Scribd
Importer
19 vues12 pages

Module 15 Network Logs Monitoring

Le module 15 sur les journaux réseau forme les défenseurs à surveiller et analyser les journaux pour détecter les menaces. Il couvre les concepts de journalisation, les mécanismes de transfert, et les approches de journalisation, ainsi que les outils spécifiques pour Windows, Linux, Mac, pare-feux, routeurs et serveurs web. La centralisation des journaux est mise en avant pour simplifier la surveillance et améliorer la sécurité.

Transféré par

Dqnn
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
19 vues12 pages

Module 15 Network Logs Monitoring

Le module 15 sur les journaux réseau forme les défenseurs à surveiller et analyser les journaux pour détecter les menaces. Il couvre les concepts de journalisation, les mécanismes de transfert, et les approches de journalisation, ainsi que les outils spécifiques pour Windows, Linux, Mac, pare-feux, routeurs et serveurs web. La centralisation des journaux est mise en avant pour simplifier la surveillance et améliorer la sécurité.

Transféré par

Dqnn
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Module 15 - Network Logs

Monitoring and Analysis


Ce module vise à former les défenseurs de réseaux à la surveillance et à
l'analyse des journaux réseau pour identifier et répondre aux menaces. Les
objectifs incluent :

Comprendre les concepts de journalisation.


Surveiller et analyser les journaux sur les systèmes Windows, Linux,
Mac, les pare-feux, les routeurs et les serveurs web.
Mettre en Suvre une surveillance centralisée des journaux.

par Daniel ASSI


Concepts de journalisation

Sources de Besoins des Format typique


journaux journaux Inclut : identification
Tous les dispositifs et Identifier les incidents utilisateur, date/heure,
applications génèrent de sécurité, surveiller type d'événement,
des journaux (ex : les violations de succès/échec, origine,
Windows, routeurs, politiques, détecter les description, gravité,
pare-feux). fraudes, établir des protocole, etc.
références, et assurer
la conformité.
Mécanismes de transfert des journaux
Push (syslog, SNMP) Pull (ex : OPSEC pour Check Point)
Envoi actif des journaux vers un collecteur. Récupération des journaux depuis la source.

Les dispositifs transmettent automatiquement leurs journaux Le serveur central interroge périodiquement les dispositifs
vers un serveur central dès qu'ils sont générés. pour récupérer leurs journaux.

Avantages : transmission en temps réel, configuration Avantages : contrôle précis du moment de la collecte,
simplifiée sur le collecteur. réduction de la charge sur les dispositifs sources.
Format typique des journaux
Champ Exemple

Identification utilisateur admin

Date/heure 2023-04-03

Type d'événement Failed login

Origine 192.168.1.1

Protocole SSH

Exemple complet : User: admin | Date: 2023-04-03 | Event: Failed login | Source: 192.168.1.1 | Protocol: SSH
Approches de journalisation
Journalisation Locale
Stockage sur la machine hôte (adapté aux petits réseaux).

Simple à mettre en place


Pas de dépendance réseau
Risque de perte en cas de compromission

Journalisation Centralisée
Agrégation des journaux sur un serveur central.

Analyse proactive
Sécurité renforcée
Minimisation des pertes de données
Surveillance et analyse sur
Windows
Event Viewer
Outil principal pour consulter les journaux système, sécurité,
application, etc.

Types d'événements
Erreur, Avertissement, Information, Audit (succès/échec).

Fichiers de journaux
System.evtx, Security.evtx, Application.evtx (stockés dans
C:\Windows\System32\winevt\Logs).
Surveillance et analyse sur
Linux
Fichiers clés
/var/log/messages : Logs système généraux.

/var/log/auth.log : Authentifications.

/var/log/apache2/access.log : Accès au serveur web.

Commandes utiles
cat : Afficher le contenu complet d'un fichier de log.

tail : Afficher les dernières lignes d'un fichier de log.

grep : Filtrer les logs selon des critères spécifiques.


Surveillance et analyse sur
Mac
Outil Console
Accessible dans Applications/Utilitaires, interface graphique pour
visualiser les journaux système.

Fichiers de journaux
/private/var/log/appfirewall.log : Logs du pare-feu intégré.

Logs utilisateur
~/Library/Logs : Contient les journaux spécifiques à l'utilisateur.
Surveillance des pare-feux
Windows Defender Cisco ASA
Logs dans Niveaux de gravité (0-7),
C:\Windows\System32\LogFil commande show logging
es\Firewall\pfirewall.log. pour l'analyse.

Check Point
Commande fw log pour visualiser les logs en temps réel.
Surveillance des routeurs Cisco

Format des logs Filtrage


<timestamp> %facility-severity- Commande : show logging | include
MNEMONIC:description. 2 <mot-clé> pour filtrer.

Configuration Analyse
Paramétrage des niveaux de Identification des anomalies et des
journalisation et des destinations. événements de sécurité.
Surveillance des serveurs Web
Analyse avancée
Détection des attaques et optimisation

Types de logs
Access logs et error logs

Serveurs supportés
3
IIS et Apache

IIS : Formats W3C, IIS, NCSA (logs dans %SystemDrive%\inetpub\logs).

Apache :

access.log : Requêtes traitées.

error.log : Problèmes rencontrés.


Journalisation centralisée
Collecte
1
Générateurs de logs : Dispositifs réseau, serveurs, applications

Stockage
2
Serveurs centralisés (ex : syslog, bases de données)

Analyse
3
Outils de corrélation et tableaux de bord

Pourquoi centraliser ? Simplifie la surveillance, améliore la sécurité, permet des analyses transversales et des alertes
automatisées.

Processus : Collecte ³ Transmission (syslog, HTTPS) ³ Normalisation ³ Corrélation ³ Analyse ³ Alertes/Rapports.

Outils recommandés :

Syslog : Protocole standard pour la transmission des logs (UDP/TCP).


SIEM (ex : Splunk, ELK) : Pour l'agrégation et l'analyse avancée.

Vous aimerez peut-être aussi