Journal d'audit
Transmission des journaux d'audit
Toutes les données de journaux d'audit enregistrées sont automatiquement transmises au serveur WebDAV spécifié. Au besoin, elles peuvent être transmises manuellement au moment voulu.
Réglage adresse journal d'audit
Lorsque le mode de sécurité renforcée est activé, spécifiez l'adresse du serveur WebDAV où envoyer les journaux d'audit.
Conseils
Les journaux d'audit ne peuvent pas être imprimés ou enregistrés sur une mémoire USB.
Suivez la procédure sur Affichage de l'écran Menu Configuration administrateur pour afficher l'écran Menu Configuration administrateur.
Dans l'écran Menu configuration administrateur Menu, appuyez sur Configuration sécurité - Configuration journal d'audit - Serveur d'adresse du journal d'audit.
Dans Trans. journal audit, sélectionnez Oui et configurez le réglage du serveur WebDAV.
Pour en savoir plus sur la configuration du serveur WebDAV, voir Enregistrement d'un serveur WebDAV en tant que destination.
Appuyez sur OK.
Transmission manuelle de journaux d'audit
Généralement, les journaux d'audit sont transmis automatiquement ; la transmission manuelle est toutefois possible si nécessaire.
Suivez la procédure sur Affichage de l'écran Menu Configuration administrateur pour afficher l'écran Menu Configuration administrateur.
Sur l'écran Menu configuration administrateur, Appuyez sur Configuration sécurité - Configuration journal d'audit - Trans. man. journ. d'audit.
Appuyez sur Transmission.
Appuyez sur Oui.
Lorsque le message Journal d'audit transmis s'affiche, la transmission est terminée.
Analyse du journal d'audit
L'administrateur doit analyser le journal d'audit régulièrement (une fois par mois) ou en cas d'accès illégal aux données ou voire de modification frauduleuse.
Informations de Journal d'Audit
Le journal d'audit contient les informations suivantes :
date/heure : enregistre la date et l'heure de l'opération qui a eu pour résultat la création d'une entrée dans le journal.
ID : spécifie la personne qui a réalisé l'opération ou l'objet de protection de sécurité.
-1 : opération de l'ingénieur S.A.V.
-2 : opération de l'administrateur
-3 : opération de l'utilisateur non enregistré
Autre entier : indique des objets de protection de sécurité.
ID utilisateur : nombre de 1 à 1000.
ID utilisateur sécurisé (spécifié via un ordinateur à l'impression sécurisée) : nombres de 1 à 5 chiffres (spécifiés par l'utilisateur).action : indique le numéro qui spécifie l'opération.
Vous pouvez vérifier les détails dans la Liste d'éléments de journal d'audit affichée ci-dessous.résultat : enregistre le résultat de l'opération.
La réussite ou l'échec de l'authentification par mot de passe est indiqué(e) par OK/échec.
En cas d'opérations sans authentification par mot de passe, toutes les entrées du journal indiquent OK.
Liste d'éléments de journal d'audit
Action enregistrée | Opération | ID audit | Résultat |
|---|---|---|---|
Authentification et identification utilisateur | |||
1 | Exécuter l'authentification de l'ingénieur S.A.V. | ID ingénieur S.A.V. | OK/échec |
5 | Modifier ou enregistrer le mot de passe ingénieur S.A.V. | ID ingénieur S.A.V. | OK |
2 | Exécuter l'authentification administrateur | ID administrateur | OK/échec |
6 | Modifier ou enregistrer le mot de passe administrateur | ID ingénieur S.A.V. ou ID administrateur | OK |
11 | Exécuter l'authentification utilisateur | ID utilisateur *1 ou ID non enregistré *2 | OK/échec |
Modification utilisateur | |||
7 | Création d'utilisateur par l'administrateur | ID utilisateur | OK |
8 | Modification/enregistrement du mot de passe utilisateur par l'administrateur | ID utilisateur | OK |
9 | Suppression d'utilisateur par l'administrateur | ID utilisateur | OK |
10 | Changement d'attribut utilisateur par l'administrateur | ID utilisateur | OK |
12 | Changer les attributs utilisateur suivant l'utilisateur (mot de passe utilisateur, etc.) | ID utilisateur | OK |
Utilisation des fonctions de gestion et modification de la configuration sécurité | |||
3 | Définir/modifier le mode de sécurité renforcée | ID administrateur | OK/échec |
19 | Modifier code protection DD | ID administrateur | OK |
41 | Modifier la configuration des règles des mots de passe | ID administrateur | OK |
42 | Modifier la configuration réseau | ID administrateur | OK |
43 | Modifier la configuration d'autorisation de connexion service | ID administrateur | OK |
Utilisation des fonctions de gestion et audit de sécurité | |||
4 | Sortie du journal d'audit (modes manuel et automatique) | ID administrateur | OK/n° err |
44 | Modifier la configuration d'adresse de transmission du journal d'audit | ID administrateur | OK |
Utilisation des fonctions de gestion et prise en charge du cryptage | |||
45 | Démarrez la fonction de cryptage du disque dur | ID non enregistré | OK |
46 | Modifiez la configuration du cryptage du disque dur | ID administrateur | OK |
47 | Modifiez mot de passe de cryptage du disque dur | ID administrateur | OK |
Utilisation des fonctions de gestion et protection de l'environnement d'exploitation de la fonction sécurité | |||
49 | Exécuter ISW | ID ingénieur S.A.V. ou ID administrateur | OK/échec |
50 | Diagnostic du firmware | ID administrateur ou ID non enregistré | OK/échec |
51 | Diagnostic du périphérique | ID administrateur ou ID non enregistré | OK/échec |
Changement horaire (Utilisation des fonctions de gestion et protection de l'environnement d'exploitation de la fonction sécurité) | |||
20 | Config.date/heure | ID utilisateur | OK |
Démarrage et fin de la fonction d'audit | |||
52 | Sous tension (démarrage de la fonction d'audit) | ID non enregistré | OK |
53 | Hors tension (fin de la fonction d'audit) * Alimentation auxiliaire | ID non enregistré | OK |
54 | Hors tension (fin de la fonction d'audit) * Alimentation principale | ID non enregistré | OK |
Fin de tâche et d'opération | |||
16 | Supprimer tâche enregistrée | ID utilisateur | OK |
21 | Imprimer tâche copie | ID utilisateur ou ID non enregistré | OK/échec |
22 | Enregistrer tâche copie | ID utilisateur ou ID non enregistré | OK/échec |
23 | Imprimer travail d'impression | ID utilisateur ou ID non enregistré | OK/échec |
24 | Enregistrer tâche impression | ID utilisateur ou ID non enregistré | OK/échec |
25 | Exécuter tâche de numérisation | ID utilisateur ou ID non enregistré | OK/échec |
26 | Imprimer tâche enregistrée | ID utilisateur ou ID non enregistré | OK/échec |
27 | Modifier ou restaurer enregistrement de tâche (déplacer ou copier) | ID utilisateur ou ID non enregistré | OK/échec |
28 | Rappeler tâche enregistrée | ID utilisateur ou ID non enregistré | OK/échec |
29 | Sortir fichier de tâche enregistrée | ID utilisateur ou ID non enregistré | OK/échec |
*1 : l'ID journal d'audit est enregistré sous ID utilisateur en cas d'authentification utilisateur réussie ou en cas de non conformité du mot de passe avec un nom d'utilisateur enregistré.
*2 : l'ID journal d'audit est enregistré sous ID utilisateur non enregistré en cas d'échec d'authentification avec un nom d'utilisateur non enregistré.
Le propos d'analyse du journal d'audit est de comprendre les points suivants et de mettre en œuvre les contre-mesures :
accès ou modification frauduleuse des données
Objet de l'attaque
Détails de l'attaque
Résultat de l'attaque
Au sujet de méthodes d'analyse spécifiques, voir la description suivante.