Rapportering om sikkerhet med Microsoft Audit Collection Services

Når du vurderer overvåking av nettverkssikkerhet, kan de fleste IT-prosere tenke på IDS / IPS-systemer (Intrusion Detection / Intrusion Prevention). Det er hundrevis av maskinvare- og programvarebaserte løsninger som arbeider med konseptet om å fange en dårlig prosess i handlingen (IDS) eller gjøre det vanskeligere å skade på nettverket (IPS). Microsoft-kunder som er lisensiert for System Center, har et flott verktøy tilgjengelig for å forbedre ethvert IDS- eller IPS-system, som er Audit Collection Services (ACS) distribuert med System Center Operations Manager.

ACS er komplementære til funksjonene til en IDS eller IPS. ACS gir rapportering om samsvar med Windows og Linux-datamaskiner med spesifikke sikkerhetspolicyer. For eksempel er en vanlig sikkerhetspolitikk at medlemskapet til privilegerte grupper, for eksempel domeneadministratorer, blir holdt til et minimum og strengt kontrollert. ACS-rapporter kan validere at medlemskap i privilegerte grupper som Domain Admins forblir som forventet over tid. ACS gir også en viss rettsmedisinsk evne til å lage rapporter om sikkerhetshendelser for granskingssporundersøkelser.

Implementering av ACS

Hvis du har distribuert System Center Operations Manager (SCOM) i organisasjonen din, er du klar til å distribuere ACS. For de som er kjent med ACS i SCOM 2007 R2, er det ingen funksjonell forskjell mellom ACS i SCOM 2007 R2 og SCOM 2012 angående revisjon av Windows-datamaskiner. SCOM 2012 legger til revisjon av sikkerhetshendelser av Linux / UNIX-systemer utenfor boksen, som er tilgjengelig som et tillegg til SCOM 2007 R2. Så uansett hvilken utgivelse av SCOM du har, er du klar til å distribuere ACS for å rapportere om Windows og Linux / UNIX-systemer.

Administrasjon av ACS-funksjonen kjører den grunnleggende SCOM-styringsserveren og agentrammen. Du utpeker en eksisterende SCOM-styringsserver til også å være en ACS-samler, som lager en dedikert SQL-database for den ACS-samleren. Deretter laster du opp ACS-rapportene til SCOM-ledergruppens rapporteringsserver. Til slutt bruker du en oppgave i SCOM-konsollen for å aktivere revisjonsagentkomponenten (kalt en speditør ) på SCOM-styrte datamaskiner og peke ACS-speditørene til ACS-samleren.

ACS-revisjonsdata lagres i en database og åpnes via rapporter. Høyre side av figur A viser standard revisjonsrapporter som er tilgjengelige for Windows-systemer. For Linux / UNIX-systemer inkluderer standardrapportene rettsmedisinske så vel som mislykkede påloggingsforsøk, kontoadministrasjon, administratoraktivitet og privilegerte påloggingsrapporter.

Figur A

Tilsynsrapporter integrert med System Center Operations Manager-konsollen. (Klikk for å forstørre bilder.)

Få data inn i ACS

Som standard blir ikke mye revidert på en Windows-datamaskin; det er ikke så mange hendelser som vises i sikkerhetsloggen til datamaskinen. Måten du "ringer opp" tilsynet på en datamaskin er med sikkerhetspolitikk. I et Active Directory-domenemiljø gjøres dette med gruppepolicy. For arbeidsgruppedatamaskiner er det en lokal sikkerhetspolicy som kan eksporteres og importeres manuelt til andre arbeidsgruppedatamaskiner. Domenet og lokal sikkerhetspolicy i Windows har ni kategorier av revisjonspolitikk som kan settes, som vist i figur B, et skjermbilde av en anbefalt "sikker" sikkerhetspolicy.

Figur B

Revisjonspolicy kategorier i Windows-domenet og / eller lokal sikkerhetspolicy.

I policyinnstillingskolonnen i figur B er innstillingene for suksess, svikt eller ikke definert de som er anbefalt for en standard "sikker" arbeidsstasjon eller server. Å bruke disse innstillingene på domenet og domenekontrollergruppepolitikken i Active Directory er vanligvis en god idé og trygt når det gjelder å ikke generere for mye revisjonsaktivitet. Vurder også å bruke gruppepolicy for å angi en høyere maksimal størrelse for sikkerhetsloggen på domenekontrollere og medlemsservere. En anbefalt minimum sikkerhetsloggstørrelse for domenekontrollere er 160 MB, og for medlemsservere 16 MB.

Kjør ACS-rapporter for å se revisjonsdata

Standardinnstillingen for ACS er å beholde alle sikkerhetsrevisjonsdata i 14 dager. Hver natt klokken 02.00 blir data 15 dager gamle preparert fra databasen. Du kjører rapporter i SCOM-konsollen for å se revisjonsdata. Du kan også planlegge SCOM til automatisk å publisere revisjonsrapportene til nettverksfildeler for permanent arkivering uten nett, eller for tilgang av revisorer uten å måtte logge inn på noen konsoll. Figur C viser hva det dreier seg om: en sikkerhetsrevisjonsrapport, i dette tilfellet er påloggingstelling av privilegerte brukere de to siste dagene.

Figur C

Mange av rapportene levert av ACS ut av boksen vil inneholde meningsfulle data til nettverkssikkerhetsadministratorer etter å ha distribuert sikkerhetspolitikk som ligner den som er vist i figur B. Andre rapporter, for eksempel rettsmedisinske rapporter, er nyttige for å rekonstruere brukerpåloggingsaktivitet på tvers av servere. I tillegg til påloggingsantallet for rapporterte privilegerte brukere som er sett i figur C, er følgende standard ACS-rapporter av åpenbar verdi:

  • Brudd på tilgang: Mislykkede påloggingsforsøk
  • Kontohåndtering: Endringer av domener og innebygde administratorer
  • Systemintegritet: Revisjonslogg er slettet (vanligvis et mistenkelig tegn!)
  • Bruk: Endring av sensitiv sikkerhetsgruppe

© Copyright 2020 | mobilegn.com