Rede do Windows: Segredos de auditoria de eventos do Windows
A necessidade por controle de acesso, conformidade regulatória e complexidade da rede torna a auditoria de eventos ainda mais importante do que nunca.
David Rowe
A montanha de requisitos de auditoria de acesso continua a crescer. Assim, também, fazer as perguntas que envolvem o acesso aos dados corporativos, tais como:
- Quem tem acesso para saber o que?
- Quem está acessando os dados?
- Quais controles estão no lugar em torno do gerenciamento de permissões?
Essas perguntas — e outros — tornaram-se tão comum parte discussões de IT como implementação de software e de capacidade do servidor.
Embora os requisitos de auditoria impossíveis ignorar, a tática que constituem uma abordagem ideal para suas necessidades específicas permanece enganosos. Cada organização é diferente em termos de aplicativos, firewalls, configuração de rede e outras complexidades. A maioria compartilha componentes fundamentais comuns, incluindo o Microsoft Active Directory e seus sistemas de arquivos do Windows relacionados.
Windows e Active Directory tornaram grampos em praticamente qualquer empresa. Auditar eventos de segurança nessas plataformas é um desafio de todos os lugares relevante para quase todos gerente de TI. No entanto, as soluções óbvias apresentam desafios ocultos.
Servidores do Microsoft Windows, incluindo Active Directory, têm recursos internos de log de eventos. Você pode configurar esses logs de eventos para capturar eventos de segurança crítica, como a criação alterações de associação de grupo de segurança e a conta de usuário. No entanto, capturar as informações corretas da maneira certa, que permite a ação sobre ele é um trabalho complicado. Há uma série de etapas que você deve seguir para configurar o log de eventos do Windows. Mesmo assim, os resultados podem ser unsatisfying.
Configurar o log de eventos do Windows
A sabedoria convencional em torno de resposta de auditoria diz simplesmente capturar tudo o que acontece de todos os sistemas. Ativar o log e estabeleça um mecanismo para converter logs em algum formato de armazenamento a longo prazo pesquisável, disponível para relatar e conveniente para arquivamento.
Soluções de gerenciamento de registros e informações de segurança e gerenciamento de eventos (SIEM) normalmente assinar esta linha de pensamento. Isso dá a vantagem de poder ao monitor centenas de soluções de fornecedores diferentes — do hardware de rede para aplicativos de software — com uma abordagem comum. Obviamente, implementar essa abordagem é mais fácil dizer que realizado.
Aqui estão algumas etapas a que serem seguidas ao configurar o Windows e Active Directory log de eventos, seja para integração com uma solução SIEM ou simplesmente para capturar para futuras de auditoria.
1. Determinar os eventos que você precisa.
Primeiro, você precisará entender o que você precisa controlar os eventos. Você também precisará reunir os identificadores de evento associado (IDs). Complicando a esta tarefa é que a numeração de ID de evento é diferente entre as versões do Windows. Por exemplo, o Windows Server 2008 usa as identificações de evento de quatro dígitos juntamente com subcategorias de auditoria para cada uma das categorias principais de auditoria.
Existem muitos eventos que se assemelham entre si, portanto, você precisa saber o que está fazendo o evento correto. Uma única ação geralmente irá gerar inúmeros eventos no log, portanto, é importante entender a inter-relação entre as identificações de evento.
As subcategorias no Windows Server 2008 podem ser útil porque você pode ativar a auditoria em alguns eventos, mas não outros. Esta é uma etapa na direção certa para a auditoria da Microsoft. Por exemplo, em vez de tratar todos os eventos de gerenciamento de contas da mesma, você pode ativar a auditoria em gerenciamento de grupo de segurança mas desabilitar auditoria no gerenciamento de grupo de distribuição.
Você precisa usar uma ferramenta de linha de comando para aplicar configurações de auditoria para subcategorias. Você ainda não obtém filtragem avançada recursos, tais como alertas sobre alterações em ações tomadas por um subconjunto de usuários ou de grupos de alto risco.
Há também eventos de auditoria de gerenciamento de contas e os eventos de auditoria de acesso ao serviço de diretório que se sobrepõem. Isso é complicado é importante ainda mais. Se ambas estiverem ativadas, você poderia ver mais eventos duplicados, que cria uma confusão sobre onde encontrar os melhores dados do evento. "Antes" e "Após" valores são gravados para eventos diferentes. Em muitos casos, você precisará correlacionar vários eventos para responder a perguntas básicas até mesmo.
2. Ativar a auditoria em objetos desejados
Você sabe que o conjunto de eventos, que você precisa de auditoria e ter as identificações de evento associado, você precisa ativar a auditoria em objetos em si. Em alguns casos, as configurações padrão podem ser suficiente.
Você pode gerenciar as configurações de auditoria em uma base do objeto, objeto, portanto, é importante compreender quais são as configurações de auditoria e aplicam quaisquer alterações que você precisa para atender às suas necessidades. Por exemplo, você pode com o botão direito em um objeto, vá para a guia Segurança e clique em "Avançado". Isso permitirá que você aplicar as alterações na guia auditoria, como configurações de auditoria herdadas à desabilitação de objetos do pai ou adicionar configurações de auditoria específicas para este objeto específico ou todos os objetos filho.
Em outras palavras, se você ativar a auditoria em grupos de segurança, você ainda precisará garantir que a auditoria é ativada nesses objetos de grupo de segurança específicas. Normalmente, permitindo que a auditoria em objetos de diretório é tão simple como "Gerenciamento de conta de auditoria" no objeto de diretiva de grupo apropriada de ativação. Tenha em mente, porém, essa auditoria configurações ligeiramente diferem em várias versões do Windows. Se você tiver um ambiente misto, certifique-se de consultar a documentação para obter instruções de configuração de auditoria apropriada. Além disso, certifique-se de que suas diretivas de auditoria estão configuradas corretamente em cada controlador de domínio do Active Directory.
Você também pode usar o Editor de Interfaces de serviço do Active Directory ou ADSI Edit, para aplicar um sinalizador de "auditoria de não" em atributos que você gostaria de filtrar fora do processo de auditoria. Isso remove todas as auditorias desse atributo para todos os objetos, então, fazer isso com cuidado. Por exemplo, não será capaz de distinguir entre contas de usuário administrativo e de outras contas.
3. Definir as configurações de Log de eventos
A terceira etapa é definir as configurações de log. Você precisa definir as permissões de acesso apropriados para que os usuários avançados que desejam para encobrir seus rastros não é possível limpar os logs para ocultar seus rastros. Se a diretiva de segurança de log não estiver habilitada, qualquer usuário autenticado tem acesso suficiente para gravar e logs de aplicativo evidentes. Por padrão, os logs de sistema e segurança só podem ser limpo por software de sistema ou administradores.
Você também precisa definir as regras de retenção e o tamanho máximo do log com base em seus requisitos e o ambiente específico. Estas configurações ajudam a controlar o que acontece quando eles atingirem esse tamanho máximo e o log como grandes arquivos podem crescer. Isso é fundamental, porque você precisa de seus sistemas de coleta de log para ser capaz de lidar com os logs de forma eficiente. Quando eles atingirem o limite muito grandes, logs podem reduzir consideravelmente o desempenho do servidor.
O ideal é que os logs do sistema não foram projetados para facilitar a pesquisa, emissão flexível de relatórios ou arquivamento de longo prazo. Eles estão sujeitos à configuração correta e persistente. Supondo que tudo o que é perfeitamente implementado e mantido, você deve ser capaz de coletar os dados que necessários relacionados à emissão de relatórios de auditoria. Extraindo informações úteis e gerando resultados acionáveis de que os dados é um desafio totalmente novo.
Por exemplo, uma única ação geralmente gera vários eventos de log. Isso torna difícil distinguir as ações específicas, como um usuário que não seja os arquivos de Finanças de acessar do departamento de finanças. Cada evento é rotulado com um ID de evento e o idioma que muitas vezes parece confusos para os auditores e gerentes de negócios não treinado. Você precisará gastar um tempo significativo e processos de analisar dados de log de conversão esforço durante a auditoria ou direito.
Também vale a pena considerar que os logs de eventos capturar apenas uma pequena parte do que acontece. Por exemplo, pode haver um conjunto predefinido de alterações de atributo e o objeto no Active Directory que aparecem no Log de eventos de segurança. Uma alteração para o atributo de descrição de um grupo de segurança não apareceriam no log.
Você poderia potencialmente configurar logs de eventos para capturar as alterações nos atributos que não estão disponíveis por padrão, mas não a maioria das organizações. Isso cria uma camada de gerenciamento e configuração pode causar dores de cabeça. Os logs também costuma ser omite informações críticas, como, por exemplo, quem fez ou o que o valor que era antes da alteração ocorreu (caso você precise reverter).
Soluções de gerenciamento de log e SIEM às vezes podem melhorar a situação, facilitando os logs para pesquisa, relatório e arquivamento. Muitas empresas subestimam o esforço de inicial e contínuo necessário para obter as respostas de que precisam.
Para algumas organizações, isso ainda pode ser a melhor abordagem porque o custo e esforço podem ser avaliados contra o resultado final — armazenamento de longo prazo dos logs de eventos de potencialmente centenas de sistemas e a capacidade de atender aos requisitos de conformidade, retenção e controle de acesso. Se o seu foco principal é o seu ambiente de rede do Windows e você gostaria de relatar mais simples, redução de custos e esforço e maior controle sobre a resposta do evento, há uma alternativa.
Uma abordagem alternativa
O que você realmente precisa é informação, não os registros. Não começar a pensar em processo como melhor coletar logs. Comece a considerar as ações humanas reais importantes para os negócios. São recém criadas contas de usuário importante? Você deseja saber quem está alterando as listas de membros do grupo de segurança? Você precisa saber quem você deve adicionar ao grupo? Cuidado quando um membro do departamento abre um arquivo relevante para esse departamento? Você deseja saber quando os membros do seu grupo de TI acessar esses dados? Essas perguntas são essenciais.
Não limite-se a que está aparecendo nos logs de eventos. Você pode pensar sobre o que você realmente deseja, que é respostas para esses tipos de perguntas. Você precisa de respostas para perguntas e as informações acionáveis e compreensível por pessoal não-TI.
Ao coletar informações da fonte em vez de logs de eventos, você obtém acesso para obter mais informações, melhor detalhes e uma abordagem mais confiável e consistente. Também é mais fácil de gerenciar porque não existem configurações de auditoria ou numéricas identificações de evento.
Se você precisar de uma gerenciamento de registros corporativos, você pode organizar suas informações para facilitar a integração e carregar. Você poderia ser ajudando o processo um pouco filtrando dados indesejados e fornecendo a exatamente o que você precisa em um formato de fácil leitura.
A auditoria não é para o Meek
Enquanto as informações de eventos de segurança estão claramente útil e importante, capturar informações do log de eventos do Windows apresenta um número de desafios e esforço significativo. Esses desafios podem ser gerenciados com suficiente tempo, esforço e custo. Os resultados finais ainda poderão perder o destino, no entanto.
A captura de informações de evento sem depender de logs de eventos ajuda você a gerar as respostas que necessárias sem implementar e gerenciar a auditoria de log de eventos de segurança do Windows. A abordagem convencional gera dados. A melhor abordagem cria respostas com menos esforço, melhor emissão de relatórios e informações acionáveis.
.jpg)
**David Rowe**o CEO da NetVision, uma empresa privada fornecendo soluções de conformidade e controle para acesso corporativo é auditoria. Rowe ocupou director, Supervisor e funções de nível executivo com várias inicializações, incluindo Imperva, Cerberian, PS'Soft, Inc Doyenz. e Inc. de Avinti Anteriormente atuou como diretor de marketing para Trend Micro, Inc. e o gerente da unidade de negócios e diretor de marketing, produtos e desenvolvimento de negócios da Intel Corp. nos Estados Unidos, Japão, Europa e Israel.