Evénements de sécurité auditables
Les événements de sécurité auditables sont des événements pour lesquels des instrumentations d'audit sont ajoutées au code d'exécution de la sécurité afin qu'ils puissent être enregistrés. Les filtres d'événements sont configurés pour indiquer les événements de sécurité auditables enregistrés dans les fichiers journaux d'audit.
Nom de l'événement | Description |
---|---|
SECURITY_AUTHN | Effectue l'audit de tous les événements d'authentification |
SECURITY_AUTHN_MAPPING | Effectue l'audit des événements qui enregistrent le mappage des justificatifs lorsque deux identités utilisateur sont concernées |
SECURITY_AUTHN_TERMINATE | Effectue l'audit des événements de fin d'authentification, par exemple une déconnexion reposant sur un formulaire |
SECURITY_AUTHZ | Effectue l'audit des événements liés aux contrôles d'autorisation lorsque le système met en application des règles de contrôle d'accès |
SECURITY_RUNTIME | Analyse les événements du programme d'exécution tels que le démarrage ou l'arrêt des serveurs de sécurité. Ce type d'événement ne couvre pas les opérations d'administration exécutées par un administrateur système. Ces dernières opérations sont couvertes par les types d'événements SECURITY_MGMT_*. |
SECURITY_MGMT_AUDIT | Effectue l'audit des événements qui enregistrent les opérations liées au sous-système d'audit (par exemple, démarrage, arrêt, activation ou désactivation de l'audit, modification de la configuration des filtres ou du niveau d'audit, archivage, purge des données d'audit, etc.). |
SECURITY_RESOURCE_ACCESS | Effectue l'audit des événements qui enregistrent tous les accès à une ressource. Par exemple : tous les accès à un fichier, toutes les demandes et réponses HTTP relatives à une page web déterminée, ainsi que tous les accès à une table de base de données critique. |
SECURITY_SIGNING | Effectue l'audit des événements qui enregistrent les signatures (par exemple, des opérations de signature permettant de valider les parties d'un message SOAP pour les services Web). |
SECURITY_ENCRYPTION | Effectue l'audit des événements qui enregistrent des informations de chiffrement (par exemple, chiffrement destiné aux services Web). |
SECURITY_AUTHN_DELEGATION | Effectue l'audit des événements qui enregistrent les opérations de délégation (dont la vérification d'identité, les rôles d'exécution (RunAS) et l'assertion de niveau bas). Cet événement est utilisé lorsque l'identité du client est propagée ou lorsque la délégation implique l'utilisation d'une identité spéciale. Ce type d'événement est également employé lors du changement d'identités utilisateur au cours d'une session déterminée. |
SECURITY_AUTHN_CREDS_MODIFY | Effectue l'audit des événements pour modifier les justificatifs d'une identité utilisateur déterminée. |
SECURITY_FORM_LOGIN | Evénements d'audit d'un utilisateur connecté et adresse IP distante à partir de laquelle la connexion est effectuée, ainsi que l'horodatage et le résultat. |
SECURITY_FORM_LOGOUT | Evénements d'audit d'un utilisateur déconnecté et adresse IP distante à partir de laquelle la déconnexion est effectuée, ainsi que l'horodatage et le résultat. |
![[z/OS]](../images/ngzos.gif)
Nom de l'événement | Code SMF | Mot-clé SMF |
---|---|---|
SECURITY_AUTHN | 1 | *WASAUTN |
SECURITY_AUTHN_MAPPING | 3 | *WASAUTM |
SECURITY_AUTHN_TERMINATE | 2 | *WASAUTT |
SECURITY_AUTHZ | 4 | *WASAUTZ |
SECURITY_MGMT_CONFIG | 8 | *WASCONF |
SECURITY_MGMT_POLICY | 5 | *WASPOLM |
SECURITY_MGMT_PROVISIONING | 9 | *WASPROV |
SECURITY_MGMT_RESOURCE | 10 | *WASRESM |
SECURITY_RUNTIME | 7 | *WASRUNT |
SECURITY_RUNTIME_KEY | 11 | *WASKEYR |
SECURITY_MGMT_KEY | 12 | *WASKEYM |
SECURITY_MGMT_AUDIT | 13 | *WASAUDI |
SECURITY_MGMT_REGISTRY | 6 | *WASREGM |
SECURITY_RESOURCE_ACCESS | 14 | *WASACCE |
SECURITY_SIGNING | 15 | *WASSIGN |
SECURITY_ENCRYPTION | 16 | *WASCRYP |
SECURITY_AUTHN_DELEGATION | 17 | *WASDELE |
Résultat de l'événement | Qualificateur SMF | Mot-clé SMF |
---|---|---|
SUCCESSFUL | 0 | SUCCESS |
INFO | 1 | INFO |
WARNING | 2 | WARNING |
FAILURE | 3 | FAILURE |
REDIRECT | 4 | REDIRECT |
DENIED | 5 | DENIED |
To provide support for federal regulation compliance with minimal performance usage, support is added to allow for the capture of Web UI logins and logouts with a minimum amount of audit data.
- com.ibm.audit.terse.form.login, with a value that consists of a space-delimited list of valid outcomes.
- com.ibm.audit.terse.form.logout, with a value that consists of a space-delimited list of valid outcomes.
- com.ibm.audit.terse.form login enables the SECURITY_FORM_LOGIN event with the outcomes specified in "value".
- com.ibm.audit.terse.form.logout enables the SECURITY_FORM_LOGOUT event with the outcomes specified. in "value".
The resulting audit event contains only: the time stamp, the user being logged in (or out), the remote IP address from which the login or logout is initiated, and the outcome.
The following is an example of an audit.xml file that has both properties set:
<?xml version="1.0" encoding="UTF-8"?>
<security:Audit xmi:version="2.0" xmlns:xmi="http://www.omg.org/XMI" xmlns:security="http://www.ibm.com/websphere/appserver/schemas/5.0/security.xmi" xmi:id="Audit_1173199825578">
<auditSpecifications xmi:id="AuditSpecification_1173199825610" enabled="true" name="DefaultAuditSpecification_3">
<event>SECURITY_AUTHN_TERMINATE</event>
<outcome>SUCCESS</outcome>
<outcome>REDIRECT</outcome>
<outcome>FAILURE</outcome>
</auditSpecifications>
<auditPolicy xmi:id="AuditPolicy_1173199825608" auditEnabled="true" auditorId="sadie" auditorPwd="{xor}" sign="false" encrypt="false" batching="false" verbose="false">
<auditEventFactories xmi:id="AuditEventFactory_1173199825608" name="auditEventFactoryImpl_1" className="com.ibm.ws.security.audit.AuditEventFactoryImpl" auditServiceProvider="AuditServiceProvider_1173199825608" auditSpecifications="AuditSpecification_1173199825610"/>
<auditServiceProviders xmi:id="AuditServiceProvider_1173199825608" name="auditServiceProviderImpl_1" className="com.ibm.ws.security.audit.BinaryEmitterImpl" eventFormatterClass="" maxFileSize="10" maxLogs="100" fileLocation="$(LOG_ROOT)" auditSpecifications="AuditSpecification_1173199825610"/>
<properties xmi:id="Property_1" name="com.ibm.audit.terse.form.login" value="SUCCESS FAILURE" description="dtcc custom property"/>
<properties xmi:id="Property_2" name="com.ibm.audit.terse.form.logout" value="SUCCESS FAILURE ERROR" description="dtcc custom property"/>
</auditPolicy>
</security:Audit>
Property_1 defines that we will be capturing the terse SECURITY_FORM_LOGIN event type and an audit event will only be captured for outcomes of either success or failure.
Property_2 defines that we will be capturing the terse SECURITY_FORM_LOGOUT event type and an audit event will only be captures if the outcome is success, failure or error.
Starting with WebSphere Application Server V9, support is added to be able to configure the SECURITY_FORM_LOGIN and SECURITY_FORM_LOGOUT auditevent types either through the administrative console, or through wsadmin scripting. Specifying the properties is still supported, and if specified, there is not a need to reconfigure by using the administrative console or wsadmin scripting.