Audit de l'infrastructure de sécurité

Vous pouvez utiliser l'utilitaire d'audit pour signaler et effectuer le suivi des événements auditables afin d'assurer l'intégrité de votre système.

Avant de commencer

Avant d'activer le sous-système d'audit de sécurité, vous devez activer la sécurité globale dans votre environnement.

Pourquoi et quand exécuter cette tâche

Remarque : Le sous-système de contrôle d'audit de sécurité a été introduit comme élément de l'infrastructure de sécurité. La principale responsabilité de l'infrastructure de sécurité consiste à empêcher un accès et une utilisation non autorisée des ressources. L'utilisation de l'audit de sécurité a deux objectifs principaux :
  • Confirmer l'efficacité et l'intégrité de la configuration existante de la sécurité.
  • Identification des domaines où il peut être nécessaire d'améliorer la configuration de la sécurité.
L'audit de sécurité atteint ses objectifs en fournissant l'infrastructure qui permet d'implémenter le code afin de capturer et de stocker des événements de sécurité auditables pris en charge. Au cours de l'exécution, tout code autre que celui de l'application Java™ EE 5 est considéré comme sécurisé. Chaque fois qu'une application Java EE 5 accède à une ressource sécurisée, tout processus serveur d'applications interne comportant un point d'audit peut être enregistré comme événement auditable.
Le sous-système d'audit de sécurité peut capturer les types suivants d'événement auditable :
  • Authentification
  • Autorisation
  • Mappage de principal/données d'identification
  • Gestion des règles d'audit
  • Délégation

Ces types d'événement peuvent être enregistrés dans des fichiers journaux d'audit. Chaque journal d'audit peut être signé et chiffré afin d'assurer l'intégrité des données. Ces fichiers journaux d'audit peuvent être analysés pour découvrir les violations dans les mécanismes de sécurité existants et la faiblesse potentielle de l'infrastructure de sécurité en cours. Les enregistrements d'audit d'événement de sécurité permettent également de rassembler des preuves de responsabilité et d'irréfutabilité ainsi que d'analyse de vulnérabilité. La configuration de l'audit de sécurité fournit quatre filtres par défaut, un fournisseur de services d'audit par défaut et une fabrique d'événements par défaut. L'implémentation par défaut écrit dans un journal basé sur un fichier texte binaire. Cette rubrique permet de personnaliser votre sous-système d'audit de sécurité.

Procédure

  1. Activation du sous-système d'audit de sécurité

    L'audit de sécurité ne sera pas effectué sauf si le sous-système de sécurité d'audit a été activé. La sécurité globale doit être activée pour que le sous-système d'audit de sécurité fonctionne, étant donné qu'aucun audit de sécurité ne se produit si celle-ci n'est pas activée.

  2. Attribuez le rôle administratif à un utilisateur.

    Un utilisateur ayant le rôle auditeur est requis pour activer et configurer le sous-système d'audit de sécurité. Il est important de demander un contrôle d'accès strict pour la gestion des règles de sécurité. Le rôle d'auditeur a été créé pour permettre de séparer le rôle d'audit des droits d'administrateur. Lorsque l'audit de sécurité est activé initialement, l'administrateur de cellule possède des privilèges d'auditeur. Si l'environnement requiert une séparation des privilèges, des modifications doivent être apportées aux attributions de rôle par défaut.

  3. Création de filtres de type d'événement d'audit de sécurité

    Vous pouvez configurer des filtres de type d'événement pour enregistrer uniquement un sous-ensemble spécifique de types d'événement auditables dans vos journaux d'audit. Le filtrage des types d'événement enregistrés facilite l'analyse de vos enregistrements d'audit en assurant que seuls les enregistrements définis comme importants pour votre environnement sont archivés.

  4. Configuration du fournisseur de services d'audit.

    Le fournisseur de services d'audit permet de formater l'objet de données d'audit transmis avant de d'effectuer la sortie des données vers un référentiel. Une implémentation du fournisseur de services d'audit par défaut est inclue. Pour plus d'informations sur l'implémentation par défaut, voir Configuration de fournisseurs de services d'audit par défaut pour l'audit de sécurité. Une implémentation tiers peut également être codée et utilisée. Pour plus d'informations sur cette implémentation, voir Configuration de fournisseurs de services d'audit tiers pour l'audit de sécurité.

    [z/OS]Une implémentation de la fonction SMF est également disponible. Pour plus d'informations sur cette implémentation, voir Configuration de fournisseurs de services d'audit SMF pour l'audit de sécurité.

  5. Configuration des fabriques d'événements d'audit pour l'audit de sécurité

    Les fabriques d'événements d'audit rassemblent les données associées aux données auditables et créent un objet de données d'audit. Cet objet est ensuite transmis au fournisseur de services d'audit pour être formaté et enregistré dans le référentiel.

  6. Protection de vos données d'audit de sécurité

    Il est important de sécuriser et d'assurer l'intégrité des données d'audit enregistrées. Pour vous assurer que l'accès aux données est restreint et sécurisé, vous pouvez chiffrer et signer vos données d'audit.

  7. Configuration des notifications d'erreur de sous-système d'audit de sécurité

    Les notifications peuvent être activées afin que des alertes soient générées lorsqu'un incident survient dans le sous-système d'audit de sécurité. Les notifications peuvent être configurées pour enregistrer une alerte dans les journaux système ou pour envoyer une alerte par courrier électronique à une liste spécifiée de destinataires.

Résultats

Une fois cette tâche effectuée, les données d'audit seront enregistrées pour les événements auditables sélectionnés qui ont été spécifiés dans la configuration.

Que faire ensuite

Après la configuration de l'audit de sécurité, vous pouvez analyser vos données d'audit à la recherche de faiblesses possibles dans l'infrastructure de sécurité en cours afin de découvrir des violations de sécurité ayant pu se produire sur les mécanismes de sécurité existants. Vous pouvez également utiliser le sous-système d'audit de sécurité pour fournir des données de détermination de l'incident. Si le fournisseur de services d'audit par défaut est sélectionné, le fichier journal binaire d'audit produit peut être lu à l'aide du programme de lecture d'audit.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sa_secauditing
Nom du fichier : tsec_sa_secauditing.html