Exigence 10 de la norme PCI DSS : Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes.
L'exigence 10 de PCI DSS est l'une des exigences de conformité les plus importantes de PCI DSS, car elle concerne directement la sécurité et l'accès au réseau. Ceci est de la plus haute importance pour le service informatique. Cette exigence couvre toutes les activités des utilisateurs ayant trait aux ressources du réseau et aux données des titulaires de cartes. Chaque activité sur le réseau peut être surveillée et toute compromission de la sécurité peut être retracée jusqu'à sa cause exacte à l'aide des journaux d'activité du système.
Les rapports de conformité PCI d'EventLog Analyzer aident votre organisation à établir sa conformité à l'exigence 10 de la norme PCI DSS. Avec des rapports qui balayent chaque journal d'accès sur le réseau et une interface qui présente ces rapports de manière facilement interprétable, les rapports d'EventLog Analyzer font de la conformité PCI DSS un jeu d'enfant.
Qu'est-ce que c'est ?
Établissez un processus liant tous les accès aux composants système (en particulier les accès effectués avec les privilèges d’administration, par exemple racine) à chaque utilisateur individuel.
Que faut-il faire ?
Les composants du système sont des éléments cruciaux du réseau, et toute modification apportée aux composants du système affecte l'ensemble du réseau. Pour se conformer à cette exigence, il faut veiller à enregistrer chaque accès aux composants du système, de sorte que toute activité ayant entraîné un changement défavorable puisse être retracée jusqu'à l'utilisateur particulier qui a effectué le changement en accédant au composant du système. Cette exigence met également l'accent sur les accès des utilisateurs administratifs, car toute modification effectuée par un utilisateur administratif produit des ramifications qui affectent le réseau avec une grande intensité.
Comment cela est mis en œuvre :
Pour se conformer à cette section, tous les accès aux composants du système doivent être étroitement surveillés et suivis. Les activités de tous les utilisateurs à travers le réseau, et en particulier celles des utilisateurs administratifs, doivent être minutieusement observées. Grâce à ces données, les informations pertinentes peuvent être isolées, de façon à respecter la conformité à l'exigence 10.1 de PCI DSS.
Pour ce faire, EventLog Analyzer présente deux rapports :
Le rapport sur l'accès aux objets répertorie les utilisateurs qui ont eu accès à des objets spécifiques, ainsi que les détails des informations d'identification utilisées. Ces données, du point de vue de PCI DSS, sont utiles car elles contiennent les informations requises sur l'accès aux objets. En filtrant ce rapport pour afficher les utilisateurs qui ont accédé aux composants du système, vous obtenez les informations dont vous aurez finalement besoin pour établir votre conformité à cette section de la norme PCI DSS.
Le rapport sur les actions individuelles présente les données sous un angle différent : l'activité de chaque utilisateur sur le réseau. Le rapport peut être filtré pour connaître les activités des utilisateurs administratifs sur le réseau, et s'ils ont accédé aux composants du système. Ce rapport étaye les données recueillies dans le rapport précédent.
Mettre en œuvre des pistes d'évaluation automatisées pour tous les composants du système afin de reconstituer les événements suivants :
Que faut-il faire ?
Cette exigence permet de renforcer l'objectif global d'exigence relative aux parents. S'il est important de surveiller et de suivre tous les accès aux composants du système, il s'agit d'un processus fastidieux lorsqu'il est effectué manuellement, avec des possibilités d’erreurs. Pour contourner ces inconvénients, l'exigence 10.2 parle de deux conditions
Cette exigence comporte des sous-sections qui illustrent de manière très détaillée ce qui doit être fait pour atteindre une conformité totale.
Qu'est-ce que c'est ?
Tous les accès des utilisateurs individuels aux données des titulaires de cartes.
Que faut-il faire ?
Il va sans dire que tous les accès des utilisateurs aux données des titulaires de cartes doivent être étroitement surveillés. Pour s'assurer qu'aucune donnée n'est manquée en raison d'erreurs humaines, il est également nécessaire que ce processus soit automatisé. Le fait d'avoir en main toutes les informations sur tous les accès utilisateurs aux données des titulaires de cartes permet de garantir la conformité à l'exigence 10.2.1 de la norme PCI DSS.
Comment cela est mis en œuvre :
La mise en conformité avec cette exigence est aussi simple qu'elle en a l'air : tous les accès, en termes d'utilisateurs ayant accédé à une ressource particulière, doivent être enregistrés, y compris les activités qu'ils ont effectuées lorsqu'ils étaient connectés.
Pour donner des détails granulaires qui aideront à accomplir la conformité à cette exigence, EventLog Analyzer présente deux rapports :
Le rapport sur les connexions réussies présente la liste complète des utilisateurs qui se sont connectés avec succès au réseau, avec des détails tels que le nom d'utilisateur, l'horodatage et les ressources auxquelles ils ont accédé. Avec toutes ces informations, il est facile d'arriver à la liste de tous les utilisateurs qui ont accédé aux zones sécurisées du réseau : une information gérée par l'exigence 10.2.1 de PCI DSS
Le rapport sur les actions individuelles présente les données du point de vue de chaque utilisateur : les ressources auxquelles il a eu accès. Lorsque le rapport est filtré davantage pour ne montrer que les données sur les utilisateurs qui ont accédé aux ressources sensibles du réseau, ces données peuvent être utilisées pour se conformer à l'exigence 10.2.1 de PCI DSS.
Qu'est-ce que c'est ?
Toutes les actions prises par un individuel avec les privilèges administratifs ou root.
Que faut-il faire ?
Les utilisateurs administratifs détiennent les clés des informations vitales sur le réseau. Ils ont le pouvoir d'agir avec les privilèges les plus élevés sur les zones les plus sensibles du réseau. Pour s'assurer qu'aucun dommage grave n'a été infligé aux données des titulaires de cartes par des utilisateurs administratifs et, par conséquent, pour garantir la conformité à la norme PCI DSS, il est obligatoire de suivre toutes les actions effectuées par un utilisateur disposant de privilèges administratifs.
Comment cela est mis en œuvre :
Votre organisation peut prouver qu'elle est conforme à cette exigence si toutes les activités effectuées par les utilisateurs administratifs sont enregistrées dans les moindres détails. Cela comprend, sans s'y limiter, le nom d'utilisateur, la zone de la ressource à laquelle il a accédé, les modifications et les activités pendant cette période, le temps que l'utilisateur a passé et les modifications et les activités pendant cette période.
EventLog Analyzer est livré prêt à l'emploi avec un rapport sur les actions individuelles des utilisateurs qui peut aider à se conformer à cette exigence particulière. Ce rapport répertorie toutes les activités effectuées par chaque utilisateur avec ses identifiants de connexion. En filtrant les données du rapport pour ne donner que des informations sur les utilisateurs administratifs, et en les réduisant encore pour ne montrer que les accès aux zones critiques qui stockent les données des titulaires de cartes, il est possible d’extraire les informations nécessaires pour établir la conformité à la section 10.2.2 de PCI DSS.
Qu'est-ce que c'est ?
Tentatives d'accès logiques non valides
Que faut-il faire ?
Quelle que soit la ressource, qu'il s'agisse de ressources simples et ordinaires ou de ressources critiques comme les données des titulaires de cartes, tous les utilisateurs doivent se connecter au réseau pour y accéder. Une connexion réussie montre que l'utilisateur s'est connecté facilement et sans difficulté au réseau. Cependant, une tentative de connexion non valide peut également être le signe d'une tentative d'accès illégitime à des zones sensibles du réseau, même si ce n'est pas toujours le cas. Le suivi de ces activités permet de tenir à distance certaines menaces imminentes. Il est également important de suivre les tendances de ces activités, de vérifier si un utilisateur particulier est plus vulnérable et si les activités ont lieu uniquement à des moments précis.
Comment cela est mis en œuvre :
Conformément à cette exigence, toutes les tentatives d'accès non valides doivent être enregistrées, et ce processus doit être automatisé pour éviter les risques d'erreurs humaines. De plus, des informations sur les connexions réussies et non réussies aident à valider les données, car les deux événements s'excluent mutuellement.
Pour donner tous les détails mentionnés ci-dessus qui aideront à accomplir la conformité à cette exigence, EventLog Analyzer présente deux rapports :
Le rapport sur les tentatives d'ouverture de session répertorie toutes les activités d'ouverture de session sur le réseau, et les tentatives d'ouverture de session infructueuses peuvent être isolées à partir de ces données. Un examen plus approfondi de ce rapport permet de savoir quel nom d'utilisateur a été utilisé à quel moment pour accéder sans succès aux ressources du réseau.
Le rapport sur les connexions réussies présente la liste complète des utilisateurs qui se sont connectés avec succès au réseau, avec des détails tels que le nom d'utilisateur, l'horodatage et les ressources auxquelles ils ont accédé. Ces informations donneront des détails qui aideront à valider les données par rapport au rapport sur les tentatives d'ouverture de session. Cela renforcera votre conformité aux exigences du PCS DSS. 10.2.4.
Qu'est-ce que c'est ?
Initialisation des journaux d'évaluation
Que faut-il faire ?
Les journaux d'évaluation sont des preuves permanentes de toute activité sur le réseau, et les informations contenues dans ces journaux sont d'une importance cruciale lorsqu'il s'agit de suivre les activités administratives sur des ressources sensibles. L'effacement des journaux d'audit détruit à jamais les preuves de tout accès, quel qu'il soit. Il est donc nécessaire de garder une trace des effacements du journal d'audit, et un utilisateur doit être responsable de chaque effacement du journal d'évaluation. Il faut également veiller à ce que toute personne ne soit pas habilitée à effectuer cette tâche sensible ; les pouvoirs doivent être limités à un personnel administratif du réseau spécialement sélectionné.
Comment cela est mis en œuvre :
Mettre en place un processus qui enregistre automatiquement toutes les données relatives à chaque effacement du registre d'évaluation. Les données doivent être complètes avec le nom d'utilisateur et l'horodatage.
EventLog Analyzer dispose d'un rapport prêt à l'emploi qui répond spécifiquement à cette exigence : Le rapport sur les journaux d'audit a été effacé. Ce rapport répertorie les utilisateurs qui ont effacé les journaux d'audit, ainsi que l'horodatage de cet événement particulier. Les informations fournies par ce rapport sont utiles pour établir la conformité de votre organisation à l'exigence 10.2.6 de la norme PCS DSS
Qu'est-ce que c'est ?
Création et suppression d'objets de niveau système
Que faut-il faire ?
Les objets de niveau système sont des entités conceptuelles qui contrôlent le fonctionnement du système et du réseau. S'il est nécessaire de surveiller tous les accès aux objets du niveau système, les tâches vitales comme la création et la suppression de ces objets requièrent une attention supplémentaire. Compte tenu de l'importance des objets du niveau système (du point de vue de PCI DSS), il est nécessaire de restreindre l'accès à ces entités et de surveiller étroitement les activités des personnes qui accèdent à ces objets.
Comment cela est mis en œuvre :
La méthode la plus simple pour s'assurer qu'aucune de ces activités n'échappe à la vigilance est d'enregistrer chaque activité sur les objets du système, avec toutes les données nécessaires, comme l'utilisateur qui a accédé à ces objets, les privilèges de l'utilisateur et l'horodatage. Toutes ces données peuvent être approfondies afin de déterminer avec précision s'il y a eu création ou suppression d'objets au niveau du système.
EventLog Analyzer abrite le rapport sur l'accès aux objets qui s'avérera utile à cet égard. Ce rapport d'accès aux objets répertorie tous les objets présents sur le réseau, ainsi que les utilisateurs qui y ont accédé. Un détail plus granulaire de ce rapport montrera l'activité exacte de chaque utilisateur. En isolant uniquement les objets de niveau système sur le rapport, et en obtenant les activités sur ces objets, les données nécessaires pour prouver la conformité à l'exigence 10.2.7 de PCI DSS peuvent être isolées.
Sécurisez les pistes d'évaluation afin qu'elles ne puissent pas être modifiées.
Les pistes d'évaluation sont des preuves permanentes et concluantes de toute activité sur une infrastructure basée sur les journaux. Avec l'altération des journaux, les preuves de base des accès et des activités sur le réseau sont perdues à jamais. Il s'agit d'une grave faille de sécurité, car toute modification des pistes d'évaluation rend les violations de la sécurité impossibles à retracer. Du point de vue de la norme PCI DSS et dans l'intérêt des données des titulaires de cartes, une modification des pistes d'évaluation signifierait que toute personne ayant manipulé les données des titulaires de cartes pourrait passer inaperçue. Par conséquent, pour sécuriser les données des titulaires de cartes et faciliter le suivi de toutes les activités, PCI DSS exige qu'aucune piste d'évaluation ne soit altérée. L'exigence 10.5 de la norme PCI DSS en parle à deux niveaux :
Ces exigences sont traitées dans les sous-sections de l'exigence 10.5
Qu'est-ce que c'est ?
Limitez l’affichage des pistes d'évaluation aux personnes ayant un besoin lié au travail.
Que faut-il faire ?
Les journaux d'évaluation, comme mentionné à maintes reprises, sont des objets importants dans le réseau où toutes les activités sont mises en sécurité. Compte tenu des informations vitales contenues sur le réseau, la norme PCI DSS exige que l'accès à ces fichiers soit limité à certains utilisateurs administratifs ayant un besoin professionnel. Cela garantit les plus hauts niveaux de sécurité pour les pistes d'évaluation et réduit également le nombre d'utilisateurs responsables de tout incident.
Comment cela est mis en œuvre :
Bien qu'il puisse y avoir des autorisations et d'autres méthodes de contrôle d'accès qui définissent qui peut accéder ou non aux pistes d'évaluation, il est tout aussi important de pouvoir prouver aux auditeurs qu'un tel système existe.
EventLog Analyzer, avec son rapport d'accès aux objets sur les journaux d'audit effacés, peut vous aider à prouver la conformité de votre organisation à la norme PCI DSS. Ce rapport fournit des données sur les utilisateurs ayant accès aux pistes d’évaluation. En corrélant les données avec les stratégies de contrôle d'accès de votre organisation, il est possible de prouver aux auditeurs que seules ayant des besoins professionnels sont autorisés à accéder aux pistes d'évaluation, et que personne d'autre n'a accès à cette ressource.
Qu'est-ce que c'est ?
Protéger les fichiers Piste d’évaluation contre les modifications non autorisées
Que faut-il faire ?
Cette exigence est une extension de la précédente. Alors que l'exigence 10.5.1 concerne l’affichage des pistes d'évaluation, celle-ci étend les limites aux modifications non autorisées. Ce rapport protège les pistes d’évaluation de toutes les menaces de sécurité possibles qui pourraient les approcher. Dans le prolongement de l'exigence 10.5.1, cette exigence vise à sécuriser davantage les pistes d'évaluation pour ceux qui sont autorisés à les consulter.
Comment cela est mis en œuvre :
La conformité à cette section peut être établie en deux étapes. La première étape consiste à prouver qu'aucune personne non autorisée n'a accédé aux pistes d'évaluation, afin de vous assurer qu'aucune modification n'a été effectuée. La seconde consiste à prouver que tout utilisateur ayant accédé aux pistes d'évaluation est autorisé à le faire, même s'il s'agit d'un nouvel utilisateur ayant reçu ce privilège.
Pour donner tous les détails mentionnés ci-dessus qui aideront à accomplir la conformité à cette exigence, EventLog Analyzer présente deux rapports :
Le rapport sur l'accès aux objets, comme on l'a déjà vu à maintes reprises, donnera des détails sur les utilisateurs ayant accédé aux objets du réseau. En la filtrant sur les utilisateurs qui accèdent aux pistes d'évaluation, il est possible d’obtenir la liste nécessaire pour prouver la conformité à la section 10.5.2 de PCI DSS.
Le rapport sur les changements de stratégie d'audit montre si un nouvel utilisateur a été autorisé à accéder aux données du journal d'évaluation. Ce rapport permet de valider toute nouvelle entrée dans le rapport d'accès aux objets.
Avec autant de rapports complets traitant précisément de la conformité à l'exigence 10 de la norme PCI DSS, vous pourrez, en quelques clics, établir la conformité de votre organisation
EventLog Analyzer offre des capacités de gestion des journaux, de monitoring d'intégrité de fichier et de corrélation d'événements en temps réel dans une console unique qui contribuent à répondre aux besoins de SIEM, à combattre les atteintes à la sécurité et à empêcher les violations de données.
Conformez-vous aux exigences rigoureuses des mandats réglementaires, à savoir PCI DSS, FISMA, HIPAA, etc., avec des rapports et des alertes prédéfinis. Personnalisez les rapports existants ou créez de nouveaux rapports pour répondre aux besoins de sécurité interne.
Gérez de façon centralisée les données du journal des événements à partir des appareils Windows, notamment les stations de travail, les serveurs et les serveurs Terminal Server pour répondre aux besoins d'audit. Combattez les atteintes à la sécurité grâce à des alertes en temps réel et à la corrélation d'événements.
Collectez et analysez les données Syslog des routeurs, commutateurs, pare-feu, identifiants/adresses IP, serveurs Linux/Unix, etc. Obtenez des rapports approfondis pour chaque événement de sécurité. Recevez des alertes en temps réel en cas d'anomalies et de dépassements.
Suivez les modifications cruciales des fichiers/dossiers confidentiels avec des alertes en temps réel. Obtenez des détails comme l'auteur de la modification, son objet, sa date et son origine avec des rapports prédéfinis.
Analysez les données de journal provenant de diverses sources dans le réseau. Détectez des anomalies, suivez les événements de sécurité critiques et contrôlez le comportement des utilisateurs avec des rapports prédéfinis, des tableaux de bord intuitifs et des alertes instantanées.