Cette tâche permet d'activer et de configurer l'audit de sécurité dans votre environnement à l'aide de l'outil wsadmin. Cette fonction propose de suivre et
d'archiver des événements auditables.
Avant de commencer
Avant d'activer l'audit de sécurité, activez la sécurité administrative dans votre environnement.
Utilisez les commandes enableAudit et disableAudit pour démarrer et
arrêter l'audit de sécurité, si vous avez déjà configuré cette fonction et
que vous ne souhaitez pas modifier les paramètres de configuration. Après
l'activation ou la désactivation de l'audit de sécurité, redémarrez le
serveur pour appliquer les modifications de configuration.
Pourquoi et quand exécuter cette tâche
L'audit de sécurité garantit l'intégrité d'un environnement informatique de sécurité. L'audit de sécurité collecte les événements de règle d'audit, de sécurité, de gestion système, d'autorisation et d'authentification, puis les consigne dans des enregistrements d'événement d'audit. Vous pouvez analyser les enregistrements d'événement d'audit pour détecter
les éventuelles violations de sécurité, menaces, attaques et faiblesses
dans la configuration de sécurité de votre environnement.
Effectuez
les opérations ci-après pour activer et configurer l'audit de sécurité
dans votre environnement :
Procédure
- Lancez l'outil de script wsadmin via le langage de script Jython. Pour plus d'informations, reportez-vous à l'article Démarrage du client de scriptage wsadmin.
- Vérifiez que le sous-système d'audit de sécurité est configuré.
Pour activer l'audit de sécurité, vous devez configurer des filtres d'événements, un émetteur d'audit et un fabrique d'événements d'audit. Les filtres d'événements déterminent les types d'événements que le système doit auditer et enregistrer, ainsi que les résultats des événements. Le fournisseur de services d'audit inscrit les enregistrements d'audit dans le répertoire d'arrière-plan associé à l'implémentation.
La fabrique d'événements d'audit génère des événements de sécurité.
Par défaut, le système d'audit de sécurité inclut un fournisseur de services d'audit et une fabrique d'événements d'audit.
Les groupes de commandes d'audit proposent plusieurs commandes pour rechercher des filtres d'événements, des émetteurs d'audit, des fabriques d'événements et leurs attributs de configuration respectifs. Aidez-vous du
guide des commandes d'audit pour utiliser des commandes d'interrogation
spécifiques. Les exemples de commandes suivants interrogent la configuration d'audit de sécurité à un haut niveau.
- Utilisez la commande getAuditFilters pour afficher une liste des références vers tous les filtres d'audit définis dans votre configuration, tel qu'illustré dans l'exemple suivant :
AdminTask.getAuditFilters()
- Utilisez la commande listAuditEmitters pour afficher une liste de tous les émetteurs d'audit de votre configuration, tel qu'illustré dans l'exemple suivant :
AdminTask.listAuditEmitters()
- Utilisez la commande listAuditEventFactories pour afficher une liste de toutes les fabriques d'événements d'audit de votre configuration, tel qu'illustré dans l'exemple suivant :
AdminTask.listAuditEventFactories()
- Activez l'audit de sécurité dans votre environnement. La commande modifyAuditPolicy permet d'activer l'audit de sécurité dans votre environnement.
Tableau 1. Paramètres de commande. Les paramètres facultatifs suivants de la commande modifyAuditPolicy permettent de personnaliser la configuration d'audit de sécurité : Paramètre |
Description |
Type de données |
Obligatoire |
-auditEnabled |
Indique si l'audit de sécurité doit être activé. |
Booléenne |
Non |
-auditPolicy |
Indique le comportement du processus serveur en cas d'échec du sous-système d'audit. Les valeurs valides sont WARN, NOWARN et FATAL.
En cas d'erreur, le paramètre WARN avertit l'auditeur et
interrompt l'audit de sécurité, mais n'arrête pas le processus de serveur
d'applications. En cas d'erreur, le paramètre NOWARN n'avertit
pas l'auditeur, interrompt l'audit de sécurité, mais n'arrête pas le
processus de serveur d'applications. En cas d'erreur, le paramètre
FATAL avertit l'auditeur et arrête le processus de serveur
d'applications. Par défaut, la commande affecte le paramètre NOWARN. |
String (chaîne) |
Non |
-auditorId |
Indique l'identificateur de l'utilisateur à attribuer au rôle auditeur. |
String (chaîne) |
Non |
-auditorPwd |
Indique le mot de passe du rôle auditeur. |
String (chaîne) |
Non |
-sign |
Indique si les enregistrements d'audit doivent être
signés. Par défaut, le système d'audit de sécurité ne signe aucun enregistrement d'audit.
Pour indiquer ce paramètre, vous devez au préalable configurer la signature des enregistrements d'audit. |
Booléenne |
Non |
-encrypt |
Indique si les enregistrements d'audit doivent être
chiffrés.
Par défaut, le système d'audit de sécurité ne chiffre pas les enregistrements d'audit.
Pour indiquer ce paramètre, vous devez au préalable configurer le chiffrement des enregistrements d'audit. |
Booléenne |
Non |
-verbose |
Indique si les données d'audit doivent être
capturées en mode prolixe.
Par défaut, le système d'audit de sécurité ne capture pas les données d'audit en mode prolixe. |
Booléenne |
Non |
-encryptionCert |
Indique l'ID de référence du certificat à utiliser pour le chiffrement. Spécifiez ce paramètre si vous attribuez au paramètre -encrypt la valeur true. |
String (chaîne) |
Non |
L'exemple de commande suivant active l'audit de sécurité et identifie l'auditeur principal en affectant un utilisateur et un mot de passe.
AdminTask.modifyAuditPolicy('-auditEnabled true -auditorId securityAdmin -auditorPwd security4you')
- Sauvegardez les modifications.
Entrez l'exemple de commande suivante pour sauvegarder les modifications de
configuration :
AdminConfig.save()
- Redémarrez le serveur.
Résultats
Lorsque l'audit de sécurité est activé et configuré, le profil
concerné audite les configurations de sécurité pour y rechercher certains
types d'événement auditable.
Que faire ensuite
Lorsque vous avez configuré la règle d'audit pour la première
fois, activez ou désactivez le système d'audit de sécurité à l'aide des
commandes enableAudit et disableAudit. Les paramètres que vous avez
définis avec la commande modifyAuditPolicy sont conservés lorsque vous
activez ou désactivez le système d'audit de sécurité.
Remarque : Vous devez redémarrer le serveur pour appliquer les
modifications de configuration.