Сбор событий безопасности с помощью служб ACS в Operations Manager

Служба, выполняемая на серверах пересылки ACS, включается в агент Operations Manager. При установке агента Operations Manager эта служба по умолчанию устанавливается, но не включается. Вы можете включить эту службу для нескольких агентских компьютеров одновременно, используя задачу Включить сбор данных аудита. После включения этой службы данные всех событий безопасности отправляются не только в локальный журнал безопасности, но и на сборщик ACS.

Сборщик ACS принимает и обрабатывает данные событий от серверов пересылки ACS и затем отправляет эти данные в базу данных ACS. Этот процесс включает в себя декомпозицию данных, чтобы их можно было распределить по нескольким таблицам в базе данных ACS, минимизировать избыточность данных и применить фильтры, чтобы лишние события не добавлялись в базу данных ACS.

Число серверов пересылки ACS, поддерживаемых одним сборщиком ACS и базой данных ACS, зависит от следующих факторов:

• число событий, формируемых политикой аудита;

• роль компьютеров, отслеживаемых серверами пересылки ACS (например, контроллер домена или рядовой сервер);

• уровень активности на компьютере;

• оборудование, на котором работает сборщик ACS и база данных ACS.

Если данная среда содержит слишком много серверов пересылки ACS для одного сборщика ACS, можно установить несколько сборщиков ACS. У каждого сборщика ACS должна быть собственная база данных ACS.

К сборщикам ACS применяются следующие требования:

• сервер управления Operations Manager;

• участник домена Active Directory;

• минимальный объем памяти 1 ГБ, рекомендуемый объем памяти — 2 ГБ;

• процессор с частотой 1,8 ГГц, рекомендуемая частота — 2,8 ГГц;

• минимум 10 ГБ пространства на жестком диске, рекомендуется — 50 ГБ.

На каждый компьютер, на котором планируется установить сборщик ACS, следует загрузить с веб-узла корпорации Майкрософт и установить последнюю версию компонентов Windows DAC. Дополнительные сведения о MDAC см. в статье Изучение компонентов доступа к данным Майкрософт (MDAC).

База данных ACS – это центральный репозиторий для данных событий, формируемых политикой аудита в рамках развертывания служб ACS. База данных ACS может размещаться на одном компьютере со сборщиком ACS, но ради повышения производительности каждый из этих компонентов следует устанавливать на отдельном сервере.

К базе данных ACS применяются следующие требования:

• Для System Center 2012 — Operations Manager SQL Server 2005 или SQL Server 2008. Вы можете выбрать существующую или новую установку SQL Server. Рекомендуется выпуск SQL Server Enterprise из-за тяжелой нагрузки, связанной с ежедневным обслуживанием базы данных ACS.

• Для Пакет обновления 1 (SP1) для System Center 2012, Operations Manager: SQL Server SQL 2008 R2 SP1, SQL Server 2008 R2 SP2, SQL Server 2012 или SQL Server 2012 SP1. Рекомендуется выпуск SQL Server Enterprise из-за тяжелой нагрузки, связанной с ежедневным обслуживанием базы данных ACS.

• Минимальный объем памяти 1 ГБ, рекомендуемый объем памяти — 2 ГБ.

  Примечание

  Если вы используете SQL Server 2008 R2 или более ранних версий и на сервере установлено более 2 ГБ памяти, требуются некоторые дополнительные действия по настройке. Дополнительные сведения см. в статье Настройка SQL Server для использования более чем 2 ГБ физической памяти. Список минимальных требований к оборудованию и программному обеспечению для установки и запуска SQL Server 2012 см. в статье Требования к оборудованию и программному обеспечению для установки SQL Server 2012.

• Процессор с частотой 1,8 ГГц, рекомендуемая частота — 2,8 ГГц.

• Минимум 20 ГБ пространства на жестком диске, рекомендуется — 100 ГБ.

Если используется SQL Server Standard Edition, базе данных придется делать паузы на время ежедневных операций обслуживания. Это может вызвать заполнение очереди сборщика ACS запросами от серверов пересылки ACS. А заполнение очереди сборщика ACS вызывает отключение серверов пересылки ACS от сборщика ACS. После обслуживания базы данных отключенные серверы пересылки ACS снова подключаются, после чего незавершенная обработка очереди возобновляется. Чтобы предотвратить потерю событий аудита, выделите достаточно места на жестком диске для локального журнала безопасности на всех серверах пересылки ACS.

Выпуск SQL Server Enterprise может продолжать обслуживать запросы серверов пересылки ACS, хотя и с более низкой производительностью, во время ежедневных операций обслуживания. Дополнительные сведения об очереди сборщика ACS и отключении серверов пересылки ACS см. в разделах Планирование загрузки служб ACS и Мониторинг производительности служб ACS.

Пакет обновления 1 (SP1) для System Center 2012, Operations Manager обеспечивает поддержку ACS для динамического контроля доступа в Windows Server 2012.

Windows Server 2012 позволяет владельцам бизнес-данных легко классифицировать и помечать данные, что делает возможным определение политик доступа для классов данных, особенно важных для бизнеса. Управление соответствием в Windows Server 2012 становится более эффективным и гибким, поскольку политики доступа и аудита могут основываться не только на сведениях о пользователях и группах, но и на более широком наборе требований к пользователям, ресурсам и экологии, а также свойствах из Active Directory и других источников. При определении политик доступа и аудита могут использоваться такие пользовательские утверждения, как роли, проекты, организации, свойства ресурсов, например секретность, и требования к устройствам, например работоспособность.

В Windows Server 2012 существующая модель списков управления доступом Windows усовершенствована для поддержки динамического контроля доступа, чтобы клиенты могли задавать политики авторизации доступа на основе выражений, включающих условия с использованием утверждений для пользователей и компьютеров, а также свойств ресурсов (например, файлов). Следующий пример не представляет действительное выражение и приводится для наглядности:

• Разрешить чтение и запись, если Пользователь.Доступ >= Ресурс.Безопасность и Устройство. Работоспособно

• Разрешить чтение и запись, если Пользователь.Проект относится_к Ресурс.Проект

Пакет обновления 1 (SP1) для System Center 2012 вносит свой вклад в реализацию этих сценариев, предоставляя в масштабах предприятия возможность слежения за динамическим контролем доступа, используя службы ACS Operations Manager для сбора событий с соответствующих устройств (файловых серверов, контроллеров доменов) и обеспечивая отчетность, позволяющую аудиторам и ответственным за обеспечение соответствия требованиям отчитываться об применении динамического контроля доступа — например, по аудиту изменений в политиках, доступу к объектам (как успешному, так и неудачному) и оценкам того, что произойдет при применении определенной политики.

Конфигурация для динамического контроля доступа

Пользователю не требуется настраивать данные динамического контроля доступа ACS. Единственный способ взаимодействия с этим компонентом — использование набора отчетов. Дополнительный мониторинг не требуется.

Существует несколько отличий в работе служб ACS, выполняемых на компьютерах с ОС UNIX и Linux и компьютерами под управлением Windows. Они приведены ниже:

• Необходимо импортировать пакеты управления ACS для операционных систем UNIX и Linux.

• События, созданные политикой аудита на компьютерах с UNIX и Linux пересылаются в журнал событий безопасности Windows сервера управления Windows, отслеживающего компьютеры с UNIX и Linux, а затем собираются в центральной базе данных.

  На сервере управления модуль записи анализирует данные аудита с каждого управляемого компьютера с UNIX и Linux и записывает информацию в журнал событий безопасности Windows. Модуль источника данных взаимодействует с агентами, развернутыми на управляемых компьютерах с UNIX и Linux, для отслеживания файлов журналов.

• Агент (агент Operations Manager для UNIX/Linux) находится на всех управляемых компьютерах с UNIX или Linux.

• Схема сборщика ACS расширяется для поддержки дополнительного контента и форматирования данных аудита, переданных компьютерами с UNIX и Linux.

• Безопасность служб ACS

• Планирование загрузки служб ACS

• Счетчики производительности служб ACS

• Как включить сбор аудита службы пересылки (ACS)

• Как включить ведение журнала событий и правил ACS на компьютерах AIX и Solaris

• Инструкции по фильтрации событий ACS для UNIX и Linux компьютеров

• Как настроить сертификаты для пересылки и сбора ACS

• Мониторинг производительности служб ACS

• Удаление службы сбора аудита (ACS)

• Администрирование служб ACS (AdtAdmin.exe)

• Главная страница Operations Manager в библиотеке TechNet

• Руководство по работе с продуктом System Center 2012 — Operations Manager

• Начальный мониторинг после установки Operations Manager

• Управление доступом в Operations Manager

• Получение данных от Operations Manager

• Общие задачи в Operations Manager

• Обслуживание Operations Manager

• Руководство по созданию отчетов в Operations Manager

• Accessing UNIX and Linux Computers in Operations Manager (Доступ к компьютерам под управлением ОС UNIX и Linux в Operations Manager)

• Управление обнаружением и агентами