Guide sur la consignation d’événements
Sur cette page
1. Introduction
1.1 But et portée
Pour renforcer la sécurité et accroître la protection du réseau, il faut recueillir, surveiller et détecter les incidents de sécurité au moyen de l’analyse des données des journaux. Pour ce faire, la consignation des événements doit être activée sur tous les actifs de la technologie de l’information (TI) de l’organisation.
Le présent document fournit des conseils de haut niveau sur l’endroit où configurer la consignation des événements sur les actifs de la TI pour qu’elles soient transmises ultérieurement à un système centralisé de consignation des événements et des renseignements de sécurité approuvé par le gouvernement du Canada (GC).
1.2 Contexte
Compte tenu de l’environnement de menaces de plus en plus hostile et pour mieux réagir aux incidents qui découlent des attaques, les organisations du GC doivent recueillir, gérer et analyser des journaux d’événements qui pourraient aider à la détection d’une attaque, à la détermination de sa portée, à la compréhension ou au rétablissement.
Selon le Computer Security Handling Guide du National Institute of Standards and Technology (NIST), « un événement est tout événement observable dans un système ou un réseau. » Voir la note en bas de page 1 Les événements sont saisis dans des journaux et d’autres données structurées et non structurées qui contiennent un enregistrement des événements qui se produisent dans un bien ou un réseau. Les données du journal peuvent fournir un moyen de responsabilisation individuelle, de reconstitution des événements, de détection et/ou de prévention des intrusions et de détermination des problèmes. Un ou plusieurs événements analysés dans un contexte de sécurité peuvent déclencher un incident de sécurité informatique. Le Plan de gestion des événements de cybersécurité du GC (PGEC GC) Voir la note en bas de page 2 définit un incident de sécurité informatique comme « tout événement (ou série d’événements), acte, omission ou situation qui entraîne une compromission. »
Pour réagir rapidement et efficacement aux attaques et pour appuyer la gestion des incidents, les journaux doivent contenir suffisamment de renseignements pour déterminer les événements qui se sont produits et qui ou ce qui les a provoqués. En l’absence d’un journal complet des événements, une attaque peut passer inaperçue indéfiniment et les dommages particuliers peuvent être irréversibles. Étant donné que, pour chaque système d’exploitation, chaque application et chaque périphérique réseau, on rédige des journaux d’événements, il est important de trouver un équilibre et un point de référence appropriés pour la consignation dans toute l’organisation.
1.3 Exigences
Les exigences suivantes sont déterminées à partir de diverses références du GC, comme le décrit le tableau ci-dessous.
Article | Exigences | Référence |
---|---|---|
1. |
Les pratiques relatives la gestion des événements liés à la sécurité sont définies, documentées, mises en œuvre et tenues à jour afin d’assurer la surveillance, la réponse et le signalement des menaces, des vulnérabilités, des incidents et d’autres événements liés à la sécurité, et de veiller à ce que de telles activités soient coordonnées de façon efficace au sein du ministère, avec les partenaires et dans l’ensemble du gouvernement, ce qui permet de gérer les incidences possibles, d’appuyer la prise de décisions et de permettre la mettre en œuvre des mesures correctives. |
Politique sur la sécurité du gouvernement Voir la note en bas de page 3, A.7 |
2. |
Créer, protéger et conserver les journaux et les dossiers d’audit des systèmes d’information pour permettre la tenue d’activités de surveillance, d’établissement de rapports, d’analyse, d’enquêtes et de mise en œuvre de mesures correctives, selon les besoins de chaque système et conformément aux pratiques ministérielles. |
Directive sur la gestion de la sécurité Voir la note en bas de page 4, B.2.3.8 |
3. |
Analyser les journaux et les dossiers d’audit des systèmes d’information. Examiner les résultats de la surveillance du système, des évaluations de la sécurité, des essais et de l’analyse post-événement. Prendre des mesures préventives, réactives et correctives pour corriger certaines lacunes et veiller à ce que les pratiques et les mesures de sécurité de la TI continuent de répondre aux besoins du ministère. |
Directive sur la gestion de la sécurité, B.2.7.1, B.2.7.2, B.2.7.3, B.2.7.4 |
4. |
La surveillance continue des événements et du rendement du système et l’inclusion d’une fonction de dossiers d’audit en matière de sécurité dans tous les systèmes d’information permettent de détecter les incidents à l’appui de la prestation continue des services. Il est essentiel qu’un niveau adéquat de consignation et d’établissement de rapports soit configuré aux fins de la portée des services d’informatique en nuage qui relèvent de la responsabilité du GC. Ces documents aideront à ce qui suit :
Ces mesures s’étendent également aux fournisseurs de services d’informatique en nuage (FSIN) qui doivent surveiller en permanence les composantes de services d’informatique en nuage relevant de leur compétence. Les politiques de conservation de la fonction de journal d’audit doivent être définies conformément aux règles suivantes :
|
Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01 Voir la note en bas de page 5, Section 6.3.1 Surveillance des systèmes d’information |
5. |
La détection des événements de cybersécurité potentiels, y compris les incidents de cybersécurité confirmés, par le contrôle des diverses sources d’information (ce qui comprend les solutions logicielles et le matériel des ministères et du reste du gouvernement) et par l’établissement de rapports par les ministères et organismes concernés fait partie de la phase de détection et d’évaluation. |
PGEC GC Voir la note en bas de page 2 |
6. |
Pour éviter toute compromission des actifs et des infrastructures reliés à Internet, désactiver tous les ports et services non essentiels et supprimer les comptes inutiles. Un audit au niveau de l’organisation et une solution antivirus sont des éléments clés de toute configuration sécurisée. |
Centre canadien pour la cybersécurité (CCCS) – Les 10 principales mesures de sécurité des TI, n° 4Voir la note en bas de page 6 |
7. |
La surveillance des alertes du système de prévention des intrusions au niveau de l’hôte et la consignation des renseignements permettront de repérer rapidement les intrusions. |
Les 10 principales mesures de sécurité des TI du CCCS, n° 8Voir la note en bas de page 6 |
1.4 Mesures de sécurité connexes
Voici les mesures de sécurité connexes du document du cadre de gestion des risques liés à la sécurité de la TI CSTI-33 du CCCS Voir la note en bas de page 7 : qui dépendent de la consignation et de la surveillance.
Mesure de sécurité | Nom |
---|---|
AC-3 |
Mesure de contrôle d’accès |
AC-4 |
Contrôle du circuit des renseignements |
AC-5 |
Répartition des tâches |
AC-8 |
Avis de l’utilisation du système |
AC-17 |
Accès à distance |
AU-2 |
Événements vérifiables |
AU-3 |
Contenu des dossiers d’audit |
AU-4 |
Capacité de stockage des données d’audit |
AU-05 |
Réponses aux échecs de traitement de vérification |
AU-6 |
Examen, analyse et établissement de rapports de vérification |
AU-7 |
Réduction de la vérification et génération de rapports de vérification |
AU-8 |
Estampilles temporelles |
AU-9 |
Protection des renseignements de vérification |
AU-11 |
Conservation des données d’audit |
AU-12 |
Génération de l’audit |
AU-14 |
Audit de séance |
CA-7 |
Surveillance continue |
IR-4 |
Traitement des incidents |
IR-5 |
Surveillance des incidents |
PE-3 |
Mesure de contrôle d’accès physique |
PE-6 |
Surveillance de l’accès physique |
RA-3 |
Évaluation du risque |
RA-5 |
Balayage de la vulnérabilité |
SC-7 |
Protection des limites des réseaux |
SC-26 |
Pots de miel |
SI-4 |
Surveillance des systèmes d’information |
SC-35 |
Clients leurres |
SI-3 |
Protection des codes malveillants |
SI-7 |
Intégrité des logiciels, des micrologiciels et des renseignements |
1.5 Directives de mise en œuvre
On doit tenir compte des directives de mise en œuvre suivantes :
1.5.1 Stratégie de consignation et de surveillance
Le fondement d’une gestion efficace des journaux consiste en une stratégie de consignation et de surveillance organisationnelles définie, telle qu’elle est présentée dans la famille des mesures de la surveillance du système d’information CSTI-33 (SI-4) :
- L’organisation surveille les systèmes d’information pour détecter ce qui suit :
- attaques et indicateurs d’attaques éventuelles, conformément à [Affectation : Objectifs de surveillance définis par l’organisation];
- connexions locales, en réseau et à distance non autorisées.
- L’organisation détermine l’utilisation non autorisée du système d’information par [Affectation : techniques et méthodes définies par l’organisation].
- Les organisations déploient des appareils de surveillance :
- dans le cadre stratégique du système d’information, afin de recueillir des renseignements essentiels déterminés par l’organisation;
- dans des emplacements spéciaux du système pour suivre des types particuliers d’opérations présentant un intérêt pour l’organisation;
- L’organisation protège les renseignements obtenus à partir d’outils de surveillance des intrusions contre tout accès, toute modification ou suppression non autorisé.
La surveillance des systèmes d’information est une exigence de base pour les mesures connexes, en particulier les familles et les mesures identifiées dans le tableau 1-2 Mesures de sécurité connexes.
Complément à ces exigences générales, l ’annexe A : Les événements recommandés aux fins de consignation fournissent une liste d’événements provenant de sources d’événements informatiques communs qui devraient être consignés par les organisations du GC.
Les instruments de politique et de directive du GC mentionnés dans le tableau 1-1 Exigences concernent la consignation et l’audit, mais ne fournissent aucun renseignement sur la façon d’établir une stratégie fondamentale de consignation et de surveillance qui satisfait aux exigences des mesures de la norme CSTI-33 précisées ci-dessus. Il est donc recommandé d’examiner les ressources externes suivantes :
- Orientations détaillées du NIST sur l’élaboration d’une capacité de gestion des journaux, y compris des éléments de politique Voir la note en bas de page 8.
- Le modèle de l’Institut SysAdmin, Audit, Network, Security (SANS) pour la création d’une politique et la définition des exigences en matière de consignation, ainsi que des rôles et des responsabilités Voir la note en bas de page 9. Ce modèle pose des questions auxquelles il faut répondre dans une politique typique de consignation et de surveillance.
1.5.2 Conservation et préservation des journaux
Bibliothèque et Archives Canada recommande une période de conservation de deux ans après la dernière utilisation administrative en ce qui concerne les renseignements ayant une valeur opérationnelle dans les processus de la TI ou de sécurité Voir la note en bas de page 10. Le bulletin AU-11 du CSTI-33 stipule que les périodes de conservation et de préservation des documents de vérification (c’est-à-dire, les enregistrements de journaux relatifs aux événements vérifiables) sont « définies par l’organisation »; toutefois, le profil des mesures de sécurité de l’informatique en nuage du gouvernement du Canada Voir la note en bas de page 11 établit pour ces documents les exigences de conservation suivantes :
- FSIN : Période = [au moins 90 jours]
- GC : Période = [événements et journaux au moins trois mois en ligne et au moins six mois en stockage; événements et journaux associés à un incident de sécurité pendant au moins deux ans]
Les exigences ci-dessus, propres aux systèmes Protégé B/Intégrité moyenne/Disponibilité moyenne hébergés dans le nuage, peuvent être appliquées de la même façon aux systèmes Protégé B/Intégrité moyenne/Disponibilité moyenne hébergés sur place, y compris l’enregistrement de sécurité pour les systèmes énumérés à l’annexe A : Événements recommandés pour la connexion.
Les exigences en matière de conservation et de préservation des journaux pour les autres données sur les événements recueillies auprès des systèmes informatiques du GC au-dessus ou au-dessous du système Protégé B/Intégrité moyenne/Disponibilité moyenne, y compris celles énumérées dans l’annexe, devraient être définies dans les instruments de politique organisationnelle et les profils des mesures de sécurité de la TI et d’autres types de normes. La politique devrait établir un équilibre entre les exigences de réduction des risques et les incidences opérationnelles, telles que les coûts d’immobilisations et les besoins en ressources.
1.5.3 Protection les renseignements figurant au journal
Les installations de consignation et les renseignements sur les journaux doivent être protégés contre toute effraction et tout accès non autorisés, car, quelle que soit l’ampleur de la consignation effectuée par une organisation, ces journaux ne valent rien si leur intégrité ne peut être vérifiée. Les journaux de l’administrateur et de l’exploitant sont souvent des cibles pour effacer les pistes d’activités et les preuves de la présence d’un attaquant.
Les mesures communes de protection des informations sur les journaux sont les suivantes :
- Vérification de l’activation de la consignation des événements pour les composants du système.
- Veiller à ce que seules les personnes ayant des besoins pour l’exercice de leurs fonctions puissent consulter les fichiers journaux.
- Confirmer que les fichiers journaux actuels sont protégés contre les modifications non autorisées par des mécanismes des mesures de contrôle d’accès, la ségrégation physique et/ou la ségrégation du réseau.
- Veiller à ce que les fichiers journaux actuels soient rapidement sauvegardés sur un serveur de journaux centralisé ou sur un support non effaçable.
- Utilisation de mécanismes de vérification de l’intégrité des fichiers pour détecter les modifications non autorisées apportées aux fichiers de configuration de consignation des événements et aux fichiers journaux.
1.6 Directives supplémentaires
1.6.1 Windows
Des instructions supplémentaires pour les environnements Windows sont disponibles dans les documents suivants :
- La National Security Agency repère son adversaire grâce à la surveillance du journal des événements de Windows (août 2015) Voir la note en bas de page 12. Cet article fournit une introduction à la collecte des journaux d’événements importants des postes de travail Windows et à leur stockage dans un emplacement central pour faciliter la recherche et la surveillance de l’état du réseau. Le document aide les administrateurs à configurer la collection centrale de journaux d’événements. On recommande un ensemble d’événements de base à collecter sur un réseau intégré à l’aide de la stratégie de groupe et des outils intégrés déjà disponibles dans le système d’exploitation Microsoft Windows.
- Pratiques exemplaires de Microsoft pour sécuriser Active Directory Voir la note en bas de page 13 Voir la note en bas de page 14 : Cet article traite de plusieurs sujets, allant de la défense contre différentes attaques sur les installations Active Directory à la recommandation d’une liste exhaustive d’événements à surveiller dans un domaine donné.
-
Présentation du Centre national de cybersécurité sur la consignation à des fins de
sécurité Voir la note en bas de
page 15 : Cette orientation aidera à concevoir une approche de la consignation qui permettra de
répondre à certaines des questions typiques posées lors d’un incident cybernétique, comme les
suivantes :
- Que s’est-il passé?
- Quelles sont les incidences?
- Que devrions-nous faire ensuite?
- Y a-t-il eu des mesures correctives efficaces après l’incident?
- Nos mesures de sécurité fonctionnent-elles?
1.6.2 Nuage
Les approches de surveillance de la sécurité des actifs d’informatique en nuage publics présentent des similitudes et des différences par rapport à celles des environnements informatiques traditionnels. Il existe des menaces propres au nuage, mais les entreprises sont plus susceptibles d’être confrontées aux menaces traditionnelles qui touchent leur environnement d’informatique en nuage et aux menaces provenant du nuage qui touchent leur environnement informatique traditionnel.
La surveillance des événements dans un nuage nécessite une combinaison d’outils traditionnels, tels que des outils de renseignements sur la sécurité et de gestion des événements ou de prévention de la perte de données, et des outils d’origine nuageuse, tels que les courtiers en accès d’informatique en nuage sécuritaire, la gestion de la posture de la sécurité du nuage ou plateformes de protection de la charge de travail dans le nuage, afin de répondre aux besoins en matière de détection. Les principaux FSIN offrent tous des options de consignation et de gestion des journaux des événements d’origine nuageuse, dont la pertinence devra être évaluée par chaque organisation en fonction de ses besoins et de ses contraintes. On recommande d’activer et d’exploiter ces fonctions de consignation et de surveillance au sein de chaque plateforme. Toutefois, les organisations du GC devraient tenir compte des incidences financières et logistiques.
Les documents suivants renferment des conseils supplémentaires pour trois environnements d’informatique en nuage communs :
- Consignation et audit Azure Voir la note en bas de page 16 : Azure offre un large éventail d’options de consignation et d’audit de sécurité configurables pour vous aider à cibler les lacunes de vos stratégies et mécanismes de sécurité. Cet article traite de la génération, de la collecte et de l’analyse de journaux de sécurité à partir de services hébergés sur Azure.
- Amazon Web Services (AWS) Voir la note en bas de page 17 Voir la note en bas de page 18 : Les journaux d’Amazon CloudWatch sont utilisés pour surveiller et stocker les fichiers journaux et y accéder à partir des instances Elastic Compute Cloud (EC2) d’Amazon (Amazon EC2), CloudTrail des services d’informatique en nuage d’Amazon (AWS), Route 53 et d’autres sources.
- Plateforme d’informatique en nuage de Google Voir la note en bas de page 19 : Les journaux d’audit du nuage aident les équipes de sécurité à maintenir les pistes d’audit dans la plateforme d’informatique en nuage de Google. Grâce à cet outil, les entreprises peuvent atteindre le même niveau de transparence en matière d’activités administratives et d’accès aux données sur la plateforme d’informatique en nuage de Google que dans les environnements locaux. Chaque activité administrative est enregistrée sur une piste d’audit renforcée et permanente, qui ne peut être désactivée par aucun acteur malveillant.
2. Références
Appendice A : Événements recommandés à consigner
Le tableau A-1, Configuration et rendement du système , reflète les directives pour la collecte des données en matière de configuration et de rendement dans les systèmes d’information.
Données recommandées | Format | Priorité |
---|---|---|
État du système (utilisation des ressources, rendement.) |
Journal Interroger la base de données Script |
MOYENNE |
Mises à jour des logiciels Agent utilisateur dans le cas des mises à jour logicielles du périphérique ou de l’hôte |
Journal Interroger la base de données Script |
MOYENNE |
Configuration – Renseignements recueillis régulièrement |
Interroger la base de données Script |
ÉLEVÉE |
Modifications de la configuration Succès et échec |
Consignation après un plan d’action de gestion ou une ouverture de séance administrative |
MOYENNE |
Données recommandées | Format | Priorité |
---|---|---|
|
Journal |
MOYENNE |
Authentification administrative
|
Journal |
ÉLEVÉE |
Autorisation Toutes les opérations privilégiées, y compris « sudo », activation de l’accès à l’interface de lignes de commande (CLI), commandes d’administration des systèmes, PowerShell. |
Journal |
ÉLEVÉE |
Données recommandées | Format | Priorité |
---|---|---|
Données brutes et métadonnées – Filtrage des événements
|
Journal Saisie des paquets Pièces jointes des courriels |
MOYENNE |
Mises à jour de la politique sur le filtrage de contenu. |
Journal |
MOYENNE |
Modifications du dictionnaire de pourriels. |
Journal |
MOYENNE |
Adresse IP et réputation du domaine (tel qu’il est indiqué au moyen de la connexion au serveur de messagerie). |
Journal |
FAIBLE |
Données recommandées | Format | Priorité |
---|---|---|
|
Journal Pièces jointes |
MOYENNE |
Indication de l’hôte qui s’est connecté à une URL particulière.
|
Journal |
ÉLEVÉE |
Données recommandées | Format | Priorité |
---|---|---|
|
Journal Pièces jointes |
FAIBLE |
Données recommandées | Format | Priorité |
---|---|---|
Renseignements sur la location du DHCP y compris l’adresse MAC, l’adresse IP. |
Journa Saisie des paquets |
DE FAIBLE À MOYENNE |
DNS – adresse IP et nom de port de la source, adresse IP et nom de port de la destination.
|
Saisie des paquets préférés, sinon inscription au journal. |
ÉLEVÉE en ce qui concerne l’analyse DNS, la protection contre les attaques DNS, la protection contre l’exfiltration et l’atténuation contre les domaines malveillants. |
|
Journal Saisie des paquets Données du SNMP, y compris WALK, GET, TRAP |
ÉLEVÉE |
Mappage du tableau de conversion d’une adresse réseau statique et transfert de ports.
|
Journal Interroger la base de données Script Dossier Configuration SNMP |
LA PLUS ÉLEVÉE |
Données recommandées | Format | Priorité |
---|---|---|
Routeurs et commutateurs
|
Script Dossier Configuration |
MOYENNE |
Hachage du binaire ou des binaires exécuté sur le périphérique |
Script |
ÉLEVÉE |
Pare-feu Tous les événements du pare-feu. Au minimum, si les listes de mesures d’accès sont activées et que le périphérique filtre l’achalandage :
|
Journal |
ÉLEVÉE |
Toutes les alertes et tous les événements IDS/IPS
|
Journal Saisie des paquets |
ÉLEVÉE |
Passerelle de RPV – tous les événements À tout le moins, pour les acceptations, les mises à nu, les fermetures, les refus et les abandons :
|
Journal |
ÉLEVÉE
|
Filtres des données de substitution et du contenu Web Fournit une adresse IP NAT d’utilisateur et de passerelle pour fournir des rapports améliorés sur les domaines et les adresses IP malveillants. Dans le cas du Web, on utilise le format W3C.
|
Journal Saisie des paquets |
LA PLUS ÉLEVÉE |
Filtres des données de substitution et du contenu Web
|
Journal |
LA PLUS ÉLEVÉE |
Données recommandées | Format | Priorité |
---|---|---|
Tous les événements liés à ce qui suit :
|
Journal |
ÉLEVÉE |
Données recommandées | Format | Priorité |
---|---|---|
|
Journal |
MOYENNE À ÉLEVÉE Corrélation avec la saisie de paquets pour la cyberdéfense et la connaissance de la situation |
Données recommandées | Format | Priorité |
---|---|---|
Infrastructure Windows et systèmes d’exploitation.
|
Journal |
ÉLEVÉE |
Données recommandées | Format | Priorité |
---|---|---|
|
Journal |
ÉLEVÉE |
Données recommandées | Format | Priorité |
---|---|---|
Applications Web
|
Journal Saisie des paquets Non chiffré |
ÉLEVÉE
|
Requêtes et réponses de la base de données d’application Web. |
Journal |
ÉLEVÉE |
Panne d’une application Web – Processus ou applications. |
Journal |
ÉLEVÉE |
Configuration et version des applications Web, configuration et version de l’intergiciel. |
Journal |
ÉLEVÉE |
Applications commerciales prêtes à l’emploi standards et personnalisées.
|
Journal Tableaux de bord de surveillance des applications |
MOYENNE |
|
Journal |
ÉLEVÉE |
Données recommandées | Format | Priorité |
---|---|---|
|
Journal |
ÉLEVÉE |
Données recommandées | Format | Priorité |
---|---|---|
Presque toutes les attaques réussies sur les services d’informatique en nuage résultaient d’erreurs de configuration des clients. Compte tenu de cela, la consignation et la surveillance devraient être axées sur ce qui suit :
|
Journal |
LA PLUS ÉLEVÉE |
Détails de la page
- Date de modification :