 |
Détection d'attaques - Analyse des journaux d'événements
 |
 |
 |
L'analyse des journaux
Un des meilleurs moyens de détecter les intrusions consiste à surveiller les journaux d'événements (appelés aussi journaux d'activité ou en anglais logs).
En effet, d'une manière générale les serveurs stockent dans des fichiers une trace de leur activité et en particulier des erreurs rencontrées.
Or, lors d'une attaque informatique il est rare que le pirate parvienne à compromettre un système du premier coup. Il agit la plupart du temps par tâtonnement, en essayant différentes requêtes.
Ainsi la surveillance des journaux permet de détecter une activité suspecte. Il est en particulier important de surveiller les journaux d'activité des dispositifs de protection car tout aussi bien configuré qu'il soient, il se peut qu'ils soient un jour la cible d'une attaque.
Notion de bruit
Dans la réalité il n'est pas évident de distinguer les alertes réelles des attaques automatiques effectuées par les vers réseau, les virus et les outils tels que les analyseurs de vulnérabilités.
Ainsi, la plupart des attaques subies par un serveur sont des attaques ne pouvant en aucun cas compromettre le systèe (par exemple des attaques de serveurs web Microsoft IIS contre des serveurs sous Linux avec Apache).
Il en résulte néanmoins des alertes inutile, provoquant ce que l'on appelle du « bruit », empêchant de se focaliser sur les véritables alertes.
Article rédigé le 22 juillet 2005 par Jean-François PILLOU.
Trucs & astuces pertinents trouvés dans la base de connaissances
| 20/02 11h55 |  Réseau local et partage de connexion Internet (Réseaux) |
|
| 23/01 16h49 | Installation d'un serveur ssh sous Windows (Réseaux) |
|
| 23/01 15h20 | Les différents types de réseau VMWare (Logiciels) |
|
| 03/01 00h45 | Lettre-type pour réclamation : aucun accès au réseau du FAI (Loi et droits) |
|
| 03/01 00h39 | Lettre-type pour interruption du réseau du FAI (Loi et droits) |
|
| 03/01 00h34 | Lettre-type pour problème avec FAI / réseau défaillant (Loi et droits) |
|
| 29/09 17h18 | Réseau sans fil et sécurité (WiFi) |
|
| 23/09 13h47 | Le chiffrement WEP protège mon réseau WiFi (Mythes et légendes) |
|
| 08/09 14h47 | Description et explications axées sur l'antenne (WiFi) |
|
| 01/09 10h33 | Windows ne peut pas configurer cette connexion sans fil (Windows XP) |
|
 Plus d'astuces sur « Attaques réseau » | ||
Discussions pertinentes trouvées dans le forum
| 05/12 09h30 |  attaque par reseau |
Virus/Sécurité | 05/12 12h35->pvallaud | 6 |
| 01/11 20h30 | attaque du reseau helker |
Virus/Sécurité | 02/11 00h27->^^Marie^^ | 8 |
| 17/09 12h15 | Des attaques du réseau HELKERN |
Virus/Sécurité | 17/04 12h59->yassine | 6 |
| 03/06 20h39 | Kaspersky et les attaques en réseau |
Virus/Sécurité | 14/06 15h53->maïpenraï | 6 |
| 16/10 12h56 | espion ( attaque reseau) |
Réseaux | 16/10 15h07->ctxlp2002 | 5 |
| 07/02 16h54 | [Virus ?] Attaques par réseau et divers pb |
Virus/Sécurité | 07/02 18h27->Ally | 3 |
| 01/04 16h54 | Attaque réseaux, probleme jeux en reseau |
Windows | 02/04 11h28->Bia | 3 |
| 01/11 20h31 | attaque du reseau helker |
Virus/Sécurité | 06/06 21h46->raquette | 3 |
| 20/02 18h17 | attaque réseau kaspersky |
Virus/Sécurité | 20/02 21h28->floflo | 2 |
| 18/01 09h19 | Les attaques possible d'un réseau |
Réseaux | 18/01 14h10->badboy59 | 1 |
 Discussion fermée
Problème résolu |
Plus de discussions sur « Attaques réseau » | |||