Überprüfbare sicherheitsrelevante Ereignisse

Überprüfbare sicherheitsrelevante Ereignisse sind sicherheitsrelevante Ereignisse mit einer Prüfinstrumentierung für den Sicherheitslaufzeitcode zur Aufzeichnung von Ereignissen. Es sind Ereignisfilter konfiguriert, die festlegen, welche überprüfbaren sicherheitsrelevanten Ereignisse in den Prüfprotokolldateien erfasst werden.

Die folgende Tabelle beschreibt jedes gültige überprüfbare Ereignis, das Sie bei der Erstellung eines Ereignisfilters als aktivierten Ereignistyp angeben können:
Tabelle 1. Ereignistypen. Die folgende Liste beschreibt jedes gültige überprüfbare Ereignis, das Sie bei der Erstellung eines Ereignisfilters als aktivierten Ereignistyp angeben können:
Ereignisname Beschreibung
SECURITY_AUTHN Prüft alle Authentifizierungsereignisse.
SECURITY_AUTHN_MAPPING Prüft Ereignisse, die die Zuordnung von Berechtigungsnachweisen aufzeichnen, wenn zwei Benutzeridentitäten beteiligt sind.
SECURITY_AUTHN_TERMINATE Prüft Authentifizierungsbeendigungsereignisse, wie z. B. eine formularbasierte Abmeldung.
SECURITY_AUTHZ Prüft Ereignisse, die sich auf Berechtigungsprüfungen beziehen, wenn das System Zugriffssteuerungsrichtlinien umsetzt.
SECURITY_RUNTIME Prüft Laufzeitereignisse, wie z. B. das Starten und Stoppen von Sicherheitsservern. Dieser Ereignistyp ist nicht für Verwaltungsoperationen vorgesehen, die von einem Systemadministrator ausgeführt werden, da solche Operationen die anderen Ereignistypen der Kategorie SECURITY_MGMT_* verwenden müssen.
SECURITY_MGMT_AUDIT Prüft Ereignisse, die Operationen protokollieren, die sich auf das Prüfsubsystem beziehen, wie z. B. das Starten, Stoppen, Aktivieren oder Inaktivieren der Prüfung, das Ändern der Konfiguration von Prüffiltern oder Prüfstufen, das Archivieren von Prüfdaten, das Löschen von Prüfdaten usw.
SECURITY_RESOURCE_ACCESS Prüft Ereignisse, die alle Zugriff auf eine Ressource protokollieren. Die sind beispielsweise alle Zugriffe auf eine Datei, alle HTTP-Anforderungen und -Antworten für eine bestimmte Webseite sowie alle Zugriffe auf eine kritische Datenbanktabelle.
SECURITY_SIGNING Prüft Ereignisse, die Signaturen protokollieren, wie z. B. Signaturoperationen, die für die Validierung der Abschnitte einer SOAP-Nachricht für Web-Services verwendet werden.
SECURITY_ENCRYPTION Prüft Ereignisse, die Verschlüsselungsinformationen protokollieren, wie z. B. die Verschlüsselung für Web-Services.
SECURITY_AUTHN_DELEGATION Prüft Ereignisse, die Delegierungen protokollieren, wie z. B. Zusicherung der Identität, RunAs oder Zusicherungen auf niedriger Ebene. Dieser Ereignistyp wird verwendet, wenn die Clientidentität weitergegeben wird oder wenn die Delegierung die Verwendung einer bestimmten Identität beinhaltet. Dieser Ereignistyp wird auch verwendet, wenn Benutzeridentitäten innerhalb einer bestimmten Sitzung gewechselt werden.
SECURITY_AUTHN_CREDS_MODIFY Prüft Ereignisse, bei denen die Berechtigungsnachweise für eine bestimmte Benutzeridentität geändert werden.
SECURITY_FORM_LOGIN Überprüft Ereignisse des angemeldeten Benutzers und der fernen IP-Adresse, von der aus die Anmeldung zusammen mit der Zeitmarke und dem Ergebnis initiiert wurde.
SECURITY_FORM_LOGOUT Überprüft Ereignisse des abgemeldeten Benutzers und der fernen IP-Adresse, von der aus die Abmeldung zusammen mit der Zeitmarke und dem Ergebnis initiiert wurde.
Sie müssen für jeden Prüfereignistyp ein Ergebnis angeben. Die gültigen Ergebnisse sind SUCCESS, FAILURE, REDIRECT, ERROR, DENIED, WARNING und INFO. Nicht alle Ergebnisse sind für alle Ereignistypen gültig.
Anmerkung: Die Unterstützung für den Prüfereignistyp SECURITY_RUNTIME wurde für dieses Release von WebSphere Application Server vollständig implementiert. Es werden Laufzeitereignisse wie das Starten und Stoppen von Sicherheitsservern geprüft.
[z/OS]
Tabelle 2. SMF-Codes für Ereignistypen. Die folgende Tabelle enthält die Zuordnungen von Sicherheitsprüfereignistypen und Ereignisresultaten zu SMF-Interpretationen.
Ereignisname SMF-Code SMF-Schlüsselwort für Entladen
SECURITY_AUTHN 1 *WASAUTN
SECURITY_AUTHN_MAPPING 3 *WASAUTM
SECURITY_AUTHN_TERMINATE 2 *WASAUTT
SECURITY_AUTHZ 4 *WASAUTZ
SECURITY_MGMT_CONFIG 8 *WASCONF
SECURITY_MGMT_POLICY 5 *WASPOLM
SECURITY_MGMT_PROVISIONING 9 *WASPROV
SECURITY_MGMT_RESOURCE 10 *WASRESM
SECURITY_RUNTIME 7 *WASRUNT
SECURITY_RUNTIME_KEY 11 *WASKEYR
SECURITY_MGMT_KEY 12 *WASKEYM
SECURITY_MGMT_AUDIT 13 *WASAUDI
SECURITY_MGMT_REGISTRY 6 *WASREGM
SECURITY_RESOURCE_ACCESS 14 *WASACCE
SECURITY_SIGNING 15 *WASSIGN
SECURITY_ENCRYPTION 16 *WASCRYP
SECURITY_AUTHN_DELEGATION 17 *WASDELE
Tabelle 3. SMF-Qualifikationsmerkmal für Ereignisresultat. In der folgenden Tabelle sind die SMF-Qualifikationsmerkmale für Ereignisergebnisse aufgelistet.
Ereignisresultat SMF-Qualifikationsmerkmal SMF-Schlüsselwort für Entladen
SUCCESSFUL 0 SUCCESS
INFO 1 INFO
WARNING 2 WARNING
FAILURE 3 FAILURE
REDIRECT 4 REDIRECT
DENIED 5 DENIED

Für die Unterstützung der Einhaltung gesetzlicher Vorschriften mit geringen Leistungseinbußen werden An- und Abmeldevorgänge an der Webbenutzerschnittstelle mit einem Minimum an Prüfdaten erfasst.

Die folgenden in der Datei audit.xml unterstützten Eigenschaften werden eingeführt:
  • Die Eigenschaft com.ibm.audit.terse.form.login, deren Wert aus einer durch Leerzeichen getrennten Liste gültiger Ergebnisse besteht.
  • Die Eigenschaft com.ibm.audit.terse.form.logout, deren Wert aus einer durch Leerzeichen getrennten Liste gültiger Ergebnisse besteht.
  • Die Eigenschaft com.ibm.audit.terse.form.login aktiviert das Ereignis SECURITY_FORM_LOGIN mit den unter "value" angegebenen Ergebnissen.
  • Die Eigenschaft com.ibm.audit.terse.form.logout aktiviert das Ereignis SECURITY_FORM_LOGOUT mit den unter "value" angegebenen Ergebnissen.

Das Das Prüfereignisresultat enthält ausschließlich die Zeitmarke, den Benutzer, der an- bzw. abgemeldet wird, die ferne IP-Adresse, von der die An- bzw. Abmeldung ausging, und das Ergebnis.

Das folgende Beispiel zeigt eine Datei des Typs audit.xml, für die beide Eigenschaften angegeben wurden:

<?xml version="1.0" encoding="UTF-8"?>
<security:Audit xmi:version="2.0" xmlns:xmi="http://www.omg.org/XMI" xmlns:security="http://www.ibm.com/websphere/appserver/schemas/5.0/security.xmi" xmi:id="Audit_1173199825578">
  <auditSpecifications xmi:id="AuditSpecification_1173199825610" enabled="true" name="DefaultAuditSpecification_3">
    <event>SECURITY_AUTHN_TERMINATE</event>
    <outcome>SUCCESS</outcome>
    <outcome>REDIRECT</outcome>
    <outcome>FAILURE</outcome>
  </auditSpecifications>
  <auditPolicy xmi:id="AuditPolicy_1173199825608" auditEnabled="true" auditorId="sadie" auditorPwd="{xor}" sign="false" encrypt="false" batching="false" verbose="false">
    <auditEventFactories xmi:id="AuditEventFactory_1173199825608" name="auditEventFactoryImpl_1" className="com.ibm.ws.security.audit.AuditEventFactoryImpl" auditServiceProvider="AuditServiceProvider_1173199825608" auditSpecifications="AuditSpecification_1173199825610"/>
    <auditServiceProviders xmi:id="AuditServiceProvider_1173199825608" name="auditServiceProviderImpl_1" className="com.ibm.ws.security.audit.BinaryEmitterImpl" eventFormatterClass="" maxFileSize="10" maxLogs="100" fileLocation="$(LOG_ROOT)" auditSpecifications="AuditSpecification_1173199825610"/>
  <properties xmi:id="Property_1" name="com.ibm.audit.terse.form.login" value="SUCCESS FAILURE" description="dtcc custom property"/>
  <properties xmi:id="Property_2" name="com.ibm.audit.terse.form.logout" value="SUCCESS FAILURE ERROR" description="dtcc custom property"/>
  </auditPolicy>
</security:Audit>

Property_1 gibt an, dass der Ereignistyp mit dem Kurznamen SECURITY_FORM_LOGIN erfasst wird. Ein Prüfereignis wird aber nur erfasst, wenn SUCCESS oder FAILURE ausgegeben wird.
Property_2 gibt an, dass der Ereignistyp mit dem Kurznamen SECURITY_FORM_LOGOUT erfasst wird. Ein Prüfereignis wird aber nur erfasst, wenn SUCCESS, FAILURE oder ERROR ausgegeben wird.

In WebSphere Application Server Version 9 wurde Unterstützung für die Konfiguration der auditevent-Typen SECURITY_FORM_LOGIN und SECURITY_FORM_LOGOUT über die Administrationskonsole oder über wsadmin-Scripting hinzugefügt. Das Angeben der Eigenschaften wird weiterhin unterstützt. Wenn Sie die Eigenschaften angeben, müssen sie nicht über die Administrationskonsole oder über wsadmin-Scripting erneut konfiguriert werden.


Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sa_event_types
Dateiname:rsec_sa_event_types.html