> Tech > Analyse approfondie avec QAUDJRN

Analyse approfondie avec QAUDJRN

Tech - Par Dan Riehl - Publié le 27 janvier 2012
email

Imposez la stratégie par l’analyse et le reporting de la commande CL. Ce dossier est issu de notre publication System iNEWS (11/09). Pour consulter les schémas et illustrations associés, rendez-vous dans le club abonnés.

Je vous montre aujourd’hui comment auditer et présenter chaque commande CL exécutée par un certain utilisateur et aussi comment auditer et présenter chaque utilisation d’une commande CL particulièrement intéressante. À titre d’exemple, nous verrons comment auditer et présenter chaque commande CL exécutée par QSECOFR, et nous verrons comment auditer et présenter chaque usage de la commande CL Change User Profile (CHGUSRPRF).

Qu’est-ce que l’audit ?

Quand je parle d’audit, je fais référence à celui de l’IBM i dans lequel certaines activités ou événements prédéfinis entraînent l’écriture d’un enregistrement de journal d’audit, comme une entrée de journal formatée dans le journal d’audit du système QAUDJRN. L’audit avec QAUDJRN n’est pas automatiquement configuré ; aussi, lors du premier démarrage du système, vous devez configurer l’audit IBM i QAUDJRN en fonction de vos besoins d’audit spécifiques tels que définis par l’administrateur système, le responsable sécurité, la stratégie de sécurité et vos auditeurs IT.
Une fois votre environnement d’audit configuré, il faut instituer le reporting régulier des activités et des événements QAUDJRN pour garantir le respect de la stratégie. Quand les entrées du journal d’audit ont été écrites dans QAUDJRN, vous avez une bonne base pour analyser et présenter avec exactitude les événements présents et passés.

Même si le reporting QAUDJRN est normal et régulier, vous devrez parfois revenir en arrière pour exhumer d’anciens événements, soit pour leur action nuisible éventuelle, soit pour vérifier qui a fait quoi et quand. Par exemple, vous voudrez peut-être savoir qui a changé le profil utilisateur de Fred pour lui attribuer *ALLOBJ et l’autorité spéciale *SECADM. Quand et comment cela s’est fait ?

Dans de tels cas, vous disposez de méthodes d’évaluation approfondie pour extraire les entrées d’audit pertinentes de QAUDJRN, afin de démasquer le coupable. Dans des cas récents, on m’a demandé d’utiliser les méthodes de reporting approfondi QAUDJRN pour élucider les mystères suivants :

  • Un certain profil utilisateur est sans cesse désactivé. Pourquoi ?
  • Un programme RPG s’est bien exécuté samedi mais s’est terminé anormalement dimanche. Quelqu’un l’a-t-il modifié entre-temps ?
  • Qui a changé la valeur système QCRTAUT de *ALL à *CHANGE, et quand ?
  • Comment un nouveau fichier s’est-il retrouvé dans une bibliothèque avec des autorités privées incorrectes, alors que CRTAUT était spécifié ?
  • Qui a utilisé la commande UPDDTA, et quels fichiers était-il en train de consulter et peut-être de modifier ?
  • Quelles commandes CL ont été exécutées à partir de la ligne de commande par tous les utilisateurs autorisés à le faire ?

L’analyse approfondie du journal QAUDJRN a fourni toutes les réponses. Il est important de signaler que j’ai pu analyser les entrées d’audit parce que les clients auditaient les événements particuliers liés à ces incidents. Par exemple, si la configuration d’audit n’avait pas inclus la valeur système QAUDLVL de *SECURITY, je n’aurais pas pu découvrir qui avait changé la valeur système QCRTAUT. Les changements des valeurs systèmes ne sont audités que quand QAUDLVL contient la valeur *SECURITY ou la sous-valeur *SECCFG.

Votre système est-il prêt à commencer l’audit de commande ?

Si vous n’êtes pas certains des paramètres d’audit de votre IBM i, vous pouvez utiliser la commande Display Security Auditing Values (DSPSECAUD). Exécutez-la pour connaître les paramètres d’audit actuels de votre système. Si l’affichage DSPSECAUD indique que le journal QAUDJRN n’existe pas, vous devez configurer le système pour commencer l’audit. Pour configurer l’audit, le moyen le plus simple est d’utiliser la commande Change Security Auditing Values (CHGSECAUD).

Pour auditer l’usage de la commande sur le i, vous devez configurer la valeur système QAUDCTL pour permettre l’audit. S’il s’agit d’auditer l’usage de la commande, la valeur système QAUDCTL doit inclure la valeur *OBJAUD. Cependant, dans un environnement d’audit standard, vous définirez généralement la valeur système QAUDCTL pour inclure les trois valeurs *AUDLVL, *OBJAUD, et *NOQTEMP.

Une fois l’audit de commande en route, chaque commande auditée est inscrite dans le journal QAUDJRN avec un type d’entrée de journal CD. Chaque entrée de journal CD identifie un événement d’exécution de commande.

Téléchargez cette ressource

Préparer l’entreprise à l’IA et aux technologies interconnectées

Préparer l’entreprise à l’IA et aux technologies interconnectées

Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.

Tech - Par Dan Riehl - Publié le 27 janvier 2012