Home
Supervision de la sécurité
Introduction
Pandora FMS peut être utilisé pour superviser l'état des infrastructures de sécurité telles que les environnements de sauvegarde, les antivirus, les VPN, les pare-feu, les IDS/IPS, les SIEM, les honeypots, les systèmes d'authentification, les systèmes de stockage, la collecte de journaux, etc. De plus, Pandora FMS intègre des outils internes pour augmenter sa propre sécurité tels que doble identifier (2FA), encryption dans le données de base de données pour les mots de passe, l'authentification externe, le protocole Tentacle utilisant le cryptage des données (SSL/TLS ), son propre journal d'audit et d'autres fonctionnalités pour rendre la plateforme plus sécurisée. Pandora FMS, en tant qu'organisation, possède la certification 27001 et est CNA chez Mitre pour gérer ses propres CVE. Nous avons une politique de sécurité publique et sommes ouverts aux auditeurs de sécurité indépendants.
En plus de ces fonctions, Pandora FMS intègre ses propres fonctionnalités de sécurité spécifiques depuis la version 773 et d'autres fonctionnalités seront ajoutées dans les versions successives.
Dans la version 774, Pandora FMS intègre les fonctionnalités de sécurité suivantes.
- Plugin de supervision de la sécurité, pour superviser la sécurité de base du système, conçu uniquement pour les serveurs Linux®.
- Durcissement du système d'évaluation dans le temps (Linux®, MS Windows®).
- Système d'évaluation des vulnérabilités des systèmes (Linux®, MS Windows® et systèmes distants).
- À partir de la version 784: Système d'intégrité des répertoires et des fichiers, File Integrity Monitoring (FIM) (Linux®, MS Windows®).
Plugin de supervision de la sécurité
Ce plugin, fourni en standard dans les agents Linux, se charge de vérifier en permanence certains aspects fondamentaux de votre environnement. Il est conçu pour être léger, avoir un impact très limité sur les performances du système et être publié à l'intervalle standard de l'agent, toutes les cinq minutes. Vérifiez les aspects suivants du système:
- Force des mots de passe pour tous les utilisateurs ayant accès au système. Il le fait via un « dictionnaire de mots de passe », composé par défaut de 100 entrées. Vous pouvez personnaliser ce dictionnaire et ajouter vos propres entrées (pour refléter les mots de passe courants typiques utilisés dans votre organisation). 90 % des attaques courantes ont comme vecteur d'attaque un compte utilisateur mal protégé dans un environnement secondaire.
- Statut SELinux, vérifiant s'il est actif ou présent.
- Accès à distance en tant qu'utilisateur root, vérifiant que la connexion par mot de passe est désactivée pour cet utilisateur.
- Accès automatique à distance en tant que root à l'aide de clés SSH préalablement configurées et établies.
- Ports TCP en écoute active (qui se trouvent en dehors d'une liste de numéros de port autorisés).
- Modification des fichiers de configuration essentiels, vérification de leur intégrité et s'ils ont changé (fichiers tels que
/etc/resolv.conf,/etc/hosts/,/etc/passwdet d'autres).
Ce sont des choses très basiques mais en même temps très importantes. Tout système, qu'il s'agisse d'un environnement de test, d'une machine virtuelle ou d'un VPS sur hébergement secondaire, est vulnérable aux attaques de base, mais celles-ci représentent généralement 80 % de celles qui ouvrent un incident plus grave dans l'organisation.
Installation de plugin de supervision de la sécurité
Pour installer le plugin de sécurité, activez-le simplement dans l'agent Linux, il est inclus par défaut dans les versions 774 ou supérieures:
module_begin module_plugin /etc/pandora/plugins/pandora_security_check module_end
Pour installer le plugin sur les versions précédentes de l'agent, il peut être téléchargé depuis la bibliothèque du plugin Pandora FMS:
