Contact
Retour

Analyse des logs en cas d'incident : que faut-il examiner ?

Slider Image

26 février 2023

L'analyse et la gestion des logs sont essentielles pour la surveillance de nos systèmes, ainsi que pour la détection et la gestion des incidents. Cependant, dans ces situations, le temps est un facteur crucial, et un plan de reprise efficace est indispensable.

Les systèmes enregistrent toutes les activités des utilisateurs et les processus internes, tels que les connexions, leur origine, la durée de disponibilité et autres actions, dans des journaux d'événements, permettant ainsi aux administrateurs d'anticiper les incidents ou problèmes potentiels. Pour les analyser, il est nécessaire de comprendre leur fonctionnement. Avant de se lancer tête baissée dans l'examen de nos journaux, il convient d'établir un plan :

  1. Identifier les sources de journaux et les outils automatisés que nous pouvons utiliser lors de l'analyse.
  2. Copiez les enregistrements du journal vers un emplacement à partir duquel vous pourrez les consulter.
  3. Réduisez au minimum le « bruit », c’est-à-dire les routines : les entrées répétitives qui rendent difficile la vérification après confirmation de leur légitimité.
  4. Déterminer si les horodatages figurant dans l'enregistrement du journal sont fiables, en tenant compte du fuseau horaire.
  5. Concentrez-vous sur les modifications, erreurs, pannes, changements d'état, événements d'accès et d'administration les plus récents, ainsi que sur tout autre événement suspect ou inhabituel dans votre environnement.
  6. Mettez en corrélation les activités avec différents journaux de bord pour obtenir une vue d'ensemble.
  7. Élaborez des théories sur ce qui a pu se passer, puis examinez les archives et confirmez ou infirmez-les.

La méthodologie d'analyse est fondamentale pour investir son temps judicieusement et savoir où chercher afin de résoudre l'incident le plus rapidement possible.

Concentrez vos efforts sur la recherche de journaux provenant du système d'exploitation et du matériel du serveur, des applications, des outils de sécurité, du proxy sortant et des applications utilisateur, ainsi que d'autres sources de sécurité . À titre d'exemple, nous suggérons les points de recherche suivants, inspirés de la méthodologie SANS.

Quels mots clés rechercher dans les systèmes Linux et les principales applications (/var/log) ?

  • Connexions réussies : « Mot de passe accepté » ; « Clé publique acceptée » ; « Session ouverte » ;
  • Échec de la connexion : « échec d’authentification » ; « mot de passe incorrect » ;
  • Utilisateur déconnecté : « session fermée » ;
  • Compte utilisateur modifié ou supprimé : « mot de passe modifié » ; « nouvel utilisateur » ; « supprimer l’utilisateur » ;
  • Actions sudo : « sudo : … COMMANDE=… » « ÉCHEC su » ;
  • Défaillance du service : « échec » ou « défaillance » ;

 Quels codes rechercher dans les systèmes Windows et les applications principales (journal des événements Windows) ?

  • Événements de connexion ou de déconnexion de l'utilisateur : Succès : « 528 », « 540 » ; Déconnexion : « 538 », « 551 », etc. ; Échec : « 529-537 », « 539 » ;
  • Modifications apportées aux comptes d'utilisateurs : Création : « 624 » ; Autorisé : « 626 » ; Modifications : « 642 » ; Désactivation : « 629 » ; Supprimé : « 630 » ;
  • Modifications du mot de passe : Personnel : « 628 » ; Autres : « 627 » ;
  • Démarrage ou arrêt du système : « 7035 », « 7036 », etc.
  • Accès à l'objet refusé (audits autorisés) : "560", "567", etc.

Que faut-il rechercher dans les périphériques réseau (exemples basés sur les enregistrements Cisco ASA) ?

  • Trafic autorisé par le pare-feu : « Connexion établie » ; « Liste d’accès autorisée » ;
  • Trafic bloqué par le pare-feu : « liste d’accès… refusée » ; « refuser le trafic entrant » ; « refuser… par » ;
  • Octets transférés : « Fermeture de la connexion TCP... durée... octets... » ;
  • Bande passante et protocole : « limite… dépassée » ; « utilisation du processeur » ;
  • Activité d'attaque détectée : « attaque provenant de » ;
  • Modifications apportées aux comptes d'utilisateurs : « utilisateur ajouté » ; « utilisateur supprimé » ; « niveau de privilège de l'utilisateur modifié » ;
  • Accès administrateur : « Utilisateur AAA… » ; « Utilisateur… verrouillé » ; « Échec de la connexion » ;

 Quels sont les critères de choix d'un serveur web ?

  • Tentatives excessives d'accès à des fichiers inexistants ;
  • Code (SQL ou HTML) dans l'URL ;
  • Accès aux extensions non implémentées ;
  • Messages indiquant le démarrage, l'arrêt ou la défaillance du service Web ;
  • Accès à des pages à risque qui acceptent les saisies de l'utilisateur ;
  • Codes d'erreur 200 sur des fichiers qui ne vous appartiennent pas ;
  • Vérifiez les journaux de tous les serveurs d'équilibrage de charge ;
  • L'authentification de l'utilisateur a échoué : Code « 401 », « 403 » ;
  • Requête invalide : Code « 400 » ;
  • Erreur interne du serveur : Code « 500 » ;

Suivez ces étapes comme une liste de contrôle lors de l'examen de vos journaux d'incidents afin d'optimiser vos processus. Vous pouvez également les utiliser pour les examens réguliers des journaux ou confier cette tâche à des professionnels expérimentés.

Ce sujet vous intéresse ou vous vous souciez de votre cybersécurité ? Suivez-nous sur les réseaux sociaux de SCASSI Cybersecurity pour rester informé(e) de nos actualités et n'hésitez pas à nous contacter pour toute question. Nous sommes là pour vous aider !