Centralisation des journaux avec Windows Event Forwarding

Dans le cadre de la réponse aux incidents de sécurité, il est aujourd’hui crucial de surveiller les équipements terminaux comme les postes de travail pour détecter les attaques informatiques le plus tôt possible.

Mais comment surveiller, et quelles informations rechercher ?

Un composant natif des environnements Windows, simplement appelé Windows Event Forwarding, permet de centraliser les journaux des terminaux sur un collecteur tout en limitant la remontée d’informations à des motifs choisis. En s’appuyant sur différentes sources d’informations (journaux Sécurité, PowerShell, AppLocker, Sysmon), il est possible d’obtenir un bon niveau de visibilité sur l’activité des systèmes.

Nous publions aujourd’hui un guide opérationnel décrivant la mise mettre en place d’un tel environnement et de son intégration dans un SIEM (s’appuyant par exemple sur Splunk ou LogPoint). Ce système n’a pas pour vocation de remplacer un produit de type Endpoint Detection & Response, mais d’offrir un premier niveau de supervision à moindre coût.

Vous pouvez télécharger le guide en cliquant ici ou sur l’image ci-dessous.

Des ressources annexes sont également disponibles sur le GitHub d’Intrinsec.