Evénements de sécurité auditables

Les événements de sécurité auditables sont des événements pour lesquels des instrumentations d'audit sont ajoutées au code d'exécution de la sécurité afin qu'ils puissent être enregistrés. Les filtres d'événements sont configurés pour indiquer les événements de sécurité auditables enregistrés dans les fichiers journaux d'audit.

La liste ci-dessous décrit chaque événement auditable valide que vous pouvez indiquer en tant que type d'événement activé lorsque vous créez un filtre d'événements :
Tableau 1. Types d'événements. Des événements auditables valides peuvent être spécifiés en tant que type d'événement activé lors de la création d'un filtre d'événements :
Nom de l'événement Description
SECURITY_AUTHN Effectue l'audit de tous les événements d'authentification
SECURITY_AUTHN_MAPPING Effectue l'audit des événements qui enregistrent le mappage des justificatifs lorsque deux identités utilisateur sont concernées
SECURITY_AUTHN_TERMINATE Effectue l'audit des événements de fin d'authentification, par exemple une déconnexion reposant sur un formulaire
SECURITY_AUTHZ Effectue l'audit des événements liés aux contrôles d'autorisation lorsque le système met en application des règles de contrôle d'accès
SECURITY_RUNTIME Analyse les événements du programme d'exécution tels que le démarrage ou l'arrêt des serveurs de sécurité. Ce type d'événement ne couvre pas les opérations d'administration exécutées par un administrateur système. Ces dernières opérations sont couvertes par les types d'événements SECURITY_MGMT_*.
SECURITY_MGMT_AUDIT Effectue l'audit des événements qui enregistrent les opérations liées au sous-système d'audit (par exemple, démarrage, arrêt, activation ou désactivation de l'audit, modification de la configuration des filtres ou du niveau d'audit, archivage, purge des données d'audit, etc.).
SECURITY_RESOURCE_ACCESS Effectue l'audit des événements qui enregistrent tous les accès à une ressource. Par exemple : tous les accès à un fichier, toutes les demandes et réponses HTTP relatives à une page web déterminée, ainsi que tous les accès à une table de base de données critique.
SECURITY_SIGNING Effectue l'audit des événements qui enregistrent les signatures (par exemple, des opérations de signature permettant de valider les parties d'un message SOAP pour les services Web).
SECURITY_ENCRYPTION Effectue l'audit des événements qui enregistrent des informations de chiffrement (par exemple, chiffrement destiné aux services Web).
SECURITY_AUTHN_DELEGATION Effectue l'audit des événements qui enregistrent les opérations de délégation (dont la vérification d'identité, les rôles d'exécution (RunAS) et l'assertion de niveau bas). Cet événement est utilisé lorsque l'identité du client est propagée ou lorsque la délégation implique l'utilisation d'une identité spéciale. Ce type d'événement est également employé lors du changement d'identités utilisateur au cours d'une session déterminée.
SECURITY_AUTHN_CREDS_MODIFY Effectue l'audit des événements pour modifier les justificatifs d'une identité utilisateur déterminée.
SECURITY_FORM_LOGIN Evénements d'audit d'un utilisateur connecté et adresse IP distante à partir de laquelle la connexion est effectuée, ainsi que l'horodatage et le résultat.
SECURITY_FORM_LOGOUT Evénements d'audit d'un utilisateur déconnecté et adresse IP distante à partir de laquelle la déconnexion est effectuée, ainsi que l'horodatage et le résultat.
Pour chaque type d'événement d'audit, vous devez indiquer une sortie. Les sorties valides incluent SUCCESS, FAILURE, REDIRECT, ERROR, DENIED, WARNING et INFO. Toutes les sorties ne sont pas applicables avec tous les types d'événement.
Remarque : La prise en charge du type d'événement d'audit SECURITY_RUNTIME a été implémentée en intégralité pour cette édition de WebSphere Application Server. Elle analyse les événements du programme d'exécution tels que le démarrage ou l'arrêt des serveurs de sécurité.
[z/OS]
Tableau 2. Codes SMF de type d'événement. Les tableaux suivants indiquent les correspondances entre les types d'événements d'audit de sécurité et les résultats des événements, et leurs interprétations dans SMF.
Nom de l'événement Code SMF Mot-clé SMF
SECURITY_AUTHN 1 *WASAUTN
SECURITY_AUTHN_MAPPING 3 *WASAUTM
SECURITY_AUTHN_TERMINATE 2 *WASAUTT
SECURITY_AUTHZ 4 *WASAUTZ
SECURITY_MGMT_CONFIG 8 *WASCONF
SECURITY_MGMT_POLICY 5 *WASPOLM
SECURITY_MGMT_PROVISIONING 9 *WASPROV
SECURITY_MGMT_RESOURCE 10 *WASRESM
SECURITY_RUNTIME 7 *WASRUNT
SECURITY_RUNTIME_KEY 11 *WASKEYR
SECURITY_MGMT_KEY 12 *WASKEYM
SECURITY_MGMT_AUDIT 13 *WASAUDI
SECURITY_MGMT_REGISTRY 6 *WASREGM
SECURITY_RESOURCE_ACCESS 14 *WASACCE
SECURITY_SIGNING 15 *WASSIGN
SECURITY_ENCRYPTION 16 *WASCRYP
SECURITY_AUTHN_DELEGATION 17 *WASDELE
Tableau 3. Qualificateur SMF de sortie d'événement. Le tableau suivant répertorie le résultat de l'événement Qualificateur SMF.
Résultat de l'événement Qualificateur SMF Mot-clé SMF
SUCCESSFUL 0 SUCCESS
INFO 1 INFO
WARNING 2 WARNING
FAILURE 3 FAILURE
REDIRECT 4 REDIRECT
DENIED 5 DENIED

To provide support for federal regulation compliance with minimal performance usage, support is added to allow for the capture of Web UI logins and logouts with a minimum amount of audit data.

The following properties, supported in the audit.xml file, are introduced:
  • com.ibm.audit.terse.form.login, with a value that consists of a space-delimited list of valid outcomes.
  • com.ibm.audit.terse.form.logout, with a value that consists of a space-delimited list of valid outcomes.
  • com.ibm.audit.terse.form login enables the SECURITY_FORM_LOGIN event with the outcomes specified in "value".
  • com.ibm.audit.terse.form.logout enables the SECURITY_FORM_LOGOUT event with the outcomes specified. in "value".

The resulting audit event contains only: the time stamp, the user being logged in (or out), the remote IP address from which the login or logout is initiated, and the outcome.

The following is an example of an audit.xml file that has both properties set:

<?xml version="1.0" encoding="UTF-8"?>
<security:Audit xmi:version="2.0" xmlns:xmi="http://www.omg.org/XMI" xmlns:security="http://www.ibm.com/websphere/appserver/schemas/5.0/security.xmi" xmi:id="Audit_1173199825578">
  <auditSpecifications xmi:id="AuditSpecification_1173199825610" enabled="true" name="DefaultAuditSpecification_3">
    <event>SECURITY_AUTHN_TERMINATE</event>
    <outcome>SUCCESS</outcome>
    <outcome>REDIRECT</outcome>
    <outcome>FAILURE</outcome>
  </auditSpecifications>
  <auditPolicy xmi:id="AuditPolicy_1173199825608" auditEnabled="true" auditorId="sadie" auditorPwd="{xor}" sign="false" encrypt="false" batching="false" verbose="false">
    <auditEventFactories xmi:id="AuditEventFactory_1173199825608" name="auditEventFactoryImpl_1" className="com.ibm.ws.security.audit.AuditEventFactoryImpl" auditServiceProvider="AuditServiceProvider_1173199825608" auditSpecifications="AuditSpecification_1173199825610"/>
    <auditServiceProviders xmi:id="AuditServiceProvider_1173199825608" name="auditServiceProviderImpl_1" className="com.ibm.ws.security.audit.BinaryEmitterImpl" eventFormatterClass="" maxFileSize="10" maxLogs="100" fileLocation="$(LOG_ROOT)" auditSpecifications="AuditSpecification_1173199825610"/>
  <properties xmi:id="Property_1" name="com.ibm.audit.terse.form.login" value="SUCCESS FAILURE" description="dtcc custom property"/>
  <properties xmi:id="Property_2" name="com.ibm.audit.terse.form.logout" value="SUCCESS FAILURE ERROR" description="dtcc custom property"/>
  </auditPolicy>
</security:Audit>

Property_1 defines that we will be capturing the terse SECURITY_FORM_LOGIN event type and an audit event will only be captured for outcomes of either success or failure.
Property_2 defines that we will be capturing the terse SECURITY_FORM_LOGOUT event type and an audit event will only be captures if the outcome is success, failure or error.

Starting with WebSphere Application Server V9, support is added to be able to configure the SECURITY_FORM_LOGIN and SECURITY_FORM_LOGOUT auditevent types either through the administrative console, or through wsadmin scripting. Specifying the properties is still supported, and if specified, there is not a need to reconfigure by using the administrative console or wsadmin scripting.


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sa_event_types
Nom du fichier : rsec_sa_event_types.html