Audit de l'accès aux fichiers - FSx pour ONTAP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Audit de l'accès aux fichiers

Amazon FSx for NetApp ONTAP prend en charge l'audit des accès des utilisateurs finaux aux fichiers et aux répertoires d'une machine virtuelle de stockage (SVM).

Présentation de l'audit d'accès aux fichiers

L'audit d'accès aux fichiers vous permet d'enregistrer les accès des utilisateurs finaux à des fichiers et répertoires individuels en fonction des politiques d'audit que vous définissez. L'audit de l'accès aux fichiers peut vous aider à améliorer la sécurité de votre système et à réduire le risque d'accès non autorisé aux données de votre système. L'audit de l'accès aux fichiers aide vos entreprises à rester en conformité avec les exigences de protection des données, à identifier rapidement les menaces potentielles et à réduire le risque de violation de données.

Pour les accès aux fichiers et aux répertoires, Amazon FSx prend en charge la journalisation des tentatives réussies (par exemple, lorsqu'un utilisateur disposant des autorisations suffisantes accède à un fichier avec succès), des tentatives infructueuses, ou les deux. Vous pouvez également désactiver l'audit d'accès aux fichiers à tout moment.

Par défaut, les journaux des événements d'audit sont stockés au format de EVTX fichier, ce qui vous permet de les consulter à l'aide de Microsoft Event Viewer.

Événements d'accès aux PME qui peuvent être audités

Le tableau suivant répertorie les événements d'accès aux fichiers et aux dossiers SMB qui peuvent être audités.

ID d'événement (EVT/EVTX) Événement Description Catégorie

560/4656

Ouvrir un objet/Créer un objet

ACCÈS À L'OBJET : Objet (fichier ou répertoire) ouvert

Accès aux fichiers

563/4659

Ouvrir un objet dans l'intention de le supprimer

ACCÈS À L'OBJET : Un descripteur d'un objet (fichier ou répertoire) a été demandé dans le but de le supprimer

Accès aux fichiers

564/4660

Suppression d’objet

ACCÈS À L'OBJET : Supprimer l'objet (fichier ou répertoire). ONTAP génère cet événement lorsqu'un client Windows tente de supprimer l'objet (fichier ou répertoire)

Accès aux fichiers

567/4663

Lire les attributs de Object/Write Object/Get Object Attributes/Set l'objet

ACCÈS À UN OBJET : tentative d'accès à un objet (lecture, écriture, obtention d'un attribut, définition d'un attribut).

Note

Pour cet événement, ONTAP n'audite que la première opération de lecture SMB et la première opération d'écriture SMB (réussite ou échec) sur un objet. Cela empêche ONTAP de créer des entrées de journal excessives lorsqu'un seul client ouvre un objet et effectue de nombreuses opérations de lecture ou d'écriture successives sur le même objet.

Accès aux fichiers

N/A/4664

Lien dur

ACCÈS AUX OBJETS : Une tentative a été faite pour créer un lien physique

Accès aux fichiers

N/A/N/A Numéro d'événement ONTAP 9999

Renommer l'objet

ACCÈS À L'OBJET : Objet renommé. Il s'agit d'un événement ONTAP. Il n'est actuellement pas pris en charge par Windows en tant qu'événement unique.

Accès aux fichiers

N/A/N/A Numéro d'événement ONTAP 9998

Dissocier un objet

ACCÈS À L'OBJET : Objet non lié. Il s'agit d'un événement ONTAP. Il n'est actuellement pas pris en charge par Windows en tant qu'événement unique.

Accès aux fichiers

Événements d'accès NFS pouvant être audités

Les événements d'accès aux fichiers et dossiers NFS suivants peuvent être audités.

  • READ

  • OPEN

  • CLOSE

  • READDIR

  • WRITE

  • SETATTR

  • CREATE

  • LIEN

  • OPENATTR

  • SUPPRIMER

  • GETATTR

  • VÉRIFIER

  • NVÉRIFIER

  • RENAME

Vue d'ensemble des tâches de configuration de l'audit d'accès aux fichiers

La configuration d'ONTAP FSx pour l'audit de l'accès aux fichiers implique les tâches de haut niveau suivantes :

  1. Familiarisez-vous avec les exigences et les considérations relatives à l'audit de l'accès aux fichiers.

  2. Créez une configuration d'audit sur une SVM spécifique.

  3. Activez l'audit sur cette SVM.

  4. Configurez des politiques d'audit sur vos fichiers et répertoires.

  5. Consultez les journaux des événements d'audit une fois que FSx for ONTAP les aura émis.

Les détails des tâches sont fournis dans les procédures suivantes.

Répétez les tâches pour toutes les autres SVM de votre système de fichiers pour lesquelles vous souhaitez activer l'audit d'accès aux fichiers.

Exigences en matière d'audit

Avant de configurer et d'activer l'audit sur une SVM, vous devez connaître les exigences et considérations suivantes.

  • L'audit NFS prend en charge les entrées de contrôle d'accès d'audit (ACEs) désignées par typeu, qui génèrent une entrée dans le journal d'audit lorsque l'accès est tenté sur l'objet. Pour l'audit NFS, il n'existe aucun mappage entre les bits de mode et l'audit ACEs. Lors de la conversion ACLs en mode bits, ACEs les audits sont ignorés. Lors de la conversion des bits de mode en ACLs, aucun audit ACEs n'est généré.

  • L'audit dépend de l'espace disponible dans les volumes intermédiaires. (Un volume intermédiaire est un volume dédié créé par ONTAP pour stocker des fichiers intermédiaires, qui sont des fichiers binaires intermédiaires sur des nœuds individuels où les enregistrements d'audit sont stockés avant la conversion au format de fichier EVTX ou XML.) Vous devez vous assurer qu'il y a suffisamment d'espace pour les volumes intermédiaires dans les agrégats contenant des volumes audités.

  • L'audit dépend de l'espace disponible dans le volume contenant le répertoire dans lequel les journaux d'événements d'audit convertis sont stockés. Vous devez vous assurer qu'il y a suffisamment d'espace dans les volumes utilisés pour stocker les journaux d'événements. Vous pouvez spécifier le nombre de journaux d'audit à conserver dans le répertoire d'audit en utilisant le -rotate-limit paramètre lors de la création d'une configuration d'audit, ce qui permet de garantir qu'il y a suffisamment d'espace disponible pour les journaux d'audit dans le volume.

Création de configurations d'audit sur SVMs

Avant de commencer à auditer les événements relatifs aux fichiers et aux répertoires, vous devez créer une configuration d'audit sur la machine virtuelle de stockage (SVM). Après avoir créé la configuration d'audit, vous devez l'activer sur la SVM.

Avant d'utiliser la vserver audit create commande pour créer la configuration d'audit, assurez-vous que vous avez créé un répertoire à utiliser comme destination pour les journaux et que le répertoire ne contient pas de liens symboliques. Vous spécifiez le répertoire de destination à l'aide du -destination paramètre.

Vous pouvez créer une configuration d'audit qui fait pivoter les journaux d'audit en fonction de leur taille ou d'un calendrier, comme suit :

  • Pour faire pivoter les journaux d'audit en fonction de leur taille, utilisez cette commande :

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    L'exemple suivant crée une configuration d'audit pour la SVM nommée svm1 qui analyse les opérations sur les fichiers et les événements d'ouverture et de fermeture de session CIFS (SMB) (par défaut) en utilisant une rotation basée sur la taille. Le format de journal est EVTX (par défaut), les journaux sont stockés dans le /audit_log répertoire et vous n'aurez qu'un seul fichier journal à la fois (d'une taille maximale de 200 Mo).

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB
  • Pour faire pivoter les journaux d'audit selon un calendrier, utilisez cette commande :

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-schedule-month chron_month] [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth] [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    Le -rotate-schedule-minute paramètre est obligatoire si vous configurez la rotation des journaux d'audit basée sur le temps.

    L'exemple suivant crée une configuration d'audit pour la SVM nommée à l'svm2aide d'une rotation basée sur le temps. Le format des journaux est EVTX (par défaut) et les journaux d'audit font l'objet d'une rotation mensuelle, à 12 h 30, tous les jours de la semaine.

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

Vous pouvez utiliser le -format paramètre pour spécifier si les journaux d'audit sont créés dans le EVTX format converti (par défaut) ou dans le format de XML fichier. Le EVTX format vous permet d'afficher les fichiers journaux avec Microsoft Event Viewer.

Par défaut, les catégories d'événements à auditer sont les événements d'accès aux fichiers (SMB et NFS), les événements d'ouverture et de fermeture de session CIFS (SMB) et les événements de modification des politiques d'autorisation. Vous pouvez mieux contrôler les événements à consigner grâce au -events paramètre, dont le format est le suivant :

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

Par exemple, l'utilisation -events file-share permet d'auditer les événements de partage de fichiers.

Pour plus d'informations sur la vserver audit create commande, voir Création d'une configuration d'audit.

Activation de l'audit sur une SVM

Après avoir configuré la configuration d'audit, vous devez activer l'audit sur la SVM. Pour ce faire, utilisez la commande suivante :

vserver audit enable -vserver svm_name

Par exemple, utilisez la commande suivante pour activer l'audit sur la SVM nomméesvm1.

vserver audit enable -vserver svm1

Vous pouvez désactiver l'audit d'accès à tout moment. Par exemple, utilisez la commande suivante pour désactiver l'audit sur la SVM nomméesvm4.

vserver audit disable -vserver svm4

Lorsque vous désactivez l'audit, la configuration d'audit n'est pas supprimée de la SVM, ce qui signifie que vous pouvez réactiver l'audit sur cette SVM à tout moment.

Configuration des politiques d'audit des fichiers et des dossiers

Vous devez configurer des politiques d'audit sur les fichiers et dossiers que vous souhaitez auditer pour les tentatives d'accès des utilisateurs. Vous pouvez configurer des politiques d'audit pour surveiller les tentatives d'accès réussies et infructueuses.

Vous pouvez configurer les politiques d'audit SMB et NFS. Les politiques d'audit SMB et NFS ont des exigences de configuration et des capacités d'audit différentes en fonction du style de sécurité du volume.

Politiques d'audit sur les fichiers et répertoires de type sécurité NTFS

Vous pouvez configurer les politiques d'audit NTFS à l'aide de l'onglet Sécurité de Windows ou de la CLI ONTAP.

Vous configurez les politiques d'audit NTFS en ajoutant des entrées au système NTFS SACLs associées à un descripteur de sécurité NTFS. Le descripteur de sécurité est ensuite appliqué aux fichiers et répertoires NTFS. Ces tâches sont automatiquement gérées par l'interface graphique de Windows. Le descripteur de sécurité peut contenir des listes de contrôle d'accès discrétionnaires (DACLs) pour appliquer des autorisations d'accès aux fichiers et aux dossiers, SACLs pour l'audit des fichiers et des dossiers, ou les deux SACLs et. DACLs

  1. Dans le menu Outils de l'Explorateur Windows, sélectionnez Cartographier le lecteur réseau.

  2. Complétez la case Map Network Drive :

    1. Choisissez une lettre Drive.

    2. Dans la zone Dossier, tapez le nom du serveur SMB (CIFS) qui contient le partage, contenant les données que vous souhaitez auditer et le nom du partage.

    3. Choisissez Finish (Terminer).

    Le lecteur que vous avez sélectionné est monté et prêt avec la fenêtre de l'Explorateur Windows affichant les fichiers et dossiers contenus dans le partage.

  3. Sélectionnez le fichier ou le répertoire pour lequel vous souhaitez activer l'accès aux audits.

  4. Cliquez avec le bouton droit sur le fichier ou le répertoire, puis sélectionnez Propriétés.

  5. Choisissez l’onglet Security (Sécurité).

  6. Cliquez sur Avancé.

  7. Choisissez l'onglet Audit.

  8. Effectuez les actions souhaitées :

    Si vous souhaitez... Procédez comme suit

    Configurer l'audit pour un nouvel utilisateur ou un nouveau groupe

    1. Choisissez Ajouter.

    2. Dans la zone Entrez le nom de l'objet à sélectionner, tapez le nom de l'utilisateur ou du groupe que vous souhaitez ajouter.

    3. Choisissez OK.

    Supprimer l'audit d'un utilisateur ou d'un groupe

    1. Dans la zone Entrez le nom de l'objet à sélectionner, sélectionnez l'utilisateur ou le groupe que vous souhaitez supprimer.

    2. Sélectionnez Remove (Supprimer).

    3. Choisissez OK.

    4. Ignorez le reste de cette procédure.

    Audit des modifications pour un utilisateur ou un groupe

    1. Dans la zone Entrez le nom de l'objet à sélectionner, choisissez l'utilisateur ou le groupe que vous souhaitez modifier.

    2. Choisissez Modifier.

    3. Choisissez OK.

    Si vous configurez l'audit sur un utilisateur ou un groupe ou si vous modifiez l'audit sur un utilisateur ou un groupe existant, la object zone Entrée d'audit pour s'ouvre.

  9. Dans le champ Appliquer à, sélectionnez la manière dont vous souhaitez appliquer cette entrée d'audit.

    Si vous configurez l'audit sur un seul fichier, la case Appliquer à n'est pas active, car la valeur par défaut est Cet objet uniquement.

  10. Dans le champ Accès, sélectionnez ce que vous souhaitez auditer et si vous souhaitez auditer les événements réussis, les événements d'échec ou les deux.

    • Pour auditer les événements réussis, cochez la case Réussite.

    • Pour auditer les événements de défaillance, cochez la case Défaillance.

    Choisissez les actions que vous devez surveiller pour répondre à vos exigences de sécurité. Pour plus d'informations sur ces événements vérifiables, consultez votre documentation Windows. Vous pouvez auditer les événements suivants :

    • Contrôle total

    • Traverse le dossier/exécuter le fichier

    • Répertorier les dossiers/lire les données

    • Lire les attributs

    • Lire les attributs étendus

    • Création de fichiers/écriture de données

    • Création de dossiers/ajout de données

    • Écrire des attributs

    • Écrire des attributs étendus

    • Supprimer des sous-dossiers et des fichiers

    • Suppression

    • Autorisations de lecture

    • Modifier les autorisations

    • Prenez possession

  11. Si vous ne souhaitez pas que le paramètre d'audit se propage aux fichiers et dossiers suivants du conteneur d'origine, cochez la case Appliquer ces entrées d'audit aux objets et/ou aux conteneurs de ce conteneur uniquement.

  12. Choisissez Appliquer.

  13. Une fois que vous avez terminé d'ajouter, de supprimer ou de modifier des entrées d'audit, cliquez sur OK.

    L'entrée d'audit pour la object boîte se ferme.

  14. Dans la zone Audit, choisissez les paramètres d'héritage pour ce dossier. Choisissez uniquement le niveau minimal qui fournit les événements d'audit répondant à vos exigences de sécurité.

    Vous pouvez choisir l'une des méthodes suivantes.

    • Choisissez la case Inclure les entrées d'audit héritables dans la zone parent de cet objet.

    • Choisissez la case Remplacer toutes les entrées d'audit héritables existantes sur tous les descendants par des entrées d'audit héritables dans cet objet.

    • Choisissez les deux cases.

    • Ne choisissez aucune des deux cases.

    Si vous définissez SACLs un seul fichier, la zone Remplacer toutes les entrées d'audit héritables existantes sur tous les descendants par des entrées d'audit héritables de cet objet n'est pas présente dans la zone Audit.

  15. Choisissez OK.

À l'aide de la CLI ONTAP, vous pouvez configurer des politiques d'audit NTFS sans avoir à vous connecter aux données à l'aide d'un partage SMB sur un client Windows.

Par exemple, la commande suivante applique une politique de sécurité nommée p1 à la SVM nomméevs0.

vserver security file-directory apply -vserver vs0 -policy-name p1

Politiques d'audit sur les fichiers et répertoires de type sécurité UNIX

Vous configurez l'audit pour les fichiers et répertoires de type sécurité UNIX en ajoutant l'audit ACEs (expressions de contrôle d'accès) à NFS v4.x ACLs (listes de contrôle d'accès). Cela vous permet de surveiller certains événements d'accès aux fichiers et aux répertoires NFS pour des raisons de sécurité.

Note

Pour NFS v4.x, le système et le système ACEs sont stockés dans la même ACL. Par conséquent, vous devez être prudent lorsque vous ajoutez un audit ACEs à une ACL existante afin d'éviter de la remplacer et de perdre une ACL existante. L'ordre dans lequel vous ajoutez l'audit ACEs à une ACL existante n'a pas d'importance.

  1. Récupérez l'ACL existante pour le fichier ou le répertoire à l'aide de la commande nfs4_getfacl ou équivalente.

  2. Ajoutez l'audit ACEs souhaité.

  3. Appliquez l'ACL mise à jour au fichier ou au répertoire à l'aide de la commande nfs4_setfacl ou équivalente.

    Cet exemple utilise l'-aoption permettant d'accorder à un utilisateur (nommétestuser) des autorisations de lecture sur le fichier nomméfile1.

    nfs4_setfacl -a "A::testuser@example.com:R" file1

Afficher les journaux des événements d'audit

Vous pouvez consulter les journaux des événements d'audit enregistrés au format EVTX ou au format de XML fichier.

  • EVTXformat de fichier — Vous pouvez ouvrir les journaux EVTX d'événements d'audit convertis sous forme de fichiers enregistrés à l'aide de Microsoft Event Viewer.

    Vous pouvez utiliser deux options lorsque vous consultez les journaux d'événements à l'aide de l'Observateur d'événements :

    • Vue générale : les informations communes à tous les événements sont affichées pour l'enregistrement de l'événement. Les données spécifiques à l'événement pour l'enregistrement de l'événement ne sont pas affichées. Vous pouvez utiliser la vue détaillée pour afficher des données spécifiques à un événement.

    • Vue détaillée : une vue conviviale et une vue XML sont disponibles. La vue conviviale et la vue XML affichent à la fois les informations communes à tous les événements et les données spécifiques à l'événement pour l'enregistrement de l'événement.

  • XMLformat de fichier — Vous pouvez afficher et traiter les journaux d'événements d'audit XML sur des applications tierces qui prennent en charge le format de fichier XML. Les outils de visualisation XML peuvent être utilisés pour consulter les journaux d'audit à condition que vous disposiez du schéma XML et des informations sur les définitions des champs XML.