Die SAT-Alarm-Funktion erweitert den SAT-Funktionsumfang um eine wirksame Kontrollfunktion, mit der Verstöße gegen Sicherheitsmaßnahmen oder missbräuchliches Verhalten im laufenden Betrieb sofort aufgespürt werden können.
Mit der SAT-Alarm-Funktion erkennt der Sicherheitsbeauftragte missbräuchliches Verhalten sofort und nicht erst bei Auswertung der SATLOG-Dateien, da an der Konsole der Systembedienung eine Meldung ausgegeben wird, die den Verstoß anzeigt. Dies ist besonders von Vorteil, wenn Sicherheitsverstöße von Anwendern begangen werden. Der klassische Fall des Ausprobierens von Kennwörtern ist ein Beispiel für Sicherheitsverstöße von Anwendern.
Die SAT-Alarm-Funktion ersetzt nicht die SAT-Protokollierung und Auswertung der SATLOG-Dateien, da auch die von der Alarm-Funktion erkannten Verstöße in die SATLOG-Datei eingetragen werden. Auch schwächt eine Vielzahl von Alarmen zu unterschiedlichen Ereignissen den Aufmerksamkeitswert des Alarms deutlich ab. Es sollte daher gut überlegt werden, welche Ereignisse einen Alarm auslösen.
Ob ein SAT-Alarm in Form einer Meldung auf Konsole ausgelöst wird, hängt ab
vom Ereignis und seinem Ergebnis
von der Benutzerkennung
von der Information in Verbindung mit dem Ereignis
vom Zeitraum innerhalb dessen eine bestimmte Anzahl von Ereignissen eintrat
Die SAT-Alarm-Funktion wird gesteuert mit den folgenden Kommandos:
ADD-SAT-ALARM-CONDITIONS | formuliert eine neue Alarmdefinition |
MODIFY-SAT-ALARM-CONDITIONS | ändert eine bestehende Alarmdefinition |
REMOVE-SAT-ALARM-CONDITIONS | löscht eine bestehende Alarmdefinition |
SHOW-SAT-ALARM-CONDITIONS | zeigt bestehende Alarmdefinitionen an |
Die Alarmdefinitionen können in der SAT-Parameter-Datei gesichert werden, um sie bei der nächsten Sitzung wieder zu verwenden. Nicht explizit gesicherte Definitionen verfallen mit der Beendigung des Systemlaufs. Gesicherte Definitionen werden mit Beginn des nächsten Systemlaufs automatisch aktiviert.
Aktivierung einer Alarmdefinition
Die Alarm-Funktion ist nur aktiv, wenn auch SAT im Aufzeichnungsmodus ist. Wurde SAT angehalten (/HOLD-SAT-LOGGING), wird auch kein Alarm gegeben. Bei angehaltenem SAT können keine neuen Alarmdefinitionen eingegeben oder bestehende verändert werden.
Ist SAT im Aufzeichnungsmodus, wird eine Alarmdefinition sofort nach ihrer Formulierung (/ADD-SAT-ALARM-CONDITIONS) aktiv und bleibt so bis zum Ende des Systemlaufs oder bis sie mit /REMOVE-SAT-ALARM-CONDITIONS gelöscht wird. Während dieser Zeit kann die Definition gespeichert, geändert oder angezeigt werden.
Hat der Sicherheitsbeauftragte für ein Produkt den Anschluss an das SAT-Logging mit /MODIFY-SAT-SUPPORT-PARAMETERS deaktiviert, so ist die Alarm-Funktion für die zu diesem Produkt gehörenden Ereignisse nicht aktiv. (In der aktuellen SECOS-Version gilt dies für die Ereignisse der Objekte „POSIX-FILE-and-Directory“, „POSIX-CHILD-Process“, „POSIX-PROCESS“, „POSIX-SYSTEM-Resources“).
Wirkungsweise der Alarmfunktion
Die Alarmfunktion wird unabhängig von der Preselection für jedes protokollierbare Ereignis aufgerufen. Dann werden alle definierten Alarmbedingungen geprüft, ob sie auf den aktuellen Protokolldatensatz zutreffen. Eine Alarmbedingung trifft dann auf einen Protokolldatensatz zu, wenn alle in ihr enthaltenen Teilbedingungen wahr sind. Eine Bedingung, in der ein Feldname enthalten ist, ist nur dann wahr, wenn dieses Feld im Protokolldatensatz enthalten ist. Falls eine Negativliste angegeben ist, ist die Bedingung wahr, wenn keines der darin angegebenen Felder im Protokolldatensatz enthalten ist. Falls eine Alarmdefinition in allen Teilbedingungen auf einen Protokolldatensatz zutrifft, wird eine Warnung auf Konsole ausgegeben.