Audit Collection Service

Az ilyen munkát nem szeretem, de néha elkerülhetetlen, és meg kell csinálni. A minap egy kollégám kért az Audit Collection Service szolgáltatásról egy két oldalas vezetői összefoglalót. (Ha már vannak bevezetett fogalmaink: 100-as szintű anyag🙂 ) imageRákerestem, és meglepődve tapasztaltam, hogy magyarul lényegében nincs semmilyen info erről a System Center Operations Manager 2007 komponensről.  (Érdekes egyébként a felhozatal. Első helyen Szalontay Zoli és Fülöp Miki 2005. március 23.-i előadása jön fel. Ez az Audit Collection nem pont az az Adit Collection. Aztán jön Somogyi Csabi TechNet cikke, ahol a kliens felügyeletnél egyetlen mondatban megemlíti, ki sem fejtve, mi is az az ACS. Aztán Varánusz kolléga nem tudta mi lett a MACS-sel. Budai Peti válaszul hivatkozott Kelemen Laci ACS cikkére (az egyetlen részletes anyagra) amit viszont a kereső egyáltalán nem talált meg. Végezetül még ez a webnapló állt elő, mint forrás. Egy alkalommal megemlítettem az Audit Collection adatbázis igényét, még a SCOM nem is végleges változatának kipróbálása idején.

Nem volt mit tennem, készítettem egy két oldalas, kifejezetten vezetőknek szánt, enyhén marketingszagú anyagot. (Az "enyhén" eufemizmus: nagyon marketingszagú). Először nem gondoltam közzétenni, de mivel a célja éppen az, hogy hozzáértők egy előterjesztésben betehessenek két oldalnyi értelmes szöveget a témáról hozzá nem értők számára, gondolom nem bánjátok, ha megosztom. Van, aki hasznát veheti. Kíváncsi vagyok, hogy pár nap múlva mit hoznak a keresők.🙂

Biztonsági események gyűjtése
(Audit Collection Service)

Bevezető

Napjaink informatikai rendszereinek egyik legnagyobb kihívása a biztonsági problémák kezelése. Szemben más IT feladatokkal, a biztonság kérdése nem oldható meg egyetlen termék megvásárlásával, vagy egyszeri intézkedésekkel. Az informatikai biztonság az általánosan elfogadott megközelítés szerint a kockázatok kezelése méghozzá az IT megoldások (termékek), az IT folyamatok és a szakemberek hatékony összehangolásával.

A biztonsági események gyűjtésének problémái

A biztonsági folyamatok egyik kiemelten fontos eleme az Informatikai rendszerek üzemeltetése során keletkezett biztonsági események (bejelentkezések, biztonsági csoporttagság változások, adott felhasználói jogok érvényesítése stb.) elosztott naplózása, majd e naplóállományok központi adattárba juttatása a lehető leggyorsabb és legbiztonságosabb módon. A szokásos eseménygyűjtő technikák a biztonsági események gyűjtésére alkalmatlanok, mert a két feladat nagyságrendileg eltérő. A hagyományos eseménybejegyzések egy kivételes állapot létrejöttekor keletkeznek, ezzel szemben a biztonsági események folyamatosan ismétlődnek. A „hétköznapi események” többnyire önmagukban állnak, miközben egymással összefüggő biztonsági események akár több rendszerben, elszórtan keletkezhetnek. Végül a normál eseményeket többnyire elegendő néhány hónapig tárolni, míg a biztonsági események archiválását törvényi előírások szabályozhatják, és akár több évig is meg kell őrizni őket.

Az Audit Collection Service

image A Microsoft a System Center Operations Manager 2007 rendszerfelügyeleti megoldásába integrálta a biztonsági események hatékony gyűjtésének funkcióját Audit Collection Service (ACS) néven. Az Audit Collection Service felügyelete alatt végfelhasználói munkaállomásokról és felügyelt Windows kiszolgálókról lehet közel valós időben óriási mennyiségű biztonsági eseményt begyűjteni, azokat adatbázisban tárolni, illetve igény szerint lekérdezni. Az ACS-t úgy tervezték, hogy lépést tartson a biztonsági események számának ugrásszerű növekedésével, észlelje az események megváltoztatására, törlésére irányuló kísérleteket. A System Center Operations Manager szerepkör elválasztási képességét kihasználva az ACS teljes egészében különállóan – a biztonsági osztály, vagy külső auditorok által – felügyelhető. Az események archiválását a Microsoft SQL Server adattárház képességei segítik.

Az Audit Collection Service bevezetésének előnyei

Az Audit Collection Service bevezetése egyaránt hordoz technológiai és üzleti előnyöket.

Technológiai előnyök:

·       Az események gyűjtése közel valósidejű. A felügyelt rendszer az eseményeket a keletkezésük pillanatában elkapja és a helyi naplóban való rögzítéssel egyidejűleg továbbítja az ACS gyűjtők felé.

·       Skálázhatóság. Egy ACS rendszer 150 tartományvezérlő, vagy 3000 kiszolgáló vagy 20 000 munkaállomás eseményeit képes begyűjteni. Egy esemény mérete a lehető legkisebb (70 bájt), hogy a naplózás ne terhelje a hálózatot.

·       Biztonságos adattovábbítás. A felügyelt rendszerek kizárólag biztonságos csatornán kommunikálnak a gyűjtő szerverekkel. A gyűjtő kiesése esetén másik kiszolgálóra terelhetők a felügyelt kliensek.

·       Manipulációk felfedezése. Az ACS beépített jelentéseket tartalmaz a biztonsági események manipulálási kísérletek felfedezésére.

·       A SCOM architektúrával való együttélés. Az Audit Collection Services nem igényel külön kliens telepítést, de a SCOM rendszerben az adminisztráció szükség szerint teljesen elkülöníthető. Az ACS jelentések bármikor módosíthatók és újakkal bővíthetők akár saját fejlesztés révén, akár harmadik gyártó megoldásaival.

·       Hatékony tárolás. A nagyon nagy mennyiségű esemény tárolása rendkívül hatékony, mivel a kevés eseménytípust sematizálva tárolja a rendszer.

Üzleti előnyök:

·        Törvényi előírásoknak való megfelelés. A biztonsági események gyűjtését és tárolását külső szabályozó szervek előírhatják. Ezen előírások betartását az ACS magas műszaki színvonalon (skálázhatóság, integritás-védelem stb.) segíti.

·        Felhasználói tevékenység nyomon követése. A begyűjtött eseményekből készített jelentések alapján meghatározható, hogy egy adott felhasználó adott időben milyen tevékenységeket végezett egy vagy több rendszeren.

·        Biztonsági házirendek betartásának ellenőrzése. A biztonsági csoporttagságok változásának figyelésével hozzáférés-szabályozás valósítható meg.

·        Az Auditor és az Adminisztrátor/Operátor szerepkörök elválasztása. A System Center Operations Manager 2007 szerepkör elválasztásai képességei az Audit Collection Service komponensekre is kiterjed. Az auditor szerepkör elválasztása lehetővé teszi, hogy a szándékos károkozó üzemeltetőket fel lehessen fedezni.

·        Behatolási kísérletek felfedezése. A több rendszerből összegyűjtött biztonsági események összevetésével behatolási kísérleteket lehet felfedezni.

6 Responses to Audit Collection Service

  1. Gábor says:

    Nem akarok beleszolni a cikkeidbe, mert azok igen jok, de a mostanihoz csatolt kepet tedd fel ujra, mert a bal also sarokban acsorgo szerverek alatti szoveg kettevagatott.

  2. Tamas says:

    A képet javítottam, köszi. Az ACS cikket említettem az elején (bár hyperlinket nem adtam hozzá). Igazából azon csodálkozom, miképpen lehetséges, hogy Csabi cikke, amely nem az ACS-ről szól, benne van a találatok között, miközben Laci cikkét, amelynek központi témája az ACS, egyik kereső sem hozta fel.

  3. Péter says:

    most lebuktam, hogy nem olvastam végig a bejegyzésed :)

  4. snefi says:

    Audit Collection Admin – Beta2 Available  :)

  5. Tamas says:

    Köszi, megnézem.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: