Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Audit de l'accès aux fichiers
Amazon FSx for NetApp ONTAP prend en charge l'audit des accès des utilisateurs finaux aux fichiers et aux répertoires d'une machine virtuelle de stockage (SVM).
Rubriques
Présentation de l'audit d'accès aux fichiers
L'audit d'accès aux fichiers vous permet d'enregistrer les accès des utilisateurs finaux à des fichiers et répertoires individuels en fonction des politiques d'audit que vous définissez. L'audit de l'accès aux fichiers peut vous aider à améliorer la sécurité de votre système et à réduire le risque d'accès non autorisé aux données de votre système. L'audit de l'accès aux fichiers aide vos entreprises à rester en conformité avec les exigences de protection des données, à identifier rapidement les menaces potentielles et à réduire le risque de violation de données.
Pour les accès aux fichiers et aux répertoires, Amazon FSx prend en charge la journalisation des tentatives réussies (par exemple, lorsqu'un utilisateur disposant des autorisations suffisantes accède à un fichier avec succès), des tentatives infructueuses, ou les deux. Vous pouvez également désactiver l'audit d'accès aux fichiers à tout moment.
Par défaut, les journaux des événements d'audit sont stockés au format de EVTX
fichier, ce qui vous permet de les consulter à l'aide de Microsoft Event Viewer.
Événements d'accès aux PME qui peuvent être audités
Le tableau suivant répertorie les événements d'accès aux fichiers et aux dossiers SMB qui peuvent être audités.
ID d'événement (EVT/EVTX) | Événement | Description | Catégorie |
---|---|---|---|
560/4656 |
Ouvrir un objet/Créer un objet |
ACCÈS À L'OBJET : Objet (fichier ou répertoire) ouvert |
Accès aux fichiers |
563/4659 |
Ouvrir un objet dans l'intention de le supprimer |
ACCÈS À L'OBJET : Un descripteur d'un objet (fichier ou répertoire) a été demandé dans le but de le supprimer |
Accès aux fichiers |
564/4660 |
Suppression d’objet |
ACCÈS À L'OBJET : Supprimer l'objet (fichier ou répertoire). ONTAP génère cet événement lorsqu'un client Windows tente de supprimer l'objet (fichier ou répertoire) |
Accès aux fichiers |
567/4663 |
Lire les attributs de Object/Write Object/Get Object Attributes/Set l'objet |
ACCÈS À UN OBJET : tentative d'accès à un objet (lecture, écriture, obtention d'un attribut, définition d'un attribut). NotePour cet événement, ONTAP n'audite que la première opération de lecture SMB et la première opération d'écriture SMB (réussite ou échec) sur un objet. Cela empêche ONTAP de créer des entrées de journal excessives lorsqu'un seul client ouvre un objet et effectue de nombreuses opérations de lecture ou d'écriture successives sur le même objet. |
Accès aux fichiers |
N/A/4664 |
Lien dur |
ACCÈS AUX OBJETS : Une tentative a été faite pour créer un lien physique |
Accès aux fichiers |
N/A/N/A Numéro d'événement ONTAP 9999 |
Renommer l'objet |
ACCÈS À L'OBJET : Objet renommé. Il s'agit d'un événement ONTAP. Il n'est actuellement pas pris en charge par Windows en tant qu'événement unique. |
Accès aux fichiers |
N/A/N/A Numéro d'événement ONTAP 9998 |
Dissocier un objet |
ACCÈS À L'OBJET : Objet non lié. Il s'agit d'un événement ONTAP. Il n'est actuellement pas pris en charge par Windows en tant qu'événement unique. |
Accès aux fichiers |
Événements d'accès NFS pouvant être audités
Les événements d'accès aux fichiers et dossiers NFS suivants peuvent être audités.
READ
OPEN
CLOSE
READDIR
WRITE
SETATTR
CREATE
LIEN
OPENATTR
SUPPRIMER
GETATTR
VÉRIFIER
NVÉRIFIER
RENAME
Vue d'ensemble des tâches de configuration de l'audit d'accès aux fichiers
La configuration d'ONTAP FSx pour l'audit de l'accès aux fichiers implique les tâches de haut niveau suivantes :
Familiarisez-vous avec les exigences et les considérations relatives à l'audit de l'accès aux fichiers.
Créez une configuration d'audit sur une SVM spécifique.
Activez l'audit sur cette SVM.
Configurez des politiques d'audit sur vos fichiers et répertoires.
Consultez les journaux des événements d'audit une fois que FSx for ONTAP les aura émis.
Les détails des tâches sont fournis dans les procédures suivantes.
Répétez les tâches pour toutes les autres SVM de votre système de fichiers pour lesquelles vous souhaitez activer l'audit d'accès aux fichiers.
Exigences en matière d'audit
Avant de configurer et d'activer l'audit sur une SVM, vous devez connaître les exigences et considérations suivantes.
L'audit NFS prend en charge les entrées de contrôle d'accès d'audit (ACEs) désignées par type
u
, qui génèrent une entrée dans le journal d'audit lorsque l'accès est tenté sur l'objet. Pour l'audit NFS, il n'existe aucun mappage entre les bits de mode et l'audit ACEs. Lors de la conversion ACLs en mode bits, ACEs les audits sont ignorés. Lors de la conversion des bits de mode en ACLs, aucun audit ACEs n'est généré.L'audit dépend de l'espace disponible dans les volumes intermédiaires. (Un volume intermédiaire est un volume dédié créé par ONTAP pour stocker des fichiers intermédiaires, qui sont des fichiers binaires intermédiaires sur des nœuds individuels où les enregistrements d'audit sont stockés avant la conversion au format de fichier EVTX ou XML.) Vous devez vous assurer qu'il y a suffisamment d'espace pour les volumes intermédiaires dans les agrégats contenant des volumes audités.
L'audit dépend de l'espace disponible dans le volume contenant le répertoire dans lequel les journaux d'événements d'audit convertis sont stockés. Vous devez vous assurer qu'il y a suffisamment d'espace dans les volumes utilisés pour stocker les journaux d'événements. Vous pouvez spécifier le nombre de journaux d'audit à conserver dans le répertoire d'audit en utilisant le
-rotate-limit
paramètre lors de la création d'une configuration d'audit, ce qui permet de garantir qu'il y a suffisamment d'espace disponible pour les journaux d'audit dans le volume.
Création de configurations d'audit sur SVMs
Avant de commencer à auditer les événements relatifs aux fichiers et aux répertoires, vous devez créer une configuration d'audit sur la machine virtuelle de stockage (SVM). Après avoir créé la configuration d'audit, vous devez l'activer sur la SVM.
Avant d'utiliser la vserver audit create
commande pour créer la configuration d'audit, assurez-vous que vous avez créé un répertoire à utiliser comme destination pour les journaux et que le répertoire ne contient pas de liens symboliques. Vous spécifiez le répertoire de destination à l'aide du -destination
paramètre.
Vous pouvez créer une configuration d'audit qui fait pivoter les journaux d'audit en fonction de leur taille ou d'un calendrier, comme suit :
Pour faire pivoter les journaux d'audit en fonction de leur taille, utilisez cette commande :
vserver audit create -vserver
svm_name
-destinationpath
[-format {xml|evtx}] [-rotate-limitinteger
] [-rotate-size {integer
[KB|MB|GB|TB|PB]}]L'exemple suivant crée une configuration d'audit pour la SVM nommée
svm1
qui analyse les opérations sur les fichiers et les événements d'ouverture et de fermeture de session CIFS (SMB) (par défaut) en utilisant une rotation basée sur la taille. Le format de journal estEVTX
(par défaut), les journaux sont stockés dans le/audit_log
répertoire et vous n'aurez qu'un seul fichier journal à la fois (d'une taille maximale de 200 Mo).vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB
Pour faire pivoter les journaux d'audit selon un calendrier, utilisez cette commande :
vserver audit create -vserver
svm_name
-destinationpath
[-format {xml|evtx}] [-rotate-limitinteger
] [-rotate-schedule-monthchron_month
] [-rotate-schedule-dayofweekchron_dayofweek
] [-rotate-schedule-daychron_dayofmonth
] [-rotate-schedule-hourchron_hour
] [-rotate-schedule-minutechron_minute
]Le
-rotate-schedule-minute
paramètre est obligatoire si vous configurez la rotation des journaux d'audit basée sur le temps.L'exemple suivant crée une configuration d'audit pour la SVM nommée à l'
svm2
aide d'une rotation basée sur le temps. Le format des journaux estEVTX
(par défaut) et les journaux d'audit font l'objet d'une rotation mensuelle, à 12 h 30, tous les jours de la semaine.vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
Vous pouvez utiliser le -format
paramètre pour spécifier si les journaux d'audit sont créés dans le EVTX
format converti (par défaut) ou dans le format de XML
fichier. Le EVTX
format vous permet d'afficher les fichiers journaux avec Microsoft Event Viewer.
Par défaut, les catégories d'événements à auditer sont les événements d'accès aux fichiers (SMB et NFS), les événements d'ouverture et de fermeture de session CIFS (SMB) et les événements de modification des politiques d'autorisation. Vous pouvez mieux contrôler les événements à consigner grâce au -events
paramètre, dont le format est le suivant :
-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}
Par exemple, l'utilisation -events file-share
permet d'auditer les événements de partage de fichiers.
Pour plus d'informations sur la vserver audit create
commande, voir Création d'une configuration d'audit
Activation de l'audit sur une SVM
Après avoir configuré la configuration d'audit, vous devez activer l'audit sur la SVM. Pour ce faire, utilisez la commande suivante :
vserver audit enable -vserver svm_name
Par exemple, utilisez la commande suivante pour activer l'audit sur la SVM nomméesvm1
.
vserver audit enable -vserver svm1
Vous pouvez désactiver l'audit d'accès à tout moment. Par exemple, utilisez la commande suivante pour désactiver l'audit sur la SVM nomméesvm4
.
vserver audit disable -vserver svm4
Lorsque vous désactivez l'audit, la configuration d'audit n'est pas supprimée de la SVM, ce qui signifie que vous pouvez réactiver l'audit sur cette SVM à tout moment.
Configuration des politiques d'audit des fichiers et des dossiers
Vous devez configurer des politiques d'audit sur les fichiers et dossiers que vous souhaitez auditer pour les tentatives d'accès des utilisateurs. Vous pouvez configurer des politiques d'audit pour surveiller les tentatives d'accès réussies et infructueuses.
Vous pouvez configurer les politiques d'audit SMB et NFS. Les politiques d'audit SMB et NFS ont des exigences de configuration et des capacités d'audit différentes en fonction du style de sécurité du volume.
Politiques d'audit sur les fichiers et répertoires de type sécurité NTFS
Vous pouvez configurer les politiques d'audit NTFS à l'aide de l'onglet Sécurité de Windows ou de la CLI ONTAP.
Vous configurez les politiques d'audit NTFS en ajoutant des entrées au système NTFS SACLs associées à un descripteur de sécurité NTFS. Le descripteur de sécurité est ensuite appliqué aux fichiers et répertoires NTFS. Ces tâches sont automatiquement gérées par l'interface graphique de Windows. Le descripteur de sécurité peut contenir des listes de contrôle d'accès discrétionnaires (DACLs) pour appliquer des autorisations d'accès aux fichiers et aux dossiers, SACLs pour l'audit des fichiers et des dossiers, ou les deux SACLs et. DACLs
Dans le menu Outils de l'Explorateur Windows, sélectionnez Cartographier le lecteur réseau.
Complétez la case Map Network Drive :
-
Choisissez une lettre Drive.
-
Dans la zone Dossier, tapez le nom du serveur SMB (CIFS) qui contient le partage, contenant les données que vous souhaitez auditer et le nom du partage.
-
Choisissez Finish (Terminer).
Le lecteur que vous avez sélectionné est monté et prêt avec la fenêtre de l'Explorateur Windows affichant les fichiers et dossiers contenus dans le partage.
-
Sélectionnez le fichier ou le répertoire pour lequel vous souhaitez activer l'accès aux audits.
Cliquez avec le bouton droit sur le fichier ou le répertoire, puis sélectionnez Propriétés.
Choisissez l’onglet Security (Sécurité).
Cliquez sur Avancé.
Choisissez l'onglet Audit.
Effectuez les actions souhaitées :
Si vous souhaitez... Procédez comme suit Configurer l'audit pour un nouvel utilisateur ou un nouveau groupe
Choisissez Ajouter.
Dans la zone Entrez le nom de l'objet à sélectionner, tapez le nom de l'utilisateur ou du groupe que vous souhaitez ajouter.
Choisissez OK.
Supprimer l'audit d'un utilisateur ou d'un groupe
Dans la zone Entrez le nom de l'objet à sélectionner, sélectionnez l'utilisateur ou le groupe que vous souhaitez supprimer.
Sélectionnez Remove (Supprimer).
Choisissez OK.
Ignorez le reste de cette procédure.
Audit des modifications pour un utilisateur ou un groupe
Dans la zone Entrez le nom de l'objet à sélectionner, choisissez l'utilisateur ou le groupe que vous souhaitez modifier.
Choisissez Modifier.
Choisissez OK.
Si vous configurez l'audit sur un utilisateur ou un groupe ou si vous modifiez l'audit sur un utilisateur ou un groupe existant, la
object
zone Entrée d'audit pour s'ouvre.Dans le champ Appliquer à, sélectionnez la manière dont vous souhaitez appliquer cette entrée d'audit.
Si vous configurez l'audit sur un seul fichier, la case Appliquer à n'est pas active, car la valeur par défaut est Cet objet uniquement.
Dans le champ Accès, sélectionnez ce que vous souhaitez auditer et si vous souhaitez auditer les événements réussis, les événements d'échec ou les deux.
Pour auditer les événements réussis, cochez la case Réussite.
Pour auditer les événements de défaillance, cochez la case Défaillance.
Choisissez les actions que vous devez surveiller pour répondre à vos exigences de sécurité. Pour plus d'informations sur ces événements vérifiables, consultez votre documentation Windows. Vous pouvez auditer les événements suivants :
Contrôle total
Traverse le dossier/exécuter le fichier
Répertorier les dossiers/lire les données
Lire les attributs
Lire les attributs étendus
Création de fichiers/écriture de données
Création de dossiers/ajout de données
Écrire des attributs
Écrire des attributs étendus
Supprimer des sous-dossiers et des fichiers
Suppression
Autorisations de lecture
Modifier les autorisations
Prenez possession
Si vous ne souhaitez pas que le paramètre d'audit se propage aux fichiers et dossiers suivants du conteneur d'origine, cochez la case Appliquer ces entrées d'audit aux objets et/ou aux conteneurs de ce conteneur uniquement.
Choisissez Appliquer.
Une fois que vous avez terminé d'ajouter, de supprimer ou de modifier des entrées d'audit, cliquez sur OK.
L'entrée d'audit pour la
object
boîte se ferme.Dans la zone Audit, choisissez les paramètres d'héritage pour ce dossier. Choisissez uniquement le niveau minimal qui fournit les événements d'audit répondant à vos exigences de sécurité.
Vous pouvez choisir l'une des méthodes suivantes.
Choisissez la case Inclure les entrées d'audit héritables dans la zone parent de cet objet.
Choisissez la case Remplacer toutes les entrées d'audit héritables existantes sur tous les descendants par des entrées d'audit héritables dans cet objet.
Choisissez les deux cases.
Ne choisissez aucune des deux cases.
Si vous définissez SACLs un seul fichier, la zone Remplacer toutes les entrées d'audit héritables existantes sur tous les descendants par des entrées d'audit héritables de cet objet n'est pas présente dans la zone Audit.
Choisissez OK.
À l'aide de la CLI ONTAP, vous pouvez configurer des politiques d'audit NTFS sans avoir à vous connecter aux données à l'aide d'un partage SMB sur un client Windows.
Vous pouvez configurer les politiques d'audit NTFS à l'aide de la famille de commandes vserver security file-directory
.
Par exemple, la commande suivante applique une politique de sécurité nommée p1
à la SVM nomméevs0
.
vserver security file-directory apply -vserver vs0 -policy-name p1
Politiques d'audit sur les fichiers et répertoires de type sécurité UNIX
Vous configurez l'audit pour les fichiers et répertoires de type sécurité UNIX en ajoutant l'audit ACEs (expressions de contrôle d'accès) à NFS v4.x ACLs (listes de contrôle d'accès). Cela vous permet de surveiller certains événements d'accès aux fichiers et aux répertoires NFS pour des raisons de sécurité.
Note
Pour NFS v4.x, le système et le système ACEs sont stockés dans la même ACL. Par conséquent, vous devez être prudent lorsque vous ajoutez un audit ACEs à une ACL existante afin d'éviter de la remplacer et de perdre une ACL existante. L'ordre dans lequel vous ajoutez l'audit ACEs à une ACL existante n'a pas d'importance.
Récupérez l'ACL existante pour le fichier ou le répertoire à l'aide de la commande
nfs4_getfacl
ou équivalente.Ajoutez l'audit ACEs souhaité.
-
Appliquez l'ACL mise à jour au fichier ou au répertoire à l'aide de la commande
nfs4_setfacl
ou équivalente.Cet exemple utilise l'
-a
option permettant d'accorder à un utilisateur (nommétestuser
) des autorisations de lecture sur le fichier nomméfile1
.nfs4_setfacl -a "A::testuser@example.com:R" file1
Afficher les journaux des événements d'audit
Vous pouvez consulter les journaux des événements d'audit enregistrés au format EVTX
ou au format de XML
fichier.
EVTX
format de fichier — Vous pouvez ouvrir les journauxEVTX
d'événements d'audit convertis sous forme de fichiers enregistrés à l'aide de Microsoft Event Viewer.Vous pouvez utiliser deux options lorsque vous consultez les journaux d'événements à l'aide de l'Observateur d'événements :
Vue générale : les informations communes à tous les événements sont affichées pour l'enregistrement de l'événement. Les données spécifiques à l'événement pour l'enregistrement de l'événement ne sont pas affichées. Vous pouvez utiliser la vue détaillée pour afficher des données spécifiques à un événement.
Vue détaillée : une vue conviviale et une vue XML sont disponibles. La vue conviviale et la vue XML affichent à la fois les informations communes à tous les événements et les données spécifiques à l'événement pour l'enregistrement de l'événement.
XML
format de fichier — Vous pouvez afficher et traiter les journaux d'événements d'audit XML sur des applications tierces qui prennent en charge le format de fichier XML. Les outils de visualisation XML peuvent être utilisés pour consulter les journaux d'audit à condition que vous disposiez du schéma XML et des informations sur les définitions des champs XML.