Tivoli Security Information and Event Manager方案建议书

1、Tivoli Security Information and Event Manager方案介绍IBM中国公司2010年11月目录1. 需求分析32. IBM解决方案 - Tivoli Security Information and Event Manager4l 功能一：采集安全日志和安全事件5l 功能二：日志和事件的格式标准化7l 功能三：基于策略对安全日志违规情况进行自动判定10l 功能四：报告和展现113. AIX平台审计功能的实现13l AIX审计实现步骤13l 审计调查174. 系统部署191. 需求分析IT系统的合规管理日益成为IT运维的重要工作。一方面是由于很多IT系统在经

2、过多年的建设之后，其安全管理、规范管理变得滞后，所以要求补上这一课；另一方面则是由于国家、行业、社会都对规范管理、合规管理提出了具体的要求，使其成为日常工作的一个考核指标。由此，IT系统的审计管理作为合规管理的重要组成部分，将帮助企业建立高效、规范的合规管理的重要工具。在现有庞大的IT系统中，包括多种的网络设备、安全产品、服务器、操作系统、数据库以及应用系统等。如何了解这些系统有哪些访问行为，如何了解系统有哪些违规操作，单靠几个技术人员的手工操作是完全无力承担的。而为了应付内、外审计部门对IT系统越来越高的审计要求，更为了能够提高自身对系统访问使用的了解能力，就需要一个集中的、自动化的、可自定

3、义规则并主动判断的、高效的系统来帮助其解决这个难题。IBM拥有完整的IT合规管理解决方案和经验丰富的技术团队。本次项目将根据现有IT系统状况、管理技术人员现状、内外审计要求等诸如因素来帮助建立IT系统访问审计平台，逐步建立起IT审计系统以及相关的流程和规范。2. IBM解决方案 - Tivoli Security Information and Event Manager为了实现对系统使用的访问审计，简单的数据获取是远远不够的，在这里，我们不如先考虑以下几个问题，l 系统访问审计数据如何得到？l 得到的访问审计数据是否权威？l 访问审计数据的产生是否会对IT系统本身产生影响？l 访问审计数据如

4、何集中？l 访问审计数据是否原样保存？l 访问审计数据分析方法的原理？l 访问审计数据的分析策略是否可以扩展？l 访问审计数据的自动处理能力是否满足要求？l 访问审计数据是否提供查询能力以便于在需要时寻找特定的记录？l 访问审计数据的统计报告是否满足企业内外审的要求？l 当出现违规事件时，企业的处理流程是什么？系统的审计是一个结合审计管理软件和审计配置管理的工作，一般需要经历以下几个步骤：在产品实现部分，IBM提供了专门的系统访问审计产品Tivoli Security Information and Event Manager Manager（简称：TSIEM）。TSIEM是专门用于收集用户访

5、问日志，并且提供用户访问行为审计的平台，TSIEM通过集中收集、分析所有的安全日志，给管理者提供了一个集中的用户行为视图，从而便于安全官员或者审计人员及时了解用户的违规操作或者高危行为，同时提供全面的审计报告。TSIEM可以实现以下主要的功能：l 自动汇聚各种系统的安全日志l 自动翻译各种安全日志，提炼用户行为动作l 定义用户违规行为及其危害级别l 基于审计分析策略为每个用户行为自动赋予对应的安全级别l 给出日志收集连续性视图、违规情况汇总视图l 为遵守规章制度提供全面报告l 功能一：采集安全日志和安全事件TSIEM的Collection部件专职收集所需的安全日志，并将原始日志存储到中心的存储

6、库中。可靠、可用于证明的原始日志收集是整个审计服务的基础。TSIEM提供内置的检测机制来保证日志收集的连续性，并可及时为中断的日志收集告警，为日志信息传输提供了安全加密通道，并且为日志存储提供了高度的压缩机制。日志存储在TSIEM服务器的日志容器中直到该日志被迁移或者归档。考虑到系统或者应用中的安全日志往往分散在多个不同的文件中，所以TSIEM提供的是基于Batch Collect的机制来收集某一时间内所产生的全部安全日志。Batch Collect可以基于时间，也可以基于手工触发方式。TSIEM支持以下的收集协议：l Logsl Syslogl SNMPl NetBIOSl ODBCl Ex

7、ternal APIsl SSH对于操作系统，TSIEM一般基于两种机制收集安全日志，一种是在被收集对象上安装TSIEM客户端软件，另外一种则是基于SSH访问协议来远程收集目标对象的安全日志。现在，TSIEM可以从数百个设备中收集现成的事件和日志数据，此外，你还可以添加对可定制设备和内部应用的支持。如下图为常用的审计日志收集示意图：AIX基于TSIEM客户端软件来实现，包括操作系统、数据库审计日志；而HP-UX则基于SSH来实现，包括操作系统和数据库访问审计；Linux则用Syslog来实现。TSIEM提供了日志连续性报告来检验日志收集的连续性，从而为日志的有效性提供有效的佐证：l 功能二：日

8、志和事件的格式标准化当日志信息被送到中心存储库后，TSIEM就可以对其进行处理和分析，其处理流程如下：为了使各种复杂的日志变得可以理解，TSIEM会将日志信息进行标准化处理到易于理解的数据模型，称之为Generic Event Model(GEM)。TSIEM会使用Generic Scanning Language(GSL)和Generic Mapping Language(GML)基于时间(Time Stamp)来对日志进行顺序处理。转换过程确定了每个关键属性的值，即确定了他们的W7属性。TSIEM基于一种“标准”的格式来格式化事件描述：Who did What，When，Where，Fro

9、m Where，Where To以及on What。从而使管理员可以更为直观了解事件的内容。W7是指：l Who: 哪个用户或者应用造成了事件l What：该事件代表了哪种动作l When：事件何时发生的l Where：事件是在哪个机器上采集的l OnWhat：涉及到哪些对象，文件或者数据库l WhereFrom：事件起源于哪个机器？l WhereTo：事件的目标是哪个机器？W7之间的关系为： 下图为TSIEM对于审计事件的W7展现：在数据标准化后，数据会定期加载到GEM中使审计员可以查看。通常，GEM数据会被定期清空和加载最新的数据，而这个时间间隔一般为一天。这意味每天审计员都可以看到最近一

10、天内的W7数据，当然如果需要，在日志存储库中的数据也可以手工加载到GEM中。下图展现了HP-UX审计日志被加载后的状况，通过Who-On What视图来了解被加载的审计日志中的违规事件状况。TSIEM提供的W7Log CSV格式和W7Log XML格式可以方便客户自己的应用日志转换成W7格式以便于TSIEM可以理解和处理。l 功能三：基于策略对安全日志违规情况进行自动判定为了对定期加载的大量安全日志是否有违规情况、违规状况进行自动判断，TSIEM提供了基于策略的自动分析能力。TSIEM提供了两类规则：1) Policy Rules：这描述了可接受的用户动作，即哪个用户在特定时间可以做什么。如果

11、不在Policy Rule中的事件则为不允许执行的操作。2) Attention Rules：这描述了值得特别关注的用户动作，这些动作往往都系统有较大的伤害可能性。Attention Rules为每个策略定义了优先级以说明如果有违反该策略，则该动作对系统可能的影响力TSIEM的策略处理流程如下：所以，当某个安全日志包含了不符合Policy Rule的动作或者符合Attention Rule的动作，安全管理员都将收到告警通知。告警方式包括邮件、SNMP或者客户化告警方式。l 功能四：报告和展现TSIEM提供了基于Web的审计数据展现，不但可以了解到违规状况，同时还可以获取违规细节，并且更可以查询

12、到相关记录，如特定的人在特定的时间内做的所有操作。TSIEM提供的基于Web的报表工具iView。iView提供了大量的标准报告和客户报告, 报告还可以以PDF或CSV定期发给特定的审计人员。TSIEM提供了大量的Compliance管理报告模块，如SOX、ISO27001/17799，这些报告模块都包含了预定义的策略和报告样本。TSIEM提供了方便的报告分发机制，可以设定报告需要在何时分发给何人。3. AIX平台审计功能的实现AIX平台审计功能可以采用如下的步骤来实现：l AIX审计实现步骤l 确定需要审计的AIX服务器，了解目标对象：ü 时间设置是否正确ü 审计服务是否

13、打开ü 是否安装了SSHü 管理员清单ü 服务器的业务需求和业务场景l 结合审计要求，确定审计策略l 在AIX服务器上打开审计服务，进行审计功能设置。如在AIX的audit.conf中创建审计策略：eprise=PROC_Delete,PROC_Execute,PROC_RealUID,PROC_AuditID,PROC_RealGID,PROC_Environ,PROC_Privilege,PROC_Settimer,FILE_Link,FILE_Unlink,FILE_Rename,FILE_Owner,FILE_Mode,FS_Mount,FS_Umount

14、,FILE_Acl,FILE_Privilege,FS_Chroot,TCPIP_config,TCPIP_host_id,TCPIP_route,TCPIP_connect,TCPIP_access,TCPIP_set_time,TCPIP_kconfig,TCPIP_kroute,TCPIP_kconnect,TCPIP_kcreate,USER_Login,PORT_Locked,SYSCK_Check,SYSCK_Update,SYSCK_Install,USER_Check,USER_Logout,PORT_Change,USER_Change,USER_Remove,USER_Cr

15、eate,USER_SetGroups,USER_SetEnv,USER_SU,GROUP_User,GROUP_Adms,GROUP_Change,GROUP_Create,GROUP_Remove,PASSWORD_Change,PASSWORD_Flags,PASSWORD_Check,PASSWORD_Ckerr,SRC_Start,SRC_Stop,SRC_Addssys,SRC_Chssys,SRC_Addserver,SRC_Chserver,SRC_Delssys,SRC_Delserver,ENQUE_admin,ENQUE_exec,SENDMAIL_Config,SEND

16、MAIL_ToFile,AT_JobAdd,AT_JobRemove,CRON_JobRemove,CRON_JobAdd,CRON_Start,CRON_Finish,NVRAM_Config,DEV_Configure,DEV_Change,DEV_Create,DEV_Start,INSTALLP_Inst,INSTALLP_Exec,UPDATEP_Name,DEV_Stop,DEV_UnConfigure,DEV_Remove,LVM_ChangeLV,LVM_ChangeVG,LVM_CreateLV,LVM_CreateVG,LVM_DeleteVG,LVM_DeleteLV,L

17、VM_VaryoffVG,LVM_VaryonVG,BACKUP_Export,BACKUP_Priv,RESTORE_Import,USER_Shell,TCBCK_Check,TCBCK_Update,PROC_SetGroups然后将其作为默认审计策略：default = eprise如果仅需要审计root用户或者诸如admin01这样的管理员帐户，可以设置：root,admin01 = eprisel 在TSIEM上增加针对AIX服务器的审计目标：注意此时可以使用Grouping IBM AIX 5.1-6.1这个事件源（Event Source）来收集被审计AIX上的组定义，并将该定

18、义导入到TSIEM作为用户类型和组定义的对应。定义审计事件收集周期，一般建议小时一次或者更长时间。l 在TSIEM上设置审计策略：在TSIEM中，结合审计目标，将“谁”从“哪里”来访问“哪个对象”是允许的条件放到Policy Rule，即“白名单”中：如下图定义了用户“HR Staff”可以从“Local Workstation”在“Office Hours”访问“HR Data”，如果任何一个条件不满足就会被当作违规操作。同时把可以访问但需要关注的访问行为放到“Attention Policy”中，即就算被允许访问但该访问还是要受到关注，如同就算在银行账户有足够的现金，但取超过万以上还需要提前通知银行一样。l 设置定期加载审计数据到TSIEM的W7数据库，并判断审计记录是否存在违规。所有的审计记录都会依据审