Suivi des processus

principaux : création d’un nouveau processus, événement 592, et sortie
d’un processus, événement 593. On peut utiliser la zone de l’ID de processus commune
aux deux événements pour lier la création de processus (événement 592) à  sa sortie
correspondante (événement 593) et déterminer la durée pendant laquelle le programme
s’est exécuté. La zone Nom du fichier image indique quel fichier exécutable l’utilisateur
a ouvert. Par exemple, si vous exécutez le bloc-notes, vous verrez WORDPAD.EXE
dans la zone Nom du fichier image, comme dans la figure 3.

Malheureusement, on ne sait pas quel programme s’est exécuté parce que la zone
n’inclut pas le chemin d’accès. La zone Nom d’utilisateur spécifie qui a exécuté
le programme et on peut lier l’ID de connexion de la description de l’événement
592 à  la connexion correspondante (événement 528) pour déterminer dans quelle
session de connexion le programme s’est exécuté. Dans les situations inhabituelles
où il s’agit de découvrir le programme exécuté par un autre programme, l’ID de
Processus créateur peut être liée au démarrage de son processus correspondant
(événement 592).

Le suivi des processus peut être très utile sur les postes de travail, surtout
pour faire des recherches sur l’activité d’un utilisateur. Le suivi des processus,
combiné avec l’audit de l’accès aux objets sur les serveurs, donne une image claire
des actions d’un utilisateur.

Ouverture et fermeture de session, accès aux objets et suivi des processus sont
trois catégories importantes du Journal de sécurité. On peut lier les sessions
de connexion, les processus et les accès aux objets pour suivre de près l’activité
d’un utilisateur (figure 4). Malheureusement, l’Observateur d’événements ne peut
pas filtrer en fonction des valeurs de la zone de description ; par conséquent
l’utilisation d’un ID de connexion, d’un ID de processus ou d’un ID de pointeur
pour lier les événements est laborieuse. Toutefois la boîte de dialogue Rechercher
de l’Observateur d’événements permet de rechercher la zone de description permettant
de lier des événements, si nécessaire. On peut également utiliser des utilitaires
de journaux d’événements pour régler des problèmes comme le filtrage du Journal
de sécurité.

En choisissant votre stratégie d’audit pour ces catégories du Journal de sécurité,
n’oubliez pas que les rôles des ordinateurs (par exemple station de travail, serveur,
contrôleur de domaine) déterminent le journal dans lequel le système enregistre
les événements. Soyez vigilant avec le suivi de l’accès aux objets et des processus,
parce que ce sont ces deux catégories qui risquent le plus de poser des problèmes
de performances.