L’audit de fichier Windows Natif est-il suffisant pour les normes de conformité ?

Presque tous les mandats de conformité exigent que le service informatique établisse, conserve et démontre que des contrôles d'accès de sécurité sont en place autour des ensembles de données protégés. Et dans les réseaux exploitant les serveurs Windows, La nécessité d'auditer les serveurs de fichiers est nécessaire pour garantir la conformité.

Microsoft fournit de nombreux détails sur les modifications apportées aux autorisations, ainsi que sur l'accès aux fichiers et aux dossiers, qui peuvent tous être utilisés pour tenter d'atteindre les objectifs de conformité.

Ainsi, la question que l’on se pose est: les outils natifs peuvent-ils réellement aider à démontrer la conformité?

Les déficiences de l’observateur d’évènements

Il est important de se rappeler que Microsoft n'a pas conçu l’observateur d’évènement (contenu en anglais) comme une solution d'audit. Il a été conçu pour fournir aux professionnels de l'informatique une application centralisée permettant d'afficher les données d'événement. Ainsi, dans un scénario où un serveur de fichiers donné doit être audité pour démontrer la conformité, il y a quelques défauts:

• Trop de détails – Si vous êtes comme tous les professionnels de l'informatique sur la planète, la première fois que vous avez vu les données d'événement dans l'Observateur d'événements, vous étiez un peu dépassé par l'ampleur du nombre d'événements, et vous pensiez qu'il serait difficile de trouver quoi que ce soit. Avance rapide jusqu'à aujourd'hui et rien n'a vraiment changé!
• Pas assez d'aide – La journalisation des événements consiste à consolider les données d'événement brutes et à les rendre centralisées. Mais pour trouver quelque chose d'aussi simple que "Qui a accédé à vos fichiers protégés aujourd'hui et qu'ont-ils fait?" nécessite beaucoup plus de travail que de simplement parcourir les données du journal des événements. Cela nécessite une recherche minutieuse sur des valeurs de champs spécifiques dans plusieurs entrées de journal, le tout afin de «résoudre le problème» et d'obtenir une réponse potentielle. Une action unique dans le système de fichiers peut générer 5 à 10 entrées de journal, chacune documentant un aspect différent de ce que l'informatique considérerait comme une seule activité.
• Beaucoup trop manuel – Alors que l'observateur d'événements tire parti de certaines «automatisation» - comme le filtrage WMI ou l'utilisation du planificateur de tâches pour envoyer des alertes, il nécessite un travail manuel pour obtenir les données d'audit nécessaires.
• Pas facile à auditer – Les auditeurs aiment poser des questions spécifiques comme "Qui a accédé à ce dossier au cours du dernier mois?" Obtenir la réponse à cette question apparemment simple nécessite un filtrage complexe, une consolidation des événements et une recherche des résultats de l'événement pour trouver une réponse. En réalité, l’observateur d’évènement n'est pas conçu pour répondre spécifiquement aux besoins des auditeurs; il n'y a pas de délégation d'accès au journal permettant à un auditeur externe d'exécuter ses propres requêtes, il n'y a pas de manière intelligente d'interroger les données d'événement et les données elles-mêmes sont présentées au niveau du système d'exploitation et non à un niveau ou un auditeur peut avoir un aperçu de ce qui se passe réellement dans votre environnement.

Donc, l’audit de fichier Windows Natif est-il suffisant pour les normes de conformité ?