Les analyseurs de journaux

Voici un article publié dans le site Web Securisa.com le 10 mai 2006 et dans le bulletin « La sécurité simplifiée », vol. 2, no.19 (2002/11/19):

Un analyseur de journaux est un outil de gestion qui s’occupe des journaux de différentes composantes informatiques d’une organisation. En fait, ce genre de produit effectue la cueillette des événements des journaux, sélectionne les événements et prévient les administrateurs lorsqu’il perçoit des événements « dangereux ». Bref, c’est l’outil idéal pour les organisations qui font de la journalisation un souci constant. Pour mieux comprendre l’efficacité d’un analyseur de journaux, il faut connaître les avantages qu’il peut apporter.

Analyse des journaux en temps réel

Tel qu’il a été mentionné dans l’éditorial, l’analyse des journaux s’effectue parfois à des intervalles plus ou moins réguliers. Le manque de discipline de certains surveillants des journaux peut permettre à des hackers de « passer la clôture sans être vus ». Ceci n’est pas très rassurant, mais c’est la réalité! En utilisant un analyseur de journaux, la surveillance des activités d’une composante informatique peut se faire de façon continue. Ainsi, tous les événements produits sont analysés par le logiciel. De cette façon, la surveillance est constante (24 heures sur 24, 7 jours sur 7) et permet à l’organisation de se dégager de la nécessité d’affecter une personne à temps plein à cette tâche. Comme plusieurs agents (typiquement un agent de surveillance par composante) peuvent amasser plusieurs événements, il est plus facile avec un analyseur de journaux d’avoir une vue d’ensemble des erreurs ou des intrusions commises. Cela offre un moyen plus efficace de retracer un hacker responsable de méfaits.

Archivage des journaux

Il pourrait arriver qu’un hacker oblige des responsables de journaux à devoir faire un retour en arrière sur plusieurs mois afin de retracer les détails d’une intrusion et ainsi obtenir des preuves pour d’éventuelles accusations, par exemple. Il est donc essentiel de pouvoir conserver les journaux en lieu sûr, pour des références ultérieures. Bien que des produits comme MS Windows NT/2000 fournissent des mécanismes pour purger les activités les plus anciennes dans les journaux de sécurité, ils n’offrent aucune fonction pour déplacer automatiquement les événements vers des fichiers d’archive. Les analyseurs de journaux recueillent, pour leur part, les événements de journaux en temps réel pour les conserver dans un dépôt de données. L’archivage des événements des journaux est donc possible. À partir du dépôt, il est réalisable également « d’extraire » des événements selon des critères particuliers.

Sécurisation des journaux

Comme vous le savez, l’efficacité de la journalisation d’un serveur, comme celle de MS Windows 2000 Server par exemple, peut être contrée. Selon la façon dont on s’y prend pour gérer le débordement du journal (le cas du journal de sécurité « plein »), on peut imaginer qu’un hacker peut exploiter cette situation et s’organiser pour le remplir complètement, effaçant du même coup toute trace d’intrusion qui surviendrait par la suite. Aussi, on peut penser que les personnes ayant un accès physique aux serveurs ou des droits d’administrateur, peuvent détruire les journaux d’événements ou supprimer des événements précis avec des outils spécialisés.

L’utilisation d’un analyseur de journaux permet de réduire ces risques à l’aide d’un dépôt sécurisé, conservé sur un serveur spécifique isolé, contenant tous les événements des journaux de différentes composantes (serveurs, coupe-feu, etc.) qui ont été recueillis. Ainsi, même si les événements d’un journal sur un serveur sont altérés, il est possible de les retrouver sur le dépôt de données de l’analyseur de journaux.

Filtrage des événements des journaux

Les journaux d’événements de MS Windows NT/2000 génèrent beaucoup d’événements inutiles, par exemple les postes de travail sollicitant un contrôleur de domaine pour une mise à jour des politiques de sécurité. Une particularité intéressante d’un analyseur de journaux est qu’il permet de faire le filtrage des événements selon des critères particuliers. Ainsi, il est donc possible de se concentrer uniquement sur les événements qui nous intéressent.

Mécanismes d’alertage

Avec des mécanismes de journalisation comme ceux incluent dans les serveurs MS Windows 2000, il n’est pas possible d’être prévenu lorsqu’une alerte survient. Avant qu’une intrusion soit découverte, plusieurs jours peuvent s’écouler. Certains analyseurs de journaux offrent la possibilité de prévenir un administrateur de différentes façons, soit par courriel, par téléavertisseur, etc. Il devient alors possible de réagir plus rapidement et efficacement lors d’une alerte.

Conclusion

Comme on peut le constater, les analyseurs de journaux sont des produits utiles voire même indispensables. Les organisations d’envergure devraient disposer d’un logiciel de ce genre, surtout celles disposant de plusieurs serveurs Microsoft. D’ailleurs, il serait intéressant que les fabricants de systèmes d’exploitation intègrent certaines des fonctionnalités énumérées ci-haut dans leurs produits.