Déterminer les événements à collecter
Collecter des traces inutiles ajoute des informations à traiter lors de l’analyse des journaux, la complexifiant. Ne pas collecter des traces utiles prive au contraire d’une source d’informations capitale pour la détection d’incidents et la recherche de compromissions.
Voici une liste non exhaustive des événements qu’il est recommandé de collecter par syslog parmi ceux proposé par le pare-feu SNS sur son interface web d’administration. Le cas d’usage supposé est un équipement utilisé en tant que pare-feu/VPN IPsec, l’IDS et l’IPS n’étant pas activés :
Les événements relatifs à la politique de filtrage (paquets rejetés, etc.),
Les connexions réseaux,
Les éléments relatifs aux tunnels VPN IPsec (mise en place et destruction de tunnel, etc.),
Les événements d’authentification (tentatives avortées, réussites, échecs, etc.),
Les événements d’administration générés par le démon serverd (connexion d’administrateurs, modification de configuration),
Les statistiques,
Les événements système,
Les alarmes.
INFORMATION
Le niveau de trace avancé (journal de connexions et journal de filtrage) n'est pas adapté pour les flux TCP, UDP ou SCTP car les connexions (établies pour TCP) sur ces protocoles seront déjà tracées par défaut dans le journal des connexions.