Rapportering om sikkerhed med Microsoft Audit Collection Services

Når man overvejer overvågning af netværkssikkerhed, kan de fleste IT-fordele tænke på IDS / IPS-systemer (Intrusion Detection / Intrusion Prevention). Der er hundreder af hardware- og softwarebaserede løsninger, der arbejder med konceptet om at fange en dårlig proces i handlingen (IDS) eller gøre det vanskeligere at skade på netværket (IPS). Microsoft-kunder, der er licenseret til System Center, har et godt værktøj til rådighed til at udvide ethvert IDS- eller IPS-system, som er Audit Collection Services (ACS), der distribueres med System Center Operations Manager.

ACS komplementerer funktionerne i en IDS eller IPS. ACS leverer rapportering om overensstemmelse mellem Windows og Linux computere med specifikke sikkerhedspolitikker. For eksempel er en fælles sikkerhedspolitik, at medlemskab af privilegerede grupper, såsom domæneadministratorer, holdes på et minimum og kontrolleres tæt. ACS-rapporter kan validere, at medlemskab i privilegerede grupper som domæneadministratorer forbliver som forventet over tid. ACS giver også en vis retsmedicinsk kapacitet til at oprette rapporter om sikkerhedsbegivenheder til revisionssporundersøgelser.

Implementering af ACS

Hvis du har installeret System Center Operations Manager (SCOM) i din organisation, er du klar til at implementere ACS. For dem, der kender ACS i SCOM 2007 R2, er der ingen funktionel forskel mellem ACS i SCOM 2007 R2 og SCOM 2012 vedrørende revision af Windows-computere. SCOM 2012 tilføjer revision af sikkerhedsbegivenheder af Linux / UNIX-systemer ud af boksen, som er tilgængelig som tilføjelse til SCOM 2007 R2. Så uanset hvilken version af SCOM du har, er du klar til at implementere ACS til at rapportere om Windows og Linux / UNIX-systemer.

Styring af ACS-funktionen kører den grundlæggende SCOM-styringsserver og agentramme. Du udpeger en eksisterende SCOM-styringsserver til også at være en ACS-samler, som skaber en dedikeret SQL-database til den ACS-samler. Derefter uploader du ACS-rapporter til din SCOM-ledelsesgruppes rapporteringsserver. Til sidst bruger du en opgave i SCOM-konsollen til at aktivere revisionsagentkomponenten (kaldet en speditør ) på SCOM-styrede computere og pege ACS-speditører til ACS-samleren.

ACS-revisionsdata gemmes i en database og åbnes via rapporter. Højre side af figur A viser de standardrevisionsrapporter, der er tilgængelige for Windows-systemer. For Linux / UNIX-systemer inkluderer standardrapporterne både retsmedicinske og mislykkede loginforsøg, kontostyring, administratoraktivitet og privilegerede login-rapporter.

Figur A

Auditrapporter integreret med System Center Operations Manager-konsollen. (Klik for at forstørre billeder.)

Henter data til ACS

Som standard bliver ikke meget revideret på en Windows-computer; der er ikke så mange begivenheder, der vises i computerens sikkerhedslog. Den måde, du "ringer op" til revisionen på en computer på, er med sikkerhedspolitikken. I et Active Directory-domænemiljø gøres dette med gruppepolitik. For arbejdsgruppecomputere er der en lokal sikkerhedspolitik, der kan eksporteres manuelt og importeres til andre arbejdsgruppecomputere. Domæne og lokal sikkerhedspolitik i Windows har ni kategorier af revisionspolitik, der kan indstilles, som det ses i figur B, et skærmbillede af en anbefalet "sikker" sikkerhedspolitik.

Figur B

Revisionspolitikkategorier i Windows-domæne og / eller lokal sikkerhedspolitik.

I kolonnen Politikindstillinger i figur B er indstillingerne for succes, svigt eller ikke defineret dem, der anbefales til en standard "sikker" arbejdsstation eller server. Anvendelse af disse indstillinger på domænet og domænecontrollergruppolitikken i din Active Directory er normalt en god ide og sikkert med hensyn til ikke at generere for meget revisionsaktivitet. Overvej også at bruge gruppepolitik til at indstille en højere maksimal størrelse for sikkerhedslog på domænecontrollere og medlemsservere. En anbefalet mindste sikkerhedslogstørrelse for domænecontrollere er 160 MB og for medlemsservere 16 MB.

Kør ACS-rapporter for at se revisionsdata

Standardindstillingen for ACS er at bevare alle sikkerhedsrevisionsdata i 14 dage. Hver nat kl. 02.00 er data, der er 15 dage gamle, præget af databasen. Du kører rapporter i SCOM-konsollen for at se revisionsdata. Du kan også planlægge SCOM til automatisk at offentliggøre revisionsrapporterne til netværksfildele til permanent off-line arkivering eller til adgang fra revisorer uden at skulle logge ind på nogen konsol. Figur C viser, hvad det handler om: en sikkerhedsrevisionsrapport, i dette tilfælde tæller logon af privilegerede brugere de sidste to dage.

Fig

Mange af de rapporter, der leveres af ACS ud af boksen, vil indeholde meningsfulde data til netværkssikkerhedsadministratorer efter implementering af sikkerhedspolitik, der ligner den, der er vist i figur B. Andre rapporter, såsom forensiske rapporter, er nyttige til at rekonstruere brugerlogonaktivitet på tværs af servere. Foruden logonoptællingen af ​​berettigede brugere-rapporten, der er vist i figur C, er følgende standard ACS-rapporter af åbenlys værdi:

  • Adgangsovertrædelse: Mislykkede loginforsøg
  • Kontostyring: Ændringer af domæne og indbyggede administratorer
  • Systemintegritet: Auditlog ryddet (normalt et mistænkeligt tegn!)
  • Brug: Ændringer i følsom sikkerhedsgruppe

© Copyright 2020 | mobilegn.com