Creación de filtros de tipo de suceso de auditoría de seguridad

Los filtros de tipo de suceso se utilizan para especificar los tipos de sucesos de seguridad auditables que se auditan. Los filtros de tipo de suceso por omisión se incluyen con el producto, pero también puede configurar nuevos filtros de tipo de suceso para especificar un subconjunto de tipos de sucesos auditables que el subsistema de auditoría de seguridad deba registrar.

Antes de empezar

Antes de configurar los filtros de auditoría de seguridad y el resto del subsistema de auditoría de seguridad, habilite la seguridad global en el entorno. Para realizar esta tarea se le debe asignar el rol de auditor. Los filtros de tipo de suceso se utilizan para especificar los sucesos que deben auditarse. Los datos que se registran para cada suceso se especifican con el recuadro de selección Habilitar auditoría verbosa en el mismo panel utilizado para habilitar el subsistema de auditoría. Vaya a Seguridad > Auditoría de seguridad para habilitar la auditoría de seguridad y determinar los datos registrados para cada suceso.

Acerca de esta tarea

Tabla 1. Filtros de tipo de suceso utilizados habitualmente de forma predeterminada en el archivo de plantilla audit.xml. El servidor de aplicaciones proporciona los siguientes filtros de tipo de suceso utilizados comúnmente de forma predeterminada en el archivo de plantilla audit.xml:
Name Nombre del suceso Resultado del suceso
DefaultAuditSpecification_1 SECURITY_AUTHN SUCCESS
DefaultAuditSpecification_2 SECURITY_AUTHN DENIED
DefaultAuditSpecification_3 SECURITY_RESOURCE_ACCESS SUCCESS
DefaultAuditSpecification_4 SECURITY_AUTHN REDIRECT
Se pueden crear nuevos filtros de tipo de suceso, o se pueden ampliar los filtros por omisión existentes, para capturar más tipos y resultados de sucesos. Utilice esta tarea para crear filtros de tipo de suceso nuevos.
.

Procedimiento

  1. Pulse Seguridad > Auditoría de seguridad > Filtros de tipo de suceso > Nuevo.
  2. Entre el nombre exclusivo que se debe asociar con esta configuración de filtro de tipo de suceso en el campo Nombre.
  3. Especifique los sucesos que se deben registrar al aplicar este filtro.
    1. Seleccione los sucesos que desea que se auditen en la lista de sucesos seleccionables.
    2. Pulse Añadir >> para añadir los sucesos seleccionados a la lista de sucesos habilitados.
    3. Seleccione los resultados que desee auditar en la lista de resultados de sucesos seleccionables.
    4. Pulse Añadir >> para añadir los resultados seleccionados a las listas de resultados de sucesos habilitados.
  4. Pulse Aceptar.

Resultados

La correcta realización de esta tarea da lugar a la creación de un filtro de tipo de suceso que puede ser seleccionado por los proveedores de servicios de auditoría y las fábricas de sucesos de auditoría para reunir y registrar un conjunto específico de sucesos de seguridad auditables.

Qué hacer a continuación

Después de crear un filtro de tipo de suceso, el filtro se debe especificar en el proveedor de servicios de auditoría y en la fábrica de sucesos de auditoría que van a utilizarse para reunir o registrar los datos de auditoría. El paso siguiente en la configuración del subsistema de auditoría de seguridad consiste en configurar un proveedor de servicios de auditoría para definir dónde deben archivarse los datos de auditoría.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sa_selecting_event_types
File name: tsec_sa_selecting_event_types.html