Transférer des événements Windows dans SES Evolution
Le transfert d'événements Windows consiste à indiquer via une règle quels journaux et quels événements Windows doivent être collectés et affichés par SES Evolution.
EXEMPLE
Vous pouvez choisir de transférer les événements relatifs aux connexions des utilisateurs sur les postes de travail, afin de surveiller qui s'est connecté et à quel moment.
Créer une règle de transfert d'événements :
- Choisissez le menu Sécurité > Politiques et cliquez sur votre politique.
- Sélectionnez un jeu de règles d'audit.
- Cliquez sur Événements externes > Transfert d'événements.
- Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
- Cliquez sur Ajouter une règle (Transfert d'événements).
Une nouvelle ligne s'affiche. - Cliquez sur + Événements surveillés et fournissez les informations suivantes :
Nom du journalSaisissez le nom du journal Windows (e.g., Security, Microsoft-Windows-Windows Defender/Operational). Pour connaître le nom d'un journal, consultez ses propriétés dans l'Observateur d'événements Windows.
Vous pouvez surveiller un journal qui n'est pas activé dans Windows. Dans ce cas, SES Evolution l'activera automatiquement. Néanmoins, soyez conscient que si les événements de ce journal sont nombreux, cela peut entraîner une baisse des performances de Windows.Si vous saisissez une requête de filtrage au format XML dans le champ suivant, le Nom du journal n'est pas indispensable.
Requête de filtrageSi besoin, saisissez une requête de filtrage afin de ne collecter que certains événements du journal. Pour obtenir une requête :
- Ouvrez l'Observateur d'événements Windows.
- Sur le journal de votre choix, faites un clic droit > Filtrer le journal actuel.
- Dans l'onglet Filtrer, choisissez vos options de filtrage.
- Copiez le contenu de l'onglet XML et collez-le dans le champ Requête de filtrage de la fenêtre de la règle de transfert d'événements.
Vous pouvez aussi saisir manuellement une requête au format XPath. Par exemple saisissez le nom de journal Security et la requête de filtrage *[System[(EventID=4625)]] pour récupérer tous les événements avec l'ID 4625 dans le journal Security.
DescriptionSi besoin, saisissez une description.
Vous pouvez aussi importer une vue personnalisée d'événements Windows, ce qui permet de remplir automatiquement tous les champs avec les valeurs souhaitées. Pour cela, dans l'Observateur d'événements Windows, exportez la vue personnalisée souhaitée au format XML et importez-la en cliquant sur la flèche à droite
.EXEMPLE
Ici, les événements d'ID 350 à 381 du journal System seront transférés, à l'exception de l'ID 376.
- Dans le bandeau supérieur de la règle, vous pouvez :
- Sélectionner les paramètres des logs qui seront émis par cette règle. La gravité d'un log est basée sur sa gravité dans Windows. Les correspondances sont les suivantes :
Type d’événement Windows Log SES Evolution Audit Information Critique Critique Erreur Erreur Avertissement Avertissement Information Information Verbose Diagnostic - Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle.
- Saisir une description pour expliquer l'objectif de la règle.
- Sélectionner les paramètres des logs qui seront émis par cette règle. La gravité d'un log est basée sur sa gravité dans Windows. Les correspondances sont les suivantes :
- Si besoin, ajoutez d'autres règles de transfert d'événements.
- Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.
SES Evolution rattrape les événements Windows qui ont été émis alors qu'il n'était pas actif, par exemple lors du redémarrage de la machine.