Une piste d’audit des sessions privilégiées est un journal chronologique d’événements qui fournit des données de base pour suivre toute l’activité effectuée lors d’une session. Les données d’audit d’une session privilégiée peuvent comprendre le type d’événement, l’utilisateur ou l’application d’origine (dont l’adresse IP et le type d’appareil), les opérations exécutées pendant toute la session et la date et l’heure de l’événement.
L’accès non contrôlé et l’usage abusif posent un grave problème à la plupart des systèmes. Il faut enregistrer toute l’activité des utilisateurs privilégiés pour identifier et éviter les écarts de conduite potentiellement nuisibles. Les organisations doivent documenter les privilèges accordés aux utilisateurs, les actions exécutées avec ces privilèges et l’impact de ces actions sur leur environnement informatique. Les méthodes classiques de journalisation de l’activité des utilisateurs ne répondent pas pleinement à ces exigences.
Les pistes d’audit permettent d’identifier une conduite suspecte. Grâce à l’analyse en temps réel et aux journaux d’audit automatisé, l’administrateur identifie les problèmes de déploiement de système ou opérationnels, les événements inhabituels ou suspects et d’autres erreurs système.
Diverses normes de conformité, comme HIPAA, SOX et PCI DSS, obligent les organisations à suivre et enregistrer toutes les actions exécutées par des comptes privilégiés.
Les pistes d’audit d’Access Manager Plus enregistrent instantanément tous les événements liés à l’activité des comptes privilégiés, aux tentatives de connexion et aux tâches prévues ou terminées. Ces données facilitent les audits internes réguliers et les examens forensiques en indiquant qui a utilisé une ressource ou des fichiers précis, où, quand et pourquoi.
Seul un administrateur peut afficher toutes les actions exécutées par d’autres utilisateurs. Des notifications dans le produit servent à informer les utilisateurs de leur activité. Access Manager Plus permet d’envoyer des notifications par courrier instantanées à des destinataires précis lorsque certains événements ont lieu.
Pistes d’audit complètes des sessions privilégiées
Les normes réglementaires comme HIPAA et SOX obligent à tenir un registre électronique adéquat et à établir des mécanismes de conformité et d’audit adaptés. Access Manager Plus fournit des journaux d’audit inaltérables que l’on peut transmettre aux auditeurs pour prouver la conformité.
Si l’organisation utilise un outil tiers de gestion des événements et des informations de sécurité (SIEM), elle peut intégrer Access Manager Plus à cet outil pour envoyer des messages Syslog sur les divers événements survenant dans Access Manager Plus. On peut aussi intégrer un outil de gestion réseau à Access Manager Plus pour recevoir des interruptions SNMP.
Ces outils analysent et corrèlent les données d’accès privilégié avec d’autres données d’événement provenant de toute l’entreprise. Les équipes de sécurité obtiennent un aperçu global de l’accès privilégié et une analyse des opérations suspectes.
Configuration d’interruptions SNMP et de messages Syslog
Dans une organisation de grande taille, la croissance des pistes d’audit enregistrées affiche un rythme naturellement supérieur. On peut purger les journaux d’audit dont l’âge dépasse un nombre de jours indiqué pour libérer de l’espace disque. On peut aussi stocker ces journaux sur le lecteur local et les déplacer ou les supprimer au besoin.
Purge des pistes d’audit