通过SCOM实现安全审计

简介:

前几天,上方提出了一个需求:安全审计。

简单说一点儿,就是需要能够知道哪个账号再哪台SRV上登录过,哪个账号创建了账号的,以及什么账号删除啊,密码修改啊,等等事件的收集。

有人可能会说,这些要求实现起来很简单啊,在DC上把审核的组策略一开启,就OK了,DC上会自动收集的,到时候查看即可。

的确,这样做,DC是可以收集这些事件的记录,但是,查看和检索起来,方便嘛?信息量少还好说,大了呢?我可亲眼看见一台DC就这样小小的检索了一下ID为4672的全部事件,就立刻死掉的。自然,是这个查询界面死掉了,DC不至于就此死掉。(俺的DC没差劲儿到系统也能死掉的地步。)

每一种产品的出现,必然有它的市场。SCOM的审核收集服务就良好的支持了这样的一个需求。scom也算博大精深吧,我可还没有什么地方都掌握,只是领导提了这样一句,我就针对这一点开始了解scom的这项功能并尽力的将需求解决。

通过市场需求来研究产品,掌握它,发挥它的作用,和自己的才能。

由于公司目前使用的是scom2007,为了配合环境,砍了之前的scom2007r2,重新搭建了scom2007的环境,主要监控一下DC,SQL和一台XP。呵呵。

(不知道有没有朋友做过07升级到R2的项目,我听说是不好搞的,有经验的还请支援一下哦。)

在2007下测试了一番,不过,环境被自己搞乱了。哈哈。也没有及时写报告,所以,又重新搭建了scom2007r2的环境,这次只用了3台win2k8的服务器,一台DC,一台SCOM,一台SQL。

scom搭建的过程就不写了,因为网上大把。照着搭建就行了。其实,这次测试的过程中,个人发现,还是直接去看平台自带的帮助文档或者是ms网站上的library也是一件不错的事情。

 

安装审核收集服务器(ACS)(一下步骤以图所示)
 

  

  

这里的路径是SQL服务器的磁盘路径。

  

 

 

 

 

 

安装完成之后,可以在SQL服务器的磁盘及数据中看到对应的文件及库。

 

 

 
创建数据库之后,还需要手工导入ACS的报表,不然,我们依旧是看不到什么的。SCOM2007也是一样,都需要手工导入ACS的报表。
 

 

下面是以测试环境为例所键入的命令。
报表导入命令执行完成之后,我们需要以网页的方式打开scom的报表页面。
 

 

以上图所示,点击右侧的“显示详细信息”

 进入Audit Reports

 

 进入DB Audit

  选择windows集成安全性,然后点击“应用”。
完成以上步骤后,我们再进入SCOM的控制台,进入报表栏,可以看到相关的审核收集报表。
 

 

接下来,我们需要启用及启动scom的审核收集服务。

我们先找到监控面板下的,选择operations managerà代理à代理运行状况状态,如下图所示:

 

在代理状态一栏中,选择所要收集信息的服务器,并选择右侧的“启用审核收集”,并执行启用。

 

 

启用成功后,我们再执行“启动审核收集”
 

 

但这样并没用能够使SCOM可以收集到我们所需要审核的信息。
首先,scom的数据收集,来源于DC的审核策略的制定,如果域中没有制定任何的审核策略,将scom将无法收集相关信息。
我们需要在DC中启动相关的审核策略。
 

我们首先来启动账户管理的审核策略。

我们来创建两个账号。Hs.zhang和dd,和bob-a的账号,以便尝试验证相关审核收集的信息。并测试删除dd这个账号。
建立完毕后,查询相关报表,即可得到结果。

 
然后我们再定义账号登录事件及登录事件。
接下来再远程登录,修改用户密码等操作,并查询报表中的相关信息。
 
 

至此,可以初步确定SCOM中的审核收集服务的功能。

 不过,这只是对ACS这一项功能的实现做了一个初步的测试而已。

当我们搭建完毕,并通过一些设置得到一些结果之后,便会发现,对于安全审计的工作,还需要进一步的处理。scom只是一个基本数据的收集,但是,我们不可能仅仅将报表导出就OK了的。我们还需要针对不同的报表进行综合的处理。这样才能得到我们审计的目的。scom的报表,只是让我们有据可循罢了。

做管理,千万不能仅仅依靠一个管理平台。我们还需要有后续工作跟进,才能更好的发挥平台的作用。







     本文转自dennisxinyu 51CTO博客,原文链接:http://blog.51cto.com/dennisxinyu/605420,如需转载请自行联系原作者


相关文章
|
5月前
|
监控 安全 Perl
制定维护计划:基于企业级网络监控软件的安全审计:使用Perl脚本进行漏洞扫描
在今天的企业网络环境中,安全审计和漏洞扫描变得至关重要。本文将介绍如何使用Perl脚本结合企业级网络监控软件进行安全审计,监控到的数据将自动提交到网站。我们将通过代码示例来说明如何执行漏洞扫描。
168 0
|
5月前
|
安全 网络安全
漏洞扫描系统的主要功能有哪些
漏洞扫描系统的主要功能有哪些
|
运维 安全 机器人
GrayLog实现堡垒机绕过告警时体现出具体违规人员的信息
GrayLog实现堡垒机绕过告警时体现出具体违规人员的信息
140 0
GrayLog实现堡垒机绕过告警时体现出具体违规人员的信息
|
安全 Unix Linux
用于Linux服务器的自动安全审计工具
用于Linux服务器的自动安全审计工具
用于Linux服务器的自动安全审计工具
|
监控 安全 Linux
|
SQL 安全 Java
运用网站漏洞扫描提高业务与主机安全
什么是漏洞? 在阿里云,漏洞通过威胁高低被分为应急漏洞、高危漏洞、中危漏洞、低危漏洞。威胁类型分为资产漏洞、安全违法违规内容(如暴力恐怖、涉政、色情内容等)、网页篡改、挂马暗链、垃圾广告。 漏洞具体是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
1093 0