Auditoría del acceso a archivos - FSx para ONTAP
Descripción general de la auditoría de acceso a archivosDescripción general de las tareas para configurar la auditoría de acceso a los archivos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Auditoría del acceso a archivos

Amazon FSx for NetApp ONTAP admite la auditoría de los accesos de los usuarios finales a los archivos y directorios de una máquina virtual de almacenamiento ()SVM.

Descripción general de la auditoría de acceso a archivos

La auditoría de acceso a los archivos le permite registrar los accesos de los usuarios finales a archivos y directorios individuales en función de las políticas de auditoría que defina. La auditoría del acceso a los archivos puede ayudarle a mejorar la seguridad del sistema y reducir el riesgo de acceso no autorizado a los datos del sistema. La auditoría del acceso a los archivos ayuda a sus organizaciones a cumplir con los requisitos de protección de datos, identificar las posibles amenazas de forma temprana y reducir el riesgo de una violación de datos.

En todos los accesos a archivos y directorios, Amazon FSx admite el registro de los intentos exitosos (por ejemplo, si un usuario con permisos suficientes accede correctamente a un archivo), los intentos fallidos o ambos. También puede desactivar la auditoría de acceso a archivos en cualquier momento.

De forma predeterminada, los registros de eventos de auditoría se almacenan en formato de archivo EVTX, lo que le permite verlos mediante Microsoft Event Viewer.

SMBacceder a eventos que se pueden auditar

En la siguiente tabla se enumeran los eventos de acceso a SMB archivos y carpetas que se pueden auditar.

ID de evento (EVT/EVTX) Evento Descripción Categoría

560/4656

Abrir objeto/Crear objeto

OBJECTACCESS: Objeto (archivo o directorio) abierto

Acceso a archivos

563/4659

Abra un objeto con la intención de eliminarlo

OBJECTACCESS: Se solicitó el identificador de un objeto (archivo o directorio) con la intención de eliminarlo

Acceso a archivos

564/4660

Eliminar objeto

OBJECTACCESS: Eliminar objeto (archivo o directorio). ONTAPgenera este evento cuando un cliente de Windows intenta eliminar el objeto (archivo o directorio)

Acceso a archivos

567/4663

Lee los atributos Object/Write Object/Get Object Attributes/Set del objeto

OBJECTACCESS: intento de acceso al objeto (leer, escribir, obtener un atributo, establecer un atributo).

nota

En este caso, ONTAP audita solo la primera operación de SMB lectura y la primera operación de SMB escritura (correcta o fallida) de un objeto. Esto ONTAP evita que se creen demasiadas entradas de registro cuando un solo cliente abre un objeto y realiza varias operaciones sucesivas de lectura o escritura en el mismo objeto.

Acceso a archivos

N/A/4664

Enlace duro

OBJECTACCESS: Se intentó crear un enlace fijo

Acceso a archivos

N/A/N/A ID de ONTAP evento 9999

Renombrar objeto

OBJECTACCESS: Se ha cambiado el nombre del objeto. Se trata de un ONTAP evento. Actualmente, Windows no lo admite como evento único.

Acceso a archivos

N/A/N/A ID de ONTAP evento 9998

Desvincular el objeto

OBJECTACCESS: Objeto desvinculado. Se trata de un ONTAP evento. Actualmente, Windows no lo admite como evento único.

Acceso a archivos

NFSacceder a eventos que se pueden auditar

Se pueden auditar los siguientes eventos de acceso a NFS archivos y carpetas.

  • READ

  • OPEN

  • CLOSE

  • READDIR

  • WRITE

  • SETATTR

  • CREATE

  • LINK

  • OPENATTR

  • REMOVE

  • GETATTR

  • VERIFY

  • NVERIFY

  • RENAME

Descripción general de las tareas para configurar la auditoría de acceso a los archivos

La configuración de FSx la auditoría ONTAP de acceso a los archivos implica las siguientes tareas de alto nivel:

  1. Conocer los requisitos y consideraciones de la auditoría de acceso a ficheros.

  2. Cree una configuración de auditoría en una instancia específicaSVM.

  3. Habilite la auditoría sobre esoSVM.

  4. Configurar políticas de auditoría en sus archivos y directorios.

  5. Vea los registros de eventos de auditoría después FSx de ONTAP emitirlos.

Los detalles de la tarea se proporcionan en los siguientes procedimientos.

Repita las tareas con cualquier otro SVM elemento de su sistema de archivos para el que desee habilitar la auditoría de acceso a los archivos.

Requisitos de auditoría

Antes de configurar y habilitar la auditoría en un servidorSVM, debe tener en cuenta los siguientes requisitos y consideraciones.

  • NFSla auditoría admite la auditoría de las entradas de control de acceso (ACEs) designadas como tipou, que generan una entrada en el registro de auditoría cuando se intenta acceder al objeto. Para la NFS auditoría, no hay ningún mapeo entre los bits de modo y los de auditoríaACEs. Al convertir ACLs a bits de modo, ACEs se omite la auditoría. Al convertir los bits de modo aACLs, no ACEs se generan auditorías.

  • La auditoría depende de la disponibilidad de espacio en los volúmenes de estadificación. (Un volumen provisional es un volumen dedicado creado ONTAP para almacenar archivos de ensayo, que son archivos binarios intermedios en nodos individuales donde se almacenan los registros de auditoría antes de convertirlos a un formato de XML archivo EVTX o.) Debe asegurarse de que hay espacio suficiente para los volúmenes de estadificación en los agregados que contienen volúmenes auditados.

  • La auditoría depende de que haya espacio disponible en el volumen que contiene el directorio donde se almacenan los registros de eventos de auditoría convertidos. Debe asegurarse de que haya suficiente espacio en los volúmenes utilizados para almacenar los registros de eventos. Puede especificar el número de registros de auditoría que desea retener en el directorio de auditoría con el parámetro de -rotate-limit al crear una configuración de auditoría, lo que puede ayudar a garantizar que haya suficiente espacio disponible para los registros de auditoría en el volumen.

Crear configuraciones de auditoría en SVMs

Antes de empezar a auditar los eventos de archivos y directorios, debe crear una configuración de auditoría en la máquina virtual de almacenamiento (SVM). Tras crear la configuración de auditoría, debe habilitarla en laSVM.

Antes de usar el comando vserver audit create para crear la configuración de auditoría, asegúrese de haber creado un directorio para usarlo como destino de los registros y de que el directorio no tenga enlaces simbólicos. El directorio de destino se especifica con el parámetro -destination.

Puede crear una configuración de auditoría que rote los registros de auditoría en función del tamaño del registro o de una programación, de la siguiente manera:

  • Para rotar los registros de auditoría en función del tamaño del registro, utilice este comando:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    En el siguiente ejemplo, se crea una configuración de auditoría para el SVM nombre svm1 que audita las operaciones de los archivos y CIFS (SMB) los eventos de inicio y cierre de sesión (opción predeterminada) mediante una rotación basada en el tamaño. El formato de registro es EVTX (el predeterminado), los registros se almacenan en el directorio /audit_log y tendrá un solo archivo de registro cada vez (con un tamaño máximo de 200 MB).

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB

  • Para rotar los registros de auditoría en función de una programación, utilice este comando:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
        [-rotate-limit integer] [-rotate-schedule-month chron_month]
        [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
        [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    El parámetro -rotate-schedule-minute es obligatorio si va a configurar la rotación de registros de auditoría basada en el tiempo.

    En el siguiente ejemplo, se crea una configuración de auditoría para el SVM nombre svm2 mediante la rotación basada en el tiempo. El formato de registro es EVTX (predeterminado) y los registros de auditoría se rotan mensualmente, a las 12:30 p. m. todos los días de la semana.

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB  -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

Puede usar el parámetro -format para especificar si los registros de auditoría se crean en el formato EVTX convertido (el predeterminado) o en el formato de archivo XML. El formato EVTX le permite ver los archivos de registro con Microsoft Event Viewer.

De forma predeterminada, las categorías de eventos que se van a auditar son los eventos de acceso a los archivos (tanto comoNFS), CIFS los eventos de inicio SMB y cierre de sesión y los eventos de cambio de política de autorización. SMB Puede tener un mayor control sobre los eventos que se van a registrar mediante el parámetro -events, que tiene el siguiente formato:

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

Por ejemplo, el uso de -events file-share permite la auditoría de los eventos de uso compartido de archivos.

Para obtener más información sobre el comando vserver audit create, consulte Crear una configuración de auditoría.

Habilitar la auditoría en un SVM

Cuando termine de configurar la configuración de auditoría, debe habilitar la auditoría en elSVM. Para ello, utilice el siguiente comando: 

vserver audit enable -vserver svm_name

Por ejemplo, utilice el siguiente comando para habilitar la auditoría en el SVM nombresvm1.

vserver audit enable -vserver svm1

Puede desactivar la auditoría de acceso en cualquier momento. Por ejemplo, utilice el siguiente comando para desactivar la auditoría del SVM nombresvm4.

vserver audit disable -vserver svm4

Al deshabilitar la auditoría, la configuración de auditoría no se elimina en elSVM, lo que significa que puede volver a habilitar la auditoría SVM en cualquier momento.

Configurar las políticas de auditoría de archivos y carpetas

Debe configurar las políticas de auditoría en los archivos y carpetas que desee auditar para los intentos de acceso de los usuarios. Puede configurar políticas de auditoría para supervisar los intentos de acceso correctos y fallidos.

Puede configurar tanto las políticas como SMB las NFS de auditoría. SMBy las políticas de NFS auditoría tienen diferentes requisitos de configuración y capacidades de auditoría según el estilo de seguridad del volumen.

Políticas de auditoría sobre archivos NTFS y directorios de estilo seguro

Puede configurar las políticas NTFS de auditoría mediante la pestaña Seguridad de Windows o la. ONTAP CLI

Las políticas de NTFS auditoría se configuran añadiendo entradas asociadas a NTFS SACLs un descriptor NTFS de seguridad. A continuación, el descriptor de seguridad se aplica a NTFS los archivos y directorios. Windows GUI se encarga automáticamente de estas tareas. El descriptor de seguridad puede contener listas de control de acceso discrecionales (DACLs) para aplicar permisos de acceso a archivos y carpetas, SACLs auditar archivos y carpetas, o ambas SACLs opciones. DACLs

  1. En el menú Herramientas del Explorador de Windows, seleccione Mapear unidad de red.

  2. Complete el cuadro Mapear unidad de red:

    1. Elige una letra de Unidad.

    2. En el cuadro Carpeta, escriba el nombre del servidor SMB (CIFS) que contiene el recurso compartido, que contiene los datos que desea auditar y el nombre del recurso compartido.

    3. Seleccione Finalizar.

    La unidad que ha seleccionado está montada y lista, y la ventana del Explorador de Windows muestra los archivos y carpetas contenidos en el recurso compartido.

  3. Seleccione el archivo o directorio para el que desea habilitar el acceso de auditoría.

  4. Haga clic con el botón derecho del ratón en el archivo o directorio y, a continuación, seleccione Propiedades.

  5. Elija la pestaña Seguridad.

  6. Haga clic en Avanzado.

  7. Seleccione la pestaña Auditoría.

  8. Realice las acciones deseadas:

    Si desea… Haga lo siguiente:

    Configurar la auditoría para un nuevo usuario o grupo

    1. Elija Agregar.

    2. En el cuadro Ingresar el nombre del objeto que desee seleccionar, escriba el nombre del usuario o grupo que desee añadir.

    3. Seleccione OK.

    Eliminar la auditoría de un usuario o grupo

    1. En el cuadro Ingresar el nombre del objeto para seleccionarlo, seleccione el usuario o grupo que desee eliminar.

    2. Elija Eliminar.

    3. Seleccione OK.

    4. Omita el resto de este procedimiento.

    Cambie la auditoría de un usuario o grupo

    1. En el cuadro Ingresar el nombre del objeto para seleccionar, elija el usuario o grupo que desee cambiar.

    2. Elija Editar.

    3. Seleccione OK.

    Si va a configurar la auditoría de un usuario o grupo o va a cambiar la auditoría de un usuario o grupo existente, se abrirá el object cuadro Entrada de auditoría para.

  9. En el cuadro Aplicar a, seleccione cómo desea aplicar esta entrada de auditoría.

    Si está configurando la auditoría en un solo archivo, el cuadro Aplicar a no está activo, ya que el valor predeterminado es Solo este objeto.

  10. En el cuadro Acceso, seleccione lo que desee auditar y si desea auditar los eventos correctos, los eventos fallidos o ambos.

    • Para auditar los eventos exitosos, seleccione la casilla Éxito.

    • Para auditar los eventos de error, seleccione la casilla Fallo.

    Elija las acciones que debe supervisar para cumplir con sus requisitos de seguridad. Para obtener más información acerca de estos eventos auditables, consulte la documentación de Windows. Puede auditoría de los siguientes eventos:

    • Control total

    • Recorre la carpeta o ejecuta el archivo

    • Listar carpeta / leer datos

    • Leer atributos

    • Leer atributos extendidos

    • Crear archivos / escribir datos

    • Crear carpetas / añadir datos

    • Leer atributos

    • Escribir atributos extendidos

    • Eliminar subcarpetas y archivos

    • Eliminar

    • Permisos de lectura

    • Cambiar los permisos

    • Asumir la responsabilidad

  11. Si no desea que la configuración de auditoría se propague a los siguientes archivos y carpetas del contenedor original, seleccione la casilla Aplicar estas entradas de auditoría únicamente a los objetos y/o contenedores de este contenedor.

  12. Seleccione Aplicar.

  13. Cuando termine de añadir, eliminar o editar las entradas de auditoría, pulse Aceptar.

    objectSe cierra el cuadro Entrada de auditoría para.

  14. En el cuadro Auditoría, seleccione la configuración de herencia de esta carpeta. Elija solo el nivel mínimo que proporcione los eventos de auditoría que cumplan con sus requisitos de seguridad.

    Puede elegir una de las siguientes opciones:

    • Seleccione la casilla Incluir entradas de auditoría heredables de la casilla principal de este objeto.

    • Seleccione la casilla Reemplazar todas las entradas de auditoría heredables existentes en todos los descendientes por entradas de auditoría heredables de este objeto.

    • Seleccione ambas casillas.

    • No seleccione ninguna de las casillas.

    Si está configurando SACLs un solo archivo, el cuadro Reemplazar todas las entradas de auditoría heredables existentes en todos los descendientes por entradas de auditoría heredables de este objeto no aparece en el cuadro Auditoría.

  15. Seleccione OK.

Al utilizar el ONTAPCLI, puede configurar las políticas de NTFS auditoría sin necesidad de conectarse a los datos mediante un SMB recurso compartido en un cliente de Windows.

Por ejemplo, el siguiente comando aplica una política de seguridad denominada p1 al nombre. SVM vs0

vserver security file-directory apply -vserver vs0 -policy-name p1

Audite las políticas de archivos UNIX y directorios de estilo de seguridad

Para configurar la auditoría de archivos y UNIX directorios de estilo seguro, añada la auditoría ACEs (expresiones de control de acceso) a la versión NFS 4.x ACLs (listas de control de acceso). Esto le permite supervisar determinados eventos de acceso a NFS archivos y directorios por motivos de seguridad.

nota

En la NFS versión 4.x, tanto el sistema como el discrecional ACEs se almacenan en el mismo sitio. ACL Por lo tanto, debe tener cuidado al añadir una auditoría ACEs a una existente ACL para evitar sobrescribir y perder una existente. ACL No ACL importa el orden en el que añada la auditoría ACEs a una existente.

  1. Recupere lo existente ACL para el archivo o directorio mediante el comando nfs4_getfacl o un comando equivalente.

  2. Añada la auditoría ACEs deseada.

  3. Aplique la actualización ACL al archivo o directorio mediante el comando nfs4_setfacl o un comando equivalente.

    En este ejemplo, se utiliza la -a opción para conceder a un usuario (llamado testuser) permisos de lectura sobre el archivo denominado file1.

    nfs4_setfacl -a "A::testuser@example.com:R" file1

Visualización de los registros de eventos de auditoría

Puede ver los registros de eventos de auditoría guardados en los formatos de archivo EVTX o XML.

  • Formato de archivo EVTX: puede abrir los registros de eventos de auditoría EVTX convertidos como archivos guardados con Microsoft Event Viewer.

    Hay dos opciones que puede utilizar para ver los registros de eventos con Event Viewer:

    • Vista general: en el registro de eventos se muestra la información común a todos los eventos. No se muestran los datos específicos del evento para el registro del evento. Puede utilizar la vista detallada para mostrar datos específicos del evento.

    • Vista detallada: hay disponibles una vista descriptiva y una XML vista. La vista amigable y la XML vista muestran tanto la información común a todos los eventos como los datos específicos del evento para el registro del evento.

  • XMLformato de archivo: puede ver y procesar los registros de eventos de XML auditoría en aplicaciones de terceros que admiten este formato de XML archivo. XMLLas herramientas de visualización se pueden utilizar para ver los registros de auditoría, siempre que disponga del XML esquema y de la información sobre las definiciones de los XML campos.