Raccolta di eventi di sicurezza con Audit Collection Services in Operations Manager
Si applica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
In System Center 2012 – Operations Manager, il servizio Audit Collection Services (ACS) fornisce uno strumento per la raccolta dei record generati da un criterio di controllo e per la loro archiviazione in un database centralizzato. Per impostazione predefinita, quando un criterio di controllo è implementato su un computer Windows, il computer salva automaticamente tutti gli eventi generati dal criterio di controllo nel proprio registro di protezione locale. Ciò vale per le workstation e per i server Windows. In organizzazioni che richiedono requisiti di protezione restrittivi, i criteri di controllo possono generare rapidamente grandi volumi di eventi.
Utilizzando il servizio ACS, le organizzazioni possono consolidare singoli registri di protezione in un database gestito a livello centrale e possono filtrare ed analizzare gli eventi utilizzando gli strumenti di analisi dei dati e di reporting forniti da Microsoft SQL Server. Con il servizio ACS solo un utente a cui sia stato specificamente assegnato il diritto di accedere al database ACS può eseguire query e creare report sui dati raccolti.
ACS richiede i seguenti componenti:
Server d'inoltro ACS
Agente di raccolta dati ACS
Database ACS
Il controllo è supportato nei computer UNIX e Linux. Per altre informazioni, vedere la sezione ACS in UNIX e Linux in questo argomento.
Vedere l'elenco di Argomenti relativi alla raccolta di eventi di sicurezza con Audit Collection Services.
Server d'inoltro ACS
Il servizio che esegue i server d'inoltro ACS è incluso nell'agente Operations Manager. Per impostazione predefinita, quando è installato l'agente Operations Manager il servizio è installato ma non abilitato. È possibile abilitare il servizio su più computer agente contemporaneamente utilizzando l'attività Abilita raccolta dati di controllo. Dopo aver abilitato tale servizio, tutti gli eventi di protezione vengono inviati all'agente di raccolta dati ACS per essere aggiunti al registro di protezione locale.
Agente di raccolta dati ACS
L'agente di raccolta dati ACS riceve ed elabora eventi dai server d'inoltro ACS, quindi invia tali dati al database ACS. Tale elaborazione comprende la scomposizione dei dati in modo che possano essere distribuiti in varie tabelle nel database ACS, la minimizzazione della ridondanza dei dati e l'applicazione di filtri così da evitare di aggiungere al database ACS eventi inutili.
Il numero di server d'inoltro ACS che possono essere supportati da un agente di raccolta ACS e un database ACS può variare in base ai fattori seguenti:
Il numero di eventi generati dal criterio di controllo.
Il ruolo dei computer monitorati dai server di inoltro di ACS (ad esempio, controller di dominio e server membro).
Il livello di attività nel computer.
L'hardware in cui l'agente di raccolta ACS e il database ACS sono in esecuzione.
Se l'ambiente contiene troppi server d'inoltro ACS per un solo agente di raccolta dei dati ACS, è possibile installarne più di uno. Ciascun agente di raccolta dei dati ACS deve avere il proprio database ACS.
I requisiti per un agente di raccolta ACS sono i seguenti:
Un server di gestione Operations Manager
Un membro di un dominio di Active Directory
Almeno 1 gigabyte (GB) di RAM (2 GB consigliati)
Un processore da almeno 1,8 gigahertz (GHz) (2,8 GHz consigliati)
Almeno 10 GB di spazio disponibile su disco (50 GB consigliati)
Su ogni computer su cui si prevede di installare l'agente di raccolta dei dati ACS, si dovrà scaricare e installare la versione più aggiornata di Microsoft Data Access Components (MDAC) disponibile sul sito Microsoft. Per ulteriori informazioni su MDAC, vedere Learning Microsoft Data Access Components (MDAC) (Informazioni su Microsoft Data Access Components (MDAC)).
Database ACS
Il database ACS è l'archivio centrale degli eventi generati da un criterio di controllo nell'ambito di una distribuzione ACS. Il database ACS può essere ubicato sullo stesso computer dell'agente di raccolta dei dati ACS, ma per prestazioni migliori ciascuno di essi andrebbe installato su un server dedicato.
Di seguito sono riportati i requisiti per un database ACS:
Per System Center 2012 – Operations Manager: SQL Server 2005 o SQL Server 2008. È possibile scegliere un'installazione nuova o esistente di SQL Server. È consigliato SQL Server Enterprise Edition per il sovraccarico determinato dalla manutenzione giornaliera del database ACS.
Per System Center 2012 Service Pack 1 (SP1) - Operations Manager: SQL Server SQL 2008 R2 SP1, SQL Server 2008 R2 SP2, SQL Server 2012 o SQL Server 2012 SP1. È consigliato SQL Server Enterprise Edition per il sovraccarico determinato dalla manutenzione giornaliera del database ACS.
Almeno 1 GB di RAM (2 GB consigliati)
Nota
Se si usa SQL Server 2008 R2 o versioni precedenti e il server dispone di più di 2 GB di memoria sono necessari alcuni passaggi di configurazione aggiuntivi. Per altre informazioni e per le procedure da eseguire, vedere Configurazione di SQL Server per l'utilizzo di oltre 2 GB di memoria fisica. Per un elenco dei requisiti minimi hardware e software per installare ed eseguire SQL Server 2012, vedere Requisiti hardware e software per l'installazione di SQL Server 2012.
Un processore da almeno 1,8 GHz (2,8 GHz consigliati)
Almeno 20 GB di spazio disponibile su disco (100 GB consigliati)
Se si utilizza SQL Server standard edition, il database dovrà sospendere le operazioni di manutenzione giornaliera. Ciò potrebbe determinare una coda sull'agente di raccolta dei dati ACS per evadere le richieste provenienti dai server d'inoltro ACS. Una coda sull'agente di raccolta dei dati ACS potrebbe determinare la disconnessione dei server d'inoltro ACS dall'agente di raccolta dei dati ACS. I server d'inoltro disconnessi si ricollegano dopo il completamento della manutenzione del database e la successiva elaborazione dei messaggi della coda. Per garantire che nessun evento di controllo vada perso, allocare uno spazio su disco sufficiente per il registro di protezione locale su tutti i server d'inoltro ACS.
SQL Server Enterprise Edition può continuare ad evadere le richieste dei server d'inoltro ACS, sebbene con un livello di prestazioni inferiore, durante le operazioni di manutenzione giornaliere. Per ulteriori informazioni sulla coda nell'agente di raccolta dei dati ACS e sulla disconnessione del server d'inoltro ACS, vedere Pianificazione della capacità di Audit Collection Services e Monitoraggio delle prestazioni di Audit Collection Services.
Supporto di ACS per il controllo di accesso dinamico
System Center 2012 Service Pack 1 (SP1) - Operations Manager offre il supporto di ACS per il controllo di accesso dinamico abilitato da Windows Server 2012.
Windows Server 2012 consente ai proprietari di dati aziendali di classificare e identificare facilmente i dati permettendo la definizione di criteri di accesso a classi di dati di importanza critica. In Windows Server 2012, la gestione della conformità diventa più efficiente e flessibile perché i criteri di accesso e controllo possono essere basati non solo su informazioni relative a utenti e gruppi ma su una serie più ricca di attestazioni relative a utenti, risorse e ambienti nonché proprietà da Active Directory e altre fonti. Nella definizione dei criteri di accesso e controllo è consentito utilizzare attestazioni relative agli utenti quali ruoli, progetti e organizzazione, proprietà di risorse quali la riservatezza e attestazioni relative ai dispositivi quali lo stato.
Windows Server 2012 migliora il modello esistente dell'elenco di controllo di accesso (ACL) Windows per supportare il controllo di accesso dinamico dove i clienti possono definire dei criteri di accesso autorizzazione basati su espressioni in cui sono incluse condizioni con attestazioni relative a utenti e macchine nonché proprietà di risorsa, ad esempio un file. La figura seguente è semplicemente descrittiva e non è la rappresentazione effettiva di un'espressione:
Allow Read and Write access if User.Clearance >= Resource.Secrecy and Device. (Consenti l'accesso in lettura e scrittura se Autorizzazione.utente= Riservatezza.risorsa e dispositivo) Healthy
Allow Read and Write access if User.Project any_of Resource.Project (Consenti l'accesso in lettura e scrittura se Progetto.utente qualsiasi_Progetto.risorsa)
System Center 2012 Service Pack 1 (SP1) contribuisce a soddisfare questi scenari fornendo visibilità per l'intera organizzazione sull'utilizzo del controllo di accesso dinamico, sfruttando Audit Collection Services di Operations Manager per raccogliere eventi dalle macchine rilevanti (file server, controller di dominio) e fornendo funzionalità di report. Ciò consente ai revisori e ai responsabili della conformità di creare rapporti sull'utilizzo del controllo di accesso dinamico, ad esempio sulle modifiche di controllo ai criteri, sull'accesso agli elementi (esito positivo o negativo) e sulle valutazioni delle possibili conseguenze qualora venisse applicato un particolare criterio.
Configurazione per il controllo di accesso dinamico
Per il cliente non è necessaria alcuna configurazione per la gestione delle informazioni di controllo di accesso dinamico ACS. L'unica interazione con questa funzionalità avviene tramite un gruppo di report. Non è richiesto alcun monitoraggio aggiuntivo.
ACS in UNIX e Linux
Esistono alcune differenze nella modalità di esecuzione di ACS nei computer UNIX e Linux rispetto ai computer Windows. Le visualizzazioni sono le seguenti:
È necessario importare i Management Pack ACS per i sistemi operativi UNIX e Linux.
Gli eventi generati dai criteri di controllo nei computer UNIX e Linux vengono inoltrati al registro eventi di protezione di Windows del server di gestione Windows che esegue il monitoraggio dei computer UNIX o Linux e in seguito vengono raccolti nel database centralizzato.
Nel server di gestione un modulo di scrittura analizza i dati di controllo di tutti i computer UNIX e Linux gestiti e scrive le informazioni nel registro eventi di protezione Windows. Un modulo di origine dati comunica con gli agenti che vengono distribuiti nei computer UNIX e Linux gestiti per il monitoraggio del file di registro.
Un agente (l'agente Operations Manager per UNIX/Linux) si trova in ogni computer UNIX o Linux gestito.
Lo schema dell'agente di raccolta ACS viene esteso per supportare i contenuti aggiuntivi e la formattazione dei dati di controllo inviati dai computer UNIX e Linux.