MEN IN CLOUD
8Nov/160

OMS Log Analytics : Filtrer les événements de sécurité collectés

OMS Security collecte les événements depuis de nombreux environnements. Etant base sur un service de type BigData, OMS peut contenir une très large quantité de données. Ainsi les clients n’ont pas besoin de filtrer les évènements afin de décider ceux qu’il est pertinent de conserver.

Cependant, plusieurs clients ont remonté auprès de Microsoft, que dans certains cas, ils préfèreraient réduire le volume des évènements collectés.

Un nouveau paramétrage est maintenant disponible afin de sélectionner un ensemble d’évènement. Le but est de trouver la juste mesure entre le volume de données à conserver pour les audits, recherches et détection de menaces, et la rédaction des données.

Pour cela un mécanisme simple a été mis en place afin d’autoriser les utilisateurs à choisir la bonne stratégie de filtre, sans avoir à maintenir une longue liste d’event ID.

Le choix se fait entre quatre paramètres :

  • All events– pour les clients qui veulent être certains que tous les évènements sont collectés. Il s’agit du paramètre utilisé jusqu’à présent par OMS et qui continu à être le paramètre par défaut.
  • Common– Il s’agit d’un ensemble d’ID qui conviennent la plupart du temps et qui permet d’utiliser pleinement une version d’évaluation
  • Minimal– C’est un petit ensemble d’Event ID. Le but est de réduire considérablement le volume des données
  • None– Ce paramètre désactive la collecte des évènements de sécurité et des journaux liés aux App Locker. Pour ceux qui choisissent cette option, les tableaux de bord  ne montreront que les résultats des logs du FireWall Windows et les évaluations proactives tels que :  antimalware, ligne de base et mises à jour.

Pour sélection de niveau de collecte, il faut cliquer sur le bouton « settings » depuis le tableau de bord « Security and Audit »

configlogs

Les listes d’event ID ont été établies afin d’adresser des scénarios typiques. Il faudra donc s’assurer qu’ils conviennent à l’environnement monitoré. Ils sont basés sur des utilisation typiques : Microsoft s’est basé sur des statistiques partagées avec de nombreux clients basées sur les usages des logs et leur fréquence de collecte.

 

La liste des Event pour chaque configuration est présentée ci-dessous :

configlogs2

Note : pour les évènements classiques, toutes les propriétés des évènements sont collectées et indexées. Pour les événements filtrés (liste ci-dessus), la propriété EventData qui contient le « unparsed XML » a été retiré afin réduire le volume collecté et d’améliorer les capacités d’indexation et d’analyse,

Ces listes ne sont pas figées : elles évolueront dans le temps avec les retours d’expérience. Possibilité d’envoyer un feedback à l’adresse : omssecfeedback@microsoft.com

Article d'origine : https://blogs.technet.microsoft.com/msoms/2016/11/08/filter-the-security-events-the-oms-security-collects/

 

The following two tabs change content below.

JF BERENGUER

Directeur des Services au sein de SCALA (Entreprise de services du numérique). Nos missions consistent à accompagner nos clients dans leur transformation digitale via une offre intégrée de conseils et de services pour l'infrastructure informatique et le cloud, les applications logicielles métier et la communication globale Membre du Comité de Direction, j'ai en charge le management et le pilotage de l'ensemble des activités de service (PS,MS et régie) du groupe sur nos trois métiers : Infrastructure, Développement et Communication Digitale, soit une équipe d'environ 100 personnes. Ma mission consiste à : -Décliner la stratégie de l'entreprise aux niveaux des opérations de production -Gérer la productivité et la rentabilité des équipes et dégager un résultat opérationnel conforme aux objectifs -Manager et animer les équipes et entretenir les compétences des ressources en m'appuyant sur du management intermédiaire -Mettre en place en place et faire faire appliquer les processus et méthodes J'interviens aussi en accompagnement auprès des DSI pour des missions d’élaboration et de suivi de schéma directeur, de mise en œuvre de processus et d’indicateurs de pilotage ainsi que de plans de transition vers une organisation digitale. J'anime régulièrement des séminaires et conférences sur ces mêmes sujets.

Posted by JF BERENGUER

Commentaires (0) Trackbacks (0)

Aucun commentaire pour l'instant


Leave a comment

*

Aucun trackbacks pour l'instant