Collecte d'événements de sécurité avec les services ACS dans Operations Manager
S'applique à: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Dans System Center 2012 – Operations Manager, les services ACS fournissent le moyen de collecter les enregistrements générés par une stratégie d'audit et de les stocker dans une base de données centralisée. Par défaut, lorsqu'une stratégie d'audit est implémentée sur un ordinateur Windows, cet ordinateur enregistre automatiquement tous les événements générés par la stratégie d'audit dans son journal de sécurité local. Cela vaut aussi bien pour les serveurs que pour les postes de travail Windows. Dans les organisations qui imposent de sévères exigences en matière de sécurité, les stratégies d'audit peuvent rapidement générer de larges volumes d'événements.
Grâce aux services ACS, les organisations peuvent consolider des Journaux de sécurité dans une base de données centralisée, mais aussi filtrer et analyser les événements à l'aide de l'analyse de données et des outils de création de rapports fournis par Microsoft SQL Server. Avec les services ACS, seul un utilisateur ayant obtenu l'autorisation d'accéder à la base de données des services ACS peut exécuter des requêtes et créer des rapports portant sur les données collectées.
Les services ACS requièrent les composants suivants :
Redirecteurs ACS
collecteur des services ACS
Base de données des services ACS
L'audit est pris en charge sur les ordinateurs UNIX et Linux. Pour plus d'informations, consultez Services ACS sur UNIX et Linux dans cette rubrique.
(Consultez la liste des Rubriques sur la collecte d'événements de sécurité avec les services ACS.)
Redirecteurs ACS
Le service exécuté sur les redirecteurs ACS est compris dans l'agent Operations Manager. Par défaut, ce service est installé lors de l'installation de l'agent Operations Manager, mais il n'est pas activé. Vous pouvez activer ce service pour les ordinateurs à agents multiples en même temps à l'aide de la tâche Activer la collecte d'audit. Une fois ce service activé, tous les événements de sécurité sont envoyés au collecteur des services ACS en plus du Journal de sécurité local.
collecteur des services ACS
Le collecteur des services ACS reçoit et traite des événements depuis les redirecteurs ACS, puis envoie ces données à la base de données des services ACS. Ce traitement inclut le désassemblage des données de sorte qu'elles puissent être réparties sur plusieurs tableaux de la base de données des services ACS, la réduction de la redondance des données et l'application de filtres afin que les événements inutiles ne soient pas ajoutés à la base de données des services ACS.
Le nombre de redirecteurs ACS pouvant être pris en charge par un collecteur des services ACS et une base de données des services ACS peut varier en fonction des facteurs suivants :
Le nombre d'événements que génère votre stratégie d'audit.
Le rôle des ordinateurs que les redirecteurs ACS analysent (par exemple, contrôleur de domaine et serveur membre).
Le niveau des activités sur l'ordinateur.
Le matériel sur lequel le collecteur des services ACS et la base de données des services ACS sont exécutés.
Si votre environnement contient trop de redirecteurs ACS pour un collecteur des services ACS unique, vous pouvez installer plusieurs collecteurs ACS. Chaque collecteur des services ACS doit posséder sa propre base de données des services ACS.
Les exigences d'un collecteur des services ACS sont les suivantes :
Un serveur d'administration Operations Manager
Un membre d'un domaine Active Directory
Un minimum de 1 gigaoctet (Go) de RAM, avec 2 Go recommandés
Un processeur d'au moins 1,8 gigahertz (GHz), avec un processeur de 2,8 GHz recommandé
10 Go d'espace disque disponible au minimum, avec 50 Go recommandés
Sur chaque ordinateur sur lequel vous prévoyez d'installer le collecteur des services ACS, vous devez télécharger et installer la dernière version de Microsoft Data Access Components (MDAC), depuis le site Web de Microsoft. Pour en savoir plus sur MDAC, consultez Learning Microsoft Data Access Components (MDAC) (Découvrir MDAC (Microsoft Data Access Components)).
Base de données des services ACS
La base de données des services ACS correspond au référentiel centralisé des événements qui sont générés par une stratégie d'audit dans le cadre d'un déploiement ACS. La base de données des services ACS peut se trouver sur le même ordinateur que le collecteur des services ACS, mais pour des performances optimales, il convient que chacun soit installé sur un serveur dédié.
Les exigences d'une base de données des services ACS sont les suivantes :
Pour System Center 2012 – Operations Manager : SQL Server 2005 ou SQL Server 2008. Vous pouvez choisir une installation nouvelle ou existante de SQL Server. L'édition Enterprise de SQL Server est recommandée à cause de la contrainte de maintenance quotidienne de la base de données des services ACS.
Pour System Center 2012 Service Pack 1 (SP1), Operations Manager : SQL Server SQL 2008 R2 SP1, SQL Server 2008 R2 SP2, SQL Server 2012 ou SQL Server 2012 SP1. L'édition Enterprise de SQL Server est recommandée à cause de la contrainte de maintenance quotidienne de la base de données des services ACS.
Un minimum de 1 Go de RAM, avec 2 Go recommandés
Notes
Si vous utilisez SQL Server 2008 R2 ou une version antérieure et que votre serveur dispose de plus de 2 Go de mémoire, certaines étapes de configuration supplémentaires sont nécessaires. Pour plus d'informations et pour découvrir les étapes nécessaires, consultez Comment faire pour configurer SQL Server pour utiliser plus de 2 Go de mémoire physique. Pour obtenir une liste des configurations matérielle et logicielle minimales pour installer et exécuter SQL Server 2012, consultez Configurations matérielle et logicielle requises pour l'installation de SQL Server 2012.
Un processeur d'au moins 1,8 GHz, avec un processeur de 2,8 GHz recommandé
20 Go d'espace disque disponible au minimum, avec 100 Go recommandés
Si vous utilisez l'édition SQL Server standard, la base de données doit être suspendue pendant les opérations quotidiennes de maintenance. Le collecteur des services ACS risque de créer une file d'attente pour exécuter les demandes des redirecteurs ACS. Si la file d'attente du collecteur des services ACS est à son niveau maximal, les redirecteurs ACS se déconnectent du collecteur des services ACS. Les redirecteurs ACS déconnectés se reconnectent une fois la maintenance de la base de données terminée et les demandes en attente sont alors traitées. Pour veiller à ce qu'aucun événement d'audit ne soit perdu, attribuez un espace disque disponible suffisant pour le journal de sécurité local sur tous les redirecteurs ACS.
L'édition Enterprise de SQL Server peut continuer à traiter les demandes de redirecteurs ACS, avec toutefois un niveau de performances moins élevé, pendant les opérations quotidiennes de maintenance. Pour plus d'informations sur la file d'attente de collecteur des services ACS et la déconnexion des redirecteurs ACS, consultez Planification de la capacité des services ACS et Analyse des performances des services ACS.
Prise en charge ACS pour le contrôle d'accès dynamique
System Center 2012 Service Pack 1 (SP1), Operations Manager fournit la prise en charge ACS pour le contrôle d'accès dynamique activée par Windows Server 2012.
Windows Server 2012 permet aux propriétaires de données métiers de classer et d'étiqueter facilement des données, ce qui permet de définir des stratégies d'accès pour des classes de données critiques pour l'entreprise. La gestion de la conformité dans Windows Server 2012 est plus efficace et flexible, car les stratégies d'accès et d'audit peuvent se baser non seulement sur des informations d'utilisateur et de groupe, mais aussi sur un ensemble plus riche de revendications utilisateur, de ressource et environnementales, ainsi que sur des propriétés d'Active Directory et d'autres sources. Les revendications utilisateur, telles que les rôles, les projets, l'organisation, les propriétés de ressource, telles que le secret, et les revendications de périphérique, telles que l'intégrité, peuvent être utilisées dans la définition des stratégies d'accès et d'audit.
Windows Server 2012 améliore le modèle ACL Windows existant pour prendre en charge le contrôle d'accès dynamique avec lequel les clients peuvent définir une stratégie d'accès d'autorisation basée sur une expression qui inclut des conditions utilisant des revendications utilisateur et de machine, ainsi que des propriétés de ressource (par exemple, un fichier). L'illustration suivante est descriptive, il ne s'agit pas d'une représentation réelle d'une expression :
Autoriser l'accès en lecture et en écriture si User.Clearance >= Resource.Secrecy et Device. Healthy
Autoriser l'accès en lecture et en écriture si User.Project any_of Resource.Project
System Center 2012 Service Pack 1 (SP1) contribue à la réalisation de ces scénarios en offrant une visibilité à l'échelle de l'entreprise de l'utilisation du contrôle d'accès dynamique, en exploitant les services ACS d'Operations Manager pour collecter des événements depuis les machines pertinentes (serveurs de fichiers, contrôleurs de domaine) et en fournissant des rapports pour permettre aux auditeurs et aux responsables de la mise en conformité de créer des rapports sur l'utilisation du contrôle d'accès dynamique. Par exemple, modifications d'audit dans des stratégies, accès aux objets (réussite et échec) et évaluation hypothétique de ce qui pourrait se passer si une certaine stratégie était appliquée.
Configuration du contrôle d'accès dynamique
Aucune configuration des informations de contrôle d'accès dynamique pour la gestion des services ACS n'est requise par le client. La seule interaction avec cette fonctionnalité se fait via un ensemble de rapports. Aucune analyse supplémentaire n'est requise.
Services ACS sur UNIX et Linux
Il existe quelques différences entre l'exécution des services ACS sur des ordinateurs UNIX et Linux et leur exécution sur des ordinateurs Windows. En voici la liste :
Vous devez importer les packs d'administration ACS pour les systèmes d'exploitation UNIX et Linux.
Les événements générés à partir de la stratégie d'audit sur des ordinateurs UNIX et Linux sont transmis au journal des événements de sécurité Windows du serveur d'administration Windows qui analyse les ordinateurs UNIX ou Linux, puis collectés dans la base de données centralisée.
Sur le serveur d'administration, un module d'action d'écriture analyse les données d'audit de chaque ordinateur UNIX et Linux géré et écrit les informations dans le journal des événements de sécurité Windows. Un module de source de données communique avec les agents qui sont déployés sur les ordinateurs UNIX et Linux gérés pour l'analyse du fichier journal.
Un agent (l'agent Operations Manager pour UNIX/Linux) réside sur chaque ordinateur UNIX ou Linux géré.
Le schéma du collecteur des services ACS est étendu pour prendre en charge le contenu et le formatage supplémentaires des données d'audit envoyées par des ordinateurs UNIX et Linux.
Rubriques sur la collecte d'événements de sécurité avec les services ACS
Comment faire pour activer l'Audit Collection Services (ACS) des redirecteurs
Comment faire pour activer l'enregistrement des événements et des règles d'ACS sur Solaris et AIX
Comment faire pour configurer des certificats pour collecteur ACS et redirecteur
Comment faire pour supprimer l'Audit Collection Services (ACS)