Auditar acesso a arquivos - FSx para ONTAP
Visão geral da auditoria de acesso a arquivosVisão geral das tarefas para configurar a auditoria de acesso a arquivos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Auditar acesso a arquivos

O Amazon FSx for NetApp ONTAP oferece suporte à auditoria de acessos de usuários finais a arquivos e diretórios em uma máquina virtual de armazenamento (). SVM

Visão geral da auditoria de acesso a arquivos

A auditoria de acesso a arquivos permite que você registre os acessos do usuário final a arquivos e diretórios individuais com base nas políticas de auditoria que você define. A auditoria de acesso a arquivos ajuda a melhorar a segurança do sistema e reduzir o risco de acesso não autorizado aos dados do sistema. A auditoria de acesso a arquivos ajuda as organizações a permanecerem em conformidade com os requisitos de proteção de dados, identificarem ameaças potenciais com antecedência e reduzirem o risco de uma violação de dados.

Em todos os acessos a arquivos e diretórios, a Amazon FSx suporta o registro de tentativas bem-sucedidas (como um usuário com permissões suficientes acessando um arquivo com sucesso), tentativas malsucedidas ou ambas. Você também pode desativar a auditoria de acesso a arquivos a qualquer momento.

Por padrão, os logs de eventos de auditoria são armazenados no formato de arquivo EVTX, o que permite visualizá-los usando o Microsoft Event Viewer.

SMBeventos de acesso que podem ser auditados

A tabela a seguir lista os eventos de acesso a SMB arquivos e pastas que podem ser auditados.

ID do evento (EVT/EVTX) Evento Descrição Categoria

560/4656

Abrir objeto/Criar objeto

OBJECTACCESS: Objeto (arquivo ou diretório) aberto

Acesso a arquivos

563/4659

Abrir objeto com a intenção de exclusão

OBJECTACCESS: um identificador para um objeto (arquivo ou diretório) foi solicitado com a intenção de excluir

Acesso a arquivos

564/4660

Excluir objeto

OBJECTACCESS: Excluir objeto (arquivo ou diretório). ONTAPgera esse evento quando um cliente Windows tenta excluir o objeto (arquivo ou diretório)

Acesso a arquivos

567/4663

Leia os atributos Object/Write Object/Get Object Attributes/Set do objeto

OBJECTACCESS: tentativa de acesso ao objeto (leitura, gravação, obtenção do atributo, definição do atributo).

nota

Para esse evento, ONTAP audita somente a primeira operação de SMB leitura e primeira SMB gravação (sucesso ou falha) em um objeto. Isso ONTAP evita a criação de entradas de registro excessivas quando um único cliente abre um objeto e executa várias operações sucessivas de leitura ou gravação no mesmo objeto.

Acesso a arquivos

N/A/4664

Links físicos

OBJECTACCESS: Foi feita uma tentativa de criar um link físico

Acesso a arquivos

ID do evento ONTAP N/A/N/A 9999

Renomear objeto

OBJECTACCESS: Objeto renomeado. Isso é um ONTAP evento. No momento, o Windows não oferece suporte como evento único.

Acesso a arquivos

N/A/N/A ID do evento ONTAP 9998

Desvincular objeto

OBJECTACCESS: Objeto desvinculado. Isso é um ONTAP evento. No momento, o Windows não oferece suporte como evento único.

Acesso a arquivos

NFSeventos de acesso que podem ser auditados

Os seguintes eventos de acesso a NFS arquivos e pastas podem ser auditados.

  • READ

  • OPEN

  • CLOSE

  • READDIR

  • WRITE

  • SETATTR

  • CREATE

  • LINK

  • OPENATTR

  • REMOVE

  • GETATTR

  • VERIFY

  • NVERIFY

  • RENAME

Visão geral das tarefas para configurar a auditoria de acesso a arquivos

A configuração da auditoria FSx de ONTAP acesso a arquivos envolve as seguintes tarefas de alto nível:

  1. Familiarize-se com os requisitos e considerações sobre auditoria de acesso a arquivos.

  2. Crie uma configuração de auditoria em um específicoSVM.

  3. Ative a auditoria sobre issoSVM.

  4. Configure políticas de auditoria em seus arquivos e diretórios.

  5. Visualize os registros de eventos de auditoria depois FSx de ONTAP emiti-los.

Os detalhes da tarefa são fornecidos nos procedimentos a seguir.

Repita as tarefas para qualquer outra pessoa SVM em seu sistema de arquivos para a qual você deseja habilitar a auditoria de acesso a arquivos.

Requisitos de auditoria

Antes de configurar e habilitar a auditoria em umSVM, você deve estar ciente dos seguintes requisitos e considerações.

  • NFSa auditoria suporta entradas de controle de acesso (ACEs) de auditoria designadas como tipou, que geram uma entrada de registro de auditoria quando há uma tentativa de acesso ao objeto. Para NFS auditoria, não há mapeamento entre bits de modo e auditoriaACEs. Ao converter ACLs para bits de modo, as auditorias ACEs são ignoradas. Ao converter bits de modo emACLs, a auditoria não ACEs é gerada.

  • A auditoria depende da disponibilidade de espaço nos volumes de preparação. (Um volume de teste é um volume dedicado criado por ONTAP para armazenar arquivos de teste, que são arquivos binários intermediários em nós individuais, nos quais os registros de auditoria são armazenados antes da conversão para um formato de XML arquivo EVTX ou.) Você deve garantir que haja espaço suficiente para os volumes de preparação nas agregações que contêm volumes auditados.

  • A auditoria depende de ter espaço disponível no volume que contém o diretório no qual os logs de eventos de auditoria convertidos são armazenados. Certifique-se de que haja espaço suficiente nos volumes usados para armazenar logs de eventos. Você pode especificar o número de logs de auditoria a serem retidos no diretório de auditoria usando o parâmetro -rotate-limit ao criar uma configuração de auditoria, o que pode ajudar a garantir que haja espaço disponível suficiente para os logs de auditoria no volume.

Criação de configurações de auditoria em SVMs

Antes de começar a auditar eventos de arquivos e diretórios, você deve criar uma configuração de auditoria na Máquina Virtual de Armazenamento ()SVM. Depois de criar a configuração de auditoria, você deve habilitá-la noSVM.

Antes de usar o comando vserver audit create para criar a configuração de auditoria, certifique-se de ter criado um diretório para ser usado como destino dos logs e de que o diretório não tenha links simbólicos. Você especifica o diretório de destino com o parâmetro -destination.

Você pode criar uma configuração de auditoria que alterne os logs de auditoria com base no tamanho do log ou em uma programação, da seguinte maneira:

  • Para alternar os logs de auditoria com base no tamanho do registro, use este comando:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    O exemplo a seguir cria uma configuração de auditoria para o name svm1 que SVM audita operações de arquivo e CIFS (SMB) eventos de logon e logoff (o padrão) usando rotação baseada em tamanho. O formato de log é EVTX (o padrão), os logs são armazenados no diretório /audit_log e você terá um único arquivo de log por vez (até 200 MB de tamanho).

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB

  • Para alternar os logs de auditoria com base em uma programação, use este comando:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
        [-rotate-limit integer] [-rotate-schedule-month chron_month]
        [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
        [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    O parâmetro -rotate-schedule-minute será obrigatório se você estiver configurando a rotação de logs de auditoria com base no tempo.

    O exemplo a seguir cria uma configuração de auditoria para o SVM nomeado svm2 usando rotação com base no tempo. O formato do log é EVTX (o padrão) e os logs de auditoria são alternados mensalmente, às 12h30, todos os dias da semana.

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB  -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

Você pode usar o parâmetro -format para especificar se os logs de auditoria são criados no formato EVTX convertido (o padrão) ou no formato de arquivo XML. O formato EVTX permite que você visualize os arquivos de log com o Microsoft Event Viewer.

Por padrão, as categorias de eventos a serem auditados são eventos de acesso a arquivos (SMBeNFS), CIFS (SMB) eventos de logon e logoff e eventos de alteração da política de autorização. Você pode ter maior controle sobre quais eventos registrar pelo parâmetro -events, que tem o seguinte formato:

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

Por exemplo, o uso de -events file-share permite a auditoria dos eventos de compartilhamento de arquivos.

Para obter mais informações sobre o comando vserver audit create, consulte Criar uma configuração de auditoria.

Habilitando a auditoria em um SVM

Depois de concluir a configuração de auditoria, você deve habilitar a auditoria no. SVM Para fazer isso, use o seguinte comando: 

vserver audit enable -vserver svm_name

Por exemplo, use o comando a seguir para habilitar a auditoria no SVM nomesvm1.

vserver audit enable -vserver svm1

Você pode desabilitar a auditoria de acesso a qualquer momento. Por exemplo, use o comando a seguir para desativar a auditoria no SVM nomesvm4.

vserver audit disable -vserver svm4

Quando você desativa a auditoria, a configuração de auditoria não é excluída noSVM, o que significa que você pode reativar a auditoria a qualquer SVM momento.

Como configurar as políticas de auditoria de arquivos e pastas

Você precisa configurar as políticas de auditoria nos arquivos e pastas em que deseja auditar tentativas de acesso do usuário. Você pode configurar políticas de auditoria para monitorar as tentativas de acesso com êxito e falha.

Você pode configurar ambas SMB e NFS auditar políticas. SMBe as políticas de NFS auditoria têm requisitos de configuração e recursos de auditoria diferentes com base no estilo de segurança do volume.

Políticas de auditoria em arquivos e diretórios de NTFS estilo de segurança

Você pode configurar políticas de NTFS auditoria usando a guia Segurança do Windows ou ONTAP CLI o.

Você configura as políticas de NTFS auditoria adicionando entradas NTFS SACLs que estão associadas a um descritor NTFS de segurança. O descritor de segurança é então aplicado aos NTFS arquivos e diretórios. Essas tarefas são gerenciadas automaticamente pelo WindowsGUI. O descritor de segurança pode conter listas de controle de acesso discricionárias (DACLs) para aplicar permissões de acesso a arquivos e pastas, SACLs para auditoria de arquivos e pastas, ou ambos e. SACLs DACLs

  1. No menu Ferramentas do Windows Explorer, selecione Mapear unidade de rede.

  2. Preencha a caixa Mapear unidade de rede:

    1. Escolha uma letra de Unidade.

    2. Na caixa Pasta, digite o nome do servidor SMB (CIFS) que contém o compartilhamento, contendo os dados que você deseja auditar e o nome do compartilhamento.

    3. Escolha Terminar.

    A unidade selecionada está montada e pronta com a janela do Windows Explorer exibindo arquivos e pastas contidos no compartilhamento.

  3. Selecione o arquivo ou diretório cujo acesso de auditoria você deseja habilitar.

  4. Clique com o botão direito do mouse no arquivo ou diretório e escolha Propriedades.

  5. Escolha a guia Segurança.

  6. Clique em Avançado.

  7. Escolha a guia Auditoria.

  8. Execute as ações desejadas:

    Se você deseja... Faça o seguinte

    Configurar a auditoria para um novo usuário ou grupo

    1. Escolha Adicionar.

    2. Na caixa Digite o nome do objeto a ser selecionado, digite o nome do usuário ou grupo que você deseja adicionar.

    3. Escolha OK.

    Remover a auditoria de um usuário ou grupo

    1. Na caixa Digite o nome do objeto a ser selecionado, selecione o usuário ou grupo que você deseja remover.

    2. Escolha Remover.

    3. Escolha OK.

    4. Ignore o restante deste procedimento.

    Alterar a auditoria de um usuário ou grupo

    1. Na caixa Digite o nome do objeto a ser selecionado, escolha o usuário ou grupo que você deseja alterar.

    2. Selecione a opção Editar.

    3. Escolha OK.

    Se você estiver configurando a auditoria em um usuário ou grupo ou alterando a auditoria em um usuário ou grupo existente, a caixa Entrada de auditoria para object será aberta.

  9. Na caixa Aplicar a, selecione como você deseja aplicar essa entrada de auditoria.

    Se você estiver configurando a auditoria em um único arquivo, a caixa Aplicar a não estará ativa, pois o padrão é Somente este objeto.

  10. Na caixa Acesso, selecione o que você deseja auditar e se deseja auditar eventos com êxito, eventos de falha ou ambos.

    • Para auditar eventos com êxito, escolha a caixa Sucesso.

    • Para auditar eventos de falha, escolha a caixa Falha.

    Escolha as ações que você precisa monitorar para atender aos seus requisitos de segurança. Para obter mais informações sobre esses eventos auditáveis, consulte a documentação do Windows. Você pode auditar os seguintes eventos:

    • Controle total

    • Percorrer pasta/executar arquivo

    • Listar pasta//ler dados

    • Ler atributos

    • Ler atributos estendidos

    • Criar arquivos/gravar dados

    • Criar pastas/anexar dados

    • Gravar atributos

    • Gravar atributos estendidos

    • Excluir subpastas e arquivos

    • Excluir

    • Permissões de leitura

    • Alterar permissões.

    • Assumir a propriedade

  11. Se você não quiser que a configuração de auditoria se propague para arquivos e pastas subsequentes do contêiner original, escolha a caixa Aplicar estas entradas de auditoria somente a objetos e/ou contêineres dentro deste contêiner.

  12. Escolha Aplicar.

  13. Ao terminar de adicionar, remover ou editar entradas de auditoria, escolha OK.

    A object caixa Entrada de Auditoria para fecha.

  14. Na caixa Auditoria, escolha as configurações de herança para essa pasta. Escolha somente o nível mínimo que forneça os eventos de auditoria que atendam aos seus requisitos de segurança.

    Você pode escolher uma das seguintes opções:

    • Escolha a caixa Incluir entradas de auditoria herdáveis na entrada principal deste objeto.

    • Escolha a caixa Substituir todas as entradas de auditoria herdáveis existentes em todos os descendentes por entradas de auditoria herdáveis deste objeto.

    • Escolha as duas caixas.

    • Escolha nenhuma das caixas.

    Se você estiver configurando SACLs em um único arquivo, a caixa Substituir todas as entradas de auditoria herdadas existentes em todos os descendentes por entradas de auditoria herdadas desse objeto não estará presente na caixa Auditoria.

  15. Escolha OK.

Ao usar o ONTAPCLI, você pode configurar políticas de NTFS auditoria sem precisar se conectar aos dados usando um SMB compartilhamento em um cliente Windows.

Por exemplo, o comando a seguir aplica uma política de segurança nomeada p1 ao SVM nomevs0.

vserver security file-directory apply -vserver vs0 -policy-name p1

Políticas de auditoria em arquivos e diretórios de UNIX estilo de segurança

Você configura a auditoria para arquivos e diretórios UNIX de estilo de segurança adicionando auditoria ACEs (expressões de controle de acesso) à NFS ACLs v4.x (listas de controle de acesso). Isso permite monitorar determinados eventos de acesso a NFS arquivos e diretórios para fins de segurança.

nota

Para a NFS v4.x, tanto o discricionário quanto o sistema ACEs são armazenados no mesmo. ACL Portanto, você deve ter cuidado ao adicionar auditoria ACEs a uma existente ACL para evitar sobrescrever e perder uma existenteACL. A ordem na qual você adiciona a auditoria ACEs a uma existente ACL não importa.

  1. Recupere o existente ACL para o arquivo ou diretório usando o comando nfs4_getfacl ou equivalente.

  2. Anexe a auditoria desejada. ACEs

  3. Aplique a atualização ACL ao arquivo ou diretório usando o comando nfs4_setfacl ou equivalente.

    Este exemplo usa a opção -a para dar a um usuário (chamado testuser) permissões de leitura para o arquivo chamado file1.

    nfs4_setfacl -a "A::testuser@example.com:R" file1

Visualização de logs de evento de auditoria

Você pode visualizar os logs de evento de auditoria salvos nos formatos de arquivo EVTX ou XML.

  • Formato de arquivo EVTX: você pode abrir os logs de evento de auditoria EVTX convertidos como arquivos salvos usando o Microsoft Event Viewer.

    Há duas opções que você pode usar ao visualizar logs de eventos usando o visualizador de eventos:

    • Visualização geral: as informações comuns a todos os eventos são exibidas no registro do evento. Os dados específicos do evento para o registro do evento não são exibidos. Você pode usar a visualização detalhada para exibir dados específicos do evento.

    • Visão detalhada: uma visão amigável e uma XML vista estão disponíveis. A visualização amigável e a XML visualização exibem as informações que são comuns a todos os eventos e os dados específicos do evento para o registro do evento.

  • XMLformato de arquivo — você pode visualizar e processar registros de eventos de XML auditoria em aplicativos de terceiros que suportam o formato de XML arquivo. XMLas ferramentas de visualização podem ser usadas para visualizar os registros de auditoria, desde que você tenha o XML esquema e as informações sobre as definições dos XML campos.