27.安全审计

安全审计是针对安全日志做的一套安全解决方案。要进行安全审计,需要先在SCOM服务器上安装“审核收集服务”,加载SCOM安装光盘,运行“审核收集服务”

SCOM2012功能测试(27)—安全审计_第1张图片


可以创建新数据库也可以使用现有数据库,我这里采用默认,创建一个新数据库

SCOM2012功能测试(27)—安全审计_第2张图片


系统会自动生成和创建如下名称数据源

SCOM2012功能测试(27)—安全审计_第3张图片


选择事先安装的Microsoft SQL Server,如果是远程的,则选择“远程数据库服务器”,“OperationsManagerAC”将作为审核收集服务的数据库

SCOM2012功能测试(27)—安全审计_第4张图片


选择“Windows身份认证”

SCOM2012功能测试(27)—安全审计_第5张图片


指定一个存放数据库文件和日志文件的目录路径,需要事先创建这个目录文件

SCOM2012功能测试(27)—安全审计_第6张图片


定义审核收集每天执行数据库维护的时间

SCOM2012功能测试(27)—安全审计_第7张图片


ACS存储时间戳格式,可采用默认可以使用UTC

SCOM2012功能测试(27)—安全审计_第8张图片


点击“下一步”,在弹出的窗口中输入安装SQLServer的服务器主机名称,点击“确定”

SCOM2012功能测试(27)—安全审计_第9张图片


提示已完成审核收集服务创建

SCOM2012功能测试(27)—安全审计_第10张图片


此时,审核收集服务模块已经成功安装,但是还需手动导入ACS报表,否则我们依旧是什么也看不到。浏览到SCOM安装光盘X:\ReportModels目录下,可将ACS整个文件夹暂时拷贝到SCOM服务器C盘根目录下,具体如下图所示:

SCOM2012功能测试(27)—安全审计_第11张图片


此时,以管理员身份打开命令行窗口,运行以下命令:

cd\acs

UploadAuditReports “”“<报表服务器URL>” “<复制的 acs文件夹路径>”,具体如下图所示,即可创建一个称为DB Audit的新数据源,上传报表类型:Audit.smdlAudit5.smdl,并上传acs\reports目录中的所有报表

SCOM2012功能测试(27)—安全审计_第12张图片


打开IE,输入:http://SCOM2012/Reports,点击“AuditReports

SCOM2012功能测试(27)—安全审计_第13张图片


进入“AuditReports”后,点击“详细信息视图”

SCOM2012功能测试(27)—安全审计_第14张图片


点击“AuditReports

SCOM2012功能测试(27)—安全审计_第15张图片


浏览到“DBAudit”並点击进入

SCOM2012功能测试(27)—安全审计_第16张图片


此时,我们需要勾选“Windows 集成安全性”,然后点击“测试连接”,最后点击“应用”

SCOM2012功能测试(27)—安全审计_第17张图片


进入报表区,定位到“Audit Reports”即可查看该报表文件下有许多报表,说明已成功导入ACS报表信息

SCOM2012功能测试(27)—安全审计_第18张图片


接下来,我们还需要开启代理的审核收集功能。进入监视区,展开“代理详细信息”文件夹,定位到“代理运行状况状态”,选中要开启审核收集功能的代理,点击右侧的“启用审核收集”,说明,需先启用,然后再启动

SCOM2012功能测试(27)—安全审计_第19张图片


输入执行任务凭据账户,然后点击“运行”

SCOM2012功能测试(27)—安全审计_第20张图片


提示执行任务成功

SCOM2012功能测试(27)—安全审计_第21张图片


待执行启用审核收集任务完成,然后点击右侧“启动审核收集”

SCOM2012功能测试(27)—安全审计_第22张图片


同理输入运行任务凭证,然后点击“运行”

SCOM2012功能测试(27)—安全审计_第23张图片


提示,执行“启动审核收集”任务成功

SCOM2012功能测试(27)—安全审计_第24张图片


登陆到AD上,以管理员身份打开运行窗口,输入gpedit.msc,打开本地组策略编辑器,找到如下图“审核策略”,更改“审核账户管理”安全性设定(说明:此示例仅仅展示审核创建和删除账户,如果想进行其它测试,可进行其它相关项设定)

SCOM2012功能测试(27)—安全审计_第25张图片


双击“审核账户管理”,勾选“成功”和“失败”

SCOM2012功能测试(27)—安全审计_第26张图片


打开“AD用户和计算机”,先创建一个用户,我这里创建用户“SCOMAcsSCOM2012功能测试(27)—安全审计_第27张图片


稍等片刻,登陆SCOM服务器,进入报表区,定位到“Audit Reports”,选中“Account_Management_-_User_Accounts_Created”,点击右侧“打开”

SCOM2012功能测试(27)—安全审计_第28张图片


即可查看审核用户账户添加信息

SCOM2012功能测试(27)—安全审计_第29张图片


当进行账户删除后,依旧会在“Account_Management_-_User_Accounts_Deleted”报表文件中查看到审核账户删除信息

SCOM2012功能测试(27)—安全审计_第30张图片


接下来,我们测试审核有关USB存储设备插入信息。登陆AD,打开本地组策略编辑器,将“审核对象访问”的安全设置启用

SCOM2012功能测试(27)—安全审计_第31张图片


以管理员身份打开运行窗口,输入“Regedit”,定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR文件夹

SCOM2012功能测试(27)—安全审计_第32张图片


右击USBSTOR文件,选择“权限”,选中“CREATOR OWNER”,点击“高级”,切换到“审核”选项卡,给予该项及其子项以Everyone读取控制的权限

SCOM2012功能测试(27)—安全审计_第33张图片


然后我们找个USB设备进行插拔动作,完成后,进入报表区,定位到“Audit Reports”,双击“Usage_-_Object_AccessSCOM2012功能测试(27)—安全审计_第34张图片


此时,即会看到有许多关于USB存储设备访问的信息,建议最好查看Event Id。说明:本示例只是显示USB存储设备插拔的次数,但是尚未详细显示出是哪类USB存储设备访问

SCOM2012功能测试(27)—安全审计_第35张图片


ACS转发器:相当于ACS服务器的代理,随着SCOM的代理安装而安装,用来将客户端的审核信息转发给ACS收集器。

ACS收集器:用来收集ACS转发的审核信息,进行筛选后将数据转发到ACS数据库中。

SCS数据库:用来存储ACS信息


进入监视区,展开“收集器”文件夹了,定位到“状态视图”,可以查看收集器的健康状况

SCOM2012功能测试(27)—安全审计_第36张图片


展开“性能”文件夹,定位到“传入事件/秒”,可以查看审核事件传入SCOM服务器的状况

SCOM2012功能测试(27)—安全审计_第37张图片


展开“转发器”文件夹,定位到“状态视图”,可以查看转发器的健康状况SCOM2012功能测试(27)—安全审计_第38张图片