Pour garantir la sécurité, il convient de configurer l'audit et la journalisation sur votre système vRealize Automation conformément aux recommandations de VMware.

La journalisation à distance vers un hôte de journalisation central fournit un stockage sécurisé pour les fichiers journaux. En collectant les fichiers journaux sur un hôte central, vous pouvez surveiller l'environnement avec un seul outil. En outre, vous pouvez effectuer une analyse cumulée et rechercher des signes de menaces telles que des attaques coordonnées sur plusieurs entités dans l'infrastructure. La connexion à un serveur de journalisation sécurisé et centralisé peut permettre d'éviter la falsification des journaux tout en fournissant un enregistrement d'audit à long terme.

Vérifier la sécurisation du serveur de journalisation à distance

Souvent, une fois que les pirates ont réussi à déjouer la sécurité de votre machine hôte, ils tentent de rechercher et de falsifier les fichiers journaux pour couvrir leurs traces et garder le contrôle sans être découverts. La sécurisation du serveur de journalisation à distance permet d'éviter la falsification des journaux.

Utiliser un serveur NTP autorisé

Assurez-vous que toutes les machines hôtes utilisent la même source d'heure relative (y compris le décalage de localisation applicable) et que vous pouvez mettre en corrélation la source d'heure relative avec une norme horaire acceptée telle que l'heure UTC (temps universel coordonné). Une approche stricte des sources d'heure vous permet de suivre et de corréler les actions des intrus lorsque vous passez en revue les fichiers journaux applicables. Des réglages d'heure incorrects compliquent l'analyse et la corrélation des fichiers journaux pour détecter d'éventuelles attaques et peuvent compromettre la précision des audits.

Utilisez au moins trois serveurs NTP de sources d'heure extérieures ou configurez sur un réseau approuvé quelques serveurs NTP locaux dont l'heure est obtenue à partir d'au moins trois sources d'heure extérieures.