Erfassen von Sicherheitsereignissen mithilfe der Überwachungssammeldienste (ACS) von Operations Manager

Der unter ACS-Weiterleitungen ausgeführte Dienst ist im Operations Manager-Agent enthalten. Dieser Dienst wird standardmäßig im Rahmen der Installation von Operations Manager-Agent installiert, aber nicht aktiviert. Mit dem Task Überwachungssammlung aktivieren können Sie diesen Dienst für mehrere Agentcomputer gleichzeitig aktivieren. Nachdem Sie diesen Dienst aktiviert haben, werden alle Sicherheitsereignisse an die ACS-Sammlung gesendet, zusätzlich zum lokalen Sicherheitsprotokoll.

Die ACS-Sammlung empfängt und verarbeitet Ereignisse von ACS-Weiterleitungen und sendet diese Daten dann an die ACS-Datenbank. Diese Verarbeitung beinhaltet die Disassemblierung der Daten, sodass sie in der ACS-Datenbank über mehrere Tabellen verteilt werden können, die Minimierung der Datenredundanz und die Anwendung von Filtern, sodass nicht erforderliche Ereignisse nicht der ACS-Datenbank hinzugefügt werden.

Die Anzahl der ACS-Weiterleitungen, die von einer ACS-Sammlung und einer ACS-Datenbank unterstützt werden können, kann variieren. Sie hängt von den folgenden Faktoren ab:

• Der Anzahl von Ereignissen, die die Überwachungsrichtlinie generiert.

• Der Rolle der Computer, die die ACS-Weiterleitungen überwachen (beispielsweise Domänencontroller im Gegensatz zu Mitgliedsservern).

• Dem Umfang der Aktivitäten auf dem Computer.

• Der Hardware, auf der die ACS-Sammlung und die ACS-Datenbank ausgeführt werden.

Wenn Ihre Umgebung zu viele ACS-Weiterleitungen für eine einzelne ACS-Sammlung enthält, können Sie mehrere ACS-Sammlungen installieren. Jede ACS-Sammlung muss über ihre eigene ACS-Datenbank verfügen.

Für die ACS-Sammlung gelten die folgenden Anforderungen:

• Ein Operations Manager-Verwaltungsserver

• Ein Mitglied einer Active Directory-Domäne

• Mindestens 1 Gigabyte (GB) RAM, 2 GB werden empfohlen

• Ein Prozessor mit mindestens 1,8 Gigahertz (GHz), ein Prozessor mit 2,8 GHz wird empfohlen

• Mindestens 10 GB verfügbarer Festplattenspeicher, 50 GB werden empfohlen

Auf jeden Computer, auf dem Sie die ACS-Sammlung installieren möchten, müssen Sie von der Microsoft-Website die neueste Version der Microsoft Data Access Components (MDAC) herunterladen und installieren. Weitere Informationen zu MDAC finden Sie unter Learning Microsoft Data Access Components (MDAC) (Einführung zu Microsoft Data Access Components).

Die ACS-Datenbank ist das zentrale Repository für Ereignisse, die durch eine Überwachungsrichtlinie innerhalb einer ACS-Bereitstellung generiert werden. Die ACS-Datenbank kann sich auf demselben Computer befinden wie die ACS-Sammlung, doch für optimale Leistung sollten beide auf einem dedizierten Server installiert werden.

Für die ACS-Datenbank gelten die folgenden Anforderungen:

• Für System Center 2012 – Operations Manager: SQL Server 2005 oder SQL Server 2008. Sie können eine vorhandene oder eine neue Installation von SQL Server auswählen. Aufgrund der Beanspruchung durch die tägliche Wartung der ACS-Datenbank wird die Enterprise Edition von SQL Server empfohlen.

• Für System Center 2012 Service Pack 1 (SP1), Operations Manager: SQL Server SQL 2008 R2 SP1, SQL Server 2008 R2 SP2, SQL Server 2012 oder SQL Server 2012 SP1. Aufgrund der Beanspruchung durch die tägliche Wartung der ACS-Datenbank wird die Enterprise Edition von SQL Server empfohlen.

• Mindestens 1 GB RAM, 2 GB werden empfohlen

  Hinweis

  Wenn Sie SQL Server 2008 R2 oder früher und mehr als 2 GB Arbeitsspeicher in Ihrem Server mit einsetzen, sind einige zusätzliche Konfigurationsschritte erforderlich. Weitere Informationen und die erforderlichen Schritte finden Sie unter Konfigurieren von mehr als 2 GB physikalischen Arbeitsspeicher in SQL Server. Eine Liste der minimalen Hardware- und Softwareanforderungen für die Installation und Ausführung von SQL Server 2012 finden Sie unter Hardware- und Softwareanforderungen für die Installation von SQL Server 2012.

• Ein Prozessor mit mindestens 1,8 GHz, ein Prozessor mit 2,8 GHz wird empfohlen

• Mindestens 20 GB verfügbarer Festplattenspeicher, 100 GB werden empfohlen

Wenn Sie die SQL Server Standard Edition verwenden, muss die Datenbank während der täglichen Wartungsvorgänge angehalten werden. Dadurch wird u. U. die ACS-Sammlungswarteschlange mit Anforderungen von ACS-Weiterleitungen gefüllt. Eine volle ACS-Sammlungswarteschlange verursacht dann die Trennung der ACS-Weiterleitungen von der ACS-Sammlung. Getrennte ACS-Weiterleitungen stellen erneut eine Verbindung her, sobald die Datenbankwartung abgeschlossen ist. Dann wird der Rückstand der Warteschlange abgearbeitet. Um sicherzustellen, dass keine Überwachungsereignisse verloren gehen, sollte dem lokalen Sicherheitsprotokoll für alle ACS-Weiterleitungen ausreichend Festplattenspeicher zugewiesen werden.

SQL Server Enterprise Edition kann während der täglichen Wartungsvorgänge weiterhin Anforderungen von ACS-Weiterleitungen verarbeiten, jedoch mit geringerer Leistung. Weitere Informationen zur ACS-Sammlungswarteschlange und zur Trennung von ACS-Weiterleitungen finden Sie unter Kapazitätsplanung für die Überwachungssammeldienste (ACS) und Überwachen der ACS-Leistung.

System Center 2012 Service Pack 1 (SP1) – Operations Manager bietet ACS-Unterstützung für die dynamische Zugriffssteuerung, wie von Windows Server 2012 aktiviert.

Mit Windows Server 2012 können die Besitzer von Geschäftsdaten Daten leicht klassifizieren und bezeichnen, sodass Zugriffsrichtlinien für Datenklassen definiert werden können, die für das Unternehmen kritisch sind. Die Kompatibilitätsverwaltung in Windows Server 2012 wird effizienter und flexibler, da als Grundlage für Zugriffs- und Überwachungsrichtlinien jetzt nicht mehr nur Benutzer- und Gruppeninformationen verwendet werden können, sondern ein umfassenderer Satz an Benutzer-, Ressourcen- und Umgebungsansprüchen sowie Eigenschaften aus Active Directory und anderen Quellen. Benutzeransprüche wie Rollen, Projekte, Organisationen und Ressourceneigenschaften wie Datensicherheit sowie Geräteansprüche wie Integrität können für die Definition von Zugriffs- und Überwachungsrichtlinien verwendet werden.

Mit Windows Server 2012 wird das vorhandene Windows-ACL-Modell um die Unterstützung der dynamischen Zugriffssteuerung erweitert. Dadurch können Kunden eine ausdrucksbasierte Autorisierungszugriffsrichtlinie definieren, die über Benutzer- und Computeransprüche sowie Ressourceneigenschaften (z. B. von Dateien) Bedingungen berücksichtigt. Die folgende Erläuterung ist eine Beschreibung und keine tatsächliche Darstellung eines Ausdrucks:

• Lese- und Schreibzugriff zulassen, wenn „User.Clearance >= Resource.Secrecy and Device“ gilt. Healthy

• Lese- und Schreibzugriff zulassen, wenn „User.Project any_of Resource.Project“ gilt.

System Center 2012 Service Pack 1 (SP1) trägt zur Erfüllung dieser Szenarien bei, indem eine unternehmensweite Transparenz im Hinblick auf die Verwendung der dynamischen Zugriffssteuerung ermöglicht wird. Dazu sammeln die Operations Manager-Überwachungssammeldienste Ereignisse von den relevanten Computern (Dateiservern, Domänencontrollern) und bieten eine Berichterstattung, sodass Prüfer und Compliance Officer Berichte zur Verwendung der dynamischen Zugriffssteuerung erstellen können. Diese Berichte enthalten beispielsweise Überwachungsänderungen in Richtlinien, Objektzugriffe (Erfolg und Fehler) sowie Was-wäre-wenn-Analysen über die Anwendung einer bestimmten Richtlinie.

Konfiguration für die dynamische Zugriffssteuerung

Durch den Kunden ist keine Konfiguration für die Verarbeitung der dynamischen Zugriffssteuerung mit ACS erforderlich. Die einzige Interaktion mit dieser Funktion erfolgt durch eine Reihe von Berichten. Es ist keine weitere Überwachung erforderlich.

Es gibt einige Unterschiede bei der Nutzung von ACS auf UNIX-und Linux-Computern im Vergleich zu Windows-Computern. Sie lauten wie folgt:

• Sie müssen die ACS Management Packs für die UNIX- und Linux-Betriebssysteme importieren.

• Ereignisse, die von der Überwachungsrichtlinie auf UNIX- und Linux-Computern generiert werden, werden an das Sicherheitsereignisprotokoll von Windows auf dem Windows-Verwaltungsserver weitergeleitet, der die UNIX- oder Linux-Computer überwacht, und dann in der zentralisierten Datenbank gesammelt.

  Auf dem Verwaltungsserver analysiert ein Schreibaktionsmodul die Überwachungsdaten von den einzelnen verwalteten UNIX- und Linux-Computern und schreibt die Informationen in das Sicherheitsereignisprotokoll von Windows. Ein Datenquellenmodul kommuniziert mit Agents, die zur Protokolldateiüberwachung auf den verwalteten UNIX- und Linux-Computern bereitgestellt wurden.

• Auf jedem verwalteten UNIX- oder Linux-Computer befindet sich ein Agent (der Operations Manager-Agent für UNIX/Linux).

• Das ACS-Sammlungsschema wird erweitert, sodass es auch die zusätzlichen Inhalte und Formatierungen der Überwachungsdaten von UNIX- und Linux-Computern unterstützt.

• Sicherheit der Überwachungssammeldienste (ACS)

• Kapazitätsplanung für die Überwachungssammeldienste (ACS)

• Leistungsindikatoren für die Überwachungssammeldienste (ACS)

• Aktivieren der Audit Collection Services (ACS) Weiterleitungen

• Aktivieren der Protokollierung und ACS-Regeln auf Solaris und AIX-Computern

• ACS Filtern von Ereignissen für UNIX und Linux-Computern

• Zertifikate für ACS-Sammlung und Weiterleitung konfigurieren

• Überwachen der ACS-Leistung

• Audit Collection Services (ACS)entfernen

• Verwaltung der Überwachungssammeldienste (AdtAdmin.exe)

• Hauptseite für Operations Manager in der TechNet-Bibliothek

• Handbuch zu System Center 2012 - Operations Manager

• Anfängliche Überwachung nach der Installation von Operations Manager

• Verwalten des Zugriffs in Operations Manager

• Abrufen von Informationen aus Operations Manager

• Allgemeine Aufgaben in Operations Manager

• Wartung von Operations Manager

• Operations Manager-Berichterstellungshandbuch

• Accessing UNIX and Linux Computers in Operations Manager (Zugriff auf UNIX- und Linux-Computer in Operations Manager)

• Verwalten von Ermittlung und Agents