安全审计是针对安全日志做的一套安全解决方案。要进行安全审计,需要先在SCOM服务器上安装“审核收集服务”,加载SCOM安装光盘,运行“审核收集服务”
可以创建新数据库也可以使用现有数据库,我这里采用默认,创建一个新数据库
系统会自动生成和创建如下名称数据源
选择事先安装的Microsoft SQL Server,如果是远程的,则选择“远程数据库服务器”,“OperationsManagerAC”将作为审核收集服务的数据库
选择“Windows身份认证”
指定一个存放数据库文件和日志文件的目录路径,需要事先创建这个目录文件
定义审核收集每天执行数据库维护的时间
ACS存储时间戳格式,可采用默认可以使用UTC
点击“下一步”,在弹出的窗口中输入安装SQLServer的服务器主机名称,点击“确定”
提示已完成审核收集服务创建
此时,审核收集服务模块已经成功安装,但是还需手动导入ACS报表,否则我们依旧是什么也看不到。浏览到SCOM安装光盘X:\ReportModels目录下,可将ACS整个文件夹暂时拷贝到SCOM服务器C盘根目录下,具体如下图所示:
此时,以管理员身份打开命令行窗口,运行以下命令:
cd\acs
UploadAuditReports “<AuditDBServer\Instance>”“<报表服务器URL>” “<复制的 acs文件夹路径>”,具体如下图所示,即可创建一个称为DB Audit的新数据源,上传报表类型:Audit.smdl和Audit5.smdl,并上传acs\reports目录中的所有报表
打开IE,输入:http://SCOM2012/Reports,点击“AuditReports”
进入“AuditReports”后,点击“详细信息视图”
点击“AuditReports”
浏览到“DBAudit”�K点击进入
此时,我们需要勾选“Windows 集成安全性”,然后点击“测试连接”,最后点击“应用”
进入报表区,定位到“Audit Reports”即可查看该报表文件下有许多报表,说明已成功导入ACS报表信息
接下来,我们还需要开启代理的审核收集功能。进入监视区,展开“代理详细信息”文件夹,定位到“代理运行状况状态”,选中要开启审核收集功能的代理,点击右侧的“启用审核收集”,说明,需先启用,然后再启动
输入执行任务凭据账户,然后点击“运行”
提示执行任务成功
待执行启用审核收集任务完成,然后点击右侧“启动审核收集”
同理输入运行任务凭证,然后点击“运行”
提示,执行“启动审核收集”任务成功
登陆到AD上,以管理员身份打开运行窗口,输入gpedit.msc,打开本地组策略编辑器,找到如下图“审核策略”,更改“审核账户管理”安全性设定(说明:此示例仅仅展示审核创建和删除账户,如果想进行其它测试,可进行其它相关项设定)
双击“审核账户管理”,勾选“成功”和“失败”
打开“AD用户和计算机”,先创建一个用户,我这里创建用户“SCOMAcs”
稍等片刻,登陆SCOM服务器,进入报表区,定位到“Audit Reports”,选中“Account_Management_-_User_Accounts_Created”,点击右侧“打开”
即可查看审核用户账户添加信息
当进行账户删除后,依旧会在“Account_Management_-_User_Accounts_Deleted”报表文件中查看到审核账户删除信息
接下来,我们测试审核有关USB存储设备插入信息。登陆AD,打开本地组策略编辑器,将“审核对象访问”的安全设置启用
以管理员身份打开运行窗口,输入“Regedit”,定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR文件夹
右击USBSTOR文件,选择“权限”,选中“CREATOR OWNER”,点击“高级”,切换到“审核”选项卡,给予该项及其子项以Everyone读取控制的权限
然后我们找个USB设备进行插拔动作,完成后,进入报表区,定位到“Audit Reports”,双击“Usage_-_Object_Access”
此时,即会看到有许多关于USB存储设备访问的信息,建议最好查看Event Id。说明:本示例只是显示USB存储设备插拔的次数,但是尚未详细显示出是哪类USB存储设备访问
ACS转发器:相当于ACS服务器的代理,随着SCOM的代理安装而安装,用来将客户端的审核信息转发给ACS收集器。
ACS收集器:用来收集ACS转发的审核信息,进行筛选后将数据转发到ACS数据库中。
SCS数据库:用来存储ACS信息
进入监视区,展开“收集器”文件夹了,定位到“状态视图”,可以查看收集器的健康状况
展开“性能”文件夹,定位到“传入事件/秒”,可以查看审核事件传入SCOM服务器的状况
展开“转发器”文件夹,定位到“状态视图”,可以查看转发器的健康状况