> Tech > Suivi des processus

Suivi des processus

Tech - Par iTPro - Publié le 24 juin 2010
email

Le Gestionnaire des utilisateurs utilise le terme suivi des processus, mais l'Observateur d'événement et la documentation NT l'appellent communément suivi détaillé. Cette catégorie permet de suivre les programmes exécutés par un utilisateur sur un poste de travail et ceux que le serveur utilise. Comme les autres, elle spécifie deux événements

Suivi des processus

principaux : création d’un nouveau processus, événement 592, et sortie
d’un processus, événement 593. On peut utiliser la zone de l’ID de processus commune
aux deux événements pour lier la création de processus (événement 592) à  sa sortie
correspondante (événement 593) et déterminer la durée pendant laquelle le programme
s’est exécuté. La zone Nom du fichier image indique quel fichier exécutable l’utilisateur
a ouvert. Par exemple, si vous exécutez le bloc-notes, vous verrez WORDPAD.EXE
dans la zone Nom du fichier image, comme dans la figure 3.

Malheureusement, on ne sait pas quel programme s’est exécuté parce que la zone
n’inclut pas le chemin d’accès. La zone Nom d’utilisateur spécifie qui a exécuté
le programme et on peut lier l’ID de connexion de la description de l’événement
592 à  la connexion correspondante (événement 528) pour déterminer dans quelle
session de connexion le programme s’est exécuté. Dans les situations inhabituelles
où il s’agit de découvrir le programme exécuté par un autre programme, l’ID de
Processus créateur peut être liée au démarrage de son processus correspondant
(événement 592).

Le suivi des processus peut être très utile sur les postes de travail, surtout
pour faire des recherches sur l’activité d’un utilisateur. Le suivi des processus,
combiné avec l’audit de l’accès aux objets sur les serveurs, donne une image claire
des actions d’un utilisateur.

Ouverture et fermeture de session, accès aux objets et suivi des processus sont
trois catégories importantes du Journal de sécurité. On peut lier les sessions
de connexion, les processus et les accès aux objets pour suivre de près l’activité
d’un utilisateur (figure 4). Malheureusement, l’Observateur d’événements ne peut
pas filtrer en fonction des valeurs de la zone de description ; par conséquent
l’utilisation d’un ID de connexion, d’un ID de processus ou d’un ID de pointeur
pour lier les événements est laborieuse. Toutefois la boîte de dialogue Rechercher
de l’Observateur d’événements permet de rechercher la zone de description permettant
de lier des événements, si nécessaire. On peut également utiliser des utilitaires
de journaux d’événements pour régler des problèmes comme le filtrage du Journal
de sécurité.

En choisissant votre stratégie d’audit pour ces catégories du Journal de sécurité,
n’oubliez pas que les rôles des ordinateurs (par exemple station de travail, serveur,
contrôleur de domaine) déterminent le journal dans lequel le système enregistre
les événements. Soyez vigilant avec le suivi de l’accès aux objets et des processus,
parce que ce sont ces deux catégories qui risquent le plus de poser des problèmes
de performances.

Téléchargez gratuitement cette ressource

Cybersécurité sous contrôle à 360°

Cybersécurité sous contrôle à 360°

Avec Cloud in One, les entreprises ne gagnent pas uniquement en agilité, en modernisation et en flexibilité. Elles gagnent également en sécurité et en résilience pour lutter efficacement contre l’accroissement en nombre et en intensité des cyberattaques. Découvrez l'axe Cybersécurité de la solution Cloud In One.

Tech - Par iTPro - Publié le 24 juin 2010