Zbieranie zdarzeń zabezpieczeń za pomocą usług Audit Collection Services w programie Operations Manager
Dotyczy: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
W programie System Center 2012 – Operations Manager usługi Audit Collection Services (ACS) zapewniają sposób zbierania rekordów generowanych przez zasady inspekcji i magazynowania ich w scentralizowanej bazie danych. Domyślnie po zaimplementowaniu zasad inspekcji na komputerze z systemem Windows, komputer ten automatycznie zapisuje w lokalnym dzienniku zabezpieczeń wszystkie zdarzenia wygenerowane przez zasady inspekcji. Dotyczy to zarówno stacji roboczych z systemem Windows, jak i serwerów. W organizacjach z rygorystycznymi wymaganiami w zakresie zabezpieczeń zasady inspekcji mogą szybko generować dużą liczbę zdarzeń.
Korzystając z usług ACS, organizacje mogą konsolidować indywidualne dzienniki zabezpieczeń w centralnie zarządzanej bazie danych oraz filtrować i analizować zdarzenia za pomocą narzędzi do analizy danych i raportowania dostępnych w programie Microsoft SQL Server. W usługach ACS tylko użytkownik ze specjalnymi prawami dostępu do bazy danych usług ACS może uruchamiać kwerendy i tworzyć raporty dotyczące zebranych danych.
Usługi ACS wymagają następujących składników:
Usługi przesyłania dalej ACS
Moduł zbierający ACS
Baza danych usług ACS
Funkcja inspekcji jest obsługiwana na komputerach z systemami UNIX i Linux. Aby uzyskać więcej informacji, zobacz Usługi ACS w systemach UNIX i Linux w tym temacie.
(Zobacz listę Zbieranie zdarzeń zabezpieczeń za pomocą usług Audit Collection Services — tematy).
Usługi przesyłania dalej ACS
W agencie programu Operations Manager jest dostępna usługa działająca w ramach usług przesyłania dalej ACS. Ta usługa jest domyślnie instalowana podczas instalacji agenta programu Operations Manager, ale nie zostaje włączona. Można ją włączyć jednocześnie na wielu komputerach agenta przy użyciu zadania Włącz usługę Audit Collection. Po włączeniu tej usługi wszystkie zdarzenia zabezpieczeń są wysyłane zarówno do lokalnego dziennika zabezpieczeń, jak i do modułu zbierającego ACS.
Moduł zbierający ACS
Moduł zbierający ACS odbiera zdarzenia z usług przesyłania dalej ACS i przetwarza je, a następnie wysyła te dane do bazy danych usług ACS. Proces przetwarzania obejmuje dezasemblowanie danych, aby możliwe było ich rozmieszczenie do kilku tabel w bazie danych usług ACS, ograniczenie nadmiarowości danych oraz zastosowanie filtrów w celu uniknięcia dodania do bazy danych usług ACS niepotrzebnych zdarzeń.
Liczba usług przesyłania dalej ACS obsługiwanych przez jeden moduł zbierający ACS i bazę danych usług ACS może się różnić w zależności od następujących czynników:
Liczba zdarzeń generowanych przez zasady inspekcji
Rola komputerów monitorowanych przez usługi przesyłania dalej ACS (na przykład kontroler domeny lub serwer członkowski)
Poziom działań na komputerze
Sprzęt, na którym działają moduł zbierający i baza danych usług ACS
Jeżeli środowisko zawiera zbyt wiele usług przesyłania dalej ACS w ramach jednego modułu zbierającego ACS, można zainstalować więcej niż jeden moduł zbierający ACS. Każdy moduł zbierający ACS musi mieć odrębną bazę danych usług ACS.
Moduł zbierający ACS ma następujące wymagania:
Serwer zarządzania programu Operations Manager
Członek domeny usługi Active Directory
Co najmniej 1 GB pamięci RAM, zalecane 2 GB
Procesor 1,8 GHz lub szybszy, zalecany procesor 2,8 GHz
Co najmniej 10 GB dostępnego miejsca na dysku twardym, zalecane 50 GB
Przed zainstalowaniem modułu zbierającego ACS na każdym komputerze należy pobrać z witryny sieci Web firmy Microsoft i zainstalować najnowszą wersję składników Microsoft Data Access Components (MDAC). Aby dowiedzieć się więcej o składnikach MDAC, zobacz temat Learning Microsoft Data Access Components (MDAC) (Omówienie składników Microsoft Data Access Components (MDAC)).
Baza danych usług ACS
Baza danych usług ACS jest centralnym repozytorium dla zdarzeń generowanych przez zasady inspekcji w ramach wdrożenia usług ACS. Baza danych usług ACS może znajdować się na jednym komputerze wraz z modułem zbierającym ACS, lecz w celu zapewnienia optymalnej wydajności zaleca się zainstalowanie tych składników na dedykowanych serwerach.
Baza danych usług ACS ma następujące wymagania:
System Center 2012 – Operations Manager: SQL Server 2005 lub SQL Server 2008. Można wybrać istniejącą lub nową instalację programu SQL Server. Ze względu na obciążenie wynikające z codziennej konserwacji bazy danych usług ACS zaleca się program SQL Server w wersji Enterprise.
System Center 2012 z dodatkiem Service Pack 1 (SP1), Operations Manager: SQL Server SQL 2008 R2 SP1, SQL Server 2008 R2 SP2, SQL Server 2012 lub SQL Server 2012 SP1. Ze względu na obciążenie wynikające z codziennej konserwacji bazy danych usług ACS zaleca się program SQL Server w wersji Enterprise.
Co najmniej 1 GB pamięci RAM, zalecane 2 GB
Uwaga
Jeśli używasz programu SQL Server 2008 R2 lub starszego, a serwer ma więcej niż 2 GB pamięci, potrzebne są pewne dodatkowe czynności konfiguracyjne. Więcej informacji oraz opis wymaganych czynności znajdują się w temacie Jak skonfigurować program SQL Server w przypadku używania ponad 2 GB pamięci fizycznej. Lista minimalnych wymagań dotyczących sprzętu i oprogramowania związanych z instalowaniem oraz obsługą programu SQL Server 2012 znajduje się w temacie Wymagania dotyczące sprzętu i oprogramowania związane z instalowaniem programu SQL Server 2012.
Procesor 1,8 GHz lub szybszy, zalecany procesor 2,8 GHz
Co najmniej 20 GB dostępnego miejsca na dysku twardym, zalecane 100 GB
W przypadku używania programu SQL Server w wersji Standard na czas codziennych operacji konserwacji należy wstrzymać działanie bazy danych. Może to spowodować wypełnienie kolejki modułu zbierającego ACS żądaniami z usług przesyłania dalej ACS. Zapełnienie kolejki modułu zbierającego ACS powoduje utratę połączenia usług przesyłania dalej ACS z tym modułem. Usługi przesyłania dalej ACS łączą się ponownie po ukończeniu konserwacji bazy danych i rozpoczyna się przetwarzanie zaległości kolejki. Aby zapobiec utracie zdarzeń inspekcji, przydziel wystarczająca ilość miejsca na dysku twardy do lokalnego dziennika zabezpieczeń we wszystkich usługach przesyłania dalej ACS.
Podczas codziennych operacji konserwacji program SQL Server w wersji Enterprise nadal może obsługiwać żądania usług przesyłania dalej ACS, jednak z mniejszą wydajnością. Więcej informacji dotyczących rozłączania kolejki modułu zbierającego ACS i usług przesyłania dalej ACS znajduje się w tematach Planowanie wydajności usług Audit Collection Services i Monitorowanie wydajności usług Audit Collection Services.
Obsługa usług ACS do dynamicznej kontroli dostępu
Program System Center 2012 z dodatkiem Service Pack 1 (SP1), Operations Manager umożliwia obsługę usług ACS do dynamicznej kontroli dostępu obsługiwanej przez system Windows Server 2012.
Właściciele danych biznesowych mogą w systemie Windows Server 2012 w prosty sposób klasyfikować i oznaczać dane, umożliwiając zdefiniowanie zasad dostępu do najważniejszych dla firmy klas danych. Zarządzanie zgodnością w systemie Windows Server 2012 jest bardziej wydajne i elastyczne, ponieważ zasady dostępu i inspekcji mogą opierać się nie tylko na informacjach o użytkownikach oraz grupach, lecz również na większym zestawie oświadczeń użytkowników, zasobów i środowiska, a także właściwościach z usługi Active Directory i innych źródeł. Podczas definiowania zasad dostępu i inspekcji można użyć oświadczeń użytkowników dotyczących ról, projektów, organizacji, właściwości zasobów (np. utajnienie), oraz oświadczeń urządzeń, np. dotyczących kondycji.
W systemie Windows Server 2012 ulepszono istniejący model listy ACL systemu Windows w celu obsługi dynamicznej kontroli dostępu, która umożliwia klientom definiowanie zasad dostępu autoryzacji opartych na wyrażeniach przy użyciu oświadczeń użytkowników i komputerów, a także właściwości zasobów (na przykład plików). Następująca ilustracja ma charakter opisowy i nie odzwierciedla rzeczywistego wyrażenia:
Zezwalaj na dostęp do odczytu i zapisu, jeśli istnieje wyrażenie User.Clearance >= Resource.Secrecy and Device. Dobra kondycja
Zezwalaj na dostęp do odczytu i zapisu, jeśli istnieje wyrażenie User.Project any_of Resource.Project
Program System Center 2012 z dodatkiem Service Pack 1 (SP1) umożliwia realizację tych scenariuszy, zapewniając wgląd w korzystanie z dynamicznej kontroli dostępu w całym przedsiębiorstwie, wykorzystując usługi Audit Collection Services programu Operations Manager do zbierania zdarzeń z odpowiednich urządzeń (serwerów plików, kontrolerów domen) oraz zapewniając funkcję raportowania, dzięki której audytorzy i specjaliści ds. zgodności mogą tworzyć raporty dotyczące korzystania z dynamicznej kontroli dostępu — na przykład przeprowadzanie inspekcji zmian w zasadach, dostęp do obiektów (zakończony pomyślnie i niepomyślnie) oraz ocena skutków zastosowania określonych zasad.
Konfiguracja dynamicznej kontroli dostępu
Klient nie wymaga konfiguracji usług ACS w celu obsługi informacji dynamicznej kontroli dostępu. Jedyna interakcja z tą funkcją opiera się na zestawie raportów. Nie jest wymagane dodatkowe monitorowanie.
Usługi ACS w systemach UNIX i Linux
Działanie usług ACS na komputerach z systemami UNIX i Linux różni się pod pewnymi względami w porównaniu do komputerów z systemem Windows. Te różnice są następujące:
Należy zaimportować pakiety administracyjne usług ACS do systemów operacyjnych UNIX i Linux.
Zdarzenia generowane przez zasady inspekcji na komputerach z systemami UNIX i Linux są przesyłane dalej do dziennika zdarzeń zabezpieczeń systemu Windows na serwerze zarządzania systemu Windows odpowiedzialnym za monitorowanie komputerów z systemami UNIX lub Linux, a następnie zbierane w scentralizowanej bazie danych.
Moduł działania zapisu na serwerze zarządzania analizuje dane inspekcji z każdego zarządzanego komputera z systemami UNIX i Linux oraz zapisuje te informacje w dzienniku zdarzeń zabezpieczeń systemu Windows. Moduł źródła danych komunikuje się z agentami wdrożonymi na komputerach z systemami UNIX i Linux w celu monitorowania pliku dziennika.
Agent (agent programu Operations Manager dla systemu UNIX/Linux) znajduje się na każdym zarządzanym komputerze z systemem UNIX lub Linux.
Moduł zbierający ACS umożliwia również obsługę dodatkowej zawartości oraz formatowanie danych inspekcji przesyłanych przez komputery z systemami UNIX i Linux.
Zbieranie zdarzeń zabezpieczeń za pomocą usług Audit Collection Services — tematy
Jak włączyć zbierania danych inspekcji usługi przekazujących (ACS)
Jak włączyć rejestrowanie zdarzeń i zasad ACS w systemie Solaris i komputerów w systemie AIX
Sposób filtrowania zdarzeń ACS dla systemu UNIX i komputerów z systemem Linux
Jak skonfigurować certfikaty dla modułu zbierającego ACS i usługa przesyłania dalej
Administracja usług Audit Collection Services (AdtAdmin.exe)