Surveillance et audit du serveur de fichiers Windows

Accueil »

Surveillance du journal des événements de sécurité Windows en temps réel

ADAudit Plus est une solution primée d'audit de l'architecture de journalisation centralisée qui permet aux administrateurs d'environnement Microsoft Windows d’afficher, de surveiller, d'archiver et d'obtenir des alertes en temps réel ainsi que des rapports d'audit complets sur les événements du journal de sécurité Windows. Le journal de sécurité contient les enregistrements des événements liés à la sécurité spécifiés par la stratégie d'audit du système. Les administrateurs peuvent détecter et suivre les activités non autorisées tentées et réussies et résoudre les problèmes. Les événements de sécurité comprennent par exemple les événements d'authentification, les événements d'audit, les événements non autorisés et ces événements sont stockés dans les journaux de sécurité des systèmes d'exploitation.

Obtenir votre version d'évaluation gratuite

Version d'évaluation de 30 jours entièrement fonctionnelle

 
Surveillez et analysez de manière centralisée les journaux d'événements de sécurité pour détecter les modifications dans Windows Active Directory et les serveurs ; suivez les actions suspectes des utilisateurs et assurez une analyse rapide de la cause initiale en cas de délit
Obtenez toutes les informations en temps réel sur les objets AD - utilisateurs, groupes, objets de stratégie de groupe, ordinateurs, unités d'organisation, DNS, schéma AD et modifications de configuration avec plus de 200 rapports détaillés sur l'interface utilisateur graphique spécifique aux événements et des alertes par e-mail
Création de rapports et archivage des données automatisés pour la conformité informatique - HIPAA exige 7 ans de données de journal, PCI exige 5 ans de données de journal... Les données du journal de sécurité peuvent être utilisées pour les examens de sécurité interne et l'analyse approfondie des journaux

Pourquoi la surveillance du journal des événements de sécurité Windows est-elle nécessaire ?

La nécessité de respecter les normes de sécurité et de conformité telles que SOX, PCI-DSS, FISMA, GLBA, HIPAA, etc. exige des administrateurs qu'ils mettent en œuvre un processus sécurisé pour se protéger contre les accès non autorisés tentés ou réussis. La surveillance constante des informations réseau classifiées est essentielle pour toute entreprise, qu'elle soit ou non tenue de se conformer à certaines normes. Les journaux des événements de sécurité Windows constituent l'une des sources permettant de suivre et d'enregistrer les tentatives de connexion. Une vérification manuelle sur chaque appareil Windows est fastidieuse et impossible et justifie un audit et un contrôle automatisés et réguliers des journaux des événements.
Journaux des événements critiques de sécurité Windows qui doivent être audités
4768 / 4771 Réussite / échec d'ouverture de session de compte
4624 / 4625 Réussite / échec d'ouverture de session locale
4647 Fermeture de session initiée par l’utilisateur
4778 / 4779 Session de service Terminal Server reconnectée / déconnectée
5136 / 5137 Modification / création / déplacement d’objet AD
5139 / 5141 Objet AD déplacé / supprimé
4670 Modification d’autorisation avec d’anciens et de nouveaux attributs
4663 / 4659, 4660 Accès aux fichiers / suppression de fichiers

Les catégories d'événements du journal de sécurité de Windows Server 2008 qui peuvent être enregistrées sont les suivantes

Le nombre d'événements enregistrables est incommensurable et de ce fait l'analyse du journal des événements de sécurité peut constituer une tâche qui prend du temps. Si vous souhaitez auditer les réussites, auditer les échecs ou ne pas auditer du tout ce type d'événement, vous devez définir la stratégie d'audit avancée requise dans les paramètres de sécurité locaux, en veillant à ce que seuls les journaux de sécurité nécessaires à l'audit soient collectés, ce qui vous garantit que des journaux indésirables ne rempliront pas l'espace disque rapidement.

Voici les événements de sécurité recommandés que vous devez définir pour être audités et que vous trouverez dans les paramètres de stratégie d'audit avancée : Pour les contrôleurs de domaine | Pour les serveurs de fichiers Windows | Pour les serveurs membres Windows | Pour les stations de travail Windows

Vous trouverez ci-dessous la liste des différentes catégories de stratégie d'audit avancée
Ouverture de session de compte Documentez les tentatives d'authentification des données de compte sur un contrôleur de domaine ou sur un gestionnaire de comptes de sécurité (SAM) local.
Gestion du compte Surveillez les modifications apportées aux comptes et aux groupes d'utilisateurs et d'ordinateurs.
Suivi détaillé Surveillez les activités des applications et des utilisateurs individuels sur cet ordinateur.
Accès aux services d'annuaire Affichez une piste d'audit détaillée des tentatives d’accès et de modification d’objets dans les services de domaine Active Directory (AD DS).
Ouverture / Fermeture de session Suivez les tentatives de connexion à un ordinateur de manière interactive ou via un réseau. Ces événements sont particulièrement utiles pour suivre l'activité des utilisateurs et identifier les attaques potentielles visant les ressources réseau.
Accès aux objets Suivez les tentatives d’accès à des objets ou des types d'objets spécifiques sur un réseau ou un ordinateur.
Changement de stratégie Suivez les modifications et les tentatives de modification des stratégies de sécurité importantes sur un système ou un réseau local.
Utilisation de privilège Suivez les autorisations accordées sur un réseau afin que les utilisateurs ou les ordinateurs accomplissent des tâches définies.
Système Surveillez les modifications au niveau système apportées à un ordinateur qui ne sont pas incluses dans d'autres catégories et qui ont des implications potentielles sur la sécurité.
Audit de l’accès aux objets globaux Les administrateurs peuvent définir des listes de contrôle d'accès système (SACL) aux ordinateurs par type d'objet pour le système de fichiers ou pour le registre.
   

Essayer ADAudit Plus gratuitement

  • Entrez votre valide adresse email.
  •  
  •  
    En cliquant sur « Obtenir votre version d'évaluation gratuite », vous acceptez le traitement des données personnelles conformément à la politique de confidentialité.

Thanks!

Your download is in progress and it will be completed in just a few seconds!
If you face any issues, download manually here

Other solutions offered by ADAudit Plus

Active directoryServeur de fichiersServeur WindowsStation de travail
Active Directory auditor

Obtenez instantanément des rapports et des alertes sur les modifications apportées aux objets AD, notamment les utilisateurs, les groupes, les unités d'organisation, les objets de stratégie de groupe, etc.

Outil de verrouillage de compte

Détectez et diagnostiquez plus rapidement les verrouillages de comptes AD en identifiant leur cause initiale.

Surveillance des connexions

Surveillez, suivez et signalez en temps réel les tentatives de connexion réussies et infructueuses.

 
Audit Azure AD

Surveillez et suivez toutes les connexions et tous les événements Azure Active Directory dans les environnements cloud ou hybrides.

 
Audit des modifications des objets de stratégie de groupe

Auditez et signalez les modifications apportées aux paramètres d’objet de stratégie de groupe avec les anciennes et nouvelles valeurs – le tout en temps réel.

 
Surveillance des utilisateurs privilégiés

Surveillez et signalez les actions critiques effectuées par les administrateurs ou les comptes et groupes privilégiés.

 

ADAudit Plus est disponible dans 4 Éditions
GRATUIT

À partir de 0 $

  • N’expire jamais
  • 25 stations de travail gratuites
  • Les rapports peuvent être générés à partir des données du journal des événements collectées pendant la période d'évaluation / de licence
Évaluation

À partir de 0 $

  • Toutes les fonctionnalités de l’Édition Professionnelle pendant 30 jours
  • Vous pouvez auditer
    5 contrôleurs de domaine
    2 serveurs de fichiers
    1 filer NetApp (ou)
    1 serveur de fichiers EMC
    10 serveurs membres
    100 stations de travail
Essayer maintenant
STANDARD

À partir de 595 $

  • Plus de 200 rapports d'audit préconfigurés
  • Audit d’Active Directory en temps réel
  • Surveiller les modifications apportées aux utilisateurs AD, groupes, ordinateurs, unités d'organisation, objets de stratégie de groupe
  • Auditer les ouvertures/fermetures de session des stations de travail
  • Création, modification, suppression, accès, autorisations de fichier
  • Suivre les événements système, les tâches planifiées
  • Audit d’imprimante et de clé USB
  • Alertes par e-mail et rapports planifiés
  • Rapports de conformité spécifiques
  • Archivage des données
PROFESSIONNELLE

À partir de 945 $

  • Toutes les fonctionnalités de l'Édition Standard +
  • Audit des paramètres des objets de stratégie de groupe
  • Anciennes et nouvelles valeurs de toutes les modifications d'attributs des objets AD
  • Audit des modifications d'autorisation Active Directory
  • Analyseur de verrouillage de compte
  • Audit de serveur DNS, schéma, contacts et configuration
  • Prise en charge de base de données MS SQL Server
Essayer maintenant