Forgatókönyv: Fájlhozzáférés naplózása
Érvényes: Windows Server 2012
A biztonsági naplózás az egyik leghatékonyabb eszköz egy vállalat biztonságának fenntartásához. A biztonsági naplózás egyik fő célja a szabályozásoknak való megfelelés. Az ipari szabványok (például a Sarbanes Oxley, a Health Insurance Portability and Accountability Act (HIPAA) és a Payment Card Industry (PCI)) szigorú szabályok betartását követelik meg a vállalatoktól az adatbiztonságra és az adatvédelemre vonatkozóan. A biztonsági naplózás segít kialakítani ezeket a házirendeket és biztosítja a szabványoknak való megfelelést. A biztonsági naplózás segítségével továbbá észlelhető a rendellenes viselkedés, azonosíthatók és csökkenthetők a biztonsági házirend rései, valamint a felhasználói tevékenységek bírósági elemzéshez használható sorozatának létrehozásával megakadályozható a felelőtlen viselkedés.
A naplózási házirend követelményeinek jellemzően a következő szintjei vannak:
Információbiztonság A fájlhozzáférés napló ellenőrzését gyakran használják bírósági elemzéshez és behatolás észleléséhez. A jó minőségű információhoz való hozzáféréssel kapcsolatos célzott események lehetővé teszik a szervezetek számára a válaszidő és a vizsgálat pontosságának jelentős mértékű javítását.
Szervezeti házirend A PCI szabványokkal szabályozott szervezetek például központi házirenddel rendelkezhetnek a hitelkártyaadatokat és személyes azonosító adatokat (PII) tartalmazóként megjelölt fájlokhoz való hozzáférés figyelésére.
Részlegre vonatkozó házirend A pénzügyi részleg például megkövetelheti, hogy egyes pénzügyi dokumentumok (például a negyedéves nyereségjelentés) csak a pénzügyi részleg által legyenek módosíthatóak, és a részleg ennek megfelelően szeretné figyelni, hogy történik-e bármilyen más kísérlet a dokumentumok módosítására.
Üzleti házirend A vállalakozások tulajdonosai például figyelhetik, hogy nem történik-e a projektjeikhez tartozó adatok illetéktelen megtekintésére irányuló kísérlet.
A megfelelőségi részleg továbbá figyelheti a központi engedélyezési házirendek és házirendelemek (például felhasználó, számítógép és erőforrás-jellemzők) összes módosítását.
A biztonsági naplózás egyik legfontosabb szempontja a naplózási események összegyűjtésének, tárolásának és elemzésének költsége. Ha a naplózási házirend túl széleskörű, az megnöveli a naplózási események mennyiségét, amely növeli a költségeket. Ha a naplózási házirend nem elég széleskörű, azzal fontos események naplózásból való kihagyását kockáztatja.
A(z) Windows Server 2012 rendszerben igények és erőforrás-tulajdonságok használatával hozhat létre naplózási házirendeket. Ennek eredménye részletesebb, jobban célzott és egyszerűbben kezelhető naplózási házirend lesz. Ez lehetővé teszi olyan forgatókönyvek létrehozását, amelyek végrehajtása eddig lehetetlen vagy túl bonyolult volt. Az alábbiakban a rendszergazdák által létrehozható naplózási házirendekre talál példákat:
Minden személy naplózása, aki nem rendelkezik magas biztonsági fokozattal, és megpróbál hozzáférni a HBI dokumentumaihoz. Példa: Napló | Mindenki | Teljes hozzáférés | Erőforrás.ÜzletiHatás=Magas üzleti hatás ÉS Felhasználó.BiztonságiTörlés!=Magas
Minden szállítói naplózása, amikor olyan projektek dokumentumaihoz próbálnak hozzáférni, amelyeken nem dolgoznak Példa: Napló | Mindenki | Teljes hozzáférés | Felhasználó.FoglalkoztatásÁllapota=Szállító ÉS Felhasználó.Projekt Nem_Bármely Erőforrás.Projekt
Ezek a házirendek segítenek a naplózott események mennyiségének szabályozásában és azokat csak a legfontosabb adatokra vagy felhasználókra korlátozzák.
Miután a rendszergazdák létrehozták és alkalmazták a naplózási házirendeket, a következő lépés számukra a fontos információ kigyűjtése az összegyűjtött naplózási eseményekből. A kifejezésen alapuló naplózási események segítségével csökkenthető a naplózások mennyisége. A felhasználóknak azonban szükségük van egy módszerre, amellyel az eseményekből lekérdezhetik a fontos információkat, és feltehetik például a következő kérdéseket: „Ki fér hozzá a HBI-adataimhoz?” vagy „Történt illetéktelen kísérlet a bizalmas adatokhoz való hozzáférésre?”
A(z) Windows Server 2012 fokozza a meglévő adat-hozzáférési eseményeket felhasználóval, számítógéppel és erőforrásigényekkel. Ezek az események kiszolgálónként hozhatók létre. A szervezethez tartozó események teljes áttekintése érdekében a Microsoft a partnerekkel együttműködve az események összegyűjtésére és elemzésére szolgáló eszközöket (például Naplózási szolgáltatások a System Center Operation Manager alkalmazásban) kínál.
A 4. ábrán a központi naplózási házirend áttekintése látható.
4. ábra – központi naplózási élmények
A biztonsági naplók létrehozása és felhasználása általában az alábbi általános lépésekkel végezhető el:
A figyelni kívánt adatcsoport és felhasználók azonosítása
A megfelelő naplózási házirendek létrehozása és alkalmazása
Naplózási események összegyűjtése és elemzése
A létrehozott házirendek kezelése és figyelése
Ebben az esetben
A következő témakörökben további útmutatás t talál ehhez az esethez:
A forgatókönyvben szereplő szerepkörök és szolgáltatások
Az alábbi táblázat a forgatókönyv részét képező szerepköröket és szolgáltatásokat sorolja fel, és bemutatja, hogy azok hogyan támogatják a forgatókönyvet.
Szerepkör/szolgáltatás |
Támogatás a forgatókönyv számára |
---|---|
Active Directory tartományi szolgáltatások szerepkör |
Az AD DS Windows Server 2012 rendszerben egy igényalapú engedélyezési platformot használ, amely lehetővé teszi felhasználói és eszközigények, összetett identitás (felhasználói plusz eszközigény) és a központi hozzáférési házirend új modelljének létrehozását, valamint a fájl besorolási adatainak felhasználását engedélyezési döntésekhez. |
Fájl- és tárolási szolgáltatások szerepkör |
A fájlkiszolgálók a(z) Windows Server 2012 rendszerben egy felhasználói felületet kínálnak, ahol a rendszergazdák megtekinthetik a felhasználók érvényes engedélyeit egy fájlra vagy mappára vonatkozóan, valamint elháríthatják a hozzáféréssel kapcsolatos hibákat és megkaphatják a szükséges hozzáférést. |