Skenario: Pengauditan Akses File
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Audit Keamanan adalah salah satu alat paling canggih untuk membantu menjaga keamanan perusahaan. Salah satu tujuan utama audit keamanan adalah kepatuhan terhadap peraturan. Standar industri seperti Sarbanes Oxley, Health Insurance Portability and Accountability Act (HIPAA), dan Payment Card Industry (PCI) mengharuskan perusahaan untuk mengikuti serangkaian aturan ketat yang terkait dengan keamanan dan privasi data. Audit keamanan membantu menetapkan kehadiran kebijakan tersebut dan membuktikan kepatuhan terhadap standar ini. Selain itu, audit keamanan membantu mendeteksi perilaku anomali, mengidentifikasi dan mengurangi kesenjangan dalam kebijakan keamanan, dan mencegah perilaku yang tidak bertanggung jawab dengan membuat jejak aktivitas pengguna yang dapat digunakan untuk analisis forensik.
Persyaratan kebijakan audit biasanya didorong pada tingkat berikut:
Keamanan informasi. Jejak audit akses file sering digunakan untuk analisis forensik dan deteksi intrusi. Mampu mendapatkan peristiwa yang ditargetkan tentang akses ke informasi bernilai tinggi memungkinkan organisasi meningkatkan waktu respons dan akurasi investigasi mereka secara besar-besaran.
Kebijakan organisasi. Misalnya, organisasi yang diatur oleh standar PCI dapat memiliki kebijakan pusat untuk memantau akses ke semua file yang ditandai sebagai berisi informasi kartu kredit dan informasi identitas pribadi (PII).
Kebijakan departemen. Misalnya, departemen keuangan mungkin mengharuskan kemampuan untuk memodifikasi dokumen keuangan tertentu (seperti laporan penghasilan triwulanan) dibatasi untuk departemen keuangan, dan dengan demikian departemen ingin memantau semua upaya lain untuk mengubah dokumen-dokumen ini.
Kebijakan bisnis. Misalnya, pemilik bisnis mungkin ingin memantau semua upaya yang tidak sah untuk melihat data milik proyek mereka.
Selain itu, departemen kepatuhan mungkin ingin memantau semua perubahan pada kebijakan otorisasi pusat dan konstruksi kebijakan seperti atribut pengguna, komputer, dan sumber daya.
Salah satu pertimbangan terbesar audit keamanan adalah biaya pengumpulan, penyimpanan, dan analisis peristiwa audit. Jika kebijakan audit terlalu luas, volume peristiwa audit yang dikumpulkan naik, dan ini meningkatkan biaya. Jika kebijakan audit terlalu sempit, Anda berisiko kehilangan peristiwa penting.
Dengan Windows Server 2012 , Anda dapat menulis kebijakan audit dengan menggunakan klaim dan properti sumber daya. Ini mengarah pada kebijakan audit yang lebih kaya, lebih ditargetkan, dan lebih mudah dikelola. Ini memungkinkan skenario bahwa, sampai sekarang, tidak mungkin atau terlalu sulit untuk dilakukan. Berikut ini adalah contoh kebijakan audit yang dapat ditulis administrator:
Audit setiap orang yang tidak memiliki izin keamanan tinggi dan mencoba mengakses dokumen HBI. Misalnya, Audit | Semua orang | Semua Akses | Resource.BusinessImpact=HBI AND User.SecurityClearance!=High.
Audit semua vendor ketika mereka mencoba mengakses dokumen yang terkait dengan proyek yang tidak mereka kerjakan. Misalnya, Audit | Semua orang | Semua Akses | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project.
Kebijakan ini membantu mengatur volume peristiwa audit dan membatasinya hanya pada data atau pengguna yang paling relevan.
Setelah administrator membuat dan menerapkan kebijakan audit, pertimbangan berikutnya untuk mereka adalah memancarkan informasi yang bermakna dari peristiwa audit yang mereka kumpulkan. Peristiwa audit berbasis ekspresi membantu mengurangi volume audit. Namun, pengguna memerlukan cara untuk mengkueri peristiwa ini untuk informasi yang bermakna dan mengajukan pertanyaan seperti, "Siapa mengakses data HBI saya?" atau "Apakah ada upaya tidak sah untuk mengakses data sensitif?"
Windows Server 2012 meningkatkan peristiwa akses data yang ada dengan klaim pengguna, komputer, dan sumber daya. Peristiwa ini dihasilkan berdasarkan per server. Untuk memberikan tampilan lengkap peristiwa di seluruh organisasi, Microsoft bekerja sama dengan mitra untuk menyediakan alat pengumpulan dan analisis peristiwa, seperti Layanan Pengumpulan Audit di Manajer Operasi Pusat Sistem .
Gambar 4 menunjukkan gambaran umum kebijakan audit pusat.
Gambar 4 Pengalaman audit pusat
Menyiapkan dan mengkonsumsi audit keamanan biasanya melibatkan langkah-langkah umum berikut:
Mengidentifikasi kumpulan data dan pengguna yang benar untuk dipantau
Membuat dan menerapkan kebijakan audit yang sesuai
Mengumpulkan dan menganalisis peristiwa audit
Mengelola dan memantau kebijakan yang dibuat
Dalam skenario ini
Topik berikut memberikan panduan tambahan untuk skenario ini:
Peran dan fitur yang disertakan dalam skenario ini
Tabel berikut mencantumkan peran dan fitur yang merupakan bagian dari skenario ini dan menjelaskan bagaimana mereka mendukungnya.
| Peran/fitur | Cara mendukung skenario ini |
|---|---|
| Peran Layanan Doman Direktori Aktif | AD DS di Windows Server 2012 memperkenalkan platform otorisasi berbasis klaim yang memungkinkan pembuatan klaim pengguna dan klaim perangkat, identitas campuran, (klaim pengguna ditambah perangkat), model kebijakan akses pusat (CAP) baru, dan penggunaan informasi klasifikasi file dalam keputusan otorisasi. |
| Peran Layanan File dan Penyimpanan | Server file di Windows Server 2012 menyediakan antarmuka pengguna di mana administrator dapat melihat izin efektif untuk pengguna untuk file atau folder dan memecahkan masalah akses dan memberikan akses sesuai kebutuhan. |