Supervision de la sécurité

Introduction

Pandora FMS peut être utilisé pour superviser l'état des infrastructures de sécurité telles que les environnements de sauvegarde, les antivirus, les VPN, les pare-feu, les IDS/IPS, les SIEM, les honeypots, les systèmes d'authentification, les systèmes de stockage, la collecte de journaux, etc. De plus, Pandora FMS intègre des outils internes pour augmenter sa propre sécurité tels que doble identifier (2FA), encryption dans le données de base de données pour les mots de passe, l'authentification externe, le protocole Tentacle utilisant le cryptage des données (SSL/TLS ), son propre journal d'audit et d'autres fonctionnalités pour rendre la plateforme plus sécurisée. Pandora FMS, en tant qu'organisation, possède la certification 27001 et est CNA chez Mitre pour gérer ses propres CVE. Nous avons une politique de sécurité publique et sommes ouverts aux auditeurs de sécurité indépendants.

En plus de ces fonctions, Pandora FMS intègre ses propres fonctionnalités de sécurité spécifiques depuis la version 773 et d'autres fonctionnalités seront ajoutées dans les versions successives.

Dans la version 774, Pandora FMS intègre les fonctionnalités de sécurité suivantes.

Plugin de supervision de la sécurité, pour superviser la sécurité de base du système, conçu uniquement pour les serveurs Linux®.
Durcissement du système d'évaluation dans le temps (Linux®, MS Windows®).
Système d'évaluation des vulnérabilités des systèmes (Linux®, MS Windows® et systèmes distants).
À partir de la version 784: Système d'intégrité des répertoires et des fichiers, File Integrity Monitoring (FIM) (Linux®, MS Windows®).

Plugin de supervision de la sécurité

Ce plugin, fourni en standard dans les agents Linux, se charge de vérifier en permanence certains aspects fondamentaux de votre environnement. Il est conçu pour être léger, avoir un impact très limité sur les performances du système et être publié à l'intervalle standard de l'agent, toutes les cinq minutes. Vérifiez les aspects suivants du système:

Force des mots de passe pour tous les utilisateurs ayant accès au système. Il le fait via un « dictionnaire de mots de passe », composé par défaut de 100 entrées. Vous pouvez personnaliser ce dictionnaire et ajouter vos propres entrées (pour refléter les mots de passe courants typiques utilisés dans votre organisation). 90 % des attaques courantes ont comme vecteur d'attaque un compte utilisateur mal protégé dans un environnement secondaire.
Statut SELinux, vérifiant s'il est actif ou présent.
Accès à distance en tant qu'utilisateur root, vérifiant que la connexion par mot de passe est désactivée pour cet utilisateur.
Accès automatique à distance en tant que root à l'aide de clés SSH préalablement configurées et établies.
Ports TCP en écoute active (qui se trouvent en dehors d'une liste de numéros de port autorisés).
Modification des fichiers de configuration essentiels, vérification de leur intégrité et s'ils ont changé (fichiers tels que /etc/resolv.conf, /etc/hosts/, /etc/passwd et d'autres).

Ce sont des choses très basiques mais en même temps très importantes. Tout système, qu'il s'agisse d'un environnement de test, d'une machine virtuelle ou d'un VPS sur hébergement secondaire, est vulnérable aux attaques de base, mais celles-ci représentent généralement 80 % de celles qui ouvrent un incident plus grave dans l'organisation.

Installation de plugin de supervision de la sécurité

Options de sécurité de l'EndPoint pour Linux®

Pour installer le plugin de sécurité, activez-le simplement dans l'agent Linux, il est inclus par défaut dans les versions 774 ou supérieures :

module_begin
module_plugin /etc/pandora/plugins/pandora_security_check
module_end

Pour installer le plugin sur les versions précédentes de l'agent, il peut être téléchargé depuis la bibliothèque du plugin Pandora FMS :

https://pandorafms.com/library/linux-security-plugin/

Options de sécurité de l'EndPoint pour MS Windows®

Pour l'EndPoint PFMS version 775 ou ultérieure, un plugin est inclus et désactivé par défaut. Pour l'activer, vous devez décommenter les instructions suivantes dans le fichier de configuration :

# Pandora basic security check plugin for windows.
#module_begin
#module_plugin "%PROGRAMFILES%\Pandora_Agent\util\pandora_security_win.exe"
#module_end

Une fois l'EndPoint redémarré, les modules d'agent suivants seront collectés :

Antivirus installé et fonctionnel, qu'il s'agisse de Microsoft® ou de tiers, et vérification de la mise à jour de ses définitions de virus (deux modules). Sous MS Windows server®, cette fonctionnalité n'est pas disponible, les modules ne sont donc pas créés.
Vérifie si le verrouillage automatique de l'écran est actif (Lock screen status), ceci protège le compte de l'utilisateur lorsque l'ordinateur est laissé sans surveillance, sans activité de souris ou de clavier (un module).
Vérifie si MS Windows® est à jour (Windows Updated®) depuis une semaine ou moins (un module).
État du pare-feu, activé ou non (trois modules, un pour chaque profil du Firewall : Domain network, Private network et Public network).
Vérification que tous les comptes locaux possèdent un mot de passe défini (un module).
Un module est dédié à la surveillance de l'activation ou non de l'enregistrement des tentatives de connexion échouées (uniquement pour les systèmes d'exploitation installés en anglais et en espagnol).

← Retour à l'index de la documentation de Pandora FMS

Table des matières