Überprüfbare sicherheitsrelevante Ereignisse
Überprüfbare sicherheitsrelevante Ereignisse sind sicherheitsrelevante Ereignisse mit einer Prüfinstrumentierung für den Sicherheitslaufzeitcode zur Aufzeichnung von Ereignissen. Es sind Ereignisfilter konfiguriert, die festlegen, welche überprüfbaren sicherheitsrelevanten Ereignisse in den Prüfprotokolldateien erfasst werden.
Ereignisname | Beschreibung |
---|---|
SECURITY_AUTHN | Prüft alle Authentifizierungsereignisse. |
SECURITY_AUTHN_MAPPING | Prüft Ereignisse, die die Zuordnung von Berechtigungsnachweisen aufzeichnen, wenn zwei Benutzeridentitäten beteiligt sind. |
SECURITY_AUTHN_TERMINATE | Prüft Authentifizierungsbeendigungsereignisse, wie z. B. eine formularbasierte Abmeldung. |
SECURITY_AUTHZ | Prüft Ereignisse, die sich auf Berechtigungsprüfungen beziehen, wenn das System Zugriffssteuerungsrichtlinien umsetzt. |
SECURITY_RUNTIME | Prüft Laufzeitereignisse, wie z. B. das Starten und Stoppen von Sicherheitsservern. Dieser Ereignistyp ist nicht für Verwaltungsoperationen vorgesehen, die von einem Systemadministrator ausgeführt werden, da solche Operationen die anderen Ereignistypen der Kategorie SECURITY_MGMT_* verwenden müssen. |
SECURITY_MGMT_AUDIT | Prüft Ereignisse, die Operationen protokollieren, die sich auf das Prüfsubsystem beziehen, wie z. B. das Starten, Stoppen, Aktivieren oder Inaktivieren der Prüfung, das Ändern der Konfiguration von Prüffiltern oder Prüfstufen, das Archivieren von Prüfdaten, das Löschen von Prüfdaten usw. |
SECURITY_RESOURCE_ACCESS | Prüft Ereignisse, die alle Zugriff auf eine Ressource protokollieren. Die sind beispielsweise alle Zugriffe auf eine Datei, alle HTTP-Anforderungen und -Antworten für eine bestimmte Webseite sowie alle Zugriffe auf eine kritische Datenbanktabelle. |
SECURITY_SIGNING | Prüft Ereignisse, die Signaturen protokollieren, wie z. B. Signaturoperationen, die für die Validierung der Abschnitte einer SOAP-Nachricht für Web-Services verwendet werden. |
SECURITY_ENCRYPTION | Prüft Ereignisse, die Verschlüsselungsinformationen protokollieren, wie z. B. die Verschlüsselung für Web-Services. |
SECURITY_AUTHN_DELEGATION | Prüft Ereignisse, die Delegierungen protokollieren, wie z. B. Zusicherung der Identität, RunAs oder Zusicherungen auf niedriger Ebene. Dieser Ereignistyp wird verwendet, wenn die Clientidentität weitergegeben wird oder wenn die Delegierung die Verwendung einer bestimmten Identität beinhaltet. Dieser Ereignistyp wird auch verwendet, wenn Benutzeridentitäten innerhalb einer bestimmten Sitzung gewechselt werden. |
SECURITY_AUTHN_CREDS_MODIFY | Prüft Ereignisse, bei denen die Berechtigungsnachweise für eine bestimmte Benutzeridentität geändert werden. |
SECURITY_FORM_LOGIN | Überprüft Ereignisse des angemeldeten Benutzers und der fernen IP-Adresse, von der aus die Anmeldung zusammen mit der Zeitmarke und dem Ergebnis initiiert wurde. |
SECURITY_FORM_LOGOUT | Überprüft Ereignisse des abgemeldeten Benutzers und der fernen IP-Adresse, von der aus die Abmeldung zusammen mit der Zeitmarke und dem Ergebnis initiiert wurde. |
![[z/OS]](../images/ngzos.gif)
Ereignisname | SMF-Code | SMF-Schlüsselwort für Entladen |
---|---|---|
SECURITY_AUTHN | 1 | *WASAUTN |
SECURITY_AUTHN_MAPPING | 3 | *WASAUTM |
SECURITY_AUTHN_TERMINATE | 2 | *WASAUTT |
SECURITY_AUTHZ | 4 | *WASAUTZ |
SECURITY_MGMT_CONFIG | 8 | *WASCONF |
SECURITY_MGMT_POLICY | 5 | *WASPOLM |
SECURITY_MGMT_PROVISIONING | 9 | *WASPROV |
SECURITY_MGMT_RESOURCE | 10 | *WASRESM |
SECURITY_RUNTIME | 7 | *WASRUNT |
SECURITY_RUNTIME_KEY | 11 | *WASKEYR |
SECURITY_MGMT_KEY | 12 | *WASKEYM |
SECURITY_MGMT_AUDIT | 13 | *WASAUDI |
SECURITY_MGMT_REGISTRY | 6 | *WASREGM |
SECURITY_RESOURCE_ACCESS | 14 | *WASACCE |
SECURITY_SIGNING | 15 | *WASSIGN |
SECURITY_ENCRYPTION | 16 | *WASCRYP |
SECURITY_AUTHN_DELEGATION | 17 | *WASDELE |
Ereignisresultat | SMF-Qualifikationsmerkmal | SMF-Schlüsselwort für Entladen |
---|---|---|
SUCCESSFUL | 0 | SUCCESS |
INFO | 1 | INFO |
WARNING | 2 | WARNING |
FAILURE | 3 | FAILURE |
REDIRECT | 4 | REDIRECT |
DENIED | 5 | DENIED |
Für die Unterstützung der Einhaltung gesetzlicher Vorschriften mit geringen Leistungseinbußen werden An- und Abmeldevorgänge an der Webbenutzerschnittstelle mit einem Minimum an Prüfdaten erfasst.
- Die Eigenschaft com.ibm.audit.terse.form.login, deren Wert aus einer durch Leerzeichen getrennten Liste gültiger Ergebnisse besteht.
- Die Eigenschaft com.ibm.audit.terse.form.logout, deren Wert aus einer durch Leerzeichen getrennten Liste gültiger Ergebnisse besteht.
- Die Eigenschaft com.ibm.audit.terse.form.login aktiviert das Ereignis SECURITY_FORM_LOGIN mit den unter "value" angegebenen Ergebnissen.
- Die Eigenschaft com.ibm.audit.terse.form.logout aktiviert das Ereignis SECURITY_FORM_LOGOUT mit den unter "value" angegebenen Ergebnissen.
Das Das Prüfereignisresultat enthält ausschließlich die Zeitmarke, den Benutzer, der an- bzw. abgemeldet wird, die ferne IP-Adresse, von der die An- bzw. Abmeldung ausging, und das Ergebnis.
Das folgende Beispiel zeigt eine Datei des Typs audit.xml, für die beide Eigenschaften angegeben wurden:
<?xml version="1.0" encoding="UTF-8"?>
<security:Audit xmi:version="2.0" xmlns:xmi="http://www.omg.org/XMI" xmlns:security="http://www.ibm.com/websphere/appserver/schemas/5.0/security.xmi" xmi:id="Audit_1173199825578">
<auditSpecifications xmi:id="AuditSpecification_1173199825610" enabled="true" name="DefaultAuditSpecification_3">
<event>SECURITY_AUTHN_TERMINATE</event>
<outcome>SUCCESS</outcome>
<outcome>REDIRECT</outcome>
<outcome>FAILURE</outcome>
</auditSpecifications>
<auditPolicy xmi:id="AuditPolicy_1173199825608" auditEnabled="true" auditorId="sadie" auditorPwd="{xor}" sign="false" encrypt="false" batching="false" verbose="false">
<auditEventFactories xmi:id="AuditEventFactory_1173199825608" name="auditEventFactoryImpl_1" className="com.ibm.ws.security.audit.AuditEventFactoryImpl" auditServiceProvider="AuditServiceProvider_1173199825608" auditSpecifications="AuditSpecification_1173199825610"/>
<auditServiceProviders xmi:id="AuditServiceProvider_1173199825608" name="auditServiceProviderImpl_1" className="com.ibm.ws.security.audit.BinaryEmitterImpl" eventFormatterClass="" maxFileSize="10" maxLogs="100" fileLocation="$(LOG_ROOT)" auditSpecifications="AuditSpecification_1173199825610"/>
<properties xmi:id="Property_1" name="com.ibm.audit.terse.form.login" value="SUCCESS FAILURE" description="dtcc custom property"/>
<properties xmi:id="Property_2" name="com.ibm.audit.terse.form.logout" value="SUCCESS FAILURE ERROR" description="dtcc custom property"/>
</auditPolicy>
</security:Audit>
Property_1 gibt an, dass der Ereignistyp mit dem Kurznamen SECURITY_FORM_LOGIN erfasst wird. Ein Prüfereignis wird aber nur erfasst, wenn SUCCESS oder FAILURE ausgegeben wird.
Property_2 gibt an, dass der Ereignistyp mit dem Kurznamen SECURITY_FORM_LOGOUT erfasst wird. Ein Prüfereignis wird aber nur erfasst, wenn SUCCESS, FAILURE oder ERROR ausgegeben wird.
In WebSphere Application Server Version 9 wurde Unterstützung für die Konfiguration der auditevent-Typen SECURITY_FORM_LOGIN und SECURITY_FORM_LOGOUT über die Administrationskonsole oder über wsadmin-Scripting hinzugefügt. Das Angeben der Eigenschaften wird weiterhin unterstützt. Wenn Sie die Eigenschaften angeben, müssen sie nicht über die Administrationskonsole oder über wsadmin-Scripting erneut konfiguriert werden.