Maîtrisez les activités qui affectent la sécurité de votre système
Analyse avec QAUDJRN, détecter les événements liés à la sécurité
Dans ce nouvel article de la série sur l’analyse approfondie avec le journal QAUDJRN, nous nous concentrerons sur les événements liés à la sécurité : comment les détecter et les présenter. Pour les besoins de cet article, ces événements sont ceux qui sont audités quand nous adjoignons *SECURITY à la valeur système QAUDLVL.
Analyse avec QAUDJRN
L’environnement d’audit de votre système est configuré à l’aide d’une combinaison des valeurs système QAUDCTL, QAUDLVL, et éventuellement QAUDLVL2. Pour auditer les événements sur votre système, la valeur système QAUDCTL doit inclure *AUDLVL. Cette dernière ordonne au système d’auditer les événements spécifiés dans les valeurs système QAUDLVL et QAUDLVL2.
Lorsque vous configurez l’audit de sécurité, vous devez choisir les événements à auditer. Par exemple, pour auditer les opérations save et restore, vous devez inclure la valeur *SAVRST dans la valeur système QAUDLVL. Pour auditer les défaillances d’autorisation éventuelles, vous devez inclure la valeur *AUTFAIL, et ainsi de suite. Ainsi, quand vous aurez choisi les événements à auditer, votre valeur système QAUDLVL pourrait inclure les valeurs suivantes :
*SAVRST *CREATE *DELETE *AUTFAIL *PGMFAIL *SECURITY *SERVICE *SYSMGT *OBJMGT
Ainsi définie, la valeur système QAUDLVL peut être modifiée à tout moment : ces changements prennent effet immédiatement. Si vous ne connaissez pas bien les valeurs système QAUDCTL et QAUDLVL, je vous engage à consulter le manuel de référence sur la sécurité IBM iSeries (iSeries Security Reference, SC41-5302-09, tinyurl.com/cy84hq).
QAUDJRN et les types d’entrée de journal
Quand un événement audité se produit, une entrée est écrite dans le journal d’audit de sécurité système (system security audit journal) QAUDJRN. Chaque entrée dans QAUDJRN est identifiée par un type d’entrée de journal spécifique. Le type d’entrée de journal pour un événement de défaillance d’autorité (authority failure) est AF. Quand un objet est supprimé, le type d’entrée de journal est DO (delete object), et quand l’autorité sur un objet est changée, c’est l’entrée CA (change authority) qui est écrite dans QAUDJRN.
Comme différents éléments d’information doivent être enregistrés selon le type d’événement, les entrées de journal dans QAUDJRN ont une partie en-tête standard, mais une partie entrée spécifique. Par exemple, quand un profil utilisateur a été changé, l’entrée de journal CP doit contenir dans sa portion Entry Specific Data (ESD)des informations différentes des celles d’une entrée SV écrite pour signifier qu’une valeur système a été changée. Par conséquent, chaque type d’entrée de journal a son propre format, mais l’en-tête reste la même pour tous.
Quels événements sont audités avec la valeur QAUDLVL *SECURITY ?
Quand la valeur *SECURITY est incluse dans QAUDLVL, de nombreux événements sont audités. Chaque type d’événement génère son propre type d’entrée de journal. Quand *SECURITY est spécifié dans la valeur système QAUDLVL, les événements présents dans la figure 1 sont audités. La liste dans la figure 1 est abrégée ; il y a beaucoup d’autres événements, mais certains sont obscurs et de peu d’intérêt pour la majorité des utilisateurs. Vous trouverez une liste complète dans la Table 126 du IBM iSeries security reference manual mentionné plus haut. Je considère la Table 126 comme une référence obligatoire lorsqu’on configure l’audit et le reporting à partir du journal QAUDJRN. L’annexe F du manuel de référence de sécurité est aussi une référence obligatoire quand le reporting provient de QAUDJRN. Cette annexe contient le format d’enregistrement et le contenu de chaque type d’entrée de journal QAUDJRN.
Pour vous permettre de rétrécir le champ d’action de *SECURITY, IBM a introduit quelques valeurs QAUDLVL qui sont en réalité des sous-types de *SECURITY. Ce sont :
• *SECCFG : événements de configuration de la sécurité d’audit
• *SECDIRSRV : événements du serveur de répertoire d’audit
• *SECIPC : changements d’audit pour les communications inter-processus
• *SECNAS : événements d’audit lié aux services d’authentification de réseau (Kerberos)
• *SECRUN : auditer certaines fonctions runtime de sécurité
• *SECSCKD : auditer l’activité des descripteurs de sockets
• *SECVFY : auditer l’utilisation de certaines fonctions de vérification et d’authentification de profil
• *SECLVLD : auditer les changements apportés aux listes de validation
Si vous spécifiez *SECURITY, il est inutile de spécifier des sous-types. Par exemple, tous les événements audités avec la valeur *SECCFG sont inclus dans l’audit spécifié avec *SECURITY. Nul besoin de spécifier les deux. Je vous conseille d’inclure la valeur *SECURITY dans la valeur système QAUDLVL. Si vous omettez *SECURITY et préférez inclure quelques-uns des sous-types, des événements importants échapperont à l’audit.
Téléchargez cette ressource
Travail à distance – Guide complet pour les Directions IT et Métiers
Le travail à distance met à l'épreuve la maturité numérique des entreprises en termes de Cybersécurité, d'espace de travail, de bien-être des collaborateurs, de communication et gestion de projet à distance. Découvrez, dans ce nouveau Guide Kyocera, quels leviers activer prioritairement pour mettre en place des solutions de travail à domicile efficaces, pérennes et sécurisées.
Les articles les plus consultés
- Activer la mise en veille prolongée dans Windows 10
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Chiffrements symétrique vs asymétrique
- Afficher les icônes cachées dans la barre de notification