Audits
Dans cette section :
À propos des audits
La fonction d'audit Application Control (Contrôle des applications) vous permet de définir des règles pour la capture des informations d'audit. Vous pouvez aussi créer des événements et inclure un filtre pour spécifier les événements à capturer dans le journal. Vous accédez aux fonctions d'audit depuis le ruban Gérer.
Contrôle du comportement d'audit général
Utilisez les options suivantes pour contrôler le comportement d'audit général et sélectionner les événements à déclencher :
- Envoyer les événements au journal d'événements de l'application - Indiquez si les événements doivent être envoyés au journal d'événements de l'application.
- Envoyer les événements au journal d'événements AppSense - Indiquez si les événements doivent être envoyés au journal d'événements AppSense.Vous ne pouvez envoyer les événements qu'au journal d'événements de l'application ou à celui d'AppSense.
- Rendre les événements anonymes - Spécifiez si les événements doivent être anonymes. Si tel est le cas, le nom de l'ordinateur et celui de l'utilisateur sont supprimés de tous les événements.La journalisation anonyme recherche également le chemin de fichier pour détecter toutes les instances où un répertoire correspond au nom d'utilisateur, puis remplace le nom du répertoire par la chaîne
- Envoyer les événements au fichier journal local - Indiquez si les événements doivent être envoyés au fichier journal local.Dans ce cas, les événements sont envoyés au fichier journal local spécifié dans le champ de texte.L'emplacement par défaut est le suivant : %SYSTEMDRIVE%\AppSenseLogs\Auditing\ApplicationManagerEvents_%COMPUTERNAME%
- Format du fichier journal local- Spécifiez si le journal d'événements doit être enregistré au format XML ou au format CSV.
Dans les installations Enterprise, il est possible de transmettre les événements à Management Center via l'agent de déploiement (CCA). Si vous choisissez cette méthode pour l'audit, le stockage et le filtrage des données d'événement sont configurés via la console Management Center.
Pour en savoir plus, consultez l'aide Management Center.
Sélectionner les événements à créer
Cette section de la boîte de dialogue répertorie tous les événements Application Control (Contrôle des applications). Cochez la case Journal local pour les événements à créer en local, dans le respect des options de comportement d'audit sélectionnées.
Notez que certains événements peuvent être filtrés. Aussi, outre leur activation via la case à cocher Journal local, vous devez vous assurer que l'option Filtrage des événements est correctement configurée.
Événements disponibles
| ID d'événement | Nom d'événement | Description de l'événement |
|---|---|---|
| 9000 | Exécution refusée | Demande d'exécution refusée. |
| 9001 | Exécution autorisée | Demande d'exécution autorisée. Une demande unique concernant une application peut générer plusieurs événements 9001, en raison de la façon dont Windows répond aux demandes d'exécution. Les meilleures pratiques recommandent donc d'utiliser un événement 9015 pour effectuer un audit précis du nombre de fois où un utilisateur a exécuté une application. |
| 9002 | Écraser propriétaire changé | Écrasement d'un exécutable autorisé. |
| 9003 | Renommer propriétaire changé | Changement de nom d'un exécutable refusé. |
| 9004 | Refus de limite d'application | Refus de limite d'application. |
| 9005 | Refus de limite de temps | Refus de limite de temps. |
| 9006 | Auto-autorisation | Décision d'auto-autorisation par l'utilisateur. |
| 9007 | Auto-autorisation, Autoriser | Demande d'exécution auto-autorisée. |
| 9009 | Délai de règle scriptée écoulé | Le délai d'exécution du script est écoulé. |
| 9010 | Échec de la règle scriptée | Échec de l'exécution du script. Cet événement n'est généré que pour échecs des scripts VB. |
| 9011 | Succès de la règle scriptée | Script exécuté avec succès. |
| 9012 | Refus de fournisseur de confiance | Un certificat numérique a échoué à la vérification de fournisseur de confiance. |
| 9013 | Élément réseau refusé | Demande d'élément réseau refusée. |
| 9014 | Élément réseau autorisé | Demande d'élément réseau autorisée. |
| 9015 | Application démarrée | Une application autorisée a commencé à s'exécuter. Une demande unique concernant une application peut générer plusieurs événements 9001, en raison de la façon dont Windows répond aux demandes d'exécution. Les meilleures pratiques recommandent donc d'utiliser un événement 9015 pour effectuer un audit précis du nombre de fois où un utilisateur a exécuté une application. |
| 9016 | Impossible de changer de propriétaire | Le propriétaire du fichier n'a pas pu être changé. |
| 9017 | Arrêt d'application | Une application interdite a été arrêtée par Application Control (Contrôle des applications). |
| 9018 | Privilèges utilisateur de l'application changés | Les privilèges utilisateur de l'application ont changé. |
| 9019 | Installation Web autorisée | Demande d'installation Web autorisée. |
| 9020 | Installation Web restreinte | Demande d'installation Web restreinte. |
| 9021 | Installation Web restreinte | Demande d'installation Web restreinte par Windows. |
| 9022 | Échec de l'installation Web | L'installation Web ne s'est pas effectuée. |
| 9023 | Auto-élévation autorisée | Demande d'auto-élévation. |
| 9024 | Redirection d'URL | Une URL a été redirigée. |
| 9051 | Changement de stratégie autorisé | Une demande de changement de stratégie a été autorisée. |
| 9052 | Code réponse non valide pour un changement de stratégie | Un code réponse non valide a été entré pour une demande de changement de stratégie. |
| 9053 | Autorisation demandée par l'utilisateur | L'application d'un changement de stratégie autorisé a commencé. |
| 9054 | Élévation demandée par l'utilisateur | L'application d'un changement de stratégie avec élévation a commencé. |
| 9055 | Démarrage/Arrêt de service | Un service a démarré ou s'est arrêté. |
| 9056 | Fichier non De confiance avec correspondance de métadonnées | Impossible de vérifier le certificat d'un fichier signé lors de la mise en correspondance des métadonnées. |
| 9060 | Exécution refusée (Trusted Ownership) | Demande d'exécution refusée (Trusted Ownership) |
| 9061 | Exécution refusée (Stratégie de règle) | Demande d'exécution refusée (Stratégie de règle) |
| 9062 | Événement Processus Admin démarré | Une application a démarré avec des droits élevés (droits Administrateur complets). |
| 9096 | Succès de la fusion des configurations | La fusion des configurations a été réalisée avec succès. |
| 9097 | Échec de la fusion des configurations | La fusion des configurations a échoué. |
| 9098 | Délai de fusion des configurations écoulé | Le délai de fusion des configurations s'est écoulé pendant l'attente des fichiers prévus. |
| 9099 | Agent sans licence | Application Control (Contrôle des applications) n'a pas de licence. |
Remarques
•Une demande unique concernant une application peut générer plusieurs événements 9001, en raison de la façon dont Windows répond aux demandes d'exécution. Les meilleures pratiques recommandent donc d'utiliser un événement 9015 pour effectuer un audit précis du nombre de fois où un utilisateur a exécuté une application.
Les événements 9001, 9007, 9014 et 9015 sont désactivés par défaut, car ils peuvent générer une quantité excessive de données sur les postes client très occupés. Il est recommandé de n'utiliser ces événements que pour le dépannage et seulement pour une durée assez brève.
•Depuis la version 2020.2, Application Control (Contrôle des applications) inclut les ID d'événement 9060 et 9061. Par défaut, ces deux événements sont désactivés. Si nécessaire, ils permettent aux entreprises de faire la différence entre les demandes d'exécution bloquées par Trusted Ownership et celles bloquées explicitement par une stratégie de règle.
Pour faire cette distinction, activez les événements d'ID 9060 et/ou 9061 selon vos besoins. Pour éviter les notifications en double si vous activez l'un de ces paramètres (ou les deux), vous devez désactiver l'événement d'ID 9000.
•La version 2020.2 inclut également un nouvel événement portant l'ID 9062. Il identifie les processus démarrés avec des droits Admin complets et peut s'avérer utile pour évaluer les droits élevés nécessaires. Attention, si le contrôle des comptes d'utilisateur (UAC) Windows est désactivé ou si vous utilisez le compte Admin intégré, tous les processus sont exécutés avec des droits Admin complets, ce qui multiplie les notifications.
Filtrage des événements
Le filtrage des événements vous permet de filtrer les types de fichier à auditer. Cela est particulièrement utile si vous choisissez un événement à gros volume.Vous accédez à la table Filtre d'événements en cliquant sur Filtrage des événements dans la boîte de dialogue Audits. L'option Activer le filtrage des événements est sélectionnée par défaut et configurée pour appliquer tous les filtres de fichiers recommandés. Mettez à jour les paramètres selon vos besoins, en sélectionnant les types de fichier à auditer pour chaque événement répertorié. Cliquez sur Ajouter pour spécifier de nouveaux types de fichier pour les types d'événement requis.
Pour activer le filtrage des événements dans une configuration mise à niveau depuis une ancienne version d'Application Control (Contrôle des applications), outre l'activation du filtrage pour les ID d'événement mentionnés plus haut, vous devez manuellement cocher la case Activer le filtrage des événements pour le type de fichier voulu.
Événements système
Les événements système suivants ne sont pas configurables :
| ID d'événement | Nom d'événement | Description de l'événement |
|---|---|---|
| 8000 | Service démarré | Agent Application Control (Contrôle des applications) : Service démarré. |
| 8001 | Service arrêté | Agent Application Control (Contrôle des applications) : Service arrêté. |
| 8095 | Aucune configuration trouvée | Application Control (Contrôle des applications) ne trouve aucune configuration valide. |
| 8099 | Licence non valide | Le logiciel Application Control (Contrôle des applications) n'a pas de licence. |