Politique de journalisation

Avant de configurer les journaux sur un pare-feu SNS, il est nécessaire de définir une politique de journalisation. Celle-ci devra notamment spécifier les types d'événements qui sont pertinents de journaliser ainsi que leur lieu de centralisation.

Sur un pare-feu SNS, il est possible de définir de façon indépendante :

  • Les types d'événements enregistrés sur le support de stockage local lorsqu’il existe (menu Configuration > Notifications > Traces - Syslog - IPFIX > Stockage local). Dans ce cas, ces événements seront directement consultables à partir de l’interface web d’administration du pare-feu SNS dans l'onglet MonitoringTraces et rapports d'activité,

  • Les types d'événements envoyés sur un (ou plusieurs) serveur(s) syslog (menu Configuration > Notifications > Traces - Syslog - IPFIX > Syslog). Ces événements ne sont pas directement consultables à partir de l’interface web d’administration du pare-feu SNS, ils sont destinés à être injectés dans un SIEM ou à être archivés.

R54 | SNS | Définir une politique de journalisation
Il est recommandé de définir une politique de journalisation locale et une politique de journalisation centralisée conformément au guide Recommandations de sécurité pour la mise en œuvre d’un système de journalisation.

L’espace de stockage étant limité sur le disque dur ou la carte SD du pare-feu SNS, une rotation des traces est utilisée.

Il est nécessaire de mettre en place le protocole TLS garantissant la confidentialité et surtout l’intégrité des flux de transfert des journaux, en particulier lorsque les données transitent sur des réseaux non maîtrisés.

R55 | SNS | Sécuriser le transfert des journaux avec le protocole TLS
Il est recommandé d’utiliser des protocoles de transfert de journaux qui s’appuient sur des mécanismes cryptographiques robustes (conformément au guide Recommandations de sécurité relatives à TLS) en particulier lorsque les données transitent sur des réseaux non maîtrisés (conformément au guide Recommandations de sécurité pour la mise en œuvre d’un système de journalisation).

Le choix du protocole de transfert des journaux s’effectue dans Configuration > Notifications > Traces - Syslog - IPFIX > Syslog.