Rapports d’audit AD à partir de données archivées
Les entreprises grandissant et adoptant des pratiques de conformité plus strictes à la demande des autorités réglementaires, l’archivage et la capacité de suivi en extrayant des données archivées devient indispensable plutôt que souhaitable.
Certaines exigences réglementaires obligent à conserver des données d’entreprise pendant 3 à 10 ans. Imaginez la difficulté liée à la récupération de données âgées de 7 ou 8 ans, notamment avec des méthodes d’archivage natives pas conçues à cet effet. Cela nécessite l’archivage de données d’audit dans un format facilement compréhensible par des systèmes répandus, pour leur recréation.
Besoin d’archivage
Le besoin d’archivage ne se limite pas à la conformité. Les données archivées sont très importantes pour les organisations afin de :
- Faciliter l’analyse forensique et la production de rapports.
- Veiller à la protection et la conservation de données d’audit intactes pour répondre à diverses exigences (des normes de conformité comme SOX, HIPAA ou GLBA demandent des données de journal d’audit pour une période minimale de 3 ans).
- Analyser les tentatives d’accès non autorisé à Microsoft Windows Active Directory, un serveur de fichiers ou un serveur membre qui ont conduit à un défaut de sécurité interne et mettre à jour la stratégie organisationnelle déjà établie.
- Planifier la capacité des ressources en étudiant les modèles d’utilisation pour diverses périodes.
- Identifier des utilisateurs suspects (données de connexion) et confirmer leur implication dans une attaque de sécurité antérieure à l’aide de leurs pistes d’audit.
Les paragraphes suivants soulignent les défis liés aux méthodes d’archivage/extraction natives. Chaque défi est suivi de la solution adéquate. ADAudit Plus offre une réponse complète aux besoins d’archivage.
Stockage de données
Les détails des modifications AD sont stockés dans le journal de sécurité des contrôleurs de domaine qui est limité à une taille maximale de 4 Go. Des options de gestion des journaux comme l’écrasement des événements au besoin et le non-écrasement évitent de stocker les événements pendant de trop longues périodes.
Cela oblige à prévoir le transfert du surplus des journaux vers un stockage secondaire.
Surcharge de données
L’intégralité du fil des activités, consigné dans les journaux de sécurité des contrôleurs de domaine, peut ne pas être utile. Il faut prendre en compte l’espace requis pour stocker de gros volumes de données de journal.
Les experts conseillent de filtrer, trier et n’archiver que les informations nécessaires au suivi à des fins d’exploitation, de sécurité ou de conformité. On réduit ainsi nettement les besoins de stockage de données archivées.
Formats de stockage
Lors de l’archivage, les fichiers sont compressés pour occuper un espace optimal. Durant la compression, les en-têtes d’événement sont balisés avec leurs données respectives au format binaire.
Le format binaire n’est pas propice à l’extraction de données d’audit archivées, car il devient impossible de les recréer au fil du temps.
Extraction de données archivées, avantage d’ADAudit Plus
En matière d’extraction de données archivées, ADAudit Plus permet de :
- Archiver les données d’audit dans un emplacement défini par l’utilisateur, qui peut être un serveur de stockage n’importe où dans le réseau.
- De n’archiver que les modifications Active Directory requises, ce qui réduit l’encombrement normalement lié aux méthodes natives de stockage secondaire.
- Suivre un déclassement catalogué des différents journaux de modifications, regroupés en plusieurs fichiers compressés et marqués par dates de survenue des événements. Ces fichiers compressés contiennent des données de journal filtrées, stockées dans un format pur.
- Les données de journal sont stockées dans un format qui permet la restauration et la recréation à la demande et pour la période voulue.
Rapports historiques par extraction de données archivées
Outre le fait d’aider les organisations à stocker les données archivées requises, ADAudit Plus produit des rapports sur celles-ci pour une période définie par l’utilisateur. Cela simplifie tout le lourd processus de stockage des données d’audit et de génération de rapports.
Audit du stockage de données
Any audit log data used for reporting, can be cleared from ADAudit Plus database and archived. The clearing is based on audit categories and category specific schedules defined by users.
Audit Categories in ADAudit Plus that assist in the restoration of processed audit data for Historical Reporting:
Account Logon, Account Creation, User Modification, Computer Modification, Group Modification, Domain Policy Changes, OU Management, GPO Management and Local Logon-Logoff.
On peut facilement restaurer les données archivées pour les utiliser dans ADAudit Plus à des fins de suivi personnalisé, l’utilisateur déterminant la période concernée. La solution permet toujours de produire des rapports personnalisés pour une date plus ancienne à partir de données restaurées.
Ces rapports jouent un rôle vital dans l’analyse forensique et l’audit de la sécurité et de la conformité.
Avantages du processus d’archivage avec ADAudit Plus
- Suivi rapide, sûr et fiable des données archivées.
- Sélection immédiate et affichage des événements pour une période choisie à des fins de suivi historique.
- Processus d’archivage automatisé et organisé.
