multiplatform security knowledge module€¦ · tipográficas usadas en toda la documentación de...

Multiplatform Security Knowledge Module

Setup

1.0VMC-KMS

Multiplatform Security Knowledge Module - Setup

El software descrito en este documento se distribuye bajo un contracto de licencia y puede utilizarse

únicamente de acuerdo a los términos de uso de dicho acuerdo.

Aviso de Copyright

Copyright © 2013 Tango/04. Todos los derechos reservados.

Fecha de documento: Junio 2013

Versión de documento: 1.0

Versión de producto: 1.0

Ninguna parte de esta publicación puede reproducirse, transmitirse, transcribirse, almacenarse en un

sistema de recuperación o traducirse a ningún idioma o lenguaje de programación, de ninguna forma ni

medio, electrónico, mecánico, magnético, óptico, químico, manual, o de cualquier otro tipo, sin el

permiso por escrito previo de Tango/04.

Marcas Registradas

Cualquier referencia a nombres de productos registrados son propiedad de las respectivas empresas.

Soporte Técnico

Para soporte técnico visite nuestra página web en www.tango04.com.

Tango/04 Computing Group S.L.

Avda. Meridiana 358, 5 A-B

Barcelona 08027

España

Teléfono: +34 93 274 0051

http://www.tango04.com

http://www.tango04.com

Tabla de Contenidos

Tabla de Contenidos

Tabla de Contenidos.......................................................................... III

Cómo Usar esta Guía.......................................................................... V

Capítulo 1

System i ............................................................................................ I1.1. User Inactivitiy..................................................................................................I

1.2. Go B_DETECTOR/UIN_MENU .......................................................................I

1.3. Setup Agente System i ....................................................................................I

Capítulo 2

Windows........................................................................................... 42.1. Setup Agente Windows...................................................................................4

Capítulo 3

SQL Server ........................................................................................ 73.1. Setup Agente SQL Server ..............................................................................7

Capítulo 4

Linux .............................................................................................. 114.1. Setup Agente Linux.......................................................................................11

© 2013 Tango/04 Computing Group Página III

Tabla de Contenidos

Capítulo 5

AIX ................................................................................................. 125.1. Setup Agente AIX .........................................................................................12

Capítulo 6

VMware .......................................................................................... 136.1. Setup Agente VMware ..................................................................................13

Apéndice

Apéndice A: Contactar con Tango/04 ................................................. 14

Acerca de Tango/04 Computing Group ............................................... 16

Aviso Legal...................................................................................... 17

© 2013 Tango/04 Computing Group Página IV

Cómo Usar esta Guía

© 2013 Tango/04 Computing Group Página V

Cómo Usar esta Guía

Este capítulo explica cómo usar las Guías de Usuario de Tango/04 y comprender las convenciones

tipográficas usadas en toda la documentación de Tango/04.

Convenciones Tipográficas

Los siguientes términos, formatos de texto y símbolos convencionales se utilizan en toda la

documentación impresa de Tango/04:

Convention Descripción

Negrita Mandatos, botones en pantalla y opciones de menú.

Cursiva azul Referencias y enlaces a otras secciones en el manual o a otra documentación que contiene información relevante.

Cursiva Texto mostrado en pantalla, o variables donde el usuario debe sustituir sus propios detalles.

Monospacia Mandatos de entrada como mandatos o código System i, o texto que los usuarios deben teclear.

MAYUSCULA Claves de teclado, como CTRL para la tecla Control y F5 para la tecla de función que está etiquetada como F5.

Notas e información adicional de utilidad.

Consejos y pistas que mejoran la experiencia de usuario al trabajar con este producto.

Importante: información adicional que es altamente recomendable que el usuario tenga en cuenta.

Aviso: El no seguir esta información podría derivar potencialmente en serios problemas.

System i

Capítulo 11 System i

System i, iSeries o AS/400 es una plataforma en la que los agentes de Seguridad ejecutan en forma

local y por lo tanto será diferente al resto de las plataformas. Será necesario realizar la configuración

de que eventos se van a recolectar y con qué filtros en cada LPAR en forma manual. Además recuerde

que cada LPAR tiene los eventos en su propia base de datos local.

Para los casos en que existan varios LPARs se recomienda centralizar las bases de datos utilizando

Database Settings Administrator y realizar Mantenimiento a Histórico. En este caso los reportes se

deberán sacar contra la base de datos histórica que contiene la centralización de todas las LPARs.

1.1 User InactivitiySe requiere configurar y activar el agente UIN en cada LPAR. Esto solo es necesario si se desea

obtener la información de Inactividad de Usuarios.

Para configurar este agente, puede consultar mayor detalle en el manual del usuario del agente

VISUAL Message Center (iSeries Modules).

1.2 Go B_DETECTOR/UIN_MENUConfigure el umbral mínimo para que se generen los eventos para el control. En este caso

recomendamos poner 30 días.

Debe configurar el inicio automático de este agente, utilizando la opción 3 e ingresando *YES en

Automatic monitor start.

Se puede personalizar según las necesidades del cliente

1.3 Setup Agente System iEs necesario realizar estos pasos en cada LPAR.

Para montar el Agente System i:

Paso 1. Activar entradas - Columna Send to Windows console

© 2013 Tango/04 Computing Group Página I

http://customers.tango04.com/node/615

http://customers.tango04.com/node/615

System i

Deberá activar el envío de cada acción de auditoría, para cada una de las entradas del

Anexo A, colocando el valor *YES en la columna Send to Windows console. (Usando

la opción 30 a cada entrada).

Esta acción lo que hace es indicarle al SECMONITOR quéé entradas debe procesar del

Journal QAUDJRN. A partir de dicha acción los eventos serán enviados a la base de

datos de eventos de la solución VISUAL Message Center.

Paso 2. Filtros por Entradas a configurar

Los siguientes filtros deben configurarse manualmente desde el menú B_DETECTOR/

SECMAIN en la opción 1 Actions to be audited y luego opción 40 Filtered.

NOTA: La configuración de estos filtros permite reducir la cantidad de eventos

guardados en la base de datos de forma drástica. Es muy importante que realice este

paso, caso contrario puede incrementarse fuertemente el consumo de CPU y el

espacio en disco utilizado por el monitor SECMONITOR en cada LPAR.

Paso 3. Iniciar el Monitor SECMONITOR.

Una vez realizada la configuración de qué entradas y con qué filtros se van a procesar

las entradas del journal de auditoría, ya estamos en condiciones de levantar el monitor.

Tipo de

entrada

DescripciónTipo de

CondiciónExpresión ALEVSin Filtro

CAKM Security Template

*INCLUDE COPY(&JRNSTRING,21,8) IN {'*AUTL'}

COKM Security Template

*INCLUDE COPY(&JRNSTRING,21,8) IN {'*AUTL'}

CPKM Security Template

Sin Filtro Sin Filtro

DOKM Security Template

*INCLUDECOPY(&JRNSTRING,21,8) IN {'*AUTL','*USRPRF'}

DSKM Security Template


JSKM Security Template

*INCLUDE(COPY(&JRNSTRING,2,1) = 'I') AND (COPY(&JRNSTRING,1,1) IN {'S','E',’I’})

NAKM Security Template


PAKM Security Template


PWKM Security Template


RPKM Security Template


STKM Security Template


SVKM Security Template


© 2013 Tango/04 Computing Group Página II

System i

Para ello puede utilizar el menú B_DETECTOR/SECMAIN, opciones 12, 13, 14 y 15. O en

su defecto, puede usar los comandos STRSECMON, CHGSECMON, ENDSECMON, CHKSECMON.

Para iniciar SECMONITOR:

• Lo importante es conocer que existen 2 formas de iniciar el monitor y que son:

*TODAY: permite recuperar entradas anteriores desde las 0 horas del día

*NOW: solo desde ahora

CONSEJO: Utilice la opción más conveniente. Si no sabe cuál usar, utilice *NOW.

• Inicie el monitor y controle la cantidad de eventos que este genera.

Revise que el monitor quede configurado para iniciar automáticamente. Con la

opción Configure Monitor ‐ Automatic monitor start. . . . *YES.

• El monitor SECMONITOR inicia con QPGMR como usuario por defecto. Puede cambiar este usuario modificando la JOBD "B_DETECTOR/ SECMONITOR", o utilizando el siguiente comando:

CHGJOBD JOBD (B_DETECTOR/SECMONITOR) USER (NEWUSER).

Paso 4. Configurar Listas de Usuarios System i.

Debe configurar las listas de usuarios en SmartConsole, para el correcto

funcionamiento de las Vistas de Negocio y los incidentes pre-definidos estándares.

Las listas son:

&SYSTEMI_SPECIAL_USERS

&SYSTEMI_ADMINISTRATORS_USERS

Las listas se configuran desde la barra de menú de la SmartConsole, pulse Cambiar y

seleccione Variables Globales.

© 2013 Tango/04 Computing Group Página III

Windows

Capítulo 22 Windows

Windows requiere que se configure la auditoría nativa en cada sistema a controlar. Luego la

información se recupera en forma remota a través del protocolo WMI.

2.1 Setup Agente WindowsEs necesario configurar el Security Packages Configurator para el correcto funcionamiento de los

agentes Windows. Esto solo se realiza en forma centralizada para cada ThinkServer

Para montar el Agente Windows:

Paso 1. Configurar Dominios.

Deberá crear una conexión LDAP a cada Dominio que tenga en su red Windows y

cargar cada dominio.

Figure 1 – Crear una conexión LDAP para cada dominio que tiene en su red de Windows

Luego para cada dominio, deberá proveer las credenciales de un usuario Administrador

del Dominio, como muestra la siguiente imagen

© 2013 Tango/04 Computing Group Página 4

Windows

Paso 2. Cargar Controladores de Dominio para cada Dominio.

Deberá dar de alta todos los controladores de dominio de cada Dominio Windows que

tenga en la red.

Figure 2 – Proporcione las credenciales de un usuario administrador de dominio

Estos datos son necesarios, tanto para correlacionar y agregarle información de

Usuarios privilegiados (Administradores) a los eventos, como para que los monitores

de Inactividad de Usuarios, obtengan la información de lastlogon.

IMPORTANTE: La omisión de controladores de dominio, puede generar información

incorrecta y no realizará el agregado de información.

Paso 3. Configurar Listas de Usuarios Windows (Privileged).

En el caso de Windows, no existen las listas de Usuarios en SmartConsole. Para este

agente, se utiliza una Característica llamada Usuarios Privilegiados, que permite cargar

la Lista de Usuarios Administradores, para cada dominio, en el tab User Categories.

Esta característica, permite utilizar usuarios o grupos, por Dominio, que

automáticamente enriquecen los eventos de Windows nativos.

Utilice Privileged como categoría para vincular los usuarios Administradores.


Windows

Figure 3 – Utilice Privileged como la categoría para conectar usuarios Administradores

Los miembros de grupos son mantenidos en una memoria cache, consultados a través

de LDAP, deen forma automática. Puede modificar el tiempo de consulta desde el tab

General Parameters.


SQL Server

Capítulo 33 SQL Server

SQL Server utiliza trazas de auditoría, que el mismo monitor crea, configura y mantiene. Con lo que en

este caso no es necesario pasos adicionales para la auditoría.

3.1 Setup Agente SQL ServerPara montar el SQL Server Agent:

Paso 1. Deberá copiar por única vez el archivo SQLServerSecurityDictionary.pyo. Este

archivo permite la correlación y mejora de eventos, mediante traducciones de códigos

a texto, para un mejor entendimiento de los eventos del log nativo.

Esteo paso deberá realizarselo únicamente en el servidor ThinkServer (normalmente

hay uno solo por entorno).

Deberá copiar el archivo en el siguiente path donde está instalado ThinkServer. Este

varía de acuerdo al idioma del SO y si es plataforma x86 o x64.

...\Tango04\ThinkServer\PythonLib\Lib\TSExtensions\SQLServerSecurity\

Ejemplo para Windows 2003 R2 x64 SP2:

C:\Program Files (x86)\Tango04\ThinkServer\PythonLib\Lib\TSExtensions\SQLServerSecurity

Paso 2. Crear DSN de ODBC en ThinkServer para cada instancia SQL Server.

Se deberá configurar una conexión ODBC contra la tabla master para cada una de las

diferentes instancias a monitorizar. El puerto por defecto a utilizar, es el puerto 1433. Es

importante utilizar el Driver de SQL Server por defecto.

En el caso de entornos x64, recordar de configurar el DSN siempre en el directorio

SysWOW64. Hay que utilizar el comando

C:\WINDOWS\SysWOW64\odbcad32.exe

El nombre del DSN debe cumplir la siguiente regla:

Importante

Será necesario configurar un filtro de inclusión de los usuarios a los cuales se les controlará

el ingreso o login.


SQL Server

T04_#SQLSERVERNAME#

donde #SQLSERVERNAME# es el nombre del equipo.

Figure 4 – ODBC DSN en ThinkServer para cada instancia de SQL Server

Para validar la configuración de los ODBC, puede revisar la entrada del registro de

Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI

Ahí podrá encontrar todas las conexiones creadas, a quée BBDD por defecto y con

quée usuario.

Paso 3. Configurar Filtrado en DataSource Users Login para cada instancia SQL Server.

SQL Server necesita trabajar con filtros de inclusión de los usuarios Administradores y

Especiales. Esto se debe a que si se activara toda la actividad, el tamaño y rendimiento

de la traza de auditoría podría verse afectado. Para evitar esta situación, solo cabe la

opción de filtrar y excluir a los usuarios que se utilizan para hacer consultas al motor de

BBDD. Estos generalmente están relacionados con cada una de las aplicaciones que

posee el cliente. Esto conlleva a que se genere un alto volumen de eventos que son

innecesarios, y que sin realizar un análisis previo, minucioso y exhaustivo de cada

entorno, se pondría en riesgo la estabilidad y rendimiento del servidor a controlar. Otra

desventaja, es que dicho entorno quedaría dependiente a cualquier cambio en las

aplicaciones y servicios del cliente, dificultando el mantenimiento de la solución.

Trabajando con la técnica de "Inclusión" se busca reducir ampliamente la cantidad de

eventos generados en cada una de las instancias de SQL Server y reducir el

mantenimiento de la misma, así como evitar todo lo antes expuesto.

Se debe configurar manualmente el filtrado de usuarios (Administradores y Especiales)

a incluir para cada instancia SQL Server en el DataSource:

#SQLSERVERNAME# ‐ Users Login

Ejemplo:

SQL Server: VASECURITY ‐ Usuarios Especiales: sa

Usuarios Administradores: tangouser, VASECURITY\TangoAdmin


SQL Server

Figure 5 – Los logins integrados a Windows deben ser completados con los signos " al inicio y fin de la cadena , como indica la imagen

Paso 4. Configurar disco lógico donde se guardan las trazas de auditoría.

Hay que definir en los 4 DS en que unidad lógica y en quée directorio se van a crear las

trazas del SQL Profiler.

Por defecto se almacenan a

C:\tangotraces\

Solo debe configurar este paso si desea cambiar el directorio o disco lógico temporal

en donde se almacenan las trazas de auditoría.

Los archivos temporales tienen la siguiente nomenclatura:

%SERVERNAME%_TangoTraceXXXXXY.trc


SQL Server

Figure 6 – Configuración del disco lógico en el que se almacenan las trazas de auditoría

Paso 5. Configurar Listas de Usuarios SQL Server.



Las listas son:

&SQL_SPECIAL

&SQL_ADMIN

Las listas se configuran desde la barra de menús de la SmartConsole, pulse Cambiar y



Linux


Capítulo 44 Linux

En Linux se recuperan eventos desde el Syslog y no se requiere ninguna configuración de la auditoría

del sistema. Se puede utilizar 2 mecanismos diferentes para acceder a la información, que son

detallados como:

• Opción 1 (redirección de Syslog) y

• Opción 2 (SSH)

4.1 Setup Agente LinuxPara montar el Agente Linux:

Paso 6. Configurar Listas de Usuarios Linux.



La lista es:

&LINUX_ESP

Las listas se configuran desde la barra de menús de la SmartConsole, pulse Cambiar

y seleccione Variables Globales.

Importante

.En esta plataforma no se maneja lista de Usuario Administrador, por la particularidad

especial que tiene. Las operaciones de "User Management" siempre son con root, o con

usuario que adopta root; con lo que no tiene sentido hacerlo.

AIX


Capítulo 55 AIX

AIX utilizaun script nativo AWK que permite leer la auditoría nativa de AIX y escribir los eventos

auditados al Syslog. De esta manera, y a través de la redirección del Syslog a ThinkServer,

conseguimos obtener los eventos de la auditoría en tiempo real.

5.1 Setup Agente AIXPara montar el Agente AIX:

Paso 1. Configurar Listas de Usuarios AIX.



La lista es:

&AIX_ADMIN

&AIX_ESP



VMware


Capítulo 66 VMware

VMware permite recuperar eventos a través de un webservice provisto por VMware. Este agente se

conecta contra Virtual Center y desde ese punto central, recupera toda la información a todos los ESX o

ESXi conectados al vCenter.

También es posible controlar servidores ESX o ESXi standalone, aunque siempre se recomienda usar

vCenter en el caso de que existiera.

6.1 Setup Agente VMwarePara configurar el Agente VMware:

Paso 1. Configurar Listas de Usuarios VMware.



La lista es:

&VMWARE_ADMIN

&VMWARE_ESP



Apéndice A : Contactar con Tango/04

Apéndice AApéndice A: Contactar con Tango/04

North America

Tango/04 North America

PO Box 3301

NH 03458 Peterborough USA

Phone: 1-800-304-6872 / 603-924-7391

Fax: 858-428-2864

[email protected]

www.tango04.com

EMEA

Tango/04 Computing Group S.L.

Avda. Meridiana 358, 5 A-B

08027 Barcelona Spain

Phone: +34 93 274 0051

Fax: +34 93 345 1329

[email protected]

www.tango04.com

Italy

Tango/04 Italy

Viale Garibaldi 51/53

13100 Vercelli Italy

Phone: +39 0161 56922

Fax: +39 0161 259277

[email protected]

www.tango04.it

Sales Office in France

Tango/04 France

La Grande Arche

Paroi Nord 15ème étage

92044 Paris La Défense France

Phone: +33 01 40 90 34 49

Fax: +33 01 40 90 31 01

[email protected]

www.tango04.fr

Sales Office in Switzerland

Tango/04 Switzerland

18, Avenue Louis Casaï

CH-1209 Genève

Switzerland

Phone: +41 (0)22 747 7866

Fax: +41 (0)22 747 7999

[email protected]

www.tango04.fr

Latin American Headquarters

Barcelona/04 Computing Group SRL (Argentina)

Avda. Federico Lacroze 2252, Piso 6

1426 Buenos Aires Capital Federal

Argentina

Phone: +54 11 4774-0112

Fax: +54 11 4773-9163

[email protected]

www.barcelona04.com


Mailto:[email protected]

www.tango04.com


www.tango04.com


www.tango04.it


www.tango04.fr


www.tango04.fr


www.barcelona04.com

Apéndice A : Contactar con Tango/04

Sales Office in Peru

Barcelona/04 PERÚ

Centro Empresarial Real

Av. Víctor A. Belaúnde 147, Vía Principal 140 Edificio Real Seis, Piso 6

L 27 Lima

Perú

Phone: +51 1 211-2690

Fax: +51 1 211-2526

[email protected]

www.barcelona04.com

Sales Office in Chile

Barcelona/04 Chile

Nueva de Lyon 096 Oficina 702,

Providencia

Santiago

Chile

Phone: +56 2 234-0898

Fax: +56 2 2340865

[email protected]

www.barcelona04.com

© 2013 Tango/04Computing Group Página 15


www.barcelona04.com


www.barcelona04.com

Acerca de Tango/04 Computing Group

Acerca de Tango/04 Computing Group

Tango/04 Computing Group es una de las principales empresas desarrolladoras de software de gestión

y automatización de sistemas informáticos. El software de Tango/04 ayuda a las empresas a mantener

la salud operativa de sus procesos de negocio, mejorar sus niveles de servicio, incrementar su

productividad y reducir costes mediante una gestión inteligente de su infraestructura informática.

Fundada en 1991 en Barcelona, Tango/04 es IBM Business Partner y miembro de la iniciativa

estratégica IBM Autonomic Computing. Además de recibir numerosos reconocimientos de la industria,

las soluciones Tango/04 han sido validadas por IBM y tienen la designación IBM ServerProven™.

Tango/04 tiene más de mil clientes y mantiene operaciones en todo el mundo a través de una red de 35

Business Partners

Alianzas

Premios

Partnerships IBM Business Partner

IBM Autonomic Computing Business Partner

IBM PartnerWorld for Developers Advanced Membership

IBM ISV Advantage Agreement

IBM Early code release

IBM Direct Technical Liaison

Microsoft Developer Network

Microsoft Early Code Release


Aviso Legal

Aviso Legal

Este documento y su contenido son propiedad de Tango/04 Computing Group o de sus respectivos propietarios cuando así se

indique. Cualquier utilización de este documento con una finalidad distinta de aquella con la cual ha sido creado está prohibida sin la

autorización expresa de su propietario. Asimismo queda prohibida la reproducción total o parcial de este documento por cualquier

medio físico, óptico, magnético, impreso, telemático, etc., sin la autorización expresa de su propietario.

La información técnica aquí contenida fue obtenida utilizando equipamiento e instalaciones específicas, y su aplicación se limita a

esas combinaciones especiales de productos y niveles de versiones de hardware y software. Cualquier referencia en este documento

a productos, software o servicios de Tango/04 Computing Group, no implica que Tango/04 Computing Group planee introducir esos

productos, software o servicios en cada uno de los países en los que opera o está representada. Cualquier referencia a productos de

software, hardware o servicios de Tango/04 Computing Group no está hecha con el propósito de expresar que solamente pueden

utilizarse productos o servicios de Tango/04 Computing Group. Cualquier producto o servicio funcionalmente equivalente que no

infrinja la propiedad intelectual o condiciones de licenciamiento específicas se podría utilizar en reemplazo de productos, software o

servicios de Tango/04 Computing Group.

Tango/04 Computing Group puede tener patentes o estar pendiente de obtención de patentes que cubren asuntos tratados en este

documento. La entrega de este documento no otorga ninguna licencia de esas patentes. La información contenida en este

documento no ha sido sometida a ningún test formal por Tango/04 Computing Group y se distribuye tal como está. El uso de esta

información o la implementación de cualquiera de las técnicas, productos, tecnologías, ideas o servicios explicitados o sugeridos por

el presente documento es responsabilidad exclusiva del cliente a quien está dirigido este documento, y es el cliente quien debe

evaluar y determinar la aplicabilidad y consecuencias de integrar esas técnicas, productos, tecnologías, ideas o servicios en su

entorno operativo.

Si bien cada ítem puede haber sido revisado por Tango/04 Computing Group en cuanto a su exactitud en una situación específica, no

existe ni se otorga ninguna garantía de que los mismos o similares resultados puedan ser obtenidos en otras situaciones o

instalaciones. Los clientes que intenten adaptar esas técnicas en sus propias instalaciones lo hacen bajo su propia cuenta,

responsabilidad y riesgo. Tango/04 Computing Group no será en ningún caso responsable directo o indirecto de cualquier daño o

perjuicio causado por el uso de las técnicas explicitadas o sugeridas en este documento, incluso si se han efectuado notificaciones

de la posibilidad de esos daños.

Este documento puede contener errores técnicos y/o errores tipográficos. Todas las referencias en esta publicación a entidades

externas o sitios web han sido provistas para su comodidad solamente, y en ningún caso implican una validación, garantía o respaldo

a esas entidades o sitios.

Las marcas siguientes son propiedad de International Business Machines Corporation en los Estados Unidos y/o otros países: AS/

400, AS/400e, System i, iSeries, e (logo)Server, i5, Operating System/400, OS/400, i5/OS.

Microsoft, SQL Server, Windows, Windows NT, Windows XP y el logotipo de Windows son marcas registradas de Microsoft

Corporation en los Estados Unidos y/o otros países. Java y todos los logotipos y marcas basadas en Java son propiedad de Sun

Microsystems, Inc. en los Estados Unidos y otros países. UNIX es una marca registrada en los Estados Unidos y otros países y se

licencia exclusivamente a través de The Open Group. Oracle es una marca registrada de Oracle Corporation. Otras marcas,

productos o servicios pueden ser marcas registradas de otras empresas.


multiplatform security knowledge module€¦ · tipográficas usadas en toda la documentación de...

Documents