Analyse des journaux
Qu'est-ce que Analyse des journaux ?
Analyse des journauxExamen systématique des journaux système, applicatifs et de sécurité pour détecter, investiguer et reconstituer des événements pertinents pour la sécurité.
L'analyse des journaux étudie les enregistrements produits par les systèmes, équipements réseau, applications et outils de sécurité : Windows EVTX, syslog/journald Linux, journaux d'accès serveurs web, flux pare-feu, télémétrie EDR et pistes d'audit cloud comme AWS CloudTrail ou Microsoft 365 Unified Audit Log. Les analystes parsent, normalisent et corrèlent ces sources, généralement dans un SIEM, pour détecter anomalies d'authentification, exécution de commandes, mouvement latéral et exfiltration. Outils courants : Splunk, Elastic, Chainsaw, Hayabusa, EvtxECmd et règles Sigma. L'efficacité dépend de la synchronisation horaire, d'une rétention suffisante et d'une connaissance du comportement normal.
● Exemples
- 01
Chasse au Kerberoasting via l'analyse des événements Windows 4769 dans Splunk.
- 02
Corrélation entre échecs ConsoleLogin AWS CloudTrail et connexions réussies depuis une nouvelle IP.
● Questions fréquentes
Qu'est-ce que Analyse des journaux ?
Examen systématique des journaux système, applicatifs et de sécurité pour détecter, investiguer et reconstituer des événements pertinents pour la sécurité. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie Analyse des journaux ?
Examen systématique des journaux système, applicatifs et de sécurité pour détecter, investiguer et reconstituer des événements pertinents pour la sécurité.
Comment se défendre contre Analyse des journaux ?
Les défenses contre Analyse des journaux combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Analyse des journaux ?
Noms alternatifs courants : Analyse d'événements, Revue des journaux de sécurité.