Auditoría de acceso a archivos - FSx para ONTAP
Descripción general de la auditoría de acceso a archivosDescripción general de las tareas para configurar la auditoría de acceso a los archivos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Auditoría de acceso a archivos

Amazon FSx para NetApp ONTAP admite la auditoría de los accesos de los usuarios finales a los archivos y directorios de una máquina virtual de almacenamiento (SVM).

Descripción general de la auditoría de acceso a archivos

La auditoría de acceso a los archivos le permite registrar los accesos de los usuarios finales a archivos y directorios individuales en función de las políticas de auditoría que defina. La auditoría del acceso a los archivos puede ayudarle a mejorar la seguridad del sistema y reducir el riesgo de acceso no autorizado a los datos del sistema. La auditoría del acceso a los archivos ayuda a sus organizaciones a cumplir con los requisitos de protección de datos, identificar las posibles amenazas de forma temprana y reducir el riesgo de una violación de datos.

En todos los accesos a archivos y directorios, Amazon FSx admite el registro de los intentos exitosos (por ejemplo, si un usuario con permisos suficientes accede correctamente a un archivo), los intentos fallidos o ambos. También puede desactivar la auditoría de acceso a archivos en cualquier momento.

De forma predeterminada, los registros de eventos de auditoría se almacenan en formato de archivo EVTX, lo que le permite verlos mediante Microsoft Event Viewer.

Eventos de acceso de pequeñas y medianas empresas que se pueden auditar

En la siguiente tabla se enumeran los eventos de acceso a archivos y carpetas SMB que se pueden auditar.

ID de evento (EVT/EVTX) Evento Descripción Categoría

560/4656

Abrir objeto/Crear objeto

ACCESO A OBJETOS: objeto (archivo o directorio) abierto

Acceso a archivos

563/4659

Abra un objeto con la intención de eliminarlo

ACCESO AL OBJETO: se solicitó el identificador de un objeto (archivo o directorio) con la intención de eliminarlo

Acceso a archivos

564/4660

Eliminar objeto

ACCESO AL OBJETO: eliminar el objeto (archivo o directorio). ONTAP genera este evento cuando un cliente de Windows intenta eliminar el objeto (archivo o directorio)

Acceso a archivos

567/4663

Leer objeto/Escribir objeto/Obtener atributos de objeto/Establecer atributos de objeto

ACCESO AL OBJETO: intento de acceso al objeto (leer, escribir, obtener un atributo, establecer un atributo).

nota

En este caso, ONTAP sólo audita la primera operación de lectura y la primera operación de escritura SMB (correcta o fallida) en un objeto. Esto evita que ONTAP cree demasiadas entradas de registro cuando un solo cliente abre un objeto y realiza varias operaciones sucesivas de lectura o escritura en el mismo objeto.

Acceso a archivos

N/A/4664

Enlace duro

ACCESO AL OBJETO: se intentó crear un enlace duro

Acceso a archivos

N/A/N/A ID de evento ONTAP 9999

Renombrar objeto

ACCESO A OBJETOS: objeto renombrado. Se trata de un evento de ONTAP. Actualmente, Windows no lo admite como evento único.

Acceso a archivos

N/A/N/A ID de evento ONTAP 9998

Desvincular el objeto

ACCESO AL OBJETO: objeto desvinculado. Este es un evento de ONTAP. Actualmente, Windows no lo admite como evento único.

Acceso a archivos

Eventos de acceso a NFS que se pueden auditar

Se pueden auditar los siguientes eventos de acceso a archivos y carpetas de NFS.

  • LEER

  • OPEN

  • CLOSE

  • READDIR

  • ESCRIBIR

  • SETATTR

  • CREATE

  • LINK

  • OPENATTR

  • REMOVE

  • GETATTR

  • VERIFY

  • NVERIFY

  • RENAME

Descripción general de las tareas para configurar la auditoría de acceso a los archivos

La configuración de FSx para ONTAP para la auditoría de acceso a los archivos implica las siguientes tareas de alto nivel:

  1. Conocer los requisitos y consideraciones de la auditoría de acceso a ficheros.

  2. Crear una configuración de auditoría en una SVM específica.

  3. Habilitar la auditoría en esa SVM.

  4. Configurar políticas de auditoría en sus archivos y directorios.

  5. Ver los registros de eventos de auditoría después de que FSx for ONTAP los emita.

Los detalles de la tarea se proporcionan en los siguientes procedimientos.

Repita las tareas con cualquier otra SVM del sistema de archivos para el que desee habilitar la auditoría de acceso a los archivos.

Requisitos de auditoría

Antes de configurar y habilitar la auditoría en una SVM, se deben tener en cuenta los siguientes requisitos y consideraciones.

  • La auditoría de NFS permite auditar las entradas de control de acceso (ACE) designadas como tipo u, que generan una entrada en el registro de auditoría cuando se intenta acceder al objeto. Para la auditoría de NFS, no hay ningún mapeo entre los bits de modo y las ACE de auditoría. Al convertir las ACL en bits de modo, se omiten las ACE de auditoría. Al convertir los bits de modo en ACL, no se generan las ACE de auditoría.

  • La auditoría depende de la disponibilidad de espacio en los volúmenes de estadificación. (Un volumen de estadificación es un volumen dedicado creado por ONTAP para almacenar archivos de estadificación, que son archivos binarios intermedios en nodos individuales donde se almacenan los registros de auditoría antes de su conversión a un formato de archivo EVTX o XML). Debe asegurarse de que hay espacio suficiente para los volúmenes de estadificación en los agregados que contienen volúmenes auditados.

  • La auditoría depende de que haya espacio disponible en el volumen que contiene el directorio donde se almacenan los registros de eventos de auditoría convertidos. Debe asegurarse de que haya suficiente espacio en los volúmenes utilizados para almacenar los registros de eventos. Puede especificar el número de registros de auditoría que desea retener en el directorio de auditoría con el parámetro de -rotate-limit al crear una configuración de auditoría, lo que puede ayudar a garantizar que haya suficiente espacio disponible para los registros de auditoría en el volumen.

Crear configuraciones de auditoría en las SVM

Antes de empezar a auditar los eventos de archivos y directorios, debe crear una configuración de auditoría en la máquina virtual de almacenamiento (SVM). Después de crear la configuración de auditoría, debe habilitarla en la SVM.

Antes de usar el comando vserver audit create para crear la configuración de auditoría, asegúrese de haber creado un directorio para usarlo como destino de los registros y de que el directorio no tenga enlaces simbólicos. El directorio de destino se especifica con el parámetro -destination.

Puede crear una configuración de auditoría que rote los registros de auditoría en función del tamaño del registro o de una programación, de la siguiente manera:

  • Para rotar los registros de auditoría en función del tamaño del registro, utilice este comando:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    El siguiente ejemplo crea una configuración de auditoría para la SVM denominada svm1 que audita las operaciones de los archivos y los eventos de inicio y cierre de sesión de CIFS (SMB) (la configuración predeterminada) mediante una rotación basada en el tamaño. El formato de registro es EVTX (el predeterminado), los registros se almacenan en el directorio /audit_log y tendrá un solo archivo de registro cada vez (con un tamaño máximo de 200 MB).

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB

  • Para rotar los registros de auditoría en función de una programación, utilice este comando:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
        [-rotate-limit integer] [-rotate-schedule-month chron_month]
        [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
        [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    El parámetro -rotate-schedule-minute es obligatorio si va a configurar la rotación de registros de auditoría basada en el tiempo.

    En el siguiente ejemplo, se crea una configuración de auditoría para la SVM denominada svm2 mediante la rotación basada en el tiempo. El formato de registro es EVTX (predeterminado) y los registros de auditoría se rotan mensualmente, a las 12:30 p. m. todos los días de la semana.

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB  -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

Puede usar el parámetro -format para especificar si los registros de auditoría se crean en el formato EVTX convertido (el predeterminado) o en el formato de archivo XML. El formato EVTX le permite ver los archivos de registro con Microsoft Event Viewer.

De forma predeterminada, las categorías de eventos que se van a auditar son los eventos de acceso a archivos (tanto SMB como NFS), los eventos de inicio y cierre de sesión de CIFS (SMB) y los eventos de cambio de política de autorización. Puede tener un mayor control sobre los eventos que se van a registrar mediante el parámetro -events, que tiene el siguiente formato:

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

Por ejemplo, el uso de -events file-share permite la auditoría de los eventos de uso compartido de archivos.

Para obtener más información sobre el comando vserver audit create, consulte Crear una configuración de auditoría.

Habilitar la auditoría en una SVM

Cuando termine de configurar la configuración de auditoría, debe habilitar la auditoría en la SVM. Para ello, utilice el siguiente comando: 

vserver audit enable -vserver svm_name

Por ejemplo, use el siguiente comando para habilitar la auditoría en la SVM denominada svm1.

vserver audit enable -vserver svm1

Puede desactivar la auditoría de acceso en cualquier momento. Por ejemplo, use el siguiente comando para desactivar la auditoría en el SVM denominado svm4.

vserver audit disable -vserver svm4

Al deshabilitar la auditoría, la configuración de auditoría no se elimina en la SVM, lo que significa que puede volver a habilitar la auditoría en esa SVM en cualquier momento.

Configurar las políticas de auditoría de archivos y carpetas

Debe configurar las políticas de auditoría en los archivos y carpetas que desee auditar para los intentos de acceso de los usuarios. Puede configurar políticas de auditoría para supervisar los intentos de acceso correctos y fallidos.

Puede configurar políticas de auditoría tanto para SMB como para NFS. Las políticas de auditoría para pequeñas y medianas empresas y NFS tienen diferentes requisitos de configuración y capacidades de auditoría en función del estilo de seguridad del volumen.

Políticas de auditoría sobre archivos y directorios similares a los de seguridad de NTFS

Puede configurar las políticas de auditoría de NTFS mediante la pestaña Seguridad de Windows o la CLI de ONTAP.

Las políticas de auditoría de NTFS se configuran agregando entradas a las SACL de NTFS asociadas a un descriptor de seguridad de NTFS. A continuación, el descriptor de seguridad se aplica a los archivos y directorios de NTFS. La GUI de Windows gestiona automáticamente estas tareas. El descriptor de seguridad puede contener listas de control de acceso discrecional (DACL) para aplicar permisos de acceso a archivos y carpetas, SACL para la auditoría de archivos y carpetas o ambas.

  1. En el menú Herramientas del Explorador de Windows, seleccione Mapear unidad de red.

  2. Complete el cuadro Mapear unidad de red:

    1. Elige una letra de Unidad.

    2. En el cuadro Carpeta, escriba el nombre del servidor SMB (CIFS) que contiene el recurso compartido, que contiene los datos que desea auditar y el nombre del recurso compartido.

    3. Elija Finalizar.

    La unidad que ha seleccionado está montada y lista, y la ventana del Explorador de Windows muestra los archivos y carpetas contenidos en el recurso compartido.

  3. Seleccione el archivo o directorio para el que desea habilitar el acceso de auditoría.

  4. Haga clic con el botón derecho del ratón en el archivo o directorio y, a continuación, seleccione Propiedades.

  5. Elija la pestaña Seguridad.

  6. Haga clic en Avanzado.

  7. Seleccione la pestaña Auditoría.

  8. Realice las acciones deseadas:

    Si desea… Haga lo siguiente:

    Configurar la auditoría para un nuevo usuario o grupo

    1. Elija Agregar.

    2. En el cuadro Ingresar el nombre del objeto que desee seleccionar, escriba el nombre del usuario o grupo que desee añadir.

    3. Seleccione OK.

    Eliminar la auditoría de un usuario o grupo

    1. En el cuadro Ingresar el nombre del objeto para seleccionarlo, seleccione el usuario o grupo que desee eliminar.

    2. Elija Eliminar.

    3. Seleccione OK.

    4. Omita el resto de este procedimiento.

    Cambie la auditoría de un usuario o grupo

    1. En el cuadro Ingresar el nombre del objeto para seleccionar, elija el usuario o grupo que desee cambiar.

    2. Elija Editar.

    3. Seleccione OK.

    Si está configurando la auditoría de un usuario o grupo o está cambiando la auditoría de un usuario o grupo existente, se abre el cuadro Entrada de auditoría del objeto.

  9. En el cuadro Aplicar a, seleccione cómo desea aplicar esta entrada de auditoría.

    Si está configurando la auditoría en un solo archivo, el cuadro Aplicar a no está activo, ya que el valor predeterminado es Solo este objeto.

  10. En el cuadro Acceso, seleccione lo que desee auditar y si desea auditar los eventos correctos, los eventos fallidos o ambos.

    • Para auditar los eventos exitosos, seleccione la casilla Éxito.

    • Para auditar los eventos de error, seleccione la casilla Fallo.

    Elija las acciones que debe supervisar para cumplir con sus requisitos de seguridad. Para obtener más información acerca de estos eventos auditables, consulte la documentación de Windows. Puede auditoría de los siguientes eventos:

    • Control total

    • Recorre la carpeta o ejecuta el archivo

    • Listar carpeta / leer datos

    • Leer atributos

    • Leer atributos extendidos

    • Crear archivos / escribir datos

    • Crear carpetas / añadir datos

    • Leer atributos

    • Escribir atributos extendidos

    • Eliminar subcarpetas y archivos

    • Eliminar

    • Permisos de lectura

    • Cambiar los permisos

    • Asumir la responsabilidad

  11. Si no desea que la configuración de auditoría se propague a los siguientes archivos y carpetas del contenedor original, seleccione la casilla Aplicar estas entradas de auditoría únicamente a los objetos y/o contenedores de este contenedor.

  12. Seleccione Apply (Aplicar).

  13. Cuando termine de añadir, eliminar o editar las entradas de auditoría, pulse Aceptar.

    Se cierra el cuadro Entrada de auditoría para el objeto.

  14. En el cuadro Auditoría, seleccione la configuración de herencia de esta carpeta. Elija solo el nivel mínimo que proporcione los eventos de auditoría que cumplan con sus requisitos de seguridad.

    Puede elegir una de las siguientes opciones:

    • Seleccione la casilla Incluir entradas de auditoría heredables de la casilla principal de este objeto.

    • Seleccione la casilla Reemplazar todas las entradas de auditoría heredables existentes en todos los descendientes por entradas de auditoría heredables de este objeto.

    • Seleccione ambas casillas.

    • No seleccione ninguna de las casillas.

    Si configura las SACL en un solo archivo, la casilla Reemplazar todas las entradas de auditoría heredables existentes en todos los descendientes por entradas de auditoría heredables de este objeto no aparece en la casilla Auditoría.

  15. Seleccione OK (Aceptar).

Mediante la CLI de ONTAP, puede configurar las políticas de auditoría de NTFS sin necesidad de conectarse a los datos mediante un recurso compartido SMB en un cliente de Windows.

Por ejemplo, el siguiente comando aplica una política de seguridad denominada p1 al SVM denominado vs0.

vserver security file-directory apply -vserver vs0 -policy-name p1

Audite las políticas de archivos y directorios de estilo de seguridad de UNIX

Para configurar la auditoría de los archivos y directorios de tipo seguro de UNIX, agregue las ACE de auditoría (expresiones de control de acceso) a las ACL (listas de control de acceso) de NFS v4.x. Esto le permite supervisar determinados eventos de acceso a archivos y directorios de NFS por motivos de seguridad.

nota

En el caso de NFS v4.x, las ACE discrecionales y de sistema se almacenan en la misma ACL. Por lo tanto, debe tener cuidado al agregar las ACE de auditoría a una ACL existente para evitar sobrescribir y perder una ACL existente. No importa el orden en el que se agreguen las ACE de auditoría a una ACL existente.

  1. Recupere la ACL existente para el archivo o directorio mediante el comando nfs4_getfacl o un comando equivalente.

  2. Añada las ACE de auditoría deseadas.

  3. Aplique la ACL actualizada al archivo o directorio mediante el comando nfs4_setfacl o un comando equivalente.

    En este ejemplo, se utiliza la -a opción para conceder a un usuario (llamado testuser) permisos de lectura sobre el archivo denominado file1.

    nfs4_setfacl -a "A::testuser@example.com:R" file1

Visualización de los registros de eventos de auditoría

Puede ver los registros de eventos de auditoría guardados en los formatos de archivo EVTX o XML.

  • Formato de archivo EVTX: puede abrir los registros de eventos de auditoría EVTX convertidos como archivos guardados con Microsoft Event Viewer.

    Hay dos opciones que puede utilizar para ver los registros de eventos con Event Viewer:

    • Vista general: en el registro de eventos se muestra la información común a todos los eventos. No se muestran los datos específicos del evento para el registro del evento. Puede utilizar la vista detallada para mostrar datos específicos del evento.

    • Vista detallada: hay disponibles una vista descriptiva y una vista XML. La vista descriptiva y la vista XML muestran tanto la información común a todos los eventos como los datos específicos del evento para el registro del evento.

  • Formato de archivo XML: puede ver y procesar los registros de eventos de auditoría XML en aplicaciones de terceros que admiten el formato de archivo XML. Las herramientas de visualización de XML se pueden utilizar para ver los registros de auditoría, siempre que disponga del esquema XML y de la información sobre las definiciones de los campos XML.