LMi-MAG SP avril - Flipbook - Page 63
© Anssi
Représentation synthétique des configurations
à réaliser pour le déploiement d’un service de collecte
des événements Windows.
ligne de commande...). « S’engager dans la voie d’une
journalisation avancée reposant sur sysmon nécessite
les compétences adéquates et requiert un investissement de temps notable, tant pour son déploiement initial que pour son maintien en conditions opérationnelles
(MCO) ou de sécurité (MCS) », avertit toutefois l’Anssi.
Centraliser les événements des systèmes Windows dans
un format brut et s’assurer d’un dimensionnement suffisant de leurs serveurs de collecte sont aussi poussés. « La
supervision de la sécurité ne peut être la seule mesure de
sécurité envisagée pour se prémunir d’une attaque. Les
journaux d’événements étant des sources d’information
indispensables à ces activités, leur disponibilité et leur
centralisation sont primordiales pour en assurer le séquestre et en permettre l’analyse avec une vue d’ensemble
du SI », prévient aussi l’Anssi. Le transfert de ces événements nécessite également une attention particulière.
Utilisant le protocole de gestion de systèmes à distance
de Windows, WinRM, le trafic réseau qui transite dessus
est encapsulé dans HTTP qui ne dispose pas par défaut
du TLS. « La méthode de transfert des événements doit
être configurée de sorte à garantir l’intégrité et la confidentialité des événements transférés, tout en contrôlant
la surface d’attaque qu’elle représente pour les systèmes
clients et les serveurs collecteurs d’événements », recommande l’Anssi.
Assurer le maintien en condition de sécurité
des solutions tierces de collecte
Outre la centralisation des listes (standards et personnalisées) d’événements Windows, l’Anssi préconise de
privilégier les abonnements configurés en mode push,
lorsque la centralisation des événements vers des serveurs collecteurs repose sur l’utilisation du service
WECSvc. « Si des abonnements WECSvc en mode Pull
sont toutefois utilisés, il est recommandé de porter une
attention toute particulière aux comptes de service employés : le non-respect du principe de moindre privilèges pourrait permettre des rebonds de compromission
depuis les serveurs de collecte et vers leurs clients »,
prévient l’agence.
Enfin, on n’oubliera pas de cloisonner suffisamment les
serveurs de collecte d’événements, de proscrire les solutions logicielles tierces de collecte sur les ressources
sensibles de l’AD et de protéger les ressources sensibles
de l’AD en cas d’utilisation de solutions logicielles tierces
de collecte. « Les solutions tierces de collecte doivent
faire l’objet d’un maintien en condition de sécurité
(MCS) assidu et spécifique dans la mesure où elles sont
hors-périmètre des mises à jour automatiques de Windows.
Ce MCS est primordial pour protéger les ressources
journalisées contre toute vulnérabilité connue de ces
solutions », conseille enfin l’Anssi.
14 nouvelles recommandations pour sécuriser
l’architecture d’un système de journalisation
« La journalisation est une activité technique indispensable à la sécurité des systèmes d’information. Elle est
parfois imposée par la réglementation. En préventif, la
journalisation est un prérequis pour certaines mesures
de durcissement essentielles, par exemple dresser l’inventaire des applications d’un SI en vue de définir une
politique de restrictions logicielles. [Lire l’intégralité de
l’article sur lemondeinformatique.fr]
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
cutt.ly/podcast-Anssi
LIRE EN LIGNE
Article
cutt.ly/article-Anssi
63