Discussion :

[hacbao]

Bonjour,

Je m'interroge sur la faisabilité d'une centralisation des logs Windows vers un serveur, comme on le fait avec un serveur syslog. Ils y auraient environ 500 postes qui enverraient le contenu de l'observateur d'événement vers ce serveur.

Est-ce une pratique courante ? Quel logiciel serveur utilisé ?

Merci de vos éclaircissements

[Incorporated]

Bonjour,

C'est une bonne question, je me suis déjà penché sur le sujet et il est possible de récupérer les logs de l'observateur d'événements en autorisant par GPO la remonté de celle-ci.

Configuration Ordinateur => Paramètres Windows => Paramètres de sécurité => Stratégies Locales => Stratégie d'audit

Certains de ces paramètres sont récupéré par le DC et sont donc exploitable par un SIEM mais pas l'intégralité des événements.

Je pense qu'il faudrait qu'un agent faisant partie d'une solution SIEM qui soit installé sur les postes utilisateurs et remonterai ces logs.

[hacbao]

Merci pour la réponse très claire.
As-tu mis en place un SIEM ? Tu as des recommandations sur des noms de solutions ?

[Incorporated]

Tout à fait, j'utilise actuellement Rapid7 et celui-ci est performant. Il y a des solutions complémentaires afin d'assurer la sécurité des équipements de l'entreprise.

Il y a la partie IDR qui permet la collecte de logs / le déploiement d'agents sur les postes (soumis à License il me semble) / un système d'alertes.

Et la partie InsightVM qui permet de faire une analyse des différents équipements (serveurs Windows, Linux etc...) et de récupérer des rapports sur les failles présentes et la manière de les corriger.

Ensuite comme autre SIEM connu il y a aussi ElasticSearch, je n'ai assisté qu'à une présentation de celui-ci donc je ne connais pas bien cette solution.

Ou encore la solution d'IBM => QRadar

En espérant avoir pu t'aider

[hacbao]

J'y vois plus clair maintenant .

Je regarde de près les logiciels de la société elastic qui sont gratuits et qui me permétra de stocker des logs Windows.

Merci pour ton aide.