Auditoría de la infraestructura de seguridad

Puede utilizar el recurso de auditoría para informar y hacer un seguimiento de los sucesos auditables con el fin de garantizar la integridad del sistema.

Antes de empezar

Antes de habilitar el subsistema de auditoría de seguridad, debe habilitar la seguridad global en el entorno.

Acerca de esta tarea

Nota: El subsistema de auditoría de seguridad se ha introducido como parte de la infraestructura de seguridad. La principal responsabilidad de la infraestructura de seguridad es evitar el acceso y uso no autorizado de los recursos. La utilización de la auditoría de seguridad tiene dos objetivos principales:
  • Confirmar la efectividad e integridad de la configuración de seguridad existente.
  • Identificar áreas donde pueda ser necesario mejorar la configuración de seguridad.
La auditoría de seguridad logra estos objetivos proporcionando la infraestructura que permite implementar el código para capturar y almacenar sucesos de seguridad auditables soportados. Durante el tiempo de ejecución, todo el código distinto del código de la aplicación Java™ EE 5 se considera fiable. Cada vez que una aplicación Java EE 5 accede a un recurso protegido, cualquier proceso de servidor de aplicaciones interno con un punto de auditoría incluido se puede registrar como un suceso auditable.
El subsistema de auditoría de seguridad puede capturar los siguientes tipos de sucesos auditables:
  • Autenticación
  • Autorización
  • Correlación de principales/credenciales
  • Gestión de política de auditoría
  • Delegación

Estos tipos de sucesos se pueden grabar en archivos de registro de auditoría. Cada registro cronológico de auditoría se puede firmar y cifrar para garantizar la integridad de los datos. Estos archivos de registro de auditoría se pueden analizar para descubrir infracciones en los mecanismos de seguridad existentes y para descubrir las debilidades potenciales de la infraestructura de seguridad actual. Los registros de auditoría de sucesos de seguridad también son útiles para proporcionar evidencia de la responsabilidad y no repudiación, así como un análisis de vulnerabilidad. La configuración de la auditoría de seguridad proporciona cuatro filtros predeterminados, un proveedor de servicios de auditoría predeterminado y una fábrica de sucesos predeterminada. La implementación predeterminada se graba en un registro basado en un archivo de texto binario. Utilice este tema para personalizar el subsistema de auditoría de seguridad.

Procedimiento

  1. Habilitación del subsistema de auditoría de seguridad

    La auditoría de seguridad no se realizará a menos que se haya habilitado el subsistema de seguridad de auditoría. La seguridad global debe estar habilitada para que funcione el subsistema de auditoría de seguridad, ya que no se realiza ninguna auditoría de seguridad si la seguridad global no está también habilitada.

  2. Asignar un rol de auditor a un usuario

    Se necesita un usuario con el rol de auditor para habilitar y configurar el subsistema de auditoría de seguridad. Es importante requerir el control de acceso estricto para la gestión de política de seguridad. El rol de auditor se ha creado proporcionando granularidad para permitir la separación del rol de auditoría de la autorización del administrador. Cuando la auditoría de seguridad se habilita inicialmente, el administrador de células tiene privilegios de auditoría. Si el entorno requiere una separación de privilegios, será necesario realizar cambios en las asignaciones de roles predeterminadas.

  3. Creación de filtros de tipo de suceso de auditoría de seguridad

    Puede configurar filtros de tipo de suceso para registrar sólo un subconjunto específico de tipos de sucesos auditables en los registros de auditoría. El filtrado de los tipos de sucesos que se registran facilita el análisis de los registros de auditoría y garantiza que sólo se archiven los registros importantes para el entorno.

  4. Configurar el proveedor de servicios de auditoría.

    El proveedor de servicios de auditoría se utiliza para formatear el objeto de datos de auditoría que se le ha pasado antes de producir los datos en un repositorio. No se incluye una implementación de proveedor de servicios de auditoría por omisión. Consulte Configuración de proveedores de servicios de auditoría por omisión para la auditoría de seguridad para obtener más información sobre la implementación por omisión. También se puede codificar y utilizar una implementación de terceros. Consulte Configuración de proveedores de servicios de auditoría de terceros para una auditoría de seguridad para obtener más información sobre esta implementación.

    [z/OS]También hay disponible una implementación para SMF. Consulte Configuración de proveedores de servicios de auditoría SMF para la auditoría de seguridad para obtener más información sobre esta implementación.

  5. Configuración de fábricas de sucesos de auditoría para la auditoría de seguridad

    La fábrica de sucesos de auditoría reúne los datos asociados con los sucesos auditables y crea un objeto de datos de auditoría. Después, el objeto de datos de auditoría se envía al proveedor de servicios de auditoría para que se formatee y registre en el repositorio.

  6. Protección de los datos de auditoría de seguridad

    Es importante proteger la integridad de los datos de auditoría grabados. Para asegurar que el acceso a los datos está restringido y es a prueba de intrusiones, puede cifrar y firmar los datos de auditoría.

  7. Configuración de notificaciones de anomalía del subsistema de auditoría de seguridad

    Se pueden habilitar notificaciones para generar alertas cuando el subsistema de auditoría de seguridad sufre una anomalía. Las notificaciones se pueden configurar para registrar una alerta en las anotaciones cronológicas del sistema o se pueden configurar para enviar una alerta a través del correo electrónico a una lista especificada de destinatarios.

Resultados

Después de realizar correctamente esta tarea, los datos de auditoría se registrarán para los sucesos de auditoría seleccionados que se han especificado en la configuración.

Qué hacer a continuación

Después de configurar la auditoría de seguridad, puede analizar los datos de auditoría para descubrir debilidades potenciales en la infraestructura de seguridad actual y brechas de seguridad que puedan haberse producido en los mecanismos de seguridad existentes. También puede utilizar el subsistema de auditoría de seguridad para proporcionar datos para la determinación de problemas. Si se ha seleccionado el proveedor de servicios de auditoría por omisión, el archivo de registro cronológico de auditoría binario resultante se puede leer con el lector de auditoría.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sa_secauditing
File name: tsec_sa_secauditing.html