Biztonsági események gyűjtése az Operations Manager programban a naplózási szolgáltatások segítségével

Az ACS-továbbítókon futó szolgáltatás az Operations Manager-ügynök része. Ez a szolgáltatás az Operations Manager-ügynökkel együtt települ, de alapesetben nincs engedélyezve. A szolgáltatás – az ügynököt futtató számítógépek közül egyszerre akár többön is – a Naplózási gyűjtés engedélyezése feladattal engedélyezhető. A szolgáltatás engedélyezése után minden biztonsági esemény – amellett, hogy bekerül a helyi biztonsági naplóba – elküldésre kerül az ACS-gyűjtőnek.

Az ACS-gyűjtő fogadja és feldolgozza az ACS-továbbítókról érkező eseményeket, majd ezeket az adatokat az ACS-adatbázisba küldi. A feldolgozás része az adatok szétbontása; az adatrészek ezt követően az ACS-adatbázis különböző tábláiba kerülnek, minimális redundanciával. Ekkor történik a szűrők alkalmazása is, így a felesleges események nem kerülnek be az ACS-adatbázisba.

Az, hogy egy ACS-gyűjtő és -adatbázis hány ACS-továbbítót tud támogatni, a következő tényezőktől függően változik:

• A naplórend alapján előálló események száma.

• Az ACS-továbbítók által figyelt számítógépekre telepített szerepkörök (például tartományvezérlő vagy tagkiszolgáló).

• A számítógép terheltsége.

• Az ACS-gyűjtőt és az ACS-adatbázist futtató hardver.

Ha adott környezetben túl sok ACS-továbbító jut egyetlen ACS-gyűjtőre, akkor több ACS-gyűjtő telepítésére is van lehetőség. Mindegyik ACS-gyűjtőnek saját ACS-adatbázissal kell rendelkeznie.

Az ACS-gyűjtő által támasztott követelmények a következők:

• Operations Manager felügyeleti kiszolgáló

• Active Directory-tartományi tagság

• Legalább 1 GB RAM, 2 GB ajánlott

• Legalább 1,8 GHz-es processzor, 2,8 GHz-es ajánlott

• Legalább 10 GB szabad lemezterület, 50 GB ajánlott

Minden olyan számítógépen, amelyre telepíteni tervezi az ACS-gyűjtőt, a Microsoft webhelyéről le kell tölteni, majd telepíteni kell a Microsoft Data Access Components (MDAC) csomagot. További információk az MDAC-ről: Learning Microsoft Data Access Components (MDAC) (A Microsoft Data Access Components (MDAC) ismertetése).

Az ACS-adatbázis az ACS-rendszer tagjain a naplórend alapján keletkező események központi tárolója. Az ACS-adatbázis ugyanazon a gépen is lehet, mint az ACS-gyűjtő, de a lehető legjobb teljesítmény elérése érdekében érdemes mindkét összetevőt dedikált gépre telepíteni.

Az ACS-adatbázis által támasztott követelmények a következők:

• A System Center 2012 – Operations Manager esetén: SQL Server 2005 vagy SQL Server 2008. Meglévő és új SQL Server-telepítés is választható. Javasolt az SQL Server szoftver Enterprise kiadását használni, mert az ACS-adatbázis napi karbantartása erős terhelést okoz.

• A System Center 2012, 1. szervizcsomag (SP1), Operations Manager esetén: SQL Server SQL 2008 R2 SP1, SQL Server 2008 R2 SP2, SQL Server 2012 vagy SQL Server 2012 SP1. Javasolt az SQL Server szoftver Enterprise kiadását használni, mert az ACS-adatbázis napi karbantartása erős terhelést okoz.

• Legalább 1 GB RAM, 2 GB ajánlott

  Megjegyzés

  Ha SQL Server 2008 R2 vagy korábbi rendszert használ, és a kiszolgáló 2 GB-nál több memóriával rendelkezik, néhány további konfigurációs lépésre van szükség. A szükséges lépésekkel kapcsolatos részletes információk: How to configure SQL Server to use more than 2 GB of physical memory (Az SQL Server konfigurálása 2 GB-nál több memória használatára). Az SQL Server 2012 telepítéséhez és használatához teljesítendő minimális hardver- és szoftverkövetelményeket lásd: Hardware and Software Requirements for Installing SQL Server 2012 (Az SQL Server 2012 telepítési hardver- és szoftverkövetelményei).

• Legalább 1,8 GHz-es processzor, 2,8 GHz-es ajánlott

• Legalább 20 GB szabad lemezterület, 100 GB ajánlott

Az SQL Server Standard kiadásának használatakor a napi karbantartás idejére szüneteltetni kell az adatbázis működését. Emiatt előfordulhat, hogy az ACS-gyűjtő várólistája megtelik az ACS-továbbítóktól érkező kérésekkel. Az ACS-gyűjtő várólistájának megtelése miatt az ACS-továbbítók leszakadnak az ACS-gyűjtőről. A leszakadt ACS-továbbítók az adatbázis-karbantartás befejezése és a várólista feldolgozása után visszacsatlakoznak. Annak biztosítása érdekében, hogy ne vesszenek el a naplóesemények, minden ACS-továbbítón biztosítson elegendő lemezterületet a helyi biztonsági naplónak.

Az SQL Server Enterprise kiadása a napi karbantartás ideje alatt is ki tudja szolgálni az ACS-továbbítókat, bár kisebb teljesítménnyel. Tovább információk az ACS-gyűjtő várólistájáról és az ACS-továbbítók kapcsolatának bontásáról: A naplózási szolgáltatások kapacitástervezése és A naplózási szolgáltatások teljesítményének figyelése.

A System Center 2012, 1. szervizcsomag (SP1), Operations Manager részét képező ACS támogatja a Windows Server 2012 operációs rendszerben megjelent dinamikus hozzáférés-vezérlést.

A Windows Server 2012 segítségével az üzleti adatok birtokosai könnyen besorolással és címkével láthatják el az adatokat, amelyre építve hozzáférési házirendek rendelhetők a vállalkozás számára kritikus különféle adatosztályokhoz. A Windows Server 2012 megjelenésével egyszerűbbé és rugalmasabbá vált a megfeleléskezelés, hiszen a hozzáférési és naplózási házirendek nem csak felhasználó- és csoportadatokra, de felhasználói, erőforrás- és környezeti jogcímek széles körére, az Active Directoryban tárolt tulajdonságokra és egyéb forrásokra is alapulhatnak. A felhasználói jogcímek – pl. szerepkörök, projektek, szervezet –, az erőforrás-tulajdonságok – pl. titkosság – és az eszközjogcímek – pl. állapot – egyaránt felhasználhatók a hozzáférési és naplózási házirendek meghatározásakor.

A Windows Server 2012 a Windows meglévő ACL-alapú modelljét terjeszti ki a dinamikus hozzáférés-vezérléssel, amelyben a felhasználók kifejezésalapú engedélyezési hozzáférési házirendeket határozhatnak meg. A házirendek feltételeiben felhasználói és számítógép-jogcímek, illetve erőforrás-tulajdonságok (pl. fájltulajdonságok) használhatók fel. Az alábbiakban leíró jelleggel (nem egy tényleges kifejezést feltüntetve) szemléltetjük a megoldást:

• Olvasási és írási hozzáférés engedélyezése, ha Felhasználó.Engedély >= Erőforrás.Titkosság és Eszköz. Kifogástalan

• Olvasási és írási hozzáférés engedélyezése, ha Felhasználó.Projekt bármely_a_következők_közül Erőforrás.Projekt

A System Center 2012, 1. szervizcsomag (SP1) azzal járul hozzá az ilyen jellegű igények kielégítéséhez, hogy a teljes vállalatra kiterjedően láthatóvá teszi a dinamikus hozzáférés-vezérlés használatát. Az Operations Manager naplózási szolgáltatása összegyűjti az eseményeket a megfelelő számítógépekről (fájlkiszolgálókról és tartományvezérlőkről), majd jelentések elkészítésével segíti az auditorokat és a megfelelésért felelős személyeket a dinamikus hozzáférés-vezérlés használatának áttekintésében; ide tartozhat például a házirendek változásainak naplózása, az objektumok sikeres és sikertelen eléréseinek naplózása, valamint az olyan jellegű kérdések megválaszolása, hogy mi történne, ha adott házirend érvénybe lépne.

A dinamikus hozzáférés-vezérlés támogatásához szükséges beállítások

Felhasználói oldalon semmilyen beállítást nem kell módosítani ahhoz, hogy az ACS kezelni tudja a dinamikus hozzáférés-vezérlés használata miatt keletkező adatokat. A két szolgáltatás között kizárólag a jelentések révén van kapcsolat. További figyelésre nincs szükség.

A UNIX és a Linux rendszerű számítógépeken a Windows-alapú számítógépekhez képest néhány dologban eltér az ACS működése. Ezek a következők:

• Importálni kell a UNIX és Linux operációs rendszerekhez készült ACS felügyeleti csomagokat.

• A UNIX és a Linux rendszerű számítógépeken a naplórend alapján keletkező események első lépésként a UNIX és Linux rendszerű számítógépek figyelését végző windowsos felügyeleti kiszolgáló Windows biztonságiesemény-naplójába kerülnek, majd a rendszer innen gyűjti be őket a központi adatbázisba.

  A felügyeleti kiszolgálón egy írási műveleti modul elemzi a UNIX és Linux rendszerű számítógépektől kapott naplóadatokat, majd beírja az információkat a Windows biztonságiesemény-naplójába. A UNIX és Linux rendszerű felügyelt számítógépeken futó ügynökökkel a naplófájlok figyelése céljából egy adatforrásmodul kommunikál.

• Minden felügyelt UNIX és Linux rendszerű számítógépen található egy ügynök (a UNIX/Linux rendszerekhez készült Operations Manager-ügynök).

• Az ACS-gyűjtő sémája kibővítésre kerül úgy, hogy kezelni tudja a UNIX és Linux rendszerű számítógépektől érkező tartalmat, illetve a kapott naplóadatok formázását is.

• Naplózási szolgáltatások biztonsága

• A naplózási szolgáltatások kapacitástervezése

• A naplózási szolgáltatások teljesítményszámlálói

• A szolgáltatások (ACS) továbbítókat naplózási gyűjtés engedélyezése

• Az eseménynaplózás és az ACS szabályok Solaris és AIX számítógépek engedélyezése

• ACS-események szűrése a UNIX és Linux rendszerű számítógépek

• Tanúsítványok konfigurálása az ACS gyűjtő és továbbító

• A naplózási szolgáltatások teljesítményének figyelése

• Naplózási szolgáltatások (ACS) eltávolítása

• A naplózási szolgáltatások adminisztrációja (AdtAdmin.exe)

• Az Operations Manager főoldala a TechNet könyvtárban

• Üzemeltetési útmutató a System Center 2012 – Operations Manager termékhez

• Kezdeti figyelés az Operations Manager telepítése után

• Hozzáférés-kezelés az Operations Manager programban

• Adatgyűjtés az Operations Manager programból

• Általános feladatok az Operations Manager programban

• Az Operations Manager karbantartása

• Operations Manager Report Authoring Guide (Útmutató az Operations Manager jelentésszerzői műveleteihez)

• Accessing UNIX and Linux Computers in Operations Manager (UNIX és Linux rendszerű számítógépek elérése az Operations Manager programban)

• A felderítés és az ügynökök kezelése