L

L’audit de fichier Windows Natif est-il suffisant pour les normes de conformité ?

Presque tous les mandats de conformité exigent que le service informatique établisse, conserve et démontre que des contrôles d'accès de sécurité sont en place autour des ensembles de données protégés. Et dans les réseaux exploitant les serveurs Windows, La nécessité d'auditer les serveurs de fichiers est nécessaire pour garantir la conformité.

Microsoft fournit de nombreux détails sur les modifications apportées aux autorisations, ainsi que sur l'accès aux fichiers et aux dossiers, qui peuvent tous être utilisés pour tenter d'atteindre les objectifs de conformité.

Ainsi, la question que l’on se pose est: les outils natifs peuvent-ils réellement aider à démontrer la conformité?

Les déficiences de l’observateur d’évènements

Il est important de se rappeler que Microsoft n'a pas conçu l’observateur d’évènement (contenu en anglais) comme une solution d'audit. Il a été conçu pour fournir aux professionnels de l'informatique une application centralisée permettant d'afficher les données d'événement. Ainsi, dans un scénario où un serveur de fichiers donné doit être audité pour démontrer la conformité, il y a quelques défauts:

  • Trop de détails – Si vous êtes comme tous les professionnels de l'informatique sur la planète, la première fois que vous avez vu les données d'événement dans l'Observateur d'événements, vous étiez un peu dépassé par l'ampleur du nombre d'événements, et vous pensiez qu'il serait difficile de trouver quoi que ce soit. Avance rapide jusqu'à aujourd'hui et rien n'a vraiment changé!
  • Pas assez d'aide – La journalisation des événements consiste à consolider les données d'événement brutes et à les rendre centralisées. Mais pour trouver quelque chose d'aussi simple que "Qui a accédé à vos fichiers protégés aujourd'hui et qu'ont-ils fait?" nécessite beaucoup plus de travail que de simplement parcourir les données du journal des événements. Cela nécessite une recherche minutieuse sur des valeurs de champs spécifiques dans plusieurs entrées de journal, le tout afin de «résoudre le problème» et d'obtenir une réponse potentielle. Une action unique dans le système de fichiers peut générer 5 à 10 entrées de journal, chacune documentant un aspect différent de ce que l'informatique considérerait comme une seule activité.
  • Beaucoup trop manuel – Alors que l'observateur d'événements tire parti de certaines «automatisation» - comme le filtrage WMI ou l'utilisation du planificateur de tâches pour envoyer des alertes, il nécessite un travail manuel pour obtenir les données d'audit nécessaires.
  • Pas facile à auditer – Les auditeurs aiment poser des questions spécifiques comme "Qui a accédé à ce dossier au cours du dernier mois?" Obtenir la réponse à cette question apparemment simple nécessite un filtrage complexe, une consolidation des événements et une recherche des résultats de l'événement pour trouver une réponse. En réalité, l’observateur d’évènement n'est pas conçu pour répondre spécifiquement aux besoins des auditeurs; il n'y a pas de délégation d'accès au journal permettant à un auditeur externe d'exécuter ses propres requêtes, il n'y a pas de manière intelligente d'interroger les données d'événement et les données elles-mêmes sont présentées au niveau du système d'exploitation et non à un niveau ou un auditeur peut avoir un aperçu de ce qui se passe réellement dans votre environnement.

Donc, l’audit de fichier Windows Natif est-il suffisant pour les normes de conformité ?

Bien que cet article se concentre principalement sur le fait que l’observateur d'événements n’est pas adapté aux besoins de conformité, la réponse à la question de savoir s'il peut aider avec la conformité dépend vraiment du niveau de détail requis, de la fréquence des audits et en combien de temps l'informatique doit obtenir la réponse. Rappelez-vous, les réponses sont là; cela demande juste du temps, de la patience, un savoir-faire d'investigation et une capacité à rassembler plusieurs entrées de journaux intelligemment pour obtenir votre réponse.

Pour en savoir plus sur l'audit des fichiers pour la conformité, ainsi que pour comprendre comment les solutions tierces peuvent vous aider à respecter les obligations de conformité, lisez le livre blanc Le rôle de l'audit de fichiers dans la conformité.

Tableau de bord FileAudit

À propos de FileAudit

Prouvez aux régulateurs que vous protégez vos données en surveillant et en alertant de manière exhaustive toutes les activités d'accès aux fichiers sur les systèmes Windows et dans le cloud.

Installé en moins de 3 minutes.

En savoir plus et essai gratuit