Discussion :

[Toadster]

Bonjour,

Actuellement en stage dans une grande entreprise, je suis chargé de la mise en place de la centralisation des logs sur un serveur syslog à des fins plus juridiques que pour des questions de sécurités. Je dois donc selon la loi dites de Sarkozy (c'est d'actualité ;)) de 2006 récupérer tous les logs de connexion sur le réseau (jusque là rien de sorcier). Cependant j'aimerai sensibiliser ma direction sur les avantages de l'analyse des journeaux d'événements de l'intégralité du réseau (je ne prends cependant pas en compte les machines clientes = les ordis des employés).

N'étant qu'en seconde année de ma formation de développeur et n'aillant aucunes connaissances (et compétences) dans l'administration et la sécurité des réseaux, je manque de connaissances sur l'intérêt de l'analyse des logs pour une machine précise (routeur, switch, firewall ...). Je connais cependant les avantages généraux de l'analyse des logs: cela permet de renforcer la sécurité en surlignant les brèches dans la sécurité (quels types de brèches?) et donc de les corriger, de détecter les attaques en cours et passé sur le réseau et voir comment elles se produisent/aient, et cela peut même servir d'outil de statistiques. Il y a donc un gain de temps (et donc d'argent) à la mise en place de solutions d'analyses de logs.

Il y a pléthore de documentation sur les bénéfices de ces analyses sur le web, mais très peu sur le comment (comment et pourquoi c'est bénéfique).

Je chercherai donc à savoir pour quelles machines il est impératif d'analyser les journeaux d'événements et le pourquoi il est impératif de le faire sur cette machine. De même, est-il important de récupérer et d'analyser les logs des machines clientes?

Pour être sincère je cherche un moyen de faire peur aux décisionnaires de ma société, afin de les pousser à sortir les sous pour protéger leur réseau. ^^'

Merci d'avance pour vos réponnses.

[Toadster]

Je me permet de relancer la discution car j'ai vraiment du mal à trouver quelles seraient les bonnes questions que je devrais me poser pour être vraiment efficace dans ma démarche. J'ai un peu le sentiment d'avoir la tête sous l'eau sans possibilité d'avori un peu d'air frais.

Si quelqu'un pouvait avoir la sympathie de bien vouloir formuler pour moi quelles sont les bonnes questions auxquelles je devraient répondre pour avancer un peu?

[ram-0000]

Je te propose de commencer à lire ces 2 articles :

• Présentation du protocole Syslog
• La journalisation dans le monde Microsoft, découvrez l'API EventLog

Le 1er article présente le protocole de journalisation Syslog (surtout présent dans le monde Unix).

Le 1er chapitre du 2eme article présente des généralités qui devraient t'être utiles. La fin de cet article présente la journalisation dans le monde Microsoft (vu côté développeur), je ne sais pas si cela t’intéressera.

[Ti-EN]

Si je comprend bien ta question tu cherches à justifier l’intérêt d’analyser les logs sur le réseau.

Tout simplement pour savoir qui va sur Facebook sur ses heures de travail Mais bon après tu as 90 % de la boite qui te déteste !

Plus sérieusement, tu te rendra vite compte que d’analyser les logs au niveau de tes routeurs te permet de savoir ce qui entre et ce qui sort de ton réseau. C'est à dire la totalité du traffic !
De plus cela te permet d'avoir un oeil sur les attaques de type brute force, de comprendre pourquoi d'un coup tout le réseau devient super lent, d'avoir un oeil sur les machines verrolé sur lesquels des petits bot envois des trames à tout va....

Le principal avantage d'une journalisation c'est de trouver le problème en cas de panne ou de ralentissement !

Au niveau des postes clients cela va plus te servir à avoir une supervision et donc anticiper les pannes. Mais là on entre dans le domaine du monitoring.

[Toadster]

Je te propose de commencer à lire ces 2 articles :
Présentation du protocole Syslog
La journalisation dans le monde Microsoft, découvrez l'API EventLog

Pour tout ce qui est technique pur et dur, j'ai bien compris, merci quand même. (Edit: Après lecture des documents, je ne peux que te remercier pour les info sur la journalisation dans le monde MS).

La réponse de Ti-EN correspond mieux à ma question à vrai dire.

Là où mes connaissances me font défaut c'est plus sur les machines dont l'analyse des logs est essentielle, le pourquoi elle est essentielle sur telle machines (comme tu as pu me l'expliquer avec l'exemple du routeur et des postes clients) et encore plus précisément quels seront les logs qui mettront en valeur ce que je cherche à monitorer (par exemple, si je collecte un nombre important de log traitant de multitudes de tentatives de connexions échouées suivis d'une connexion réussie sur un poste client, je peux me douter que quelqu'un s'est connecté en brute-force sur cette session). Ce dernier point est très optionnel (je ne vous demande pas de faire mon travail, bien sur , juste de me donner quelques pistes vers lequelles me tourner - peut être quelques mots-clefs google que je n'aurais peut être pas tester-).

Depuis trois semaines (date du début de mon stage), j'ai pu collecter pas mal d'info sur les techniques autour du protocole syslog, sur les différentes machines qui peuvent composer un réseau (nottament celle de mon entreprise) et leurs utilités, mais aussi sur les protocoles courants usités sur les réseaux. Je manque juste de connaissances et de pratique plus avancées pour comprendre pourquoi je dois surveiller et collecter les logs sur une machine donnée (et du coup pouvoir l'expliquer à ma direction pour justifier des demandes de fonds).

N'aillant pas de formation dans les réseaux j'ai un peu l'impression qu'on m'a demandé de monter un camion avec juste un tournevis et aucune connaissance en mécanique.Vous en conviendrez, on a connu plus facile.

Merci pour vos réponses en tout cas.

[ram-0000]

Là où mes connaissances me font défaut c'est plus sur les machines dont l'analyse des logs est essentielle, le pourquoi elle est essentielle sur telle machines (comme tu as pu me l'expliquer avec l'exemple du routeur et des postes clients) et encore plus précisément quels seront les logs qui mettront en valeur ce que je cherche à monitorer (par exemple, si je collecte un nombre important de log traitant de multitudes de tentatives de connexions échouées suivis d'une connexion réussie sur un poste client, je peux me douter que quelqu'un s'est connecté en brute-force sur cette session).

Je vais avoir une réponse de normand, mais cela dépend...

On ne fait pas de l'analyse de logs pour faire de l'analyse de logs.

• On commence par identifier les fonctions de l'entreprise (Web, facturation, Messagerie, Proxy, antivirus, DNS, ...) que l'on veut monitorer.
• Ensuite, on identifie les machines qui participent à ces fonctions.
• Ensuite, on regarde quels sont les possibilités de journalisation offertes par ces machines ou applications
• On peut ensuite "monter" le niveau de journalisation pour obtenir des logs non présents au préalable
• On fait (ou on obtient) la liste, le format et les condition d'apparition des messages actuel et potentiels (cela peut être dur pour les messages potentiels)
• On fait et organise la collecte des logs (sans oublier le backup). Il faut aussi défini les conditions et durée de rétention.
• et enfin, on peut faire de la corrélation et de l'analyse avec tout cela.

J'ai l'impression que tu prends le problème à l'envers, "j'ai des logs, qu'est que je peux montrer ?".
Le vrai problème, c'est "qu'est ce que je veux montrer ? quelles sont les possibilités de logs ? Est-ce que je pourrai le montrer avec cela ?"

[Toadster]

Merci Ram, c'est exactement le genre de réponse que j'attendais.

Je me doutais bien que je prenais le problème à l'envers mais c'est loin d'être facile de s'attaquer à ce genre de problème sans connaisses un peu approfondies sur le sujet et sur les démarches à suivre.

Mon maître de stage ne m'aillant pas vraiment donné de directives sur leurs besoins, je me sens un peu perdu et j'ai du mal à mettre en place et suivre une procédure. :/

(Edit: J'ai trouvé la semaine dernière sur le blog Gartner une procédure semblable décrite par Anton Chuvakin, je dois en parler dans la matiné avec mon maitre de stage)