Beveiligingsgebeurtenissen verzamelen met Audit Collection Services in Operations Manager
Van toepassing op: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
In System Center 2012 – Operations Manager biedt ACS (Audit Collection Services) een manier om door een controlebeleid gegenereerde records te verzamelen en op te slaan in een gecentraliseerde database. Wanneer een controlebeleid op een Windows-computer is geïmplementeerd, worden door de computer standaard alle gebeurtenissen die door het controlebeleid worden gegenereerd in het lokale beveiligingslogboek opgeslagen. Dit geldt voor zowel Windows-werkstations als Windows-servers. In organisaties met strenge beveiligingsvereisten kunnen beleidsregels snel grote volumes met gebeurtenissen genereren.
Met ACS kunnen organisaties afzonderlijke beveiligingslogboeken consolideren in een centraal beheerde database, en gebeurtenissen filteren en analyseren met de hulpmiddelen voor gegevensanalyse en rapportage van Microsoft SQL Server. Met ACS kan alleen een gebruiker aan wie expliciet toegangsrechten voor de ACS-database zijn verleend, query's uitvoeren en rapporten op basis van de verzamelde gegevens maken.
Voor ACS zijn de volgende onderdelen vereist:
ACS-doorstuurservers
ACS-collector
ACS-database
Controle wordt ondersteund op UNIX- en Linux-computers. Zie ACS op UNIX- en Linux-computers in dit onderwerp voor meer informatie.
(Zie lijst met Onderwerpen over beveiligingsgebeurtenissen verzamelen met Audit Collection Services.)
ACS-doorstuurservers
De service die wordt uitgevoerd op ACS-doorstuurservers, is opgenomen in de Operations Manager-agent. Deze service wordt standaard geïnstalleerd maar niet ingeschakeld wanneer de Operations Manager-agent wordt geïnstalleerd. U kunt deze service voor meerdere agentcomputers tegelijk inschakelen met de taak Audit Collection Services inschakelen. Nadat u deze service hebt ingeschakeld, worden alle beveiligingsgebeurtenissen niet alleen naar het lokale beveiligingslogboek verzonden maar ook naar de ACS-collector.
ACS-collector
De ACS-collector ontvangt en verwerkt gebeurtenissen van ACS-doorstuurservers en verzendt deze gegevens vervolgens naar de ACS-database. Deze verwerking omvat het disassembleren van de gegevens zodat deze over diverse tabellen in de ACS-database kunnen worden verspreid, waardoor gegevensovertolligheid wordt geminimaliseerd, en het toepassen van filters zodat overbodige gebeurtenissen niet aan de ACS-database worden toegevoegd.
Het aantal ACS-doorstuurservers dat door één ACS-collector en ACS-database kan worden ondersteund, varieert afhankelijk van de volgende factoren:
Het aantal gebeurtenissen dat door het controlebeleid wordt gegenereerd.
De rol van de computers die door de ACS-doorstuurservers worden bewaakt (zoals domeincontroller versus lidserver).
Het activiteitenniveau op de computer.
De hardware waarop de ACS-collector en ACS-database worden uitgevoerd.
Als de omgeving te veel ACS-doorstuurservers voor één ACS-collector bevat, kunt u meer dan een ACS-collector installeren. Elke ACS-collector moet een eigen ACS-database hebben.
De vereisten voor een ACS-collector zijn als volgt:
Een Operations Manager-beheerserver
Een lid van een Active Directory-domein
Minimaal 1 GB RAM-geheugen (2 GB wordt aanbevolen)
Minimaal 1.8 GHz processor (een 2.8 GHz processor wordt aanbevolen)
Minimaal 10 GB beschikbare hardeschijfruimte (50 GB wordt aanbevolen)
Op elke computer waarop u de ACS-collector wilt installeren, moet u de meest recente versie van de MDAC (Microsoft Data Access Components) downloaden en installeren vanaf de Microsoft-website. Raadpleeg Learning Microsoft Data Access Components (MDAC) (Meer informatie over Microsoft Data Access Components (MDAC)) voor meer informatie.
ACS-database
De ACS-database is de centrale opslagplaats voor gebeurtenissen die door een controlebeleid in een ACS-implementatie worden gegenereerd. De ACS-database kan op dezelfde computer staan als de ACS-collector, maar voor de beste prestaties moeten de database en de collector op een eigen server worden geïnstalleerd.
De vereisten voor een ACS-database zijn als volgt:
Voor System Center 2012 – Operations Manager: SQL Server 2005 of SQL Server 2008. U kunt kiezen voor een bestaande of nieuwe installatie van SQL Server. De Enterprise Edition van SQL Server wordt aanbevolen vanwege de stress die gepaard gaat met dagelijks ACS-databaseonderhoud.
Voor System Center 2012 Service Pack 1 (SP1), Operations Manager: SQL Server SQL 2008 R2 SP1, SQL Server 2008 R2 SP2, SQL Server 2012 of SQL Server 2012 SP1. De Enterprise Edition van SQL Server wordt aanbevolen vanwege de stress die gepaard gaat met dagelijks ACS-databaseonderhoud.
Minimaal 1 GB RAM-geheugen (2 GB wordt aanbevolen)
Notitie
Als u SQL Server 2008 R2 of een eerdere versie gebruikt en de server heeft meer dan 2 GB geheugen, dan zijn er extra configuratiestappen nodig. Zie How to configure SQL Server to use more than 2 GB of physical memory (SQL voor gebruik van meer dan 2 GB fysiek geheugen configureren) voor meer informatie en de benodigde stappen. Zie Hardware and Software Requirements for Installing SQL Server 2012 (Hardware- en softwarevereisten voor de installatie van SQL Server 2012) voor een lijst met de minimale hardware- en softwarevereisten om SQL Server 2012 te installeren en uit te voeren.
Minimaal 1.8 GHz processor (een 2.8 GHz processor wordt aanbevolen)
Minimaal 20 GB beschikbare hardeschijfruimte (100 GB wordt aanbevolen)
Als u SQL Server Standard Edition gebruikt, moet de databasefunctionaliteit tijdens dagelijkse onderhoudswerkzaamheden worden onderbroken. Hierdoor kan de wachtrij van de ACS-collector vollopen met aanvragen van ACS-doorstuurservers. Een volle wachtrij van een ACS-collector zorgt er vervolgens voor dat de verbinding van ACS-doorstuurservers met de ACS-collector wordt verbroken. De verbinding van ACS-doorstuurservers waarvan de verbinding met de ACS-collector is verbroken wordt hersteld nadat het databaseonderhoud is voltooid. De wachtrijachterstand wordt vervolgens verwerkt. Om zeker te stellen dat geen controlegebeurtenissen verloren gaan, moet u voldoende hardeschijfruimte toewijzen voor het lokale beveiligingslogboek op alle ACS-doorstuurservers.
SQL Server Enterprise Edition blijft aanvragen van de ACS-doorstuurserver tijdens dagelijkse onderhoudswerkzaamheden verwerken, al is het met een lager prestatieniveau. Zie Capaciteitsplanning voor Audit Collection Services en Audit Collection Services-prestaties bewaken voor meer informatie over de wachtrij van de ACS-collector en het verbreken van de verbinding met de ACS-doorstuurserver.
ACS-ondersteuning voor dynamisch toegangsbeheer
System Center 2012 Service Pack 1 (SP1), Operations Manager voorziet in ACS-ondersteuning voor dynamisch toegangsbeheer zoals ingeschakeld door Windows Server 2012.
Met Windows Server 2012 kunnen eigenaren van zakelijke informatie gegevens gemakkelijk classificeren en labelen waardoor toegangsbeleidsregels kunnen worden gedefinieerd voor gegevensklassen die van essentieel belang zijn voor het bedrijf. Nalevingsbeheer in Windows Server 2012 wordt efficiënter en flexibeler omdat toegangs- en controleregels niet alleen op gebruikers- en groepsgegevens kunnen worden gebaseerd, maar ook op een uitgebreidere set van gebruikers-, bron- en omgevingsclaims en eigenschappen uit Active Directory en andere bronnen. Gebruikersclaims zoals rollen, projecten, organisatie, resource-eigenschappen zoals beveiliging (secrecy) en apparaatclaims zoals status kunnen worden gebruikt voor het definiëren van toegangs- en controlebeleidsregels.
Windows Server 2012 breidt het bestaande Windows ACL-model uit met dynamisch toegangsbeheer. Hierbij kunnen gebruikers toegangsbeleid op basis van een expressie definiëren met voorwaarden waarin gebruikers- en machineclaims en resource-eigenschappen (bijvoorbeeld bestandseigenschappen) worden gebruikt. De volgende afbeelding is beschrijvend en geen daadwerkelijke afspiegeling van een expressie:
Lees- en schrijftoegang toestaan als User.Clearance >= Resource.Secrecy and Device. In orde
Lees- en schrijftoegang toestaan als User.Project any_of Resource.Project
System Center 2012 Service Pack 1 (SP1) draagt bij aan het realiseren van deze scenario's door bedrijfsbreed inzicht te geven in het gebruik van dynamisch toegangsbeheer. Hiervoor worden de services voor het verzamelen van controles (ACS) van Operations Manager gebruikt om gebeurtenissen van de relevante machines (bestandsservers, domeincontrollers) te verzamelen en rapportage mogelijk te maken zodat controleurs en compliance officers rapporten kunnen uitbrengen over het gebruik van dynamisch toegangsbeheer. Hierbij gaat het bijvoorbeeld om controle van wijzigingen in beleidsregels, objecttoegang (slagen en mislukken) en what-if-analyses van wat er zou gebeuren als een bepaald beleid zou worden toegepast.
Configuratie voor dynamisch toegangsbeheer
De gebruiker hoeft geen configuratie-instellingen in ACS op te geven voor dynamisch toegangsbeheer. De enige interactie die de gebruiker met deze functie heeft, verloopt via een set met rapporten. Er is geen aanvullende controle vereist.
ACS op UNIX- en Linux-computers
Er zijn een aantal verschillen tussen de uitvoering van ACS op UNIX- en Linux-computers en de uitvoering van ACS op Windows-computers. De verschillen zijn als volgt:
U moet de ACS Management Packs voor de UNIX- en Linux-besturingssystemen importeren.
Gebeurtenissen die vanuit het controlebeleid op UNIX- en Linux-computers worden gegenereerd, worden doorgestuurd naar het Windows-beveiligingslogboek van de Windows-beheerserver die de UNIX- en Linux-computers bewaakt. Vervolgens worden de gebeurtenissen in de gecentraliseerde database verzameld.
Op de beheerserver parseert een module voor schrijfacties de controlegegevens van elke beheerde UNIX- en Linux-computer en schrijft de gegevens naar het beveiligingslogboek van Windows. Een gegevensbronmodule communiceert met agents die op de beheerde UNIX- en Linux-computers zijn geïmplementeerd voor logbestandbewaking.
Op elke UNIX- of Linux-computer die wordt beheerd, bevindt zich een agent (de Operations Manager-agent voor UNIX/Linux).
Het ACS-collectorschema wordt uitgebreid met ondersteuning van de extra inhoud en opmaak van controlegegevens die door UNIX- en Linux-computers wordt verzonden.