Journalisation / SIEM — Démarrage rapide • Cyber Security Roanne

Journalisation centralisée / SIEM — Démarrage rapide

Quoi collecter, comment centraliser, et quelles alertes définir en premier. Cette page ne stocke que dans la session locale.

🧩 Sources 📈 Corrélation 🚨 Alertes 🖨️ PDF

1) Sources minimales

AD/SSO, endpoints (EDR/antivirus), pare‑feu/VPN, messagerie, cloud (Microsoft/Google), serveurs critiques.

Vos sources cibles

2) Rétention & conformité

Temps de conservation défini (ex. 6–12 mois). Accès restreint (moindre privilège). Export légal/audit prévu.

3) Alertes de base

Connexion admin hors horaires, bruteforce, ajout de règle de mail, exécution suspecte, exfiltration sortante.

4) Modèle “Politique de logs”

POLITIQUE DE LOGS — SYNTHÈSE - Périmètre : AD/SSO, endpoints, pare-feu/VPN, cloud, serveurs critiques. - Rétention : 12 mois (min), horodatage UTC, intégrité. - Accès : rôle dédié, moindre privilège, traçabilité. - Alertes : bruteforce, élévation privilèges, règles mail, exfiltration. - Revue : hebdomadaire (tableau de bord) + test trimestriel.

Retour à l’accueil