auditeurs NetWitness Suite une vue consolidée des activités des utilisateurs au sein de NetWitness Suite, en temps réel et à partir d’un emplacement centralisé. Cette visibilité comprend les logs d'audit collectés à partir du système NetWitness Suite et les différents services au sein de l'infrastructure NetWitness Suite. 

Les logs d'audit NetWitness Suite effectuent la collecte dans un système centralisé qui les convertit au format requis et les transfère à un système syslog externe. Le système syslog externe peut être un serveur syslog tiers ou un Log Decoder.   

Vous configurez la consignation globale des audits dans le panneau Configuration de la consignation globale des audits. Un modèle de consignation des audits définit les champs de format et de message des entrées de log d'audit. Une configuration de serveur de notification Syslog définit la destination pour envoyer les logs d'audit. Si vous souhaitez transférer des logs d'audit vers un Log Decoder, configurez un type Syslog de serveur de notification pour le Log Decoder.

Les éléments suivants sont quelques-unes des actions utilisateur consignées à partir de NetWitness Suite :

  • Connexions utilisateur réussies 
  • Échec de la connexion utilisateur 
  • Déconnexions utilisateur
  • Nombre d'échecs de la connexion dépassé
  • Toutes les pages de l'interface utilisateur consultées
  • Modifications de configuration validées (y compris lorsque l'utilisateur modifie son propre mot de passe)
  • Requêtes effectuées par l'utilisateur
  • Accès utilisateur refusés
  • Opérations liées à l'exportation de données

Après la création d'une configuration de consignation globale des audits, les logs d'audit contenant ces actions utilisateur accèdent automatiquement au système syslog externe au format spécifié dans le modèle Consignation des audits sélectionné. Vous pouvez créer plusieurs configurations de la consignation globale des audits pour différentes destinations utilisant différents modèles. Par exemple, vous pouvez créer une configuration de consignation globale des audits pour un serveur Syslog externe avec un modèle qui contient toutes les métaclés disponibles et une autre configuration pour un Log Decoder avec un modèle qui contient les métaclés sélectionnées. 

Pour les Log Decoders, utilisez le modèle CEF d'audit par défaut. Vous pouvez ajouter ou supprimer des champs dans le modèle CEF (Common Event Format) si vous avez des exigences spécifiques. Définir un modèle pour la consignation globale des audits fournit des instructions et Métaclés CEF prises en charge décrit les métaclés CEF utilisables dans les modèles de consignation d'audit.

Pour les serveurs syslog tiers, vous pouvez utiliser un modèle de consignation d’audit par défaut ou définir votre propre format (CEF ou non-CEF). Définir un modèle pour la consignation globale des audits fournit des instructions et Variables de métaclés prises en charge pour la consignation globale des audits décrit les variables disponibles.

Les auditeurs peuvent afficher les logs d'audit sur le Log Decoder sélectionné ou un serveur syslog tiers. Si vous utilisez un Log Decoder, les auditeurs peuvent afficher les logs d'audit avec les Investigations ou Rapports NetWitness Suite. 

La figure suivante affiche les logs d'audit globaux dans les Investigations (Investigation > Événements).

Inv52.PNG

Pour obtenir des exemples d'actions d'utilisateur consignées, voir Boîte de dialogue Ajouter une nouvelle configuration. Pour obtenir la liste des types de message consignés par les différents composants NetWitness Suite, reportez-vous à la rubrique Référence aux opérations de consignation globale des audits

Consignation globale des audits - procédure générale

La consignation globale des audits est configuré dans le panneau Configuration de la consignation globale des audits, qui est accessible depuis la vue Administration - Système > Audit global. Avant de pouvoir configurer la consignation globale des audits, vous devez configurer un serveur de notification Syslog et un modèle de consignation des audits. Un serveur de notification Syslog définit la destination pour envoyer les logs d'audit. Un modèle de consignation des audits définit les champs de format et de message de l'entrée de log d'audit. 

Le panneau Configurations de consignation d'audit globale fournit un lien aux paramètres de la vue qui vous renvoie au panneau Notifications globales (vue Administration système > Notifications globales) où vous pouvez configurer le serveur de notification Syslog et le modèle de consignation des audits. 

Effectuez les procédures suivantes dans l'ordre indiqué pour configurer la consignation globale des audits.

                             
ProcéduresRéférence/Instructions
  1. Configurer un serveur de notification Syslog.
Configurez un serveur de notification Syslog à utiliser la consignation globale des audits. Vous pouvez définir un serveur syslog tiers ou un Log Decoder en tant que destination pour recevoir les logs d'audit.
Configurer une destination pour recevoir des logs d'audit globaux. Les configurations de la consignation globale des audits utilisent le type de serveur de notification Syslog. Si vous souhaitez transférer des logs d'audit à un Log Decoder, créez un serveur de notification du type Syslog. 
  1. Sélectionnez ou configurez un modèle de consignation des audits à utiliser.
Sélectionnez un modèle de consignation des audits pour le serveur de notification Syslog. Vous pouvez utiliser un modèle de consignation des audits par défaut ou définir votre propre modèle de consignation des audits. Les configurations de la consignation globale des audits utilisent le type de modèle de consignation des audits et un serveur de notification Syslog.
Configurer des modèles pour les notifications fournit des informations supplémentaires.
Pour les Log Decoders, utilisez le Modèle CEF d'audit par défaut. Vous pouvez ajouter ou supprimer des champs dans le modèle CEF (Common Event Format) si vous avez des exigences spécifiques. Définir un modèle pour la consignation globale des audits fournit des instructions. 
Pour les serveurs syslog tiers, vous pouvez utiliser un modèle de consignation d’audit par défaut ou définir votre propre format (CEF ou non-CEF). Définir un modèle pour la consignation globale des audits fournit des instructions et Variables de métaclés prises en charge pour la consignation globale des audits décrit les variables disponibles.
  1. (Facultatif - Uniquement en cas d'utilisation avec un Log Decoder) Déployer l'analyseur Common Event Format (CEF) sur votre Log Decoder à partir de Live.
Vérifiez que vous avez déployé et activé la dernière version de l'analyseur Common Event Format à partir de Live. Les rubriques Rechercher et déployer des ressouces Live et Activer et désactiver les analyseurs de logs fournissent des instructions. 
  1. Définissez une configuration de consignation globale des audits, qui détermine comment les logs d'audit globaux sont transférés vers les systèmes Syslog externes. 
 La rubrique Définir une configuration de consignation globale des audits fournit des instructions. Après avoir ajouté la configuration de consignation globale des audits, les logs d'audit sont transférés au serveur de notification sélectionné dans la configuration.
  1. Vérifiez que les logs d'audit globaux affichent les événements d'audit.
Testez vos logs d'audit pour vérifier qu'ils affichent les événements tels que définis dans votre modèle de consignation des audits. La rubrique Vérifier les logs d'audits globaux fournit des instructions.
You are here
Table of Contents > Procédures standard > Configurer la consignation globale des audits
Labels (1)
Labels:
0 Likes
Was this article helpful? Yes No
No ratings

On this page

© 2020 RSA Security LLC or its affiliates.
All rights reserved.