Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Überwachung spezieller sicherheitsrelevanter Aktivitäten

&pagelevel(4)&pagelevel

Bevor der Sicherheitsbeauftragte bestimmte sicherheitsrelevante Aktivitäten überwachen kann, muss er zunächst definieren, welche Ereignisse bei diesen Aktivitäten auftreten können. In diesem Abschnitt werden exemplarisch einige solcher Problemstellungen aufgezeigt. Die Angabe einer Preselection reduziert die anfallende Datenmenge der laufenden Session.

Beispiele für die Bildung komplexer Bedingungsausdrücke finden Sie auf "ADD-SELECTION-CONDITIONS Auswahlbedingungen festlegen".Ein ausführliches Auswertungsbeispiel mit SATUT siehe "Auswertungsbeispiel".

Potenzielle Eindringversuche erkennen

Um potenzielle Eindringversuche bei LOGON zu erkennen, sollen alle fehlgeschlagenen Zugangsversuche ausgewertet werden. Dazu wählt der Sicherheitsbeauftragte das Ereignis „Userid prüfen“ (UCK) mit Ergebnis „FAILURE“ für die Protokollierung aus.

Auswahl bei Preselection:

/modify-sat-preselection -
/ event-auditing=uck(audit-switch=*on(result=*failure))

Zur Protokollierung fehlgeschlagener Zugangsversuche erfolgt die Einstellung für die Auswertung (Postselection) analog:

//add-selection-conditions name=conlog1, -
//               condition=evt equal ’uck’ and res equal f
//start-selection from-file=*input-files, -
//                to-file=*par(condition-name=conlog1)

Dateimanipulationen erkennen

Als Dateimanipulation kann man die erfolgreiche Durchführung folgender Ereignisse betrachten: „Datei erstellen“ (FCD), „Datei modifizieren“ (FMD), „Datei löschen“ (FDD), „Datei umbenennen“ (FRN), „Schutzattribute löschen“ (FDS), „Datei in entschlüsselte Datei umwandeln“ (FDC) und „Datei in verschlüsselte Datei umwandeln“ (FEC). Sie sollen daher mit dem RESULT=SUCCESS zur Protokollierung ausgewählt werden.

Auswahl bei Preselection:

//modify-sat-preselection -
//       event-auditing=(fcd(audit-switch=*on(result=*success)), -
//                       ..., -
//                       fec(audit-switch=*on(result=*success)))

Einstellung für die Auswertung (Postselection):

//add-selection-conditions name=confile, -
//    condition=evt in-list (’fcd’,’fmd’,’fdd’,’frn’,’fds’,’fdc’,’fec’) -
//              and -
//              res equal s and filname equal ’<destroyed file name>’
//start-selection from-file=*input-files, -
//                to-file=*par(condition-name=confile)

Protokollierung von UTM-Ereignissen

Die Protokollierung von UTM-Ereignissen (TRM) kann sowohl in SAT, wie auch in openUTM gesteuert werden.

Auswahl bei Preselection:

/modify-sat-preselection event-auditing= -
/          trm(audit-switch=<*on/*off>(result=<*all/*success/*failure>), -
/          user-auditing=(<utm-userid1>,<utm-userid2>,...)

Einstellung für die Auswertung (Postselection):

//add-selection-conditions name=conutm, -
//                         condition=evt equal ’trm’ and <conditions>...
//start-selection from-file=*input-files, -
//                to-file=*par(condition-name=conutm)

Die Steuerung und Einstellung der SAT-Protokollierung für eine UTM-Anwendung erfolgt per UTM-Generierung und per UTM-Administration. Die UTM-SAT-Administration erfolgt durch dazu berechtigte UTM-Benutzer.

Soll die SAT-Protokollierung jedoch bereits mit dem Start einer UTM-Anwendung beginnen, so kann dies nur über die UTM-Generierung erreicht werden. Generierte Protokollierungswerte können durch KDCMSAT verändert werden.

Ausführliche Informationen zur SAT-Protokollierung finden Sie im openUTM-Handbuch „Anwendungen generieren“ [17].

Powered by Atlassian Confluence and Scroll Viewport.