Recopilación de eventos de seguridad con servicios de recopilación de auditorías en Operations Manager

 

Se aplica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

En System Center 2012 – Operations Manager, los servicios de recopilación de auditorías (ACS) proporcionan un medio para recopilar registros generados mediante una directiva de auditorías y almacenarlos en una base de datos centralizada. De forma predeterminada, cuando una directiva de auditoría se implementa en un equipo Windows, ese equipo guarda automáticamente todos los eventos generados por la directiva de auditoría en el registro de seguridad local. Esto es así tanto para estaciones de trabajo de Windows como para servidores. En organizaciones donde hay estrictos requisitos de seguridad, las directivas de auditorías pueden generar rápidamente grandes volúmenes de eventos.

Con ACS, las organizaciones pueden consolidar registros de seguridad individuales en una base de datos administrada centralmente y pueden filtrar y analizar eventos con análisis de datos y de herramientas de generación de informes proporcionadas por Microsoft SQL Server. Con ACS, sólo un usuario que haya recibido específicamente el derecho para tener acceso a la base de datos de ACS, puede ejecutar consultas y crear informes sobre los datos recopilados.

ACS requiere los siguientes componentes:

• Reenviadores de ACS

• Recopilador de ACS

• Base de datos de ACS

La auditoría se admite en equipos UNIX y Linux. Para obtener más información, consulte ACS en UNIX y Linux en este tema.

(Vea la lista de Temas sobre recopilación de eventos de seguridad con los servicios de recopilación de auditorías.)

Reenviadores de ACS

Este servicio, ejecutado en los reenviadores de ACS, está incluido en el agente Operations Manager. Este servicio se instala de forma predeterminada cuando se instala el agente Operations Manager, pero no se habilita. Para habilitar este servicio para varios equipos con agente al mismo tiempo, use la tarea Habilitar recopilación de auditorías. Una vez habilitado, todos los eventos de seguridad se envían al recopilador de ACS además de al registro de seguridad local.

Recopilador de ACS

El recopilador de ACS recibe y procesa eventos de los reenviadores de ACS y, a continuación, envía estos datos a la base de datos de ACS. Este proceso implica desensamblar los datos con el fin de incluirlos en varias tablas dentro de la base de datos de ACS, minimizar la redundancia de datos y aplicar filtros para que no se agreguen eventos innecesarios a la base de datos de ACS.

El número de reenviadores de ACS que un único recopilador y base de datos de ACS pueden admitir puede variar, dependiendo de los siguientes factores:

• El número de eventos que genere la directiva de auditoría.

• El rol de los equipos que los reenviadores de ACS supervisan (por ejemplo, el controlador de dominio y un servidor miembro).

• El nivel de actividades del equipo.

• El hardware en el que se ejecutan el recopilador de ACS y la base de datos de ACS.

Si el entorno contiene demasiados reenviadores de ACS para un único recopilador de ACS, puede instalar más de un recopilador de ACS. Cada recopilador de ACS debe tener su propia base de datos.

Los requisitos para un recopilador de ACS son los siguientes:

• Un servidor de administración de Operations Manager

• Un miembro de un dominio de Active Directory

• Mínimo 1 gigabyte (GB) de RAM, pero se recomiendan 2 GB

• Al menos un procesador de 1,8 gigahercios (GHz), pero se recomienda uno de 2,8 GHz

• 10 GB de espacio de disco duro disponible, como mínimo, pero se recomiendan 50 GB

Deberá descargar e instalar la versión más reciente de Microsoft Data Access Components (MDAC) desde el sitio web de Microsoft en los equipos en que tiene intención de instalar el recopilador de ACS. Para obtener más información sobre MDAC, consulte Learning Microsoft Data Access Components (MDAC) (Información sobre los componentes de Microsoft Data Access (MDAC)).

Base de datos de ACS

La base de datos de ACS es el repositorio central para eventos que se generan a partir de una directiva de auditorías en una implantación de ACS. La base de datos de ACS se puede ubicar en el mismo equipo que el recopilador de ACS pero, para obtener un rendimiento óptimo, cada uno de ellos debe instalarse en un servidor dedicado.

Los requisitos para una base de datos de ACS son los siguientes:

• Para System Center 2012 – Operations Manager: SQL Server 2005 o SQL Server 2008. Puede elegir una instalación nueva o existente de SQL Server. Se recomienda la edición Enterprise de SQL Server debido al esfuerzo de mantenimiento diario de la base de datos de ACS.

• Para System Center 2012 Service Pack 1 (SP1), Operations Manager: SQL Server SQL 2008 R2 SP1, SQL Server 2008 R2 SP2, SQL Server 2012 o SQL Server 2012 SP1. Se recomienda la edición Enterprise de SQL Server debido al esfuerzo de mantenimiento diario de la base de datos de ACS.

• Mínimo 1 GB de RAM, pero se recomiendan 2 GB

  Nota

  Si está utilizando SQL Server 2008 R2 o una versión anterior y el servidor tiene más de 2 GB de memoria, será necesario realizar algunos pasos de configuración adicionales. Para obtener más información y conocer los pasos necesarios, consulte Cómo configurar SQL Server para utilizar más de 2 GB de memoria física. Para obtener una lista de los requisitos mínimos de hardware y software para instalar y ejecutar SQL Server 2012, consulte Requisitos de hardware y software para instalar SQL Server 2012.

• Al menos un procesador de 1,8 GHz, pero se recomienda uno de 2,8 GHz

• 20 GB de espacio de disco duro disponible, como mínimo, pero se recomiendan 100 GB

Si usa SQL Server Standard Edition, la base de datos debe ponerse en pausa durante las operaciones de mantenimiento diario. Esto puede causar que el recopilador de ACS se ponga en cola para rellenar solicitudes de reenviadores de ACS. Una cola completa del recopilador de ACS causa, por tanto, que los reenviadores de ACS se desconecten del recopilador de ACS. Los reenviadores de ACS desconectados se vuelven a conectar una vez que ha finalizado el proceso de mantenimiento de la base de datos y, a continuación, se procesa el registro de puesta en cola. Para garantizar que ningún evento de auditorías se pierda, asigne una cantidad suficiente de espacio en disco duro para el registro de seguridad local en todos los reenviadores de ACS.

SQL Server Enterprise Edition puede continuar atendiendo las solicitudes de reenviadores de ACS, aunque a un nivel de rendimiento inferior, durante las operaciones de mantenimiento diario. Para obtener más información acerca de la cola del recopilador de ACS y la desconexión del reenviador de ACS, consulte Planificación de la capacidad de los servicios de recopilación de auditorías y Supervisión de rendimiento de servicios de recopilación de auditorías.

Compatibilidad de ACS con control de acceso dinámico

System Center 2012 Service Pack 1 (SP1), Operations Manager proporciona la compatibilidad de ACS con control de acceso dinámico habilitada en Windows Server 2012.

Windows Server 2012 permite a los propietarios de datos empresariales clasificar y etiquetar los datos con facilidad para definir directivas de acceso para las clases de datos clave del negocio. La administración del cumplimiento en Windows Server 2012 es más eficiente y flexible ya que las directivas de acceso y auditoría se pueden basar no solo en información de grupos y usuarios, sino también en un conjunto más completo de usuarios, recursos y notificaciones de entorno, además de propiedades de Active Directory y de otros orígenes. Las notificaciones de usuario (como, por ejemplo, los roles, los proyectos y la organización), las propiedades de recurso (como, por ejemplo, la confidencialidad) y las notificaciones de dispositivo (como, por ejemplo, el estado) se pueden usar para definir directivas de acceso y de auditoría.

Windows Server 2012 mejora el modelo de Windows ACL existente para admitir el control de acceso dinámico, en el que los clientes pueden definir una directiva de autorización de acceso basada en expresiones que incluye condiciones que usan notificaciones de usuario y equipo, además de propiedades de recursos (como, por ejemplo, el archivo). La siguiente ilustración es descriptiva. No es una representación real de una expresión:

• Permitir el acceso de lectura y escritura si User.Clearance >= Resource.Secrecy y Device. Correcto

• Permitir el acceso de lectura y escritura si Usuario.Proyecto forma_parte_de Recurso.Proyecto

System Center 2012 Service Pack 1 (SP1) permite satisfacer estos escenarios ya que proporciona visibilidad a nivel global de la empresa sobre la utilización del control de acceso dinámico, facilita la recopilación de eventos de equipos relevantes (servidores de archivos, controladores de dominios) mediante los servicios de recopilación de auditorías de Operations Manager y proporciona informes para que los auditores y los responsables de cumplimiento normativo puedan informar sobre el uso del control de acceso dinámico: por ejemplo, auditorías de cambios en directivas, acceso a objetos (correcto/incorrecto) y análisis de hipótesis sobre qué podría suceder si se aplicara una determinada directiva.

Configuración del control de acceso dinámico

El cliente no tiene que realizar ninguna configuración para que ACS controle la información del control de acceso dinámico. La única interacción con esta característica se realiza a través de un conjunto de informes. No se requiere ninguna supervisión adicional.

ACS en UNIX y Linux

Existen diferencias en la forma en que se lleva a cabo ACS en equipos UNIX y Linux, en comparación con los equipos Windows. Son las siguientes:

• Debe importar los módulos de administración de ACS para los sistemas operativos UNIX y Linux.

• Los eventos que se generan a partir de una directiva de auditorías en equipos UNIX y Linux se reenvían al registro de eventos de seguridad de Windows del servidor de administración de Windows que supervisa los equipos UNIX o Linux y, a continuación, se recopilan en la base de datos centralizada.

  En el servidor de administración, un módulo de acción de escritura analiza los datos de auditoría de cada equipo UNIX y Linux administrado y escribe la información en el registro de eventos de seguridad de Windows. Un módulo de origen de datos se comunica con los agentes que se implementan en los equipos UNIX y Linux administrados para la supervisión del archivo de registro.

• Un agente (el agente de Operations Manager para UNIX/Linux) reside en cada equipo UNIX o Linux que se está administrando.

• El esquema del recopilador de ACS se amplía para admitir contenidos y formatos adicionales de los datos de auditoría enviados por equipos UNIX y Linux.

Temas sobre recopilación de eventos de seguridad con los servicios de recopilación de auditorías

• Seguridad de los servicios de recopilación de auditorías

• Planificación de la capacidad de los servicios de recopilación de auditorías

• Contadores de rendimiento de los servicios de recopilación de auditorías

• Cómo habilitar la recopilación de auditoría servicios de reenviadores (ACS)

• Cómo habilitar el registro de sucesos y reglas de ACS en los equipos AIX y Solaris

• Cómo filtrar sucesos de ACS para equipos de Linux y UNIX

• Cómo configurar certificados para el recopilador de ACS y reenviador

• Supervisión de rendimiento de servicios de recopilación de auditorías

• Cómo quitar los servicios de recopilación de auditorías (ACS)

• Administración de servicios de recopilación de auditorías (AdtAdmin.exe)

Otros recursos para este componente

• Página principal de la Biblioteca de TechNet de Operations Manager

• Guía de operaciones de System Center 2012 - Operations Manager

• Supervisión inicial una vez instalado Operations Manager

• Administración del acceso en Operations Manager

• Obtención de información de Operations Manager

• Tareas generales en Operations Manager

• Mantenimiento de Operations Manager

• Guía de creación de informes de Operations Manager

• Accessing UNIX and Linux Computers in Operations Manager (Acceso a equipos UNIX y Linux desde Operations Manager)

• Administración de la detección y los agentes