Le Gestionnaire des utilisateurs utilise le terme suivi des processus, mais l'Observateur d'événement et la documentation NT l'appellent communément suivi détaillé. Cette catégorie permet de suivre les programmes exécutés par un utilisateur sur un poste de travail et ceux que le serveur utilise. Comme les autres, elle spécifie deux événements
Suivi des processus
principaux : création d’un nouveau processus, événement 592, et sortie
d’un processus, événement 593. On peut utiliser la zone de l’ID de processus commune
aux deux événements pour lier la création de processus (événement 592) à sa sortie
correspondante (événement 593) et déterminer la durée pendant laquelle le programme
s’est exécuté. La zone Nom du fichier image indique quel fichier exécutable l’utilisateur
a ouvert. Par exemple, si vous exécutez le bloc-notes, vous verrez WORDPAD.EXE
dans la zone Nom du fichier image, comme dans la figure 3.
Malheureusement, on ne sait pas quel programme s’est exécuté parce que la zone
n’inclut pas le chemin d’accès. La zone Nom d’utilisateur spécifie qui a exécuté
le programme et on peut lier l’ID de connexion de la description de l’événement
592 à la connexion correspondante (événement 528) pour déterminer dans quelle
session de connexion le programme s’est exécuté. Dans les situations inhabituelles
où il s’agit de découvrir le programme exécuté par un autre programme, l’ID de
Processus créateur peut être liée au démarrage de son processus correspondant
(événement 592).
Le suivi des processus peut être très utile sur les postes de travail, surtout
pour faire des recherches sur l’activité d’un utilisateur. Le suivi des processus,
combiné avec l’audit de l’accès aux objets sur les serveurs, donne une image claire
des actions d’un utilisateur.
Ouverture et fermeture de session, accès aux objets et suivi des processus sont
trois catégories importantes du Journal de sécurité. On peut lier les sessions
de connexion, les processus et les accès aux objets pour suivre de près l’activité
d’un utilisateur (figure 4). Malheureusement, l’Observateur d’événements ne peut
pas filtrer en fonction des valeurs de la zone de description ; par conséquent
l’utilisation d’un ID de connexion, d’un ID de processus ou d’un ID de pointeur
pour lier les événements est laborieuse. Toutefois la boîte de dialogue Rechercher
de l’Observateur d’événements permet de rechercher la zone de description permettant
de lier des événements, si nécessaire. On peut également utiliser des utilitaires
de journaux d’événements pour régler des problèmes comme le filtrage du Journal
de sécurité.
En choisissant votre stratégie d’audit pour ces catégories du Journal de sécurité,
n’oubliez pas que les rôles des ordinateurs (par exemple station de travail, serveur,
contrôleur de domaine) déterminent le journal dans lequel le système enregistre
les événements. Soyez vigilant avec le suivi de l’accès aux objets et des processus,
parce que ce sont ces deux catégories qui risquent le plus de poser des problèmes
de performances.
Téléchargez cette ressource
Rapport Forrester sur les solutions de sécurité des charges de travail cloud (CWS)
Dans cette évaluation, basée sur 21 critères, Forrester Consulting étudie, analyse et note les fournisseurs de solutions de sécurité des charges de travail cloud (CWS). Ce rapport détaille le positionnement de chacun de ces fournisseurs pour aider les professionnels de la sécurité et de la gestion des risques (S&R) à adopter les solutions adaptées à leurs besoins.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Les risques liés à l’essor fulgurant de l’IA générative
- Pourquoi est-il temps de repenser la gestion des vulnérabilités ?
- Reporting RSE : un levier d’innovation !
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
