Auditoria de acesso a arquivos - FSx for ONTAP
Visão geral da auditoria de acesso a arquivosVisão geral das tarefas para configurar a auditoria de acesso a arquivos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Auditoria de acesso a arquivos

O Amazon FSx for NetApp ONTAP oferece suporte à auditoria de acessos de usuários finais a arquivos e diretórios em uma máquina virtual de armazenamento (SVM).

Visão geral da auditoria de acesso a arquivos

A auditoria de acesso a arquivos permite que você registre os acessos de usuários finais a arquivos e diretórios individuais com base nas políticas de auditoria definidas por você. A auditoria de acesso a arquivos pode ajudar você a melhorar a segurança do seu sistema e reduzir o risco de acesso não autorizado aos dados do sistema. A auditoria de acesso a arquivos ajuda suas organizações a permanecerem em conformidade com os requisitos de proteção de dados, identificar ameaças potenciais com antecedência e reduzir o risco de uma violação de dados.

Em todos os acessos a arquivos e diretórios, o Amazon FSx suporta o registro de tentativas bem-sucedidas (como um usuário com permissões suficientes para acessar um arquivo com êxito), tentativas malsucedidas ou ambas. Você também pode desativar a auditoria de acesso aos arquivos a qualquer momento.

Por padrão, os registros de eventos de auditoria são armazenados no formato deEVTX arquivo, o que permite que você os visualize usando o Microsoft Event Viewer.

Eventos de acesso para pequenas e médias empresas que podem ser auditados

A tabela a seguir lista os eventos de acesso a arquivos e pastas SMB que podem ser auditados.

ID do evento (EVT/EVTX) Evento Descrição Categoria

560/4656

Abrir objeto/Criar objeto

ACESSO AO OBJETO: Objeto (arquivo ou diretório) aberto

Acesso a arquivos

563/4659

Abrir objeto com a intenção de excluir

ACESSO AO OBJETO: Um identificador para um objeto (arquivo ou diretório) foi solicitado com a intenção de excluir

Acesso a arquivos

564/4660

Excluir objeto

ACESSO AO OBJETO: Exclua o objeto (arquivo ou diretório). O ONTAP gera esse evento quando um cliente Windows tenta excluir o objeto (arquivo ou diretório)

Acesso a arquivos

567/463

Ler objeto/Gravar objeto/Obter atributos de objeto/Definir atributos de objeto

ACESSO AO OBJETO: tentativa de acesso ao objeto (ler, gravar, obter atributo, definir atributo).

nota

Para esse evento, o ONTAP audita somente a primeira operação de leitura e gravação SMB (sucesso ou falha) em um objeto. Isso evita que o ONTAP crie entradas de registro excessivas quando um único cliente abre um objeto e executa várias operações sucessivas de leitura ou gravação no mesmo objeto.

Acesso a arquivos

N//4664

Link rígido

ACESSO AO OBJETO: Foi feita uma tentativa de criar um link físico

Acesso a arquivos

N/A/N/A ID do evento ONTAP 9999

Renomear objeto

ACESSO AO OBJETO: Objeto renomeado. Este é um evento ONTAP. Atualmente, não é suportado pelo Windows como um único evento.

Acesso a arquivos

N/A/N/A ID do evento ONTAP 9998

Desvincular objeto

ACESSO AO OBJETO: Objeto desvinculado. Este é um evento ONTAP. Atualmente, não é suportado pelo Windows como um único evento.

Acesso a arquivos

Eventos de acesso ao NFS que podem ser auditados

Os seguintes eventos de acesso a arquivos e pastas do NFS podem ser auditados.

  • READ

  • OPEN

  • CLOSE

  • READDIR

  • WRITE

  • SETATTR

  • CREATE

  • VINCULAR

  • OPENATTR

  • REMOVER

  • GETATTR

  • VERIFICAR

  • NÃO VERIFICAR

  • RENAME

Visão geral das tarefas para configurar a auditoria de acesso a arquivos

A configuração do FSx para ONTAP para auditoria de acesso a arquivos envolve as seguintes tarefas de alto nível:

  1. Familiarize-se com os requisitos e considerações de auditoria de acesso a arquivos.

  2. Crie uma configuração de auditoria em um SVM específico.

  3. Habilite a auditoria nesse SVM.

  4. Configure políticas de auditoria em seus arquivos e diretórios.

  5. Visualize os registros de eventos de auditoria depois que o FSx for ONTAP os emitir.

Os detalhes da tarefa são fornecidos nos procedimentos a seguir.

Repita as tarefas para qualquer outro SVM em seu sistema de arquivos para o qual você deseja ativar a auditoria de acesso a arquivos.

Requisitos de auditoria

Antes de configurar e habilitar auditoria em um SVM, você deve estar ciente dos seguintes requisitos e considerações.

  • A auditoria do NFS suporta entradas de controle de acesso (ACEs) de auditoria designadas como tipou, que geram uma entrada de registro de auditoria quando há uma tentativa de acesso ao objeto. Para auditoria de NFS, não há mapeamento entre bits de modo e ACEs de auditoria. Ao converter ACLs em bits de modo, as ACEs de auditoria são ignoradas. Ao converter bits de modo em ACLs, as ACEs de auditoria não são geradas.

  • A auditoria depende de ter espaço disponível nos volumes de teste. (Um volume de teste é um volume dedicado criado pelo ONTAP para armazenar arquivos intermediários, que são arquivos binários intermediários em nós individuais em que os registros de auditoria são armazenados antes da conversão para um formato de arquivo EVTX ou XML.) Você deve garantir que haja espaço suficiente para os volumes intermediários em agregados que contêm volumes auditados.

  • A auditoria depende de ter espaço disponível no volume que contém o diretório em que os registros de eventos de auditoria convertidos são armazenados. Você deve garantir que haja espaço suficiente nos volumes usados para armazenar registros de eventos. Você pode especificar o número de registros de auditoria a serem mantidos no diretório de auditoria usando o-rotate-limit parâmetro ao criar uma configuração de auditoria, o que pode ajudar a garantir que haja espaço disponível suficiente para os registros de auditoria no volume.

Criação de configurações de auditoria em SVMs

Antes de começar a auditar eventos de arquivos e diretórios, você deve criar uma configuração de auditoria na Máquina Virtual de Armazenamento (SVM). Depois de criar a configuração de auditoria, habilite-a no SVM.

Antes de usar ovserver audit create comando para criar a configuração de auditoria, certifique-se de ter criado um diretório para ser usado como destino dos registros e de que o diretório não tenha links simbólicos. Você especifica o diretório de destino com o-destination parâmetro.

Você pode criar uma configuração de auditoria que gire os registros de auditoria com base no tamanho do registro ou em um cronograma, da seguinte forma:

  • Para rotacionar os registros de auditoria com base no tamanho do registro, use este comando:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    O exemplo a seguir cria uma configuração de auditoria para o SVM chamadasvm1 que audita as operações do arquivo e os eventos de logon e desconexão do CIFS (SMB) (o padrão) usando rotação baseada em tamanho. O formato do registro éEVTX (o padrão), os registros são armazenados no/audit_log diretório e você terá um único arquivo de log por vez (até 200 MB de tamanho).

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB

  • Para alternar os registros de auditoria com base em um cronograma, use este comando:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
        [-rotate-limit integer] [-rotate-schedule-month chron_month]
        [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
        [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    O-rotate-schedule-minute parâmetro é necessário se você estiver configurando a rotação do registro de auditoria com base no tempo.

    O exemplo a seguir cria uma configuração de auditoria para o SVM chamadasvm2 usando rotação baseada em tempo. O formato do registro éEVTX (o padrão) e os registros de auditoria são alternados mensalmente, às 12h30, em todos os dias da semana.

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB  -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

Você pode usar o-format parâmetro para especificar se os registros de auditoria são criados noEVTX formato convertido (o padrão) ou no formato deXML arquivo. OEVTX formato permite que você visualize os arquivos de log com o Microsoft Event Viewer.

Por padrão, as categorias de eventos a serem auditados são eventos de acesso a arquivos (SMB e NFS), eventos de logon e desconexão do CIFS (SMB) e eventos de alteração da política de autorização. Você pode ter maior controle sobre quais eventos registrar pelo-events parâmetro, que tem o seguinte formato:

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

Por exemplo, o uso-events file-share permite a auditoria de eventos de compartilhamento de arquivos.

Para obter mais informações sobre ovserver audit create comando, consulte Criar uma configuração de auditoria.

Habilitando a auditoria em um SVM

Depois de concluir a configuração de auditoria, você deve habilitar a auditoria no SVM. Para isso, use o comando a seguir:

vserver audit enable -vserver svm_name

Por exemplo, use o comando a seguir para habilitar auditoria no SVM chamadosvm1.

vserver audit enable -vserver svm1

Você pode desativar a auditoria de acesso a qualquer momento. Por exemplo, use o comando a seguir para desativar a auditoria no SVM chamadosvm4.

vserver audit disable -vserver svm4

Quando você desativa a auditoria, a configuração de auditoria não é excluída no SVM, o que significa que você pode reativar a auditoria nesse SVM a qualquer momento.

Configurando políticas de auditoria de arquivos e pastas

Você precisa configurar políticas de auditoria nos arquivos e pastas que você deseja auditar para tentativas de acesso do usuário. Você pode configurar políticas de auditoria para monitorar tentativas de acesso bem-sucedidas e fracassadas.

Você pode configurar as políticas de auditoria SMB e NFS. As políticas de auditoria SMB e NFS têm diferentes requisitos de configuração e recursos de auditoria com base no estilo de segurança do volume.

Políticas de auditoria em arquivos e diretórios de estilo de segurança NTFS

Você pode configurar políticas de auditoria de NTFS usando a guia Segurança do Windows ou a CLI do ONTAP.

Você configura políticas de auditoria de NTFS adicionando entradas às SACLs NTFS associadas a um descritor de segurança NTFS. O descritor de segurança é então aplicado aos arquivos e diretórios NTFS. Essas tarefas são gerenciadas automaticamente pela interface gráfica do Windows. O descritor de segurança pode conter listas de controle de acesso (DACLs) discricionárias para aplicar permissões de acesso a arquivos e pastas, SACLs para auditoria de arquivos e pastas ou SACLs e DACLs.

  1. No menu Ferramentas do Windows Explorer, selecione Mapear unidade de rede.

  2. Preencha a caixa Mapear unidade de rede:

    1. Escolha uma letra do Drive.

    2. Na caixa Pasta, digite o nome do servidor SMB (CIFS) que contém o compartilhamento, contendo os dados que você deseja auditar e o nome do compartilhamento.

    3. Escolha Finish.

    A unidade selecionada está montada e pronta com a janela do Windows Explorer exibindo arquivos e pastas contidos no compartilhamento.

  3. Selecione o arquivo ou diretório para o qual deseja habilitar acesso de auditoria.

  4. Clique com o botão direito do mouse no arquivo e escolha Propriedades.

  5. Escolha a guia Segurança.

  6. Clique em Avançado.

  7. Escolha a guia Auditoria.

  8. Execute as ações desejadas:

    Se você deseja... Faça o seguinte:

    Configurar a auditoria para um novo usuário ou grupo

    1. Escolha Add (Adicionar).

    2. Na caixa Digite o nome do objeto a ser selecionado, digite o nome do usuário ou grupo que você deseja adicionar.

    3. Escolha OK.

    Remover a auditoria de um usuário ou grupo

    1. Na caixa Digite o nome do objeto a ser selecionado, selecione o usuário ou grupo que você deseja remover.

    2. Escolha Remove.

    3. Escolha OK.

    4. Ignore o restante deste procedimento.

    Auditoria de alterações para um usuário ou grupo

    1. Na caixa Digite o nome do objeto a ser selecionado, escolha o usuário ou grupo que você deseja alterar.

    2. Escolha Edit (Editar).

    3. Escolha OK.

    Se você estiver configurando a auditoria em um usuário ou grupo ou alterando a auditoria em um usuário ou grupo existente, a caixa Entrada de auditoria para objeto será aberta.

  9. Na caixa Aplicar a, selecione como você deseja aplicar essa entrada de auditoria.

    Se você estiver configurando a auditoria em um único arquivo, a caixa Aplicar a não estará ativa, pois o padrão é Este objeto.

  10. Na caixa Acesso, selecione o que você deseja auditar e se deseja auditar eventos bem-sucedidos, eventos de falha ou ambos.

    • Para auditar eventos bem-sucedidos, escolha a caixa Sucesso.

    • Para auditar eventos de falha, escolha a caixa Falha.

    Escolha as ações que você precisa monitorar para atender aos seus requisitos de segurança. Para obter mais informações sobre esses eventos auditáveis, consulte a documentação do Windows. Você pode auditar os seguintes eventos:

    • Controle total

    • Percorrer pasta/executar arquivo

    • Listar pasta/ler dados

    • Leia os atributos

    • Leia atributos estendidos

    • Criar arquivos/gravar dados

    • Criar pastas/acrescentar dados

    • Atributos de gravação

    • Escrever atributos estendidos

    • Excluir subpastas e arquivos

    • Excluir

    • Permissões de leitura

    • Alterar permissões

    • Assumir propriedade

  11. Se você não quiser que a configuração de auditoria se propague para arquivos e pastas subsequentes do contêiner original, escolha a caixa Aplicar essas entradas de auditoria a objetos e/ou contêineres somente neste contêiner.

  12. Escolha Apply (Aplicar).

  13. Depois de terminar de adicionar, remover ou editar entradas de auditoria, escolha OK.

    A caixa Entrada de auditoria para objeto é fechada.

  14. Na caixa Auditoria, escolha as configurações de herança para essa pasta. Escolha somente o nível mínimo que fornece os eventos de auditoria que atendam aos seus requisitos de segurança.

    Você pode escolher uma das seguintes opções:

    • Escolha Incluir entradas de auditoria herdáveis na caixa principal desse objeto.

    • Escolha a caixa Substituir todas as entradas de auditoria herdáveis existentes em todos os descendentes por entradas de auditoria herdáveis desse objeto.

    • Escolha as duas caixas.

    • Escolha nenhuma das caixas.

    Se você estiver configurando SACLs em um único arquivo, a caixa Substituir todas as entradas de auditoria herdáveis existentes em todos os descendentes por entradas de auditoria herdáveis desse objeto não estará presente na caixa Auditoria.

  15. Escolha OK.

Usando o ONTAP CLI, você pode configurar políticas de auditoria de NTFS sem precisar se conectar aos dados usando um compartilhamento SMB em um cliente Windows.

Por exemplo, o comando a seguir aplica uma política de segurança chamadap1 ao SVM chamadovs0.

vserver security file-directory apply -vserver vs0 -policy-name p1

Políticas de auditoria em arquivos e diretórios no estilo de segurança UNIX

Você configura a auditoria para arquivos e diretórios no estilo de segurança do UNIX adicionando ACEs de auditoria (expressões de controle de acesso) às ACLs do NFS v4.x (listas de controle de acesso). Isso permite monitorar determinados eventos de acesso a arquivos e diretórios NFS para fins de segurança.

nota

Para o NFS v4.x, tanto as ACEs discricionárias quanto as do sistema são armazenadas na mesma ACL. Portanto, você deve ter cuidado ao adicionar ACEs de auditoria a uma ACL existente para evitar sobrescrever e perder uma ACL existente. A ordem na qual você adiciona as ACEs de auditoria a uma ACL existente não importa.

  1. Recupere a ACL existente para o arquivo ou diretório usando o comandonfs4_getfacl ou equivalente.

  2. Anexe os ACEs de auditoria desejados.

  3. Aplique a ACL atualizada ao arquivo ou diretório usando o comandonfs4_setfacl ou equivalente.

    Este exemplo usa a-a opção de conceder a um usuário (nomeadotestuser) permissões de leitura para o arquivo chamadofile1.

    nfs4_setfacl -a "A::testuser@example.com:R" file1

Visualizar logs de eventos de auditoria

Você pode ver os registros de eventos de auditoria salvos nos formatos deXML arquivoEVTX ou.

  • EVTXformato de arquivo — Você pode abrir os registros de eventos deEVTX auditoria convertidos como arquivos salvos usando o Microsoft Event Viewer.

    Há duas opções que você pode usar ao visualizar registros de eventos usando o Visualizador de Eventos:

    • Visão geral: as informações comuns a todos os eventos são exibidas para o registro do evento. Os dados específicos do evento para o registro do evento não são exibidos. Você pode usar a exibição detalhada para exibir dados específicos do evento.

    • Visualização detalhada: uma visualização amigável e uma visualização XML estão disponíveis. A exibição amigável e a exibição XML exibem as informações comuns a todos os eventos e os dados específicos do evento para o registro do evento.

  • XMLformato de arquivo — Você pode visualizar e processar registros de eventos de auditoria XML em aplicativos de terceiros que oferecem suporte ao formato de arquivo XML. As ferramentas de visualização de XML podem ser usadas para visualizar os registros de auditoria, desde que você tenha o esquema XML e informações sobre as definições dos campos XML.