Analyse avec QAUDJRN, détecter les événements liés à la sécurité

Dans ce nouvel article de la série sur l’analyse approfondie avec le journal QAUDJRN, nous nous concentrerons sur les événements liés à la sécurité : comment les détecter et les présenter. Pour les besoins de cet article, ces événements sont ceux qui sont audités quand nous adjoignons *SECURITY à la valeur système QAUDLVL.

Analyse avec QAUDJRN

L’environnement d’audit de votre système est configuré à l’aide d’une combinaison des valeurs système QAUDCTL, QAUDLVL, et éventuellement QAUDLVL2. Pour auditer les événements sur votre système, la valeur système QAUDCTL doit inclure *AUDLVL. Cette dernière ordonne au système d’auditer les événements spécifiés dans les valeurs système QAUDLVL et QAUDLVL2.

Lorsque vous configurez l’audit de sécurité, vous devez choisir les événements à auditer. Par exemple, pour auditer les opérations save et restore, vous devez inclure la valeur *SAVRST dans la valeur système QAUDLVL. Pour auditer les défaillances d’autorisation éventuelles, vous devez inclure la valeur *AUTFAIL, et ainsi de suite. Ainsi, quand vous aurez choisi les événements à auditer, votre valeur système QAUDLVL pourrait inclure les valeurs suivantes :

*SAVRST *CREATE *DELETE *AUTFAIL *PGMFAIL *SECURITY *SERVICE *SYSMGT *OBJMGT

Ainsi définie, la valeur système QAUDLVL peut être modifiée à tout moment : ces changements prennent effet immédiatement. Si vous ne connaissez pas bien les valeurs système QAUDCTL et QAUDLVL, je vous engage à consulter le manuel de référence sur la sécurité IBM iSeries (iSeries Security Reference, SC41-5302-09, tinyurl.com/cy84hq).

QAUDJRN et les types d’entrée de journal

Quand un événement audité se produit, une entrée est écrite dans le journal d’audit de sécurité système (system security audit journal) QAUDJRN. Chaque entrée dans QAUDJRN est identifiée par un type d’entrée de journal spécifique. Le type d’entrée de journal pour un événement de défaillance d’autorité (authority failure) est AF. Quand un objet est supprimé, le type d’entrée de journal est DO (delete object), et quand l’autorité sur un objet est changée, c’est l’entrée CA (change authority) qui est écrite dans QAUDJRN.

Comme différents éléments d’information doivent être enregistrés selon le type d’événement, les entrées de journal dans QAUDJRN ont une partie en-tête standard, mais une partie entrée spécifique. Par exemple, quand un profil utilisateur a été changé, l’entrée de journal CP doit contenir dans sa portion Entry Specific Data (ESD)des informations différentes  des celles d’une entrée SV écrite pour signifier qu’une valeur système a été changée. Par conséquent, chaque type d’entrée de journal a son propre format, mais l’en-tête reste la même pour tous.

Quels événements sont audités avec la valeur QAUDLVL *SECURITY ?

Quand la valeur *SECURITY est incluse dans QAUDLVL, de nombreux événements sont audités. Chaque type d’événement génère son propre type d’entrée de journal. Quand *SECURITY est spécifié dans la valeur système QAUDLVL, les événements présents dans la figure 1 sont audités. La liste dans la figure 1 est abrégée ; il y a beaucoup d’autres événements, mais certains sont obscurs et de peu d’intérêt pour la majorité des utilisateurs. Vous trouverez une liste complète dans la Table 126 du IBM iSeries security reference manual mentionné plus haut. Je considère la Table 126 comme une référence obligatoire lorsqu’on configure l’audit et le reporting à partir du journal QAUDJRN. L’annexe F du manuel de référence de sécurité est aussi une référence obligatoire quand le reporting provient de QAUDJRN. Cette annexe contient le format d’enregistrement et le contenu de chaque type d’entrée de journal QAUDJRN.

Pour vous permettre de rétrécir le champ d’action de *SECURITY, IBM a introduit quelques valeurs QAUDLVL qui sont en réalité des sous-types de *SECURITY. Ce sont :

•    *SECCFG : événements de configuration de la sécurité d’audit
•    *SECDIRSRV : événements du serveur de répertoire d’audit
•    *SECIPC : changements d’audit pour les communications inter-processus
•    *SECNAS : événements d’audit lié aux services d’authentification de réseau (Kerberos)
•    *SECRUN : auditer certaines fonctions runtime de sécurité
•    *SECSCKD : auditer l’activité des descripteurs de sockets
•    *SECVFY : auditer l’utilisation de certaines fonctions de vérification et d’authentification de profil
•    *SECLVLD : auditer les changements apportés aux listes de validation

Si vous spécifiez *SECURITY, il est inutile de spécifier des sous-types. Par exemple, tous les événements audités avec la valeur *SECCFG sont inclus dans l’audit spécifié avec *SECURITY. Nul besoin de spécifier les deux. Je vous conseille d’inclure la valeur *SECURITY dans la valeur système QAUDLVL. Si vous omettez *SECURITY et préférez inclure quelques-uns des sous-types, des événements importants échapperont à l’audit.