Compartilhar via


Coletando eventos de segurança usando os serviços de coleta de auditoria no Operations Manager

 

Aplica-se a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

No System Center 2012 – Operations Manager, o ACS (Serviços de Coleta de Auditoria) fornece um meio de coleta de registros gerados por uma política de auditoria e os armazena em um banco de dados centralizado. Por padrão, quando uma política de auditoria é implementada em um computador Windows, esse computador salva automaticamente todos os eventos gerados pela política de auditoria no log de Segurança local. Isso é verdadeiro tanto para estações de trabalho do Windows quanto para servidores. Em organizações com requisitos de segurança rígidos, as diretivas de auditoria podem gerar rapidamente grandes volumes de eventos.

Com o ACS, as organizações podem consolidar logs de Segurança individuais em um banco de dados com gerenciamento central, e podem filtrar e analisar eventos usando as ferramentas de análise e relatórios de dados fornecidas pelo Microsoft SQL Server. Com o ACS, somente um usuário com direito especificamente atribuído para acessar o banco de dados do ACS pode executar consultas e criar relatórios sobre os dados coletados.

O ACS requer os seguintes componentes:

  • Encaminhadores ACS

  • Coletor ACS

  • Banco de dados ACS

Os computadores UNIX e Linux oferecem suporte à auditoria. Para obter mais informações, consulte ACS em UNIX e Linux neste tópico.

(Veja a lista de Tópicos sobre Coleta de eventos de segurança usando Serviços de Coleta de Auditoria.)

Encaminhadores ACS

O serviço que é executado nos encaminhadores ACS está incluído no agente do Operations Manager. Por padrão, este serviço é instalado durante a instalação do agente do Operations Manager, mas não é habilitado. Você pode habilitar esse serviço em vários computadores do agente ao mesmo tempo usando a tarefa Habilitar Coleta de Auditoria. Após habilitar o serviço, todos os eventos de segurança serão enviados ao coletor ACS além de serem armazenados no log de Segurança local.

Coletor ACS

O coletor ACS recebe os eventos dos encaminhadores ACS e os processa; em seguida, ele envia os dados para o banco de dados do ACS. Esse processamento inclui desmontar os dados para que possam ser distribuídos em várias tabelas do banco de dados no ACS, minimizar a redundância de dados e aplicar filtros para que os eventos desnecessários não sejam adicionados ao banco de dados do ACS.

O número de encaminhadores do ACS que podem ter suporte de um único coletor do ACS e banco de dados do ACS pode variar, dependendo dos seguintes fatores:

  • O número de eventos gerados pela sua política de auditoria.

  • A função dos computadores que os encaminhadores do ACS monitoram (como controlador de domínio versus servidor membro).

  • O nível de atividades no computador.

  • O hardware em que o coletor e o banco de dados do ACS são executados.

Se o ambiente tiver muitos encaminhadores ACS para um único coletor ACS, você pode instalar mais de um coletor ACS. Cada coletor ACS deve ter seu próprio banco de dados ACS.

Os requisitos de um coletor do ACS são os seguintes:

  • Um servidor de gerenciamento do Operations Manager

  • Um membro de um domínio do Active Directory

  • No mínimo, 1 gigabyte (GB) de RAM. Recomendável: 2 GB

  • Pelo menos um processador de 1,8 gigahertz (GHz). Recomendável: processador de 2,8 GHz

  • 10 GB de espaço disponível no disco rígido, no mínimo. Recomendável: 50 GB

No site da Microsoft, você deve baixar e instalar a versão mais recente do Microsoft Data Access Components (MDAC) em cada computador no qual planeje instalar o coletor ACS. Para saber mais sobre o MDAC, consulte Learning Microsoft Data Access Components (MDAC) (Conhecendo o Microsoft Data Access Components (MDAC)).

Banco de dados ACS

O banco de dados do ACS é o repositório central de eventos gerados por uma diretiva de auditoria em uma implantação do ACS. O banco de dados do ACS pode ser instalado no mesmo computador do coletor ACS, mas, para melhor desempenho, cada um deve ser instalado em um servidor dedicado.

Os requisitos de um banco de dados do ACS são os seguintes:

  • Para o System Center 2012 – Operations Manager: SQL Server 2005 ou SQL Server 2008. Você pode escolher uma instalação nova ou existente do SQL Server. O SQL Server Enterprise edition é recomendável devido ao estresse da manutenção diária do banco de dados do ACS.

  • Para System Center 2012 Service Pack 1 (SP1), Operations Manager: SQL Server SQL 2008 R2 SP1, SQL Server 2008 R2 SP2, SQL Server 2012 ou SQL Server 2012 SP1. O SQL Server Enterprise edition é recomendável devido ao estresse da manutenção diária do banco de dados do ACS.

  • No mínimo 1 GB de RAM. Recomendável: 2 GB

    System_CAPS_noteObservação

    Se você estiver usando o SQL Server 2008 R2 ou anterior e seu servidor tiver mais de 2 GB de memória, serão necessárias algumas etapas de configuração adicionais. Para obter mais informações sobre as etapas necessárias, consulte Como configurar o SQL Server para usar mais de 2 GB de memória física. Para obter uma lista dos requisitos mínimos de hardware e software para instalar e executar o SQL Server 2012, consulte Hardware and Software Requirements for Installing SQL Server 2012 (Requisitos de hardware e software para a instalação do SQL Server 2012).

  • Pelo menos um processador de 1,8 GHz. Recomendável: processador de 2,8 GHz

  • 20 GB de espaço disponível no disco rígido, no mínimo. Recomendável: 100 GB

Se você usar o SQL Server Standard Edition, o banco de dados deverá pausar durante as operações de manutenção diárias. Isso pode fazer com que a fila do coletor ACS fique cheia de solicitações dos encaminhadores ACS. Uma fila cheia do coletor ACS pode então fazer com que os encaminhadores ACS sejam desconectados do coletor ACS. Os encaminhadores ACS desconectados são conectados novamente após a conclusão da manutenção do banco de dados, e o registro posterior da fila é processado. Para garantir que não ocorra perda de eventos de auditoria, reserve espaço suficiente no disco rígido para o log de segurança local em todos os encaminhadores do ACS.

O SQL Server enterprise edition pode continuar a atender as solicitações do encaminhador do ACS, ainda que com nível de desempenho mais baixo, durante as operações diárias de manutenção. Para obter mais informações sobre a fila do coletor do ACS e a desconexão do encaminhador do ACS, consulte Planejamento de capacidade dos Serviços de Coleta de Auditoria e Monitorando o desempenho dos serviços de coleta de auditoria.

Suporte de ACS para Controle de Acesso Dinâmico

O System Center 2012 Service Pack 1 (SP1), Operations Manager fornece suporte de ACS para Controle de Acesso Dinâmico, conforme permitido pelo Windows Server 2012.

O Windows Server 2012 permite que os proprietários de dados corporativos classifiquem e identifiquem facilmente os dados, possibilitando a definição de políticas de acesso para classes de dados críticas para os negócios. No Windows Server 2012, o gerenciamento de conformidade tornou-se mais eficiente e flexível porque, agora, as políticas de acesso e auditoria podem se basear não apenas nas informações de usuário e grupo, mas também em um valioso conjunto de declarações de usuário, recurso e ambiente, e em propriedades do Active Directory, entre outras fontes. As declarações de usuário, como função, projetos, organização, as propriedades de recurso, como confidencialidade, e as declarações de dispositivo, como integridade, podem ser usadas para definir as políticas de acesso e auditoria.

O Windows Server 2012 aperfeiçoa o modelo existente do Windows ACL para oferecer suporte ao Controle de Acesso Dinâmico, onde os clientes podem definir uma política de acesso de autorização baseada em expressão, que inclua condições usando as declarações de usuário e máquina, além de propriedades de recursos (por exemplo, um arquivo). O exemplo a seguir é descritivo e não representa uma expressão real:

  • Permitir acesso de leitura e gravação se Liberação.Usuário >= Confidencialidade.Recurso e Dispositivo. Íntegros

  • Permitir acesso de leitura e gravação se Projeto.Usuário qualquer_um_do Projeto.Recurso

O System Center 2012 Service Pack 1 (SP1) ajuda a preencher esses dados permitindo que toda a empresa tenha visibilidade do uso do Controle de Acesso Dinâmico, usando os Serviços de Coleta de Auditoria do Operations Manager para coletar eventos das máquinas relevantes (servidores de arquivos, controladores de domínio) e fornecendo relatórios que permitem aos executivos de conformidade e auditores relatarem o uso do Controle de Acesso Dinâmico – por exemplo, alterações à auditoria em políticas, acesso de objetos (êxitos e falhas) e avaliações hipotéticas do que aconteceria caso determinada política fosse aplicada.

Configuração do Controle de Acesso Dinâmico

O cliente não precisa realizar nenhuma configuração para manipulação do ACS de informações de Controle de Acesso Dinâmico. A única interação com esse recurso ocorre por meio de um conjunto de relatórios. Nenhum monitoramento adicional é necessário.

ACS em UNIX e Linux

Há algumas diferenças no modo como o ACS é executado em computadores UNIX e Linux, em comparação com os computadores Windows. Elas são as seguintes:

  • Você deve importar os pacotes de gerenciamento do ACS para os sistemas operacionais UNIX e Linux.

  • Os eventos gerados a partir da política de auditoria em computadores UNIX e Linux são encaminhados ao log de Eventos de Segurança do Windows do servidor de gerenciamento Windows que está monitorando esses computadores e, em seguida, são coletados no banco de dados centralizado.

    No servidor de gerenciamento, um módulo de ação de gravação analisa os dados de auditoria de cada computador UNIX e Linux gerenciado e grava as informações no log de Eventos de Segurança do Windows. Um módulo de fonte de dados se comunica com agentes que são implantados nos computadores UNIX e Linux gerenciados para o monitoramento de arquivo de log.

  • Há um agente (o agente do Operations Manager para UNIX/Linux) em cada computador UNIX ou Linux que está sendo gerenciado.

  • O esquema de Coletor do ACS é estendido para dar suporte ao conteúdo adicional e à formatação de dados de auditoria enviados pelos computadores UNIX e Linux.