Analyse d’intégrité des fichiers

Définition de l’analyse d’intégrité des fichiers

En bref : l’analyse d’intégrité des fichiers sert à suivre et valider les modifications apportées à des fichiers ou dossiers. Une telle solution garantit l’exactitude des données en empêchant des modifications non autorisées. Les actions peuvent consister en la création, la suppression, l’accès, la modification ou le changement de nom de fichiers/dossiers, y compris les tentatives échouées d’exécuter l’une de ces actions. 

Les fichiers concernés sont habituellement de type données, système et journal, donc essentiels à toute activité. Les modifications non autorisées de ces types de fichiers peuvent produire des effets négatifs.

• Les modifications non autorisées de données personnelles de clients ou d’employés peuvent entraîner une non-conformité et des répercussions juridiques pour l’entreprise.
• Les modifications de fichiers système risquent d’aboutir au dysfonctionnement d’un serveur ou d’une application. 
• Des acteurs malveillants peuvent tenter de falsifier des fichiers d’archivage de journal pour masquer leurs traces lorsqu’ils mènent une attaque. 

Ces cas illustrent l’importance de suivre l’activité des fichiers et dossiers, ainsi que de surveiller les modifications. Analyser l’intégrité des fichiers est vital pour garantir la sécurité, à tel point que de nombreuses normes de conformité imposent ce processus et qu’il forme un aspect clé de la stratégie de sécurité de la DSI d’une organisation. 

Processus d’analyse : audit, suivi et alerte

L’objectif premier du processus consiste à suivre les modifications des fichiers/dossiers et avertir en cas d’activité suspecte. Les outils d’analyse vérifient les fichiers/dossiers et consignent toutes les modifications apportées. Le détail des modifications doit comprendre les quatre Q vitaux d’un audit : 

Le moyen le plus efficace de suivre ces modifications consiste à générer des rapports graphiques qui décrivent les événements. Les rapports permettent aux équipes de sécurité d’examiner régulièrement et de valider toutes les modifications des fichiers/dossiers. Pour rendre le processus efficace, les équipes de sécurité peuvent planifier des rapports pour vérifier la liste des modifications survenues.

Une fois les rapports planifiés, on peut configurer des alertes pour détecter les modifications non autorisées. Comme l’analyse concerne étroitement la gestion des événements et des informations de sécurité (SIEM), la plupart des solutions SIEM intègrent des fonctions d’analyse, offrant un outil complet aux équipes de sécurité. En outre, on peut appliquer l’apprentissage machine aux données que collecte la solution d’analyse pour détecter plus précisément des anomalies.

L’analyse du comportement utilisateur (UBA) intervient alors. Celle-ci enrichit l’analyse d’intégrité en appliquant des techniques d'apprentissage machine aux données pour détecter des activités anormales. Cela renforce grandement la lutte préventive contre les menaces internes et les tentatives d’exfiltration de données. Il est conseillé d’envisager une solution SIEM couvrant à la fois l’analyse d’intégrité des fichiers et l’analyse du comportement utilisateur. 

Fonctionnalités FIM de Log360

Log360, solution SIEM complète de ManageEngine, intègre un module FIM (analyse d’intégrité des fichiers) efficace qui permet aux organisations de remplir leurs objectifs de sécurité et de conformité. La solution vérifie entièrement les activités des fichiers et dossiers pour prendre les mesures requises. Log360 prend instantanément en charge les éléments suivants :

• Serveurs de fichiers Windows
• Clusters de basculement
• Serveurs de fichiers Linux
• Serveurs EMC
• Systèmes de stockage NetApp

Log360 utilise à la fois des mécanismes avec et sans agent pour l’analyse, donnant aux équipes de sécurité la liberté de choisir le déploiement selon leurs besoins. Log360 génère des rapports pour suivre chaque accès, création, suppression, modification et changement d’autorisation des fichiers et dossiers. La solution déclenche des alertes via SMS ou courrier en cas d’actions non autorisées.

Le module FIM de Log360 intègre un module UBA qui émet des alarmes en cas d’anomalies selon le nombre, le temps et le profil des événements. Les équipes de sécurité identifient ainsi les anomalies du comportement utilisateur pour détecter des menaces que l’on pourrait ignorer autrement. 

FIM pour le respect des règles de conformité

Pour prouver la conformité, les équipes de sécurité doivent conserver la piste d’audit des modifications de fichier et dossier et pouvoir produire des rapports pour une période donnée. Voici certaines des normes de conformité les plus connues à respecter :

•  

  PCI DSSL’exigence 11.5 oblige les organisations à déployer un outil FIM pour suivre les modifications des fichiers et avertir en cas d’actions non autorisées. Le module FIM intégré de Log360 répond à ce besoin. 

•  

  SOXLe module FIM de Log360 aide à mettre en place des contrôles informatiques internes comme l’impose la section 404. 

•  

  FISMALes rapports d'audit de Log360 jouent un rôle crucial dans le respect des exigences d’audit et de responsabilité de la réglementation FISMA.

•  

  HIPPAL’objectif visant à protéger les données de santé, le module FIM de Log360 permet d’analyser et d’assurer l’intégrité des dossiers médicaux de patient.

Log360 offre des rapports prédéfinis pour respecter les exigences de ces normes et d’autres.

Cas d’usage du module FIM de Log360

•  

  Génération de rapports d’audit : les rapports sur les modifications de Log360 sont précis et concernent les serveurs, les utilisateurs et les processus. On peut planifier les rapports pour examiner régulièrement les modifications. 

•  

  Alerte en cas d’échecs d’accès multiples : Log360 suit les tentatives de modification avortées et avertit les équipes de sécurité si le nombre d’échecs d’accès ou de modification dépasse un seuil. 

•  

  Alerte en cas d’événements arrivant dans un bref laps de temps : Log360 détecte et signale la survenue d’une chaîne d’événements suspecte, comme un modèle de force brute suivi de modifications de fichiers.

•  

  Détection de modifications d’autorisations exposant des données sensibles : les modifications d'autorisations de fichier créent un risque pour les données sensibles et peuvent aboutir à des violations de conformité. Log360 informe instantanément les équipes de sécurité des modifications apportées aux autorisations des fichiers, dossiers et partages cruciaux. 

•  

  Détection d’activités de fichier inhabituelles : le module UBA de Log360 profile le comportement des utilisateurs et établit une base de sécurité de leurs activités. Si un utilisateur effectue une action inhabituelle, il détecte instantanément l’anomalie et émet une alarme. Par exemple, si un utilisateur travaillant normalement de 10 à 18 heures supprime un fichier à 23 h, la solution désigne l’activité comme anormale.

Points forts de Log360

• Gestion des journaux, recherche et archivage : Log360 regroupe les journaux de diverses sources, offre une fonction de recherche intuitive dans le contenu et archive les journaux en toute sécurité aussi longtemps que nécessaire. 
• Audit des modifications Active Directory en temps réel : la solution suit les modifications Active Directory en temps réel et avertit de celles sensibles, comme celles des groupes de premier niveau. 
• Audit prêt à l’emploi : la solution prend en charge une large gamme de sources de journaux, dont les contrôleurs de domaine, les bases de données, les serveurs Web et les pare-feux. Elle offre plus de 1 000 rapports d'audit prédéfinis que l’on peut associer à des alertes. 
• Alertes de sécurité : la solution déclenche des alertes précises sur des événements notables pour une détection précoce des incidents de sécurité.  
• Corrélation d’événements : le moteur de corrélation d’événements associe des événements de divers systèmes et identifie tôt des modèles d’attaque complexes.  
• Gestion des incidents : on peut intégrer la solution à un centre d’assistance informatique pour veiller à envoyer un ticket à l’administrateur désignée pour chaque alerte déclenchée, d’où une résolution plus transparente.  
• Veille sur les menaces : la plateforme de veille sur les menaces de Log360 traite les flux STIX/TAXII et détecte le trafic réseau malveillant, notamment les connexions sortantes à des domaines malveillants et des serveurs de rappel.