Recommandations de sécurité pour la journalisation des systèmes Microsoft Windows en environnement Active Directory

Ce guide détaille les étapes nécessaires à la mise en œuvre d’un système de journalisation efficace et sécurisé des systèmes Windows en environnement Active Directory. Il est une déclinaison opérationnelle du guide « Recommandations de sécurité pour l'architecture d'un système de journalisation », ce dernier étant générique et indépendant des technologies déployées.

Publié le 28 Janvier 2022 Mis à jour le 28 Janvier 2022
Guide - Recommandations de sécurité pour la journalisation des systèmes Microsoft Windows en environnement Active Directory - Couverture

Le guide « Recommandations de sécurité pour la journalisation des systèmes Microsoft Windows en environnement Active Directory » a vocation à être opérationnel. Il propose en ce sens du contenu technique mis à disposition sur GitHub pour faciliter sa mise en œuvre dans un environnement reposant sur Microsoft Active Directory. Il intéressera plus particulièrement les métiers opérationnels d’administration système ou de SSI.

Il détaille en premier lieu la mise en œuvre d’une stratégie de journalisation locale des systèmes Windows adaptée aux besoins de sécurité et à l'état de la menace. Il y est ainsi proposé un paramétrage clé en main des capacités de journalisation natives des systèmes Windows. Une méthodologie de configuration et de déploiement de sysmon y est également proposée pour les entités qui ont un besoin de journalisation avancée.

Il explique ensuite comment mettre en œuvre de serveurs de collecte des évènements Windows, de sorte à rendre possibles la détection et l’analyse centralisée des évènements de sécurité. Sont ainsi abordés différents aspects liés à la sélection des évènements centralisés, à la configuration des services et composants logiciels mis en jeu lors de cette centralisation ainsi qu’à la sécurité de l’infrastructure de collecte.

Ce guide est une déclinaison opérationnelle du guide « Recommandations de sécurité pour l'architecture d'un système de journalisation », ce dernier étant générique et indépendant des technologies déployées.