Analyse d'une IP locale

Analyse d'une IP locale - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 17-12-2012 à 10:16:11    

Bonjour à tous et à toutes

 

Après plusieurs jours de recherches infructueuses avec mon ami Google, je m'adresse à vous dans l'espoir d'une aide ou d'une piste de travail

 

Je cherche à analyser, et faire un rapport simple pour la direction, de toutes les actions faites par des utilisateurs nomades/prestataires vers mon réseau local.

 

Ils s'identifient sur un Netasq en PPTP et obtiennent une IP locale qui est celle à analyser.
Tout le réseau est Microsoft.
Ils peuvent accéder à plusieurs serveurs via des cessions TSE et peuvent faire du FTP pour envoyer ou recevoir des fichiers ou encore lancer des applications métiers SQL ...

 

Comment journaliser heure de début et fin, fichiers accédés, cession ouverte sur quel serveur, quelles applications lancées, quelles actions faites ...

 

Merci à tous ceux qui pourront m'aider

 

Lexo

 


Message édité par jyarriveraisjamais le 17-12-2012 à 10:42:05
Reply

Marsh Posté le 17-12-2012 à 10:16:11   

Reply

Marsh Posté le 18-12-2012 à 08:12:12    

Personne pour m'aider ? :cry:  
 
Alors peut-être que quelqu'un connait un outils d'audit et de rapport simple des actions utilisateurs d'un réseau, mais qui ne nécessiterait pas l’installation d'une partie client sur les pc mais juste sur les serveurs ?  :whistle:  
 
Merci pour vos suggestions
 
Lexo

Reply

Marsh Posté le 18-12-2012 à 21:49:36    

c'est possible de faire ça à "la mano" avec un peu de scripting. Suffit de savoir où taper evidemment. Il faudrait déjà bien détailler ce que u as besoin de récuperer comme infos.
- accéder à plusieurs serveurs via des sessions TSE
==> script au login du compte utilisateur ou utilisation GPO (arret et démarrage session) avec infos du nom utilisateur, date, heure, nom serveur etc dans un journal par exemple. Cette partie est plutôt à auditer côté Serveur.
-  FTP pour envoyer ou recevoir des fichiers
Cette partie est à auditer côté routeur. As tu la main sur le routeur ?
Ca serait le plus simple pour récupérer exactement ce que tu souhaites avec un outil de supervision par exemple, ca devrait le faire.
- lancer des applications métiers SQL ...
je dirais peut être sur le module d'administration SQL
 
- fichiers accédés : ca va être par audit de l'event viewer : bon courage pour ça paskeu ya du boulot si tu le fais à la mano.
 
et sinon bien evidemment : http://www.nirsoft.net/utils/compu [...] _view.html


Message édité par akizan le 18-12-2012 à 21:49:53
Reply

Marsh Posté le 19-12-2012 à 08:05:20    

Bonjour Akizan et merci pour ta réponse.
Effectivement presque toutes les infos sont dans les logs, mais mon idée était plutôt un outils de centralisation et d'audit de toutes ses infos ?
Oui, toutes les infos sont là sous là main, mais on ne peut pas "pister"/trier sans un gros boulot en amont (merci pour l'encouragement  ;)  )
Ton idée de scripter certaines choses est intéressante, mais nécessite un énorme travail d’analyse du besoin et de "développement" dans des systèmes différents, avec une rigidité en cas d’enquête ou d’évolutions.
Je pense qu'il doit bien exister:  
- soit un outils connaissant les logs des grandes marques (event MS, Syslog Netasq...)  
- soit un outils qui pourrait être au centre du réseau (sous forme d'un genre de proxy qui créerait ses propre logs)
et qui permettrais auditer simplement et/ou analyser par critère (IP, login, ou date par ex) ?
Non ?  :ange:  

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed