Sucesos de seguridad auditables

Los sucesos de seguridad auditables son sucesos de seguridad que tienen instrumentación de auditoría añadida al código de tiempo de ejecución de seguridad, para habilitar su registro. Los filtros de sucesos se configuran para especificar qué sucesos de seguridad auditables se registran en los archivos de registro de auditoría.

La lista siguiente describe cada suceso auditable válido que se puede especificar como tipo de suceso habilitado al crear un filtro de suceso:
Tabla 1. Tipos de sucesos. Los sucesos auditables válidos se pueden especificar como un tipo de suceso habilitado al crear un filtro de sucesos:
Nombre de suceso Descripción
SECURITY_AUTHN Audita todos los sucesos de autenticación
SECURITY_AUTHN_MAPPING Audita sucesos que registran la correlación de credenciales donde hay dos identidades de usuario implicadas
SECURITY_AUTHN_TERMINATE Audita eventos de terminación de autenticación como, por ejemplo, un cierre de sesión basado en formulario.
SECURITY_AUTHZ Audita sucesos relativos a comprobaciones de autorización cuando el sistema aplica políticas de control de accesos
SECURITY_RUNTIME Realiza una auditoría de sucesos como, por ejemplo, el inicio y detención de los servidores de seguridad. Este tipo de sucesos no están concebidos para operaciones administrativas realizadas por un administrador de sistema ya que dichas operaciones necesitan utilizar los otros tipos de sucesos SECURITY_MGMT_*.
SECURITY_MGMT_AUDIT Audita sucesos que registran operaciones relativas al subsistema de auditoría tales como, por ejemplo, iniciar auditoría, detener auditoría, activar o desactivar auditoría, cambiar la configuración de los filtros o el nivel de auditoría, archivar datos de auditoría, depurar datos de auditoría, etc.
SECURITY_RESOURCE_ACCESS Audita los sucesos que graban todos los accesos a un recurso. Son ejemplos todos los accesos a un archivo, todas las solicitudes HTTP y respuestas a una página web determinada y todos los accesos a una tabla de base de datos crítica
SECURITY_SIGNING Audita sucesos que registran la firma como, por ejemplo, operaciones de firma utilizadas para validar partes de un mensaje SOAP para servicios Web
SECURITY_ENCRYPTION Audita sucesos que registran información de cifrado como, por ejemplo, el cifrado de servicios Web
SECURITY_AUTHN_DELEGATION Audita los sucesos que graban la delegación, que incluyen la aserción de identidad, RunAs y aserción débil. Se utiliza cuando se propaga la identidad del cliente o cuando la delegación conlleva el uso de una identidad especial. Este tipo de suceso también se utiliza al conmutar identidades de usuario en una sesión determinada.
SECURITY_AUTHN_CREDS_MODIFY Audita sucesos para modificar credenciales para una identidad de usuario determinada
SECURITY_FORM_LOGIN Audita los sucesos del usuario que está iniciando sesión y la dirección IP remota desde la que se lleva a cabo el inicio de sesión junto con la indicación de fecha y hora y el resultado.
SECURITY_FORM_LOGOUT Audita los sucesos del usuario que está finalizando la sesión y la dirección IP remota desde la que se lleva a cabo el cierre de sesión junto con la indicación de fecha y hora y el resultado.
Para cada tipo de suceso de auditoría, debe especificar un resultado. Entre lo resultados válidos se encuentran SUCCESS, FAILURE, REDIRECT, ERROR, DENIED, WARNING e INFO. No todos los resultados son aplicables con todos los tipos de suceso.
Nota: El soporte para el tipo de suceso de auditoría SECURITY_RUNTIME se ha implementado completamente en este release de WebSphere Application Server. Este tipo de suceso audita sucesos en tiempo de ejecución, como el inicio o parada de los servidores de seguridad.
[z/OS]
Tabla 2. Códigos SMF de tipo de suceso. Las tablas siguientes correlacionan los tipos de sucesos de auditoría de seguridad y los resultados de los sucesos con las interpretaciones SMF.
Nombre del suceso Código SMF Palabra clave de descarga de SMF
SECURITY_AUTHN 1 *WASAUTN
SECURITY_AUTHN_MAPPING 3 *WASAUTM
SECURITY_AUTHN_TERMINATE 2 *WASAUTT
SECURITY_AUTHZ 4 *WASAUTZ
SECURITY_MGMT_CONFIG 8 *WASCONF
SECURITY_MGMT_POLICY 5 *WASPOLM
SECURITY_MGMT_PROVISIONING 9 *WASPROV
SECURITY_MGMT_RESOURCE 10 *WASRESM
SECURITY_RUNTIME 7 *WASRUNT
SECURITY_RUNTIME_KEY 11 *WASKEYR
SECURITY_MGMT_KEY 12 *WASKEYM
SECURITY_MGMT_AUDIT 13 *WASAUDI
SECURITY_MGMT_REGISTRY 6 *WASREGM
SECURITY_RESOURCE_ACCESS 14 *WASACCE
SECURITY_SIGNING 15 *WASSIGN
SECURITY_ENCRYPTION 16 *WASCRYP
SECURITY_AUTHN_DELEGATION 17 *WASDELE
Tabla 3. Calificador SMF de resultado de suceso. En la tabla siguiente se lista el Calificador SMF de resultado de suceso.
Resultado del suceso Calificador SMF Palabra clave de descarga de SMF
SUCCESSFUL 0 SUCCESS
INFO 1 INFO
AVISO 2 AVISO
FAILURE 3 FAILURE
REDIRECT 4 REDIRECT
DENIED 5 DENIED

Para proporcionar soporte para el cumplimiento de las normativas federales con un uso mínimo del rendimiento, se ha añadido soporte para permitir la captura de inicios y cierres de sesión de IU Web con una cantidad mínima de datos de auditoría.

Se han introducido las siguientes propiedades, soportadas en el archivo audit.xml:
  • com.ibm.audit.terse.form.login, con un valor que consta de una lista de resultados válidos delimitados por espacios.
  • com.ibm.audit.terse.form.logout, con un valor que consta de una lista de resultados válidos delimitados por espacios.
  • com.ibm.audit.terse.form login habilita el suceso SECURITY_FORM_LOGIN con los resultados especificados en "value".
  • com.ibm.audit.terse.form.logout habilita el suceso SECURITY_FORM_LOGOUT con los resultados especificados en "value".

El suceso de auditoría resultante sólo contiene: la indicación de fecha y hora, el usuario que inicia (o finaliza) la sesión, la dirección IP remota desde la que se inicia o finaliza la sesión, y el resultado.

A continuación figura un ejemplo de un archivo audit.xml con ambas propiedades establecidas:

<?xml version="1.0" encoding="UTF-8"?>
<security:Audit xmi:version="2.0" xmlns:xmi="http://www.omg.org/XMI" xmlns:security="http://www.ibm.com/websphere/appserver/schemas/5.0/security.xmi" xmi:id="Audit_1173199825578">
  <auditSpecifications xmi:id="AuditSpecification_1173199825610" enabled="true" name="DefaultAuditSpecification_3">
    <event>SECURITY_AUTHN_TERMINATE</event>
    <outcome>SUCCESS</outcome>
    <outcome>REDIRECT</outcome>
    <outcome>FAILURE</outcome>
  </auditSpecifications>
  <auditPolicy xmi:id="AuditPolicy_1173199825608" auditEnabled="true" auditorId="sadie" auditorPwd="{xor}" sign="false" encrypt="false" batching="false" verbose="false">
    <auditEventFactories xmi:id="AuditEventFactory_1173199825608" name="auditEventFactoryImpl_1" className="com.ibm.ws.security.audit.AuditEventFactoryImpl" auditServiceProvider="AuditServiceProvider_1173199825608" auditSpecifications="AuditSpecification_1173199825610"/>
    <auditServiceProviders xmi:id="AuditServiceProvider_1173199825608" name="auditServiceProviderImpl_1" className="com.ibm.ws.security.audit.BinaryEmitterImpl" eventFormatterClass="" maxFileSize="10" maxLogs="100" fileLocation="$(LOG_ROOT)" auditSpecifications="AuditSpecification_1173199825610"/>
  <properties xmi:id="Property_1" name="com.ibm.audit.terse.form.login" value="SUCCESS FAILURE" description="dtcc custom property"/>
  <properties xmi:id="Property_2" name="com.ibm.audit.terse.form.logout" value="SUCCESS FAILURE ERROR" description="dtcc custom property"/>
  </auditPolicy>
</security:Audit>

Property_1 define que vamos a capturar el tipo de suceso SECURITY_FORM_LOGIN conciso y un suceso de auditoría sólo se capturará para resultados
de éxito
o fracaso. Property_2 define que vamos a capturar el tipo de suceso SECURITY_FORM_LOGOUT conciso y un suceso de auditoría sólo se capturará si el resultado
es de éxito, fracaso o error. 

A partir de WebSphere Application Server V9, se ha añadido soporte para poder configurar los tipos auditevent de SECURITY_FORM_LOGIN y SECURITY_FORM_LOGOUT mediante la consola administrativa, o mediante scripts wsadmin. La especificación de las propiedades sigue estando soportada, y si se especifican, no hay ninguna necesidad de volver a configurarlas mediante la consola administrativa o scripts wsadmin.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sa_event_types
File name: rsec_sa_event_types.html