Auditoria de acesso a arquivos - FSx para ONTAP
Visão geral da auditoria de acesso a arquivosVisão geral das tarefas para configurar a auditoria de acesso a arquivos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Auditoria de acesso a arquivos

O Amazon FSx para NetApp ONTAP oferece suporte à auditoria de acessos do usuário final a arquivos e diretórios em uma máquina virtual de armazenamento (SVM).

Visão geral da auditoria de acesso a arquivos

A auditoria de acesso a arquivos permite que você registre os acessos do usuário final a arquivos e diretórios individuais com base nas políticas de auditoria que você define. A auditoria de acesso a arquivos ajuda a melhorar a segurança do sistema e reduzir o risco de acesso não autorizado aos dados do sistema. A auditoria de acesso a arquivos ajuda as organizações a permanecerem em conformidade com os requisitos de proteção de dados, identificarem ameaças potenciais com antecedência e reduzirem o risco de uma violação de dados.

Em todos os acessos a arquivos e diretórios, o Amazon FSx oferece suporte ao registro em log das tentativas com êxito (como um usuário com permissões suficientes acessando com êxito um arquivo), tentativas malsucedidas ou ambas. Você também pode desativar a auditoria de acesso a arquivos a qualquer momento.

Por padrão, os logs de eventos de auditoria são armazenados no formato de arquivo EVTX, o que permite visualizá-los usando o Microsoft Event Viewer.

Eventos de acesso SMB que podem ser auditados

A tabela a seguir lista os eventos de acesso a arquivos e pastas SMB que podem ser auditados.

ID do evento (EVT/EVTX) Evento Descrição Categoria

560/4656

Abrir objeto/Criar objeto

ACESSO AO OBJETO: objeto (arquivo ou diretório) aberto

Acesso a arquivos

563/4659

Abrir objeto com a intenção de exclusão

ACESSO AO OBJETO: um identificador para um objeto (arquivo ou diretório) foi solicitado com a intenção de exclusão

Acesso a arquivos

564/4660

Excluir objeto

ACESSO AO OBJETO: excluir objeto (arquivo ou diretório) O ONTAP gera esse evento quando um cliente Windows tenta excluir o objeto (arquivo ou diretório)

Acesso a arquivos

567/4663

Ler objeto/Gravar objeto/Obter atributos do objeto/Definir atributos do objeto

ACESSO AO OBJETO: tentativa de acesso ao objeto (leitura, gravação, obtenção do atributo, definição do atributo).

nota

Para esse evento, o ONTAP audita somente a primeira operação de leitura e gravação SMB (êxito ou falha) em um objeto. Isso impede que o ONTAP crie entradas de logs excessivas quando um único cliente abre um objeto e executa várias operações sucessivas de leitura ou gravação no mesmo objeto.

Acesso a arquivos

N/A/4664

Links físicos

ACESSO AO OBJETO: Foi feita uma tentativa de criar um link físico

Acesso a arquivos

ID 9999 do evento N/A/N/A do ONTAP

Renomear objeto

ACESSO AO OBJETO: objeto renomeado. Este é um evento do ONTAP. No momento, o Windows não oferece suporte como evento único.

Acesso a arquivos

ID 9998 do evento N/A/N/A do ONTAP

Desvincular objeto

ACESSO AO OBJETO: objeto desvinculado. Este é um evento do ONTAP. No momento, o Windows não oferece suporte como evento único.

Acesso a arquivos

Eventos de acesso ao NFS que podem ser auditados

Os eventos de acesso a arquivos e pastas NFS a seguir que podem ser auditados.

  • READ

  • OPEN

  • CLOSE

  • READDIR

  • WRITE

  • SETATTR

  • CREATE

  • LINK

  • OPENATTR

  • REMOVE

  • GETATTR

  • VERIFY

  • NVERIFY

  • RENAME

Visão geral das tarefas para configurar a auditoria de acesso a arquivos

A configuração do FSx para ONTAP para auditoria de acesso a arquivos envolve as seguintes tarefas de alto nível:

  1. Familiarize-se com os requisitos e considerações sobre auditoria de acesso a arquivos.

  2. Crie uma configuração de auditoria em uma SVM específica.

  3. Ative a auditoria nessa SVM.

  4. Configure políticas de auditoria em seus arquivos e diretórios.

  5. Visualize os logs de eventos de auditoria após a emissão do FSx para ONTAP.

Os detalhes da tarefa são fornecidos nos procedimentos a seguir.

Repita as tarefas para qualquer outra SVM em seu sistema de arquivos para a qual você deseja habilitar a auditoria de acesso a arquivos.

Requisitos de auditoria

Antes de configurar e habilitar a auditoria em uma SVM, você deve estar ciente dos requisitos e considerações a seguir.

  • A auditoria NFS oferece suporte a entradas de controle de acesso (ACEs) de auditoria designadas como tipo u, que geram uma entrada de log de auditoria quando há uma tentativa de acesso ao objeto. Para auditoria NFS, não há mapeamento entre bits de modo e ACEs de auditoria. Ao converter ACLs em bits de modo, as ACEs de auditoria são ignoradas. Ao converter bits de modo em ACLs, as ACEs de auditoria não são geradas.

  • A auditoria depende da disponibilidade de espaço nos volumes de preparação. (Um volume de preparação é um volume dedicado criado pelo ONTAP para armazenar arquivos de preparação, que são arquivos binários intermediários em nós individuais, nos quais os registros de auditoria são armazenados antes da conversão em um formato de arquivo EVTX ou XML.) Você deve garantir que haja espaço suficiente para os volumes de preparação nas agregações que contêm volumes auditados.

  • A auditoria depende de ter espaço disponível no volume que contém o diretório no qual os logs de eventos de auditoria convertidos são armazenados. Certifique-se de que haja espaço suficiente nos volumes usados para armazenar logs de eventos. Você pode especificar o número de logs de auditoria a serem retidos no diretório de auditoria usando o parâmetro -rotate-limit ao criar uma configuração de auditoria, o que pode ajudar a garantir que haja espaço disponível suficiente para os logs de auditoria no volume.

Como criar configurações de auditoria nas SVMs

Antes de começar a auditar eventos de arquivos e diretórios, crie uma configuração de auditoria na máquina virtual de armazenamento (SVM). Depois de criar a configuração de auditoria, você deve habilitá-la na SVM.

Antes de usar o comando vserver audit create para criar a configuração de auditoria, certifique-se de ter criado um diretório para ser usado como destino dos logs e de que o diretório não tenha links simbólicos. Você especifica o diretório de destino com o parâmetro -destination.

Você pode criar uma configuração de auditoria que alterne os logs de auditoria com base no tamanho do log ou em uma programação, da seguinte maneira:

  • Para alternar os logs de auditoria com base no tamanho do registro, use este comando:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    O exemplo a seguir cria uma configuração de auditoria para a SVM chamada svm1 que audita operações de arquivo e eventos de logon e logoff do CIFS (SMB) (o padrão) usando rotação baseada em tamanho. O formato de log é EVTX (o padrão), os logs são armazenados no diretório /audit_log e você terá um único arquivo de log por vez (até 200 MB de tamanho).

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB

  • Para alternar os logs de auditoria com base em uma programação, use este comando:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
        [-rotate-limit integer] [-rotate-schedule-month chron_month]
        [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
        [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    O parâmetro -rotate-schedule-minute será obrigatório se você estiver configurando a rotação de logs de auditoria com base no tempo.

    O exemplo a seguir cria uma configuração de auditoria para a SVM chamada svm2 usando rotação baseada em tempo. O formato do log é EVTX (o padrão) e os logs de auditoria são alternados mensalmente, às 12h30, todos os dias da semana.

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB  -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

Você pode usar o parâmetro -format para especificar se os logs de auditoria são criados no formato EVTX convertido (o padrão) ou no formato de arquivo XML. O formato EVTX permite que você visualize os arquivos de log com o Microsoft Event Viewer.

Por padrão, as categorias de eventos a serem auditados são eventos de acesso a arquivos (SMB e NFS), eventos de logon e logoff do CIFS (SMB) e eventos de alteração da política de autorização. Você pode ter maior controle sobre quais eventos registrar pelo parâmetro -events, que tem o seguinte formato:

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

Por exemplo, o uso de -events file-share permite a auditoria dos eventos de compartilhamento de arquivos.

Para obter mais informações sobre o comando vserver audit create, consulte Criar uma configuração de auditoria.

Ativação da auditoria em uma SVM

Depois de concluir a definição da configuração de auditoria, você deve habilitá-la na SVM. Para fazer isso, use o seguinte comando: 

vserver audit enable -vserver svm_name

Por exemplo, use o comando a seguir para habilitar a auditoria na SVM chamada svm1.

vserver audit enable -vserver svm1

Você pode desabilitar a auditoria de acesso a qualquer momento. Por exemplo, use o comando a seguir para desativar a auditoria na SVM chamada svm4.

vserver audit disable -vserver svm4

Quando você desabilita a auditoria, a configuração de auditoria não é excluída na SVM, o que significa que você pode reabilitar a auditoria nessa SVM a qualquer momento.

Como configurar as políticas de auditoria de arquivos e pastas

Você precisa configurar as políticas de auditoria nos arquivos e pastas em que deseja auditar tentativas de acesso do usuário. Você pode configurar políticas de auditoria para monitorar as tentativas de acesso com êxito e falha.

É possível configurar as políticas de auditoria SMB e NFS. As políticas de auditoria SMB e NFS têm requisitos de configuração e recursos de auditoria diferentes com base no estilo de segurança do volume.

Políticas de auditoria em arquivos e diretórios no estilo de segurança NTFS

Você pode configurar políticas de auditoria NTFS usando a guia Segurança do Windows ou a CLI do ONTAP.

Configure políticas de auditoria NTFS adicionando entradas às SACLs do NTFS associadas a um descritor de segurança NTFS. O descritor de segurança é então aplicado aos arquivos e diretórios NTFS. Essas tarefas são gerenciadas automaticamente pela GUI do Windows. O descritor de segurança pode conter listas de controle de acesso (DACLs) discricionárias para aplicar permissões de acesso a arquivos e pastas, SACLs para auditoria de arquivos e pastas ou SACLs e DACLs.

  1. No menu Ferramentas do Windows Explorer, selecione Mapear unidade de rede.

  2. Preencha a caixa Mapear unidade de rede:

    1. Escolha uma letra de Unidade.

    2. Na caixa Pasta, digite o nome do servidor SMB (CIFS) que contém o compartilhamento, contendo os dados que você deseja auditar e o nome do compartilhamento.

    3. Escolha Finish.

    A unidade selecionada está montada e pronta com a janela do Windows Explorer exibindo arquivos e pastas contidos no compartilhamento.

  3. Selecione o arquivo ou diretório cujo acesso de auditoria você deseja habilitar.

  4. Clique com o botão direito do mouse no arquivo ou diretório e escolha Propriedades.

  5. Escolha a guia Segurança.

  6. Clique em Avançado.

  7. Escolha a guia Auditoria.

  8. Execute as ações desejadas:

    Se você deseja... Faça o seguinte

    Configurar a auditoria para um novo usuário ou grupo

    1. Escolha Add (Adicionar).

    2. Na caixa Digite o nome do objeto a ser selecionado, digite o nome do usuário ou grupo que você deseja adicionar.

    3. Escolha OK.

    Remover a auditoria de um usuário ou grupo

    1. Na caixa Digite o nome do objeto a ser selecionado, selecione o usuário ou grupo que você deseja remover.

    2. Escolha Remove.

    3. Escolha OK.

    4. Ignore o restante deste procedimento.

    Alterar a auditoria de um usuário ou grupo

    1. Na caixa Digite o nome do objeto a ser selecionado, escolha o usuário ou grupo que você deseja alterar.

    2. Escolha Editar.

    3. Escolha OK.

    Se você estiver configurando a auditoria em um usuário ou grupo ou alterando a auditoria em um usuário ou grupo existente, a caixa Entrada de auditoria para objeto será aberta.

  9. Na caixa Aplicar a, selecione como você deseja aplicar essa entrada de auditoria.

    Se você estiver configurando a auditoria em um único arquivo, a caixa Aplicar a não estará ativa, pois o padrão é Somente este objeto.

  10. Na caixa Acesso, selecione o que você deseja auditar e se deseja auditar eventos com êxito, eventos de falha ou ambos.

    • Para auditar eventos com êxito, escolha a caixa Sucesso.

    • Para auditar eventos de falha, escolha a caixa Falha.

    Escolha as ações que você precisa monitorar para atender aos seus requisitos de segurança. Para obter mais informações sobre esses eventos auditáveis, consulte a documentação do Windows. Você pode auditar os seguintes eventos:

    • Controle total

    • Percorrer pasta/executar arquivo

    • Listar pasta//ler dados

    • Ler atributos

    • Ler atributos estendidos

    • Criar arquivos/gravar dados

    • Criar pastas/anexar dados

    • Gravar atributos

    • Gravar atributos estendidos

    • Excluir subpastas e arquivos

    • Excluir

    • Permissões de leitura

    • Alterar permissões.

    • Assumir a propriedade

  11. Se você não quiser que a configuração de auditoria se propague para arquivos e pastas subsequentes do contêiner original, escolha a caixa Aplicar estas entradas de auditoria somente a objetos e/ou contêineres dentro deste contêiner.

  12. Escolha Apply (Aplicar).

  13. Ao terminar de adicionar, remover ou editar entradas de auditoria, escolha OK.

    A caixa Entrada de auditoria para objeto é fechada.

  14. Na caixa Auditoria, escolha as configurações de herança para essa pasta. Escolha somente o nível mínimo que forneça os eventos de auditoria que atendam aos seus requisitos de segurança.

    Você pode escolher uma das seguintes opções:

    • Escolha a caixa Incluir entradas de auditoria herdáveis na entrada principal deste objeto.

    • Escolha a caixa Substituir todas as entradas de auditoria herdáveis existentes em todos os descendentes por entradas de auditoria herdáveis deste objeto.

    • Escolha as duas caixas.

    • Escolha nenhuma das caixas.

    Se você estiver definindo SACLs em um único arquivo, a caixa Substituir todas as entradas de auditoria herdáveis existentes em todos os descendentes por entradas de auditoria herdáveis deste objeto não estará presente na caixa Auditoria.

  15. Escolha OK.

Usando a CLI do ONTAP, você pode configurar políticas de auditoria do NTFS sem precisar se conectar aos dados usando um compartilhamento SMB em um cliente Windows.

Por exemplo, o comando a seguir aplica uma política de segurança chamada p1 à SVM chamada vs0.

vserver security file-directory apply -vserver vs0 -policy-name p1

Políticas de auditoria em arquivos e diretórios no estilo de segurança do UNIX

Configure a auditoria de arquivos e diretórios no estilo de segurança do UNIX adicionando ACEs de auditoria (expressões de controle de acesso) às ACLs (listas de controle de acesso) do NFS v4.x. Isso permite monitorar determinados eventos de acesso a arquivos e diretórios NFS para fins de segurança.

nota

No NFS v4.x, as ACEs discricionárias e as do sistema são armazenadas na mesma ACL. Portanto, tenha cuidado ao adicionar ACEs de auditoria a uma ACL existente para evitar sobrescrever e perder uma ACL existente. A ordem na qual você adiciona as ACEs de auditoria a uma ACL existente não importa.

  1. Recupere a ACL existente para o arquivo ou diretório usando o comando nfs4_getfacl ou um equivalente.

  2. Anexe as ACEs de auditoria desejadas.

  3. Aplique a ACL atualizada ao arquivo ou diretório usando o comando nfs4_setfacl ou um equivalente.

    Este exemplo usa a opção -a para dar a um usuário (chamado testuser) permissões de leitura para o arquivo chamado file1.

    nfs4_setfacl -a "A::testuser@example.com:R" file1

Visualização de logs de evento de auditoria

Você pode visualizar os logs de evento de auditoria salvos nos formatos de arquivo EVTX ou XML.

  • Formato de arquivo EVTX: você pode abrir os logs de evento de auditoria EVTX convertidos como arquivos salvos usando o Microsoft Event Viewer.

    Há duas opções que você pode usar ao visualizar logs de eventos usando o visualizador de eventos:

    • Visualização geral: as informações comuns a todos os eventos são exibidas no registro do evento. Os dados específicos do evento para o registro do evento não são exibidos. Você pode usar a visualização detalhada para exibir dados específicos do evento.

    • Visualização detalhada: uma visualização amigável e uma visualização em XML estão disponíveis. As visualizações amigável e em XML exibem as informações que são comuns a todos os eventos e os dados específicos do evento para o registro de eventos.

  • Formato de arquivo XML: você pode visualizar e processar logs de evento de auditoria XML em aplicações de terceiros que aceitam o formato de arquivo XML. As ferramentas de visualização em XML podem ser usadas para visualizar os logs de auditoria, desde que você tenha o esquema XML e informações sobre as definições dos campos XML.