Auditable security events

Auditable security events are security events that have audit instrumentation added to the security run time code to enable them to be recorded. Event filters are configured to specify which auditable security events are recorded to the audit log files.

The following list describes each valid auditable event that you can specify as an enabled event type when creating an event filter:
Table 1. Tipos de Eventos. É possível especificar eventos auditáveis válidos como um tipo de evento ativado ao criar um filtro de eventos:
Nome do Evento Descrição
SECURITY_AUTHN Audita todos os eventos de autenticação
SECURITY_AUTHN_MAPPING Audita eventos que registram o mapeamento de credenciais no qual duas identidades de usuários estão envolvidas
SECURITY_AUTHN_TERMINATE Audita eventos de fim de autenticação, como logout baseado em formulário
SECURITY_AUTHZ Audita eventos relacionados a verificações de autorização quando o sistema impõe políticas de controle de acesso
SECURITY_RUNTIME Audita eventos de tempo de execução, como iniciar e parar servidores de segurança. Esse tipo de evento não se destina a operações administrativas executadas por um administrador de sistemas, como as operações necessárias para se utilizar os outros tipos de eventos SECURITY_MGMT_*.
SECURITY_MGMT_AUDIT Audita eventos que gravam operações relacionadas ao subsistema de auditoria, como iniciar, parar e ativar ou desativar a auditoria, alterar a configuração de filtros ou nível de auditoria, arquivar dados de auditoria, eliminar dados de auditoria, etc.
SECURITY_RESOURCE_ACCESS Audita eventos que gravam todos os acessos em um recurso. Os exemplos são todos os acessos a um arquivo, todas as solicitações e respostas de HTTP para uma determinada página da Web e todos os acessos a uma tabela de banco de dados crítica
SECURITY_SIGNING Os eventos de auditoria que registram a assinatura como operações de assinatura usadas para validar partes de uma Mensagem SOAP para serviços da Web
SECURITY_ENCRYPTION Os eventos de auditoria que registram informações de criptografia como criptografia para serviços da Web
SECURITY_AUTHN_DELEGATION Audita eventos que registram delegação, incluindo a asserção de identidade, RunAs e asserção baixa. Utilizado quando a identidade do cliente é propagada ou quando a delegação envolve o uso de uma identidade especial. Esse tipo de evento também é utilizado quando se alterna identidades do usuário dentro de uma determinada sessão.
SECURITY_AUTHN_CREDS_MODIFY Audita eventos para modificar credenciais para uma determinada identidade do usuário
SECURITY_FORM_LOGIN Audita eventos do usuário que está efetuando login e o endereço IP remoto a partir do qual o login é iniciado, junto com o registro de data e hora e o resultado.
SECURITY_FORM_LOGOUT Audita eventos do usuário que está efetuando logout e o endereço IP remoto a partir do qual o logout é iniciado, junto com o registro de data e hora e o resultado.
For each audit event type, you must specify an outcome. Valid outcomes include SUCCESS, FAILURE, REDIRECT, ERROR, DENIED, WARNING, and INFO. Not all outcomes are applicable with all event types.
Note: Support for the SECURITY_RUNTIME auditing event type has been fully implemented for this release of WebSphere® Application Server. It audits runtime events such as the starting and the stopping of security servers.
[z/OS]
Table 2. Event Type SMF Codes. The following tables map the Security auditing event types and event outcomes to the SMF interpretations.
Event name SMF Code SMF Unload Keyword
SECURITY_AUTHN 1 *WASAUTN
SECURITY_AUTHN_MAPPING 3 *WASAUTM
SECURITY_AUTHN_TERMINATE 2 *WASAUTT
SECURITY_AUTHZ 4 *WASAUTZ
SECURITY_MGMT_CONFIG 8 *WASCONF
SECURITY_MGMT_POLICY 5 *WASPOLM
SECURITY_MGMT_PROVISIONING 9 *WASPROV
SECURITY_MGMT_RESOURCE 10 *WASRESM
SECURITY_RUNTIME 7 *WASRUNT
SECURITY_RUNTIME_KEY 11 *WASKEYR
SECURITY_MGMT_KEY 12 *WASKEYM
SECURITY_MGMT_AUDIT 13 *WASAUDI
SECURITY_MGMT_REGISTRY 6 *WASREGM
SECURITY_RESOURCE_ACCESS 14 *WASACCE
SECURITY_SIGNING 15 *WASSIGN
SECURITY_ENCRYPTION 16 *WASCRYP
SECURITY_AUTHN_DELEGATION 17 *WASDELE
Table 3. Event Outcome SMF Qualifier. The following table lists the event outcome SMF Qualifier.
Event Outcome SMF Qualifier SMF Unload Keyword
SUCCESSFUL 0 SUCCESS
INFO 1 INFO
WARNING 2 WARNING
FAILURE 3 FAILURE
REDIRECT 4 REDIRECT
DENIED 5 DENIED

To provide support for federal regulation compliance with minimal performance usage, support is added to allow for the capture of Web UI logins and logouts with a minimum amount of audit data.

The following properties, supported in the audit.xml file, are introduced:
  • com.ibm.audit.terse.form.login, with a value that consists of a space-delimited list of valid outcomes.
  • com.ibm.audit.terse.form.logout, with a value that consists of a space-delimited list of valid outcomes.
  • com.ibm.audit.terse.form login enables the SECURITY_FORM_LOGIN event with the outcomes specified in "value".
  • com.ibm.audit.terse.form.logout enables the SECURITY_FORM_LOGOUT event with the outcomes specified. in "value".

The resulting audit event contains only: the time stamp, the user being logged in (or out), the remote IP address from which the login or logout is initiated, and the outcome.

The following is an example of an audit.xml file that has both properties set:

<?xml version="1.0" encoding="UTF-8"?>
<security:Audit xmi:version="2.0" xmlns:xmi="http://www.omg.org/XMI" xmlns:security="http://www.ibm.com/websphere/appserver/schemas/5.0/security.xmi" xmi:id="Audit_1173199825578">
  <auditSpecifications xmi:id="AuditSpecification_1173199825610" enabled="true" name="DefaultAuditSpecification_3">
    <event>SECURITY_AUTHN_TERMINATE</event>
    <outcome>SUCCESS</outcome>
    <outcome>REDIRECT</outcome>
    <outcome>FAILURE</outcome>
  </auditSpecifications>
  <auditPolicy xmi:id="AuditPolicy_1173199825608" auditEnabled="true" auditorId="sadie" auditorPwd="{xor}" sign="false" encrypt="false" batching="false" verbose="false">
    <auditEventFactories xmi:id="AuditEventFactory_1173199825608" name="auditEventFactoryImpl_1" className="com.ibm.ws.security.audit.AuditEventFactoryImpl" auditServiceProvider="AuditServiceProvider_1173199825608" auditSpecifications="AuditSpecification_1173199825610"/>
    <auditServiceProviders xmi:id="AuditServiceProvider_1173199825608" name="auditServiceProviderImpl_1" className="com.ibm.ws.security.audit.BinaryEmitterImpl" eventFormatterClass="" maxFileSize="10" maxLogs="100" fileLocation="$(LOG_ROOT)" auditSpecifications="AuditSpecification_1173199825610"/>
  <properties xmi:id="Property_1" name="com.ibm.audit.terse.form.login" value="SUCCESS FAILURE" description="dtcc custom property"/>
  <properties xmi:id="Property_2" name="com.ibm.audit.terse.form.logout" value="SUCCESS FAILURE ERROR" description="dtcc custom property"/>
  </auditPolicy>
</security:Audit>

Property_1 defines that we will be capturing the terse SECURITY_FORM_LOGIN event type and an audit event will only be captured for outcomes of either success or failure.
Property_2 defines that we will be capturing the terse SECURITY_FORM_LOGOUT event type and an audit event will only be captures if the outcome is success, failure or error.

Starting with WebSphere Application Server V9, support is added to be able to configure the SECURITY_FORM_LOGIN and SECURITY_FORM_LOGOUT auditevent types either through the administrative console, or through wsadmin scripting. Specifying the properties is still supported, and if specified, there is not a need to reconfigure by using the administrative console or wsadmin scripting.


Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: July 9, 2016 7:52
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sa_event_types
Nome do arquivo: rsec_sa_event_types.html