Megosztás a következőn keresztül:


Biztonsági események gyűjtése az Operations Manager programban a naplózási szolgáltatások segítségével

 

Érvényes: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

A System Center 2012 – Operations Manager rendszer részét alkotó naplózási szolgáltatásokkal (ACS) összegyűjthetők, majd egy központi adatbázisba menthetők a naplórend alapján keletkező bejegyzések. Alapesetben a windowsos számítógépek a naplórend alapján előálló eseményeket a helyi biztonsági naplóba mentik. Ez a windowsos munkaállomásokra és a kiszolgálókra is igaz. Azoknál a szervezeteknél, ahol szigorú naplórend van érvényben, a naplórendből fakadóan rövid idő alatt is nagy mennyiségű esemény keletkezhet.

Az ACS használatával a szervezetek az egyedi biztonsági naplókat összevonhatják egy központilag felügyelt adatbázisba, az eseményeket pedig szűrhetik és elemezhetik a Microsoft SQL Server által biztosított adatelemzési és jelentéskészítési eszközökkel. Az ACS használatával az a személy, aki jogosultságot kapott az ACS adatbázisának elérésére, lekérdezéseket futtathat az összegyűjtött adatokon, illetve jelentéseket készíthet a felhasználásukkal.

Az ACS működéséhez a következő összetevőkre van szükség:

  • ACS-továbbítók

  • ACS-gyűjtő

  • ACS-adatbázis

A naplózás a UNIX és a Linux rendszerű számítógépeken is támogatott. További információ a jelen témakör ACS használata UNIX és Linux rendszerű számítógépeken című szakaszában található.

(Lásd: A biztonsági eseményeknek a naplózási szolgáltatások segítségével végzett gyűjtéséhez kapcsolódó témakörök)

ACS-továbbítók

Az ACS-továbbítókon futó szolgáltatás az Operations Manager-ügynök része. Ez a szolgáltatás az Operations Manager-ügynökkel együtt települ, de alapesetben nincs engedélyezve. A szolgáltatás – az ügynököt futtató számítógépek közül egyszerre akár többön is – a Naplózási gyűjtés engedélyezése feladattal engedélyezhető. A szolgáltatás engedélyezése után minden biztonsági esemény – amellett, hogy bekerül a helyi biztonsági naplóba – elküldésre kerül az ACS-gyűjtőnek.

ACS-gyűjtő

Az ACS-gyűjtő fogadja és feldolgozza az ACS-továbbítókról érkező eseményeket, majd ezeket az adatokat az ACS-adatbázisba küldi. A feldolgozás része az adatok szétbontása; az adatrészek ezt követően az ACS-adatbázis különböző tábláiba kerülnek, minimális redundanciával. Ekkor történik a szűrők alkalmazása is, így a felesleges események nem kerülnek be az ACS-adatbázisba.

Az, hogy egy ACS-gyűjtő és -adatbázis hány ACS-továbbítót tud támogatni, a következő tényezőktől függően változik:

  • A naplórend alapján előálló események száma.

  • Az ACS-továbbítók által figyelt számítógépekre telepített szerepkörök (például tartományvezérlő vagy tagkiszolgáló).

  • A számítógép terheltsége.

  • Az ACS-gyűjtőt és az ACS-adatbázist futtató hardver.

Ha adott környezetben túl sok ACS-továbbító jut egyetlen ACS-gyűjtőre, akkor több ACS-gyűjtő telepítésére is van lehetőség. Mindegyik ACS-gyűjtőnek saját ACS-adatbázissal kell rendelkeznie.

Az ACS-gyűjtő által támasztott követelmények a következők:

  • Operations Manager felügyeleti kiszolgáló

  • Active Directory-tartományi tagság

  • Legalább 1 GB RAM, 2 GB ajánlott

  • Legalább 1,8 GHz-es processzor, 2,8 GHz-es ajánlott

  • Legalább 10 GB szabad lemezterület, 50 GB ajánlott

Minden olyan számítógépen, amelyre telepíteni tervezi az ACS-gyűjtőt, a Microsoft webhelyéről le kell tölteni, majd telepíteni kell a Microsoft Data Access Components (MDAC) csomagot. További információk az MDAC-ről: Learning Microsoft Data Access Components (MDAC) (A Microsoft Data Access Components (MDAC) ismertetése).

ACS-adatbázis

Az ACS-adatbázis az ACS-rendszer tagjain a naplórend alapján keletkező események központi tárolója. Az ACS-adatbázis ugyanazon a gépen is lehet, mint az ACS-gyűjtő, de a lehető legjobb teljesítmény elérése érdekében érdemes mindkét összetevőt dedikált gépre telepíteni.

Az ACS-adatbázis által támasztott követelmények a következők:

  • A System Center 2012 – Operations Manager esetén: SQL Server 2005 vagy SQL Server 2008. Meglévő és új SQL Server-telepítés is választható. Javasolt az SQL Server szoftver Enterprise kiadását használni, mert az ACS-adatbázis napi karbantartása erős terhelést okoz.

  • A System Center 2012, 1. szervizcsomag (SP1), Operations Manager esetén: SQL Server SQL 2008 R2 SP1, SQL Server 2008 R2 SP2, SQL Server 2012 vagy SQL Server 2012 SP1. Javasolt az SQL Server szoftver Enterprise kiadását használni, mert az ACS-adatbázis napi karbantartása erős terhelést okoz.

  • Legalább 1 GB RAM, 2 GB ajánlott

    System_CAPS_noteMegjegyzés

    Ha SQL Server 2008 R2 vagy korábbi rendszert használ, és a kiszolgáló 2 GB-nál több memóriával rendelkezik, néhány további konfigurációs lépésre van szükség. A szükséges lépésekkel kapcsolatos részletes információk: How to configure SQL Server to use more than 2 GB of physical memory (Az SQL Server konfigurálása 2 GB-nál több memória használatára). Az SQL Server 2012 telepítéséhez és használatához teljesítendő minimális hardver- és szoftverkövetelményeket lásd: Hardware and Software Requirements for Installing SQL Server 2012 (Az SQL Server 2012 telepítési hardver- és szoftverkövetelményei).

  • Legalább 1,8 GHz-es processzor, 2,8 GHz-es ajánlott

  • Legalább 20 GB szabad lemezterület, 100 GB ajánlott

Az SQL Server Standard kiadásának használatakor a napi karbantartás idejére szüneteltetni kell az adatbázis működését. Emiatt előfordulhat, hogy az ACS-gyűjtő várólistája megtelik az ACS-továbbítóktól érkező kérésekkel. Az ACS-gyűjtő várólistájának megtelése miatt az ACS-továbbítók leszakadnak az ACS-gyűjtőről. A leszakadt ACS-továbbítók az adatbázis-karbantartás befejezése és a várólista feldolgozása után visszacsatlakoznak. Annak biztosítása érdekében, hogy ne vesszenek el a naplóesemények, minden ACS-továbbítón biztosítson elegendő lemezterületet a helyi biztonsági naplónak.

Az SQL Server Enterprise kiadása a napi karbantartás ideje alatt is ki tudja szolgálni az ACS-továbbítókat, bár kisebb teljesítménnyel. Tovább információk az ACS-gyűjtő várólistájáról és az ACS-továbbítók kapcsolatának bontásáról: A naplózási szolgáltatások kapacitástervezése és A naplózási szolgáltatások teljesítményének figyelése.

A dinamikus hozzáférés-vezérlés támogatása az ACS-ben

A System Center 2012, 1. szervizcsomag (SP1), Operations Manager részét képező ACS támogatja a Windows Server 2012 operációs rendszerben megjelent dinamikus hozzáférés-vezérlést.

A Windows Server 2012 segítségével az üzleti adatok birtokosai könnyen besorolással és címkével láthatják el az adatokat, amelyre építve hozzáférési házirendek rendelhetők a vállalkozás számára kritikus különféle adatosztályokhoz. A Windows Server 2012 megjelenésével egyszerűbbé és rugalmasabbá vált a megfeleléskezelés, hiszen a hozzáférési és naplózási házirendek nem csak felhasználó- és csoportadatokra, de felhasználói, erőforrás- és környezeti jogcímek széles körére, az Active Directoryban tárolt tulajdonságokra és egyéb forrásokra is alapulhatnak. A felhasználói jogcímek – pl. szerepkörök, projektek, szervezet –, az erőforrás-tulajdonságok – pl. titkosság – és az eszközjogcímek – pl. állapot – egyaránt felhasználhatók a hozzáférési és naplózási házirendek meghatározásakor.

A Windows Server 2012 a Windows meglévő ACL-alapú modelljét terjeszti ki a dinamikus hozzáférés-vezérléssel, amelyben a felhasználók kifejezésalapú engedélyezési hozzáférési házirendeket határozhatnak meg. A házirendek feltételeiben felhasználói és számítógép-jogcímek, illetve erőforrás-tulajdonságok (pl. fájltulajdonságok) használhatók fel. Az alábbiakban leíró jelleggel (nem egy tényleges kifejezést feltüntetve) szemléltetjük a megoldást:

  • Olvasási és írási hozzáférés engedélyezése, ha Felhasználó.Engedély >= Erőforrás.Titkosság és Eszköz. Kifogástalan

  • Olvasási és írási hozzáférés engedélyezése, ha Felhasználó.Projekt bármely_a_következők_közül Erőforrás.Projekt

A System Center 2012, 1. szervizcsomag (SP1) azzal járul hozzá az ilyen jellegű igények kielégítéséhez, hogy a teljes vállalatra kiterjedően láthatóvá teszi a dinamikus hozzáférés-vezérlés használatát. Az Operations Manager naplózási szolgáltatása összegyűjti az eseményeket a megfelelő számítógépekről (fájlkiszolgálókról és tartományvezérlőkről), majd jelentések elkészítésével segíti az auditorokat és a megfelelésért felelős személyeket a dinamikus hozzáférés-vezérlés használatának áttekintésében; ide tartozhat például a házirendek változásainak naplózása, az objektumok sikeres és sikertelen eléréseinek naplózása, valamint az olyan jellegű kérdések megválaszolása, hogy mi történne, ha adott házirend érvénybe lépne.

A dinamikus hozzáférés-vezérlés támogatásához szükséges beállítások

Felhasználói oldalon semmilyen beállítást nem kell módosítani ahhoz, hogy az ACS kezelni tudja a dinamikus hozzáférés-vezérlés használata miatt keletkező adatokat. A két szolgáltatás között kizárólag a jelentések révén van kapcsolat. További figyelésre nincs szükség.

ACS használata UNIX és Linux rendszerű számítógépeken

A UNIX és a Linux rendszerű számítógépeken a Windows-alapú számítógépekhez képest néhány dologban eltér az ACS működése. Ezek a következők:

  • Importálni kell a UNIX és Linux operációs rendszerekhez készült ACS felügyeleti csomagokat.

  • A UNIX és a Linux rendszerű számítógépeken a naplórend alapján keletkező események első lépésként a UNIX és Linux rendszerű számítógépek figyelését végző windowsos felügyeleti kiszolgáló Windows biztonságiesemény-naplójába kerülnek, majd a rendszer innen gyűjti be őket a központi adatbázisba.

    A felügyeleti kiszolgálón egy írási műveleti modul elemzi a UNIX és Linux rendszerű számítógépektől kapott naplóadatokat, majd beírja az információkat a Windows biztonságiesemény-naplójába. A UNIX és Linux rendszerű felügyelt számítógépeken futó ügynökökkel a naplófájlok figyelése céljából egy adatforrásmodul kommunikál.

  • Minden felügyelt UNIX és Linux rendszerű számítógépen található egy ügynök (a UNIX/Linux rendszerekhez készült Operations Manager-ügynök).

  • Az ACS-gyűjtő sémája kibővítésre kerül úgy, hogy kezelni tudja a UNIX és Linux rendszerű számítógépektől érkező tartalmat, illetve a kapott naplóadatok formázását is.