Sucesos de seguridad auditables
Los sucesos de seguridad auditables son sucesos de seguridad que tienen instrumentación de auditoría añadida al código de tiempo de ejecución de seguridad, para habilitar su registro. Los filtros de sucesos se configuran para especificar qué sucesos de seguridad auditables se registran en los archivos de registro de auditoría.
Nombre de suceso | Descripción |
---|---|
SECURITY_AUTHN | Audita todos los sucesos de autenticación |
SECURITY_AUTHN_MAPPING | Audita sucesos que registran la correlación de credenciales donde hay dos identidades de usuario implicadas |
SECURITY_AUTHN_TERMINATE | Audita eventos de terminación de autenticación como, por ejemplo, un cierre de sesión basado en formulario. |
SECURITY_AUTHZ | Audita sucesos relativos a comprobaciones de autorización cuando el sistema aplica políticas de control de accesos |
SECURITY_RUNTIME | Realiza una auditoría de sucesos como, por ejemplo, el inicio y detención de los servidores de seguridad. Este tipo de sucesos no están concebidos para operaciones administrativas realizadas por un administrador de sistema ya que dichas operaciones necesitan utilizar los otros tipos de sucesos SECURITY_MGMT_*. |
SECURITY_MGMT_AUDIT | Audita sucesos que registran operaciones relativas al subsistema de auditoría tales como, por ejemplo, iniciar auditoría, detener auditoría, activar o desactivar auditoría, cambiar la configuración de los filtros o el nivel de auditoría, archivar datos de auditoría, depurar datos de auditoría, etc. |
SECURITY_RESOURCE_ACCESS | Audita los sucesos que graban todos los accesos a un recurso. Son ejemplos todos los accesos a un archivo, todas las solicitudes HTTP y respuestas a una página web determinada y todos los accesos a una tabla de base de datos crítica |
SECURITY_SIGNING | Audita sucesos que registran la firma como, por ejemplo, operaciones de firma utilizadas para validar partes de un mensaje SOAP para servicios Web |
SECURITY_ENCRYPTION | Audita sucesos que registran información de cifrado como, por ejemplo, el cifrado de servicios Web |
SECURITY_AUTHN_DELEGATION | Audita los sucesos que graban la delegación, que incluyen la aserción de identidad, RunAs y aserción débil. Se utiliza cuando se propaga la identidad del cliente o cuando la delegación conlleva el uso de una identidad especial. Este tipo de suceso también se utiliza al conmutar identidades de usuario en una sesión determinada. |
SECURITY_AUTHN_CREDS_MODIFY | Audita sucesos para modificar credenciales para una identidad de usuario determinada |
SECURITY_FORM_LOGIN | Audita los sucesos del usuario que está iniciando sesión y la dirección IP remota desde la que se lleva a cabo el inicio de sesión junto con la indicación de fecha y hora y el resultado. |
SECURITY_FORM_LOGOUT | Audita los sucesos del usuario que está finalizando la sesión y la dirección IP remota desde la que se lleva a cabo el cierre de sesión junto con la indicación de fecha y hora y el resultado. |
![[z/OS]](../images/ngzos.gif)
Nombre del suceso | Código SMF | Palabra clave de descarga de SMF |
---|---|---|
SECURITY_AUTHN | 1 | *WASAUTN |
SECURITY_AUTHN_MAPPING | 3 | *WASAUTM |
SECURITY_AUTHN_TERMINATE | 2 | *WASAUTT |
SECURITY_AUTHZ | 4 | *WASAUTZ |
SECURITY_MGMT_CONFIG | 8 | *WASCONF |
SECURITY_MGMT_POLICY | 5 | *WASPOLM |
SECURITY_MGMT_PROVISIONING | 9 | *WASPROV |
SECURITY_MGMT_RESOURCE | 10 | *WASRESM |
SECURITY_RUNTIME | 7 | *WASRUNT |
SECURITY_RUNTIME_KEY | 11 | *WASKEYR |
SECURITY_MGMT_KEY | 12 | *WASKEYM |
SECURITY_MGMT_AUDIT | 13 | *WASAUDI |
SECURITY_MGMT_REGISTRY | 6 | *WASREGM |
SECURITY_RESOURCE_ACCESS | 14 | *WASACCE |
SECURITY_SIGNING | 15 | *WASSIGN |
SECURITY_ENCRYPTION | 16 | *WASCRYP |
SECURITY_AUTHN_DELEGATION | 17 | *WASDELE |
Resultado del suceso | Calificador SMF | Palabra clave de descarga de SMF |
---|---|---|
SUCCESSFUL | 0 | SUCCESS |
INFO | 1 | INFO |
AVISO | 2 | AVISO |
FAILURE | 3 | FAILURE |
REDIRECT | 4 | REDIRECT |
DENIED | 5 | DENIED |
Para proporcionar soporte para el cumplimiento de las normativas federales con un uso mínimo del rendimiento, se ha añadido soporte para permitir la captura de inicios y cierres de sesión de IU Web con una cantidad mínima de datos de auditoría.
- com.ibm.audit.terse.form.login, con un valor que consta de una lista de resultados válidos delimitados por espacios.
- com.ibm.audit.terse.form.logout, con un valor que consta de una lista de resultados válidos delimitados por espacios.
- com.ibm.audit.terse.form login habilita el suceso SECURITY_FORM_LOGIN con los resultados especificados en "value".
- com.ibm.audit.terse.form.logout habilita el suceso SECURITY_FORM_LOGOUT con los resultados especificados en "value".
El suceso de auditoría resultante sólo contiene: la indicación de fecha y hora, el usuario que inicia (o finaliza) la sesión, la dirección IP remota desde la que se inicia o finaliza la sesión, y el resultado.
A continuación figura un ejemplo de un archivo audit.xml con ambas propiedades establecidas:
<?xml version="1.0" encoding="UTF-8"?>
<security:Audit xmi:version="2.0" xmlns:xmi="http://www.omg.org/XMI" xmlns:security="http://www.ibm.com/websphere/appserver/schemas/5.0/security.xmi" xmi:id="Audit_1173199825578">
<auditSpecifications xmi:id="AuditSpecification_1173199825610" enabled="true" name="DefaultAuditSpecification_3">
<event>SECURITY_AUTHN_TERMINATE</event>
<outcome>SUCCESS</outcome>
<outcome>REDIRECT</outcome>
<outcome>FAILURE</outcome>
</auditSpecifications>
<auditPolicy xmi:id="AuditPolicy_1173199825608" auditEnabled="true" auditorId="sadie" auditorPwd="{xor}" sign="false" encrypt="false" batching="false" verbose="false">
<auditEventFactories xmi:id="AuditEventFactory_1173199825608" name="auditEventFactoryImpl_1" className="com.ibm.ws.security.audit.AuditEventFactoryImpl" auditServiceProvider="AuditServiceProvider_1173199825608" auditSpecifications="AuditSpecification_1173199825610"/>
<auditServiceProviders xmi:id="AuditServiceProvider_1173199825608" name="auditServiceProviderImpl_1" className="com.ibm.ws.security.audit.BinaryEmitterImpl" eventFormatterClass="" maxFileSize="10" maxLogs="100" fileLocation="$(LOG_ROOT)" auditSpecifications="AuditSpecification_1173199825610"/>
<properties xmi:id="Property_1" name="com.ibm.audit.terse.form.login" value="SUCCESS FAILURE" description="dtcc custom property"/>
<properties xmi:id="Property_2" name="com.ibm.audit.terse.form.logout" value="SUCCESS FAILURE ERROR" description="dtcc custom property"/>
</auditPolicy>
</security:Audit>
Property_1 define que vamos a capturar el tipo de suceso SECURITY_FORM_LOGIN conciso y un suceso de auditoría sólo se capturará para resultados
de éxito
o fracaso. Property_2 define que vamos a capturar el tipo de suceso SECURITY_FORM_LOGOUT conciso y un suceso de auditoría sólo se capturará si el resultado
es de éxito, fracaso o error.
A partir de WebSphere Application Server V9, se ha añadido soporte para poder configurar los tipos auditevent de SECURITY_FORM_LOGIN y SECURITY_FORM_LOGOUT mediante la consola administrativa, o mediante scripts wsadmin. La especificación de las propiedades sigue estando soportada, y si se especifican, no hay ninguna necesidad de volver a configurarlas mediante la consola administrativa o scripts wsadmin.