Comment activer l’audit SQL Server et examiner le journal d’audit

L’audit de Microsoft SQL Server est essentiel pour identifier les problèmes de sécurité et les violations. En outre, l’audit de SQL Server est une exigence de conformité aux réglementations telles que PCI DSS et HIPAA.

La première étape consiste à définir ce qu’il faut auditer. Par exemple, vous pouvez auditer les connexions des utilisateurs, la configuration du serveur, les modifications du schéma et les modifications des données d’audit. Ensuite, vous devez choisir les fonctionnalités d’audit de sécurité à utiliser. Les fonctionnalités utiles sont les suivantes:

  • Audit C2
  • Critères de conformité communs
  • Audit de connexion
  • Audit SQL Server
  • Trace SQL
  • Événements étendus
  • Capture de données de modification
  • DML, DDL , et Déclencheurs de connexion

Cet article est destiné aux administrateurs de bases de données (DBA) qui envisagent d’utiliser l’audit C2, les Critères de conformité communs et l’audit SQL Server. Nous n’examinerons aucun outil d’audit tiers, bien qu’ils puissent être d’une grande aide, en particulier pour les environnements plus vastes et dans les industries réglementées.

Activation de l’audit C2 et de la conformité aux critères communs

Si vous n’auditez pas actuellement votre serveur SQL, le point de départ le plus simple consiste à activer l’audit C2. L’audit C2 est une norme internationalement acceptée qui peut être activée dans SQL Server. Il vérifie les événements tels que les connexions des utilisateurs, les procédures stockées et la création et la suppression d’objets. Mais c’est tout ou rien — vous ne pouvez pas choisir ce qu’il vérifie, et il peut générer beaucoup de données. De plus, l’audit C2 est en mode maintenance, il sera donc probablement supprimé dans une future version de SQL Server.

La conformité aux critères communs est une norme plus récente qui remplace l’audit C2. Il a été développé par l’Union européenne et peut être activé dans les éditions Enterprise et Datacenter de SQL Server 2008 R2 et versions ultérieures. Mais cela peut entraîner des problèmes de performances si votre serveur n’est pas suffisamment spécifié pour faire face à la surcharge supplémentaire.

Voici comment activer l’audit C2 dans SQL Server 2017:

1. Ouvrez SQL Server Management Studio.

2. Connectez-vous au moteur de base de données pour lequel vous souhaitez activer l’audit C2. Dans la boîte de dialogue Se connecter au serveur, assurez-vous que le type de serveur est défini sur Moteur de base de données, puis cliquez sur Se connecter.

3. Dans le panneau Explorateur d’objets à gauche, cliquez avec le bouton droit sur votre instance SQL Server en haut et sélectionnez Propriétés dans le menu.

4. Dans la fenêtre Propriétés du serveur, cliquez sur Sécurité sous Sélectionner une page.

5. Sur la page Sécurité, vous pouvez configurer la surveillance de la connexion. Par défaut, seules les connexions ayant échoué sont enregistrées. Vous pouvez également vérifier uniquement les connexions réussies, ou les connexions échouées et réussies.

 Audit SQL Server Configuration de l'Audit d'accès

 Audit SQL Server Configuration de l'audit d'accès

Figure 1. Configuration de l’audit d’accès

6. Cochez Activer le suivi de l’audit C2 sous Options.

7. Si vous souhaitez activer l’audit de conformité aux Critères communs C2, cochez Activer la conformité aux critères communs.

La conformité aux Critères communs (CC) est une norme flexible qui peut être mise en œuvre avec différents Niveaux d’assurance de l’évaluation (EAL), de 1 à 7. Les EAL supérieurs ont un processus de vérification plus exigeant. Lorsque vous cochez Activer la conformité aux critères communs dans SQL Server, vous activez la conformité CC EAL1. Il est possible de configurer SQL Server manuellement pour EAL4+.

L’activation de la conformité CC modifie le comportement de SQL Server. Par exemple, les autorisations de REFUS au niveau de la table auront priorité sur les autorisations au niveau de la colonne, et les connexions réussies et échouées seront auditées. De plus, la protection des informations résiduelles (RIP) est activée, ce qui sur-écrit les allocations de mémoire avec un motif de bits avant qu’elles ne soient utilisées par une nouvelle ressource.

8. Cliquez sur OK.

9. En fonction des options sélectionnées, vous pouvez être invité à redémarrer SQL Server. Si vous recevez ce message, cliquez sur OK dans la boîte de dialogue d’avertissement. Si vous avez activé la conformité aux critères communs C2, redémarrez le serveur. Sinon, cliquez à nouveau avec le bouton droit de la souris sur votre instance SQL Server dans l’Explorateur d’objets et sélectionnez Redémarrer dans le menu. Dans la boîte de dialogue d’avertissement, cliquez sur Oui pour confirmer que vous souhaitez redémarrer SQL Server.

Activation de l’audit SQL Server

L’audit SQL Server peut être activé au lieu de l’audit C2 ; vous pouvez également choisir d’activer les deux. Les objets d’audit SQL Server peuvent être configurés pour collecter des événements au niveau du serveur ou de la base de données SQL Server.

Créer un objet d’audit serveur

Créons un objet d’audit SQL Server au niveau du serveur :

1. Dans le panneau Explorateur d’objets à gauche, développez Sécurité.

2. Cliquez avec le bouton droit sur Audits et sélectionnez Nouvel audit… dans le menu. Cela créera un nouvel objet d’audit SQL Server pour l’audit au niveau du serveur.

3. Dans la fenêtre Créer un audit, attribuez un nom aux paramètres d’audit dans le nom d’audit

4. Spécifiez ce qui doit se passer si l’audit SQL Server échoue à l’aide de l’échec du journal d’audit On, vous pouvez choisir Continuer ou arrêter le serveur ou arrêter les opérations de base de données auditées. Si vous sélectionnez Opération d’échec, les opérations de base de données qui ne sont pas auditées continueront de fonctionner.

 Audit SQL Server Création d'un objet d'audit SQL Server au niveau du serveur

 Audit SQL Server Création d'un objet d'audit SQL Server au niveau du serveur

Figure 2. Création d’un objet d’audit SQL Server au niveau du serveur

5. Dans le menu déroulant Destination de l’audit, vous pouvez choisir d’écrire la piste d’audit SQL dans un fichier ou d’auditer des événements dans le journal de sécurité Windows ou le journal des événements d’application. Si vous choisissez un fichier, vous devez spécifier un chemin pour le fichier.

Notez que si vous souhaitez écrire dans le journal des événements de sécurité Windows, SQL Server devra recevoir une autorisation. Par souci de simplicité, sélectionnez le journal des événements de l’application. De plus, vous pouvez inclure un filtre dans l’objet audit pour fournir un ensemble restreint de résultats ; les filtres doivent être écrits en Transact-SQL (T-SQL).

6. Cliquez sur OK.

7. Vous trouverez maintenant la nouvelle configuration d’audit dans l’Explorateur d’objets sous Audits. Cliquez avec le bouton droit sur la nouvelle configuration d’audit et sélectionnez Activer l’audit dans le menu.

8. Cliquez sur Fermer dans la boîte de dialogue Activer l’audit.

Créer un objet d’audit de base de données

Pour créer un objet d’audit SQL Server pour l’audit au niveau de la base de données, le processus est un peu différent et vous devez d’abord créer au moins un objet d’audit au niveau du serveur.

1. Développez les bases de données dans l’Explorateur d’objets et développez la base de données sur laquelle vous souhaitez configurer l’audit.

2. Développez le dossier Sécurité, cliquez avec le bouton droit sur Spécifications d’audit de base de données et sélectionnez Nouvelle Spécification d’audit de base de données… dans le menu.

 Audit SQL Server Création d'une spécification d'audit de serveur pour l'audit au niveau de la base de données

 Audit SQL Server Création d'une spécification d'audit de serveur pour l'audit au niveau de la base de données

Figure 3. Création d’une spécification d’audit de serveur pour l’audit au niveau de la base de données

3. Dans la fenêtre Propriétés sous Actions, utilisez les menus déroulants pour configurer un ou plusieurs types d’actions d’audit, en sélectionnant les instructions que vous souhaitez auditer (telles que DELETE ou INSERT), la classe d’objet sur laquelle l’action est effectuée, etc.

4. Lorsque vous avez terminé, cliquez sur OK, puis activez l’objet d’audit en cliquant dessus avec le bouton droit de la souris et en sélectionnant Activer la spécification d’audit de base de données.

Affichage des journaux d’audit SQL Server

Les journaux d’audit C2 Audit SQL Server sont stockés dans le répertoire de données par défaut de l’instance SQL Server. Chaque fichier journal peut être d’un maximum de 200 mégaoctets. Un nouveau fichier est automatiquement créé lorsque la limite est atteinte.

Une solution native recommandée pour afficher les journaux d’audit SQL Server appelée Visionneuse de fichiers journaux. Pour l’utiliser, procédez comme suit :

1. Dans SQL Server Management Studio, dans le panneau Explorateur d’objets, développez Sécurité et

2. Cliquez avec le bouton droit sur l’objet d’audit que vous souhaitez afficher et sélectionnez Afficher les journaux d’audit dans le menu.

3. Dans la visionneuse de fichiers journaux, les journaux seront affichés sur le côté droit. Que les journaux soient écrits dans un fichier ou dans le journal des événements Windows, Log File Viewer affiche les journaux.

4. En haut de la visionneuse de fichiers journaux, vous pouvez cliquer sur Filtrer pour personnaliser les entrées de journal affichées. Les journaux de fichiers SQL Server sont enregistrés.l’explorateur de fichiers journaux vous permet donc de cliquer sur Exporter pour enregistrer les journaux dans une zone délimitée par des virgules.format de fichier journal.

 Audit SQL Server Examen de la journalisation de l'audit SQL Server dans la visionneuse de fichiers journaux

 Audit SQL Server Examen de la journalisation de l'audit SQL Server dans la visionneuse de fichiers journaux

Figure 4. Examen de la journalisation d’audit SQL Server dans la visionneuse de fichiers journaux

Consultant informatique et auteur spécialisé dans les technologies de gestion et de sécurité. Russell a plus de 15 ans d’expérience dans l’informatique, il a écrit un livre sur la sécurité Windows et il a co-écrit un texte pour la série Official Academic Course (MOAC) de Microsoft.



+