ベ ベストプラクテ ティス ガイド EMC ISILO E I ON、EM MC COMMON EVENT E T ENA ABLER R、 V ONIS DATA VARO D ADVAN NTAG GE を使 使用した たファイ イル シ システ ム監査 査 約 要約 こ の ホ ワイ ト ペ ー パ ー で は 、 SMB 環境 境 で EMC Isilon 、 EMC CEE (Co ommon Eve ent Enabler)、Varonis DatAdvanta D age を使用し したファ イル ル システム監査 査ソリューショ ョンを構成する る場合のベスト プラクティス スに関 する る概要を説明し します。 13 年 10 月 201 pyright © 2013 EMC Corporation.. All rights rreserved.(不 不許複 Cop 製・禁 禁無断転載) C Corporation は、この資 資料に記載され れる情報が、発行日時点で で正確 EMC であ あるとみなしています。この情 情報は通知な なく変更される ることがあります。 の資料に記載さ される情報は は、「現状有姿 姿」の条件で提 提供されています。 この EMC C Corporation は、この資 資料に記載され れる情報に関 関する、どのような内 容に についても表明 明保証条項を設 設けず、特に、商品性や特 特定の目的に対 対する 適応 応性に対する黙 黙示の保証は はいたしません ん。 の資料に記載さ される、いかな なる EMC ソフ フトウェアの使 使用、複製、頒 頒布も、 この 当該 該ソフトウェア ライセンスが が必要です。 新の EMC 製品 品名については は、EMC の Web W サイトで EMC Corporration 最新 の商 商標を参照して てください。 C2、EMC、EM MC のロゴ、C Celerra、Isiilon、および OneFS は、 、EMC EMC Corrporation の登録商標また たは商標です。 ーツ番号:H12 2428-J パー EMC Isilon、EMC Common Eventt Enabler、V Varonis を使用したファイル ル システム監 監査 ベストプラ ラクティス ガイ イド 2 目次 次 概要 要 ....................................................................................................................... 4 EMC C Isilon OneFS の監査 査の概要 ............................................................................... 4 監査 査のアーキテク クチャ ................................................................................................... 5 Varronis DatA Advantage e ......................................................................................... 5 監査 査の要件............................................................................................................... 5 必 必要なソフトウ ウェア バージョ ョン..................................................................................5 Isilon One eFS ソフトウェ ェア .................................................................................5 EMC Com mmon Eventt Enabler .........................................................................5 Varonis DatAdvantag D ge..................................................................................5 監査 査管理 ................................................................................................................. 6 O OneFS WebUI での監査の の有効化 ..........................................................................6 C での監査の有効化 .........................................................................................7 CLI C でのアクセ CLI セス ゾーンの の監査構成 .........................................................................7 特 特定の監査イベ ベントの有効化 ..................................................................................8 すべての監査イベントの有効 す 効化 ................................................................................8 E EMC Commo on Event Enabler のイベ ベント転送の構 構成 .................................................8 V Varonis DatA Advantage の構成 .......................................................................... 11 結論 論 ..................................................................................................................... 14 関連 連資料 ............................................................................................................... 14 付録 録 ..................................................................................................................... 15 監 監査ログ ビュー ーアー .......................................................................................... 15 監 監査イベント ................................................................................................... 15 EMC Isilon、EMC Common Eventt Enabler、V Varonis を使用したファイル ル システム監 監査 ベストプラ ラクティス ガイ イド 3 概要 要 IT の監査担当者 の 者は、知的財産 産、顧客や従業員の個人情 情報、社外秘の企業記録と といった機密情 情報を 含む む非構造化デー ータがデータセンターで急 急増している問 問題に直面して ています。企業 業の機密情報 報の安 全性 性を確保し、政 政府の規制を順 順守する上で で、非構造化デ データの監査は は必須である ることから、ビジ ジネス クリテ ティカルな監査 査機能のニー ーズが高まって ています。 監査 査を行うことによって、不正行為や不適切 切な資格の付 付与、不正アク クセスの痕跡、 、その他リスク クの兆 候を を示すさまざま まな異常など、データ消失の の原因となりう うる多くの状況 況を検出できま ます。金融サー ービス、 医療 療、ライフ サイ イエンス、メディ ィア、エンター ーテイメント、政 政府機関の業 業種のお客様は は、データを消 消失か ら守るために策定 定された厳格な な規制条件を を満たさなくては はなりません。 セグ グメント 主な なビジネス推進 進要因 金融 融サービス SOX X(サーベンス ス オクスリー)法のコンプラ ライアンス要件 件 ヘル ルス ケア HIP PAA(医療保険 険の相互運用 用性と責任に関 関する米国の の法律) 21 CFR(Part 11)のコンプラ 1 ライアンス要件 件 ライ イフ サイエンス ス GIN NA(遺伝子情 情報差別禁止法 法)のコンプラ ライアンス要件 件 メデ ディア/エンター ーテイメント MPA AA(アメリカ映 映画協会)が定 定めるコンテン ンツ移動のセ セキュリ ティ要 要件 政府 府機関 STIG(Security Technical T Im mplementatiion Guide)/F FISMA (米国 国連邦情報セ セキュリティ マネ ネジメント法)の のセキュリティ要件 表 1: 1 規制要件 規制 制要件によって ては、管理過程 程でのコンプ プライアンスを実 実証するため めに、ファイル ルの作成や削除 除など のフ ファイル システ テム操作の監 監査が要求され れます。また、ストレージ システムの構 シ 成変更の追跡 跡を目 的とした監査が求 求められる場合 合もあります。 。さらには、フ ファイル データ タや構成の変 変更を伴わない いログ オン ン/ログオフ イベントなどの イ のアクティビテ ティを追跡する る必要もありま ます。EMC® Isilon® OneFS® 7.1 で拡張された た監査機能は、SMB ワーク クフローと EMC Isilon のク クラスター構成 成の変更においてこ れらのニーズを満 満たします。 EM MC Isilo on OneF FS の監査 査の概要 EMC C Isilon One eFS では、EM MC Isilon クラスターでの ク システム構成 成イベントと SMB プロトコル ル アク セス ス イベントを監 監査できます。 。監査データは はすべて監査 査トピックと呼ば ばれるファイル ルに格納され れ、これ によ よって収集され れたログ データ タは監査ツールによるさらな なる処理が可 可能です。 シス ステム構成の監 監査を有効に にした場合も無 無効にした場合 合も、追加の構 構成は必要あ ありません。構 構成の 監査 査を有効にする ると、API で処 処理されるすべ べての構成イ イベントが追跡 跡され、構成監 監査トピックに記 記録さ れま ます。構成イベ ベントは EMC CEE(Comm mon Event Enabler)には E は転送されません。 One eFS 7.1 では は、SMB プロ ロトコル イベン ントの監査を実 実行できます。 。プロトコル監 監査は必ず有効 効化し た上 上で、アクセス ゾーンごとに に構成します。たとえば、システムのアク クセス ゾーンで ではすべての の SMB プロトコル イベントを監査し、別 別のアクセス ゾーンではファイル削除に に失敗したケー ースのみを監査 査する ことも も可能です。 アクセス ゾーンの のプロトコル監 監査を有効化す すると、SMB プロトコルを使 プ 使用したファイ イル アクセス イベン トが プロトコル監 監査トピックに に記録されます す。プロトコル ル監査トピッ クは、EMC Common Event E ® ® Ena abler をサポー ートする監査ア アプリケーショ ョンで使用でき き、Varonis DatAdvan ntage などの の監査 アプ プリケーションと との統合も可能 能にします。 EMC Isilon、EMC Common Eventt Enabler、V Varonis を使用したファイル ル システム監 監査 ベストプラ ラクティス ガイ イド 4 監査 査のアーキ キテクチャ ャ One eFS 7.1 では は、LWIO(Lik kewise Inpu ut/Output)フ フィルター マネージャーが が作成されまし した。こ のフィルター マネ ネージャーは、前処理および び後処理の IR RP(I/O 要求 求パケット)用の のプラグイン フレー ムワ ワークを提供し します。IRP は、LWIO は で で処理されるプ プロトコル リク クエストをエン ンコードするメカ カニズ ムを を提供し、ファイ イル システム ム ドライバーで で処理されるリ リクエストをエンコードします す。 One eFS 7.1 の場 場合、カーネル ルが IRP のサ サービスを終了してから監 監査イベントが処理されます す。IRP に、監 監査が有効な なアクセス ゾーンの設定済 ゾ 済み監査イベ ベントが関わる る場合は、監査 査のペイロード ドが作 成されます。 監査 査イベントは、SMB クライア アントのアクテ ティビティの開 開始元である個 個々のノードに に記録されま ます。イ ベン ントはその後、バイナリ ファ ァイルとして/iffs/.ifsvar/audit/logs に格納されます に す。ログのサイ イズが 1 GB に達すると、自動的に新 新しいファイルにロールオー ーバーされます す。2 年間の監 監査ログが必 必要とさ れる る HIPAA など ど、さまざまな な規制条件があ あることを考慮 慮して、監査ロ ログ ファイルはクラスターか から削 除されません。 監査 査イベントのログが作成され れると、CEE フォワーダー フ サービスによっ サ って CEE への のイベント転送 送が処 理されます。イベン ントは HTTP PUT 操作によって転送されます。 この時点で、CEE E は監査イベ ベントを定義され れたエンドポイ イント(Varon nis DatAdva antage など ど)に送 信します。監査イベントは Varronis DatAd dvantage によって結合され れます。 Va aronis DatAdva D antage Varonis Systems は、デー ータ ガバナン ンスに特化した たソフトウェア アを提供する企 企業です。Va aronis DattAdvantage は、監査デー ータに基づくレ レポートの容易な作成を可 可能にし、それ れらのレポート作成 ツー ールを製品の標 標準機能として て提供していま ます。 DattAdvantage が作成するロ ログとレポート トには次のよう うなものがあり ります。 • アクセスの詳 詳細なサマリー ー:日常的なイ イベントの詳細 細なログを表示 示 • 機密データへ へのアクセスに に関する詳細 細なサマリー:ファイル アク クセスの試行 行に関する詳細 細なロ グを表示 • ディレクトリ アクセスの統計 ア 計 • ユーザー アク クセスの統計 計 • 戦術的アクセ セスの統計 監査 査の要件 必要 要なソフトウェ ェア バージョ ョン Isilon OneFS ソフトウェア • OneFS 7.1 以降 EMC C Common n Event En nabler • CEE 6.1.0 以降 以 Varronis DatA Advantage e • DatAdvantage バージョ ョン 5.8.x 以降 降 • Microsoft SQL S Server Microso oft SQL Serrver 2005 Microso oft SQL Serrver 2008 Microso oft SQL Serrver 2012 EMC Isilon、EMC Common Eventt Enabler、V Varonis を使用したファイル ル システム監 監査 ベストプラ ラクティス ガイ イド 5 監査 査管理 OneFS WebUI での監査 査の有効化 図 1: 1 OneFS の監査構成 の One eFS の WebU UI で監査を有 有効化するには、次の手順 順に従います。 。 1. [Cluster Ma anagementt]を選択します す。 を選択します。 2. [Auditing]を 3. [Enable Pro otocol Acce ess Auditing g]をクリックし します。 4. 監査対象とす するアクセス ゾーンを追加 ゾ します。 5. [Event Forw warding]セクションで、C Common Event Enablerr がインストー ールされたサー ーバー の URI(Unifform Resou urce Identiffier)を入力し します。 次のような形 形式で入力しま ます。 http://fully yqualifieddo omain:port//vee 例: http://c cee.example.com:122 228/vee ポート 12228 はデフォル ルトの CEE HT TTP リスン ポート。 ポ EMC Isilon、EMC Common Eventt Enabler、V Varonis を使用したファイル ル システム監 監査 ベストプラ ラクティス ガイ イド 6 CLI I での監査の の有効化 On neFS 7.1 add ds the ‘isi au udit’ comman nd. 監査 監査を有効にする るには clu uster-1# isi audit setting gs modify --p protocol-aud diting-enable ed on 監査 監査を無効にする るには clu uster-1# isi audit setting gs modify --p protocol-aud diting-enable ed off clu uster-1# isi audit setting gs view Prrotocol Auditi ting Enabled:: No Audite ed Zones: Sy ystem CEE Se erver URIs: http://cee.ex h xample.com:12228/vee Ho ostname: clu uster.example.com C Config Auditiing Enabled:: Yes CLI I でのアクセ セス ゾーンの の監査構成 isii zone zones modify <zo one> --a audit-succes ss {close | crreate | delette | get_secu urity | logofff | logon | re ead | rename e| se et_security | tree_connec ct | write | all} a | --clear-audit-succe ess --a add-audit-su uccess {close e | create | delete d | get_ _security | logoff | logon | read | rena ame | set_security s | tree_conn nect | write | all} --rremove-audit-success <string> < --a audit-failure {close | cre eate | delete e | get_securrity | logoff | logon | rea ad | rename | se et_security | tree_connec ct | write | all} a | --clear-audit-failure re --a add-audit-fa ailure {close | create | de elete | get_s security | log goff | logon | read | rena ame EMC Isilon、EMC Common Eventt Enabler、V Varonis を使用したファイル ル システム監 監査 ベストプラ ラクティス ガイ イド 7 特定 定の監査イベ ベントの有効化 isii zone zones modify Systtem –-audit--success cre eate,delete,g get_security clu uster-1# isi zone z zones list -v Nam me: System m Cache Size: S 4.77M Map Untrrusted: SMB Sh hares: Auth Prov viders: Local Prov vider: Yes NetBIOS S Name: All SMB Sh hares: Yes A Auth Prov All viders: Yes U User Mapping g Rules: Ho ome Directorry Umask: 0077 0 S Skeleton Dire ectory: /usr//share/skel Audit Suc ccess: create e, delete, ge et_security Audit Faillure: Zone e ID: 1 すべ べての監査イ イベントの有効 効化 isii zone zones modify Systtem –-audit--success all clu uster-1# isi zone z zones list -v Nam me: System m Cache Size: S 4.77M Map Untrrusted: SMB Sh hares: Auth Prov viders: Local Prov vider: Yes NetBIOS S Name: All SMB Sh hares: Yes A Auth Prov All viders: Yes U User Mapping g Rules: Ho ome Directorry Umask: 0077 0 S Skeleton Dire ectory: /usr//share/skel Audit Suc ccess: close, create, dele ete, get_sec curity, logoff, f, logon, read d, rename, se et_security, tree_connec t t, write Audit Faillure: Zone e ID: 1 EMC Commo on Event Enabler のイベント転 の 転送の構成 CEE E によるイベン ント転送を可能 能にするには は、監査エンドポイントを構成 成する必要が があります。CE EE の 構成 成変更は、Win ndows のレジ ジストリ エディ ィター(reged dit)で行います す。 1. レジストリを開 開きます([スタ タート] > [フ ファイル名を指 指定して実行] > 「regeditt」と入力)。 2. 次のキーに移 移動します。H HKLM¥Softw ware¥EMC¥ ¥Celerra Eve ent Enabler¥CE EPP¥Audit¥ ¥Configuration 3. エンドポイント トのストリング グ値を次のよう うに編集します す。 • Varonis s Probe が同 同じマシンにイ インストールされ れている場合 合は、この値に に Varonis を指 指定。 EMC Isilon、EMC Common Eventt Enabler、V Varonis を使用したファイル ル システム監 監査 ベストプラ ラクティス ガイ イド 8 • Varonis s Probe が 別 の マ シ ン に イ ン ス ト ー ル さ れ て い る 場 合 は 、 こ の 値 に Varonis s@<ProbeIP>を指定(< <ProbeIP>の の部分は Varronis Probe サーバーの IP I アド レス)。 図 2: 2 EMC CEE E の構成 例: 監査の有効 効化 [HK KEY_LOCAL_M MACHINE¥SOF FTWARE¥EMC¥ ¥CEE¥CEPP¥A Audit¥Confi iguration] Enabled = (REG_DWORD D) 0x000000 001 例: 単一のローカル エンドポ ポイント [HK KEY_LOCAL_M MACHINE¥SOF FTWARE¥EMC¥ ¥CEE¥CEPP¥A Audit¥Confi iguration] EndPoint = (REG_SZ) Varonis EMC Isilon、EMC Common Eventt Enabler、V Varonis を使用したファイル ル システム監 監査 ベストプラ ラクティス ガイ イド 9 リモ モートのエンドポイントもサポ ポートされてお おり、EndPoint_Name@ @IP_Address s の形式で指 指定します。 例: 単一のリモー ート エンドポイ イント [HK KEY_LOCAL_M MACHINE¥SOF FTWARE¥EMC¥ ¥CEE¥CEPP¥A Audit¥Confi iguration] EndPoint = (REG_SZ) Var [email protected]. .1.2 複数 数のエンドポイ イントは、セミコ コロンで区切って入力します す。 例: 複数のリモー ート エンドポイ イント [HK KEY_LOCAL_M MACHINE¥SOF FTWARE¥EMC¥ ¥CEE¥CEPP¥A Audit¥Confi iguration] EndPoint = (REG_SZ) Var [email protected] 168.22.3;Va aronis@192. .168.33.2 何ら らかの変更を行 行うと、EMC Celerra® Antivirus A Ag gent(CAVA)サービスの再 再起動が必要 要になります。サ サービスの再 再起動 は、 、サーバー マネージャーま マ または CLI(コマンド ライン インターフェイ イス)で行いま ます。 C:¥ ¥>net stop "emc cava" " The e EMC CAVA service wa as stopped successful lly. C:¥ ¥>net start t "emc cava a" The e EMC CAVA service is s starting. . The e EMC CAVA service wa as started successful lly. EMC Isilon、EMC Common Eventt Enabler、V Varonis を使用したファイル ル システム監 監査 ベストプラ ラクティス ガイ イド 10 Varronis DattAdvantag ge の構成 EMC C Isilon クラスターを追加 加するには、次 次の手順に従い います。 1. [Monitored d File Serve er]ページの[Resources] ]ツールバーで で[Add]をクリ リックします。 [File Serve er Wizard]が が開きます。 3 Varonis の管理コンソ ソール 図 3: EMC Isilon、EMC Common Eventt Enabler、V Varonis を使用したファイル ル システム監 監査 ベストプラ ラクティス ガイ イド 11 図 4: 4 [Varonis s File Systtem Wizarrd] - [Common] 2. 左側のメニュ ューで[Comm mon]をクリック クし、次のパラ ラメーターを指 指定します。 • Data Co ollection De etails • Probe: ドロップダウン ン リストから、 、ファイル サー ーバーに使用 用するプローブ ブを選択します す。 • File Serrver Details s • File Serrver name: 追加する EM MC Isilon クラ ラスターの名前 前解決した名 名前または IP アドレ スを入力 力します。 • FileWalk Credentia als: ファイル ル システムの操 操作には、ディ ィレクトリのクロール(FileW Walk)、 イベント の収集(設定 定されている る場合)、ロー ーカル アカウ ウントでのユー ーザーのクロ ロール (ADwallk、設定されて ている場合)が が含まれます。 • ユーザー ー名: イベント トの収集に使用 用されるユーザー アカウン ントの名前を入 入力します。入 入力形 式は DO OMAIN¥username です。 • パスワー ード: アカウントのパスワー ードを入力します す。 • File Serrver Type: [EMC Celerra]を選択し します。 EMC Isilon、EMC Common Eventt Enabler、V Varonis を使用したファイル ル システム監 監査 ベストプラ ラクティス ガイ イド 12 図 5: 5 [Varonis s File Systtem Wizarrd] - [Conffiguration]] 3. 左側のメニュ ューで[Config guration]をク クリックし、次のパラメーター ーを指定します。 • EMC Ce elerra Event Collection n Options • 方法: ドロップダウン ド リストから、方 方法を選択しま ます。 CEP PA: この方法 法では EMC CEE C が使用さ されます。 EMC Isilon、EMC Common Eventt Enabler、V Varonis を使用したファイル ル システム監 監査 ベストプラ ラクティス ガイ イド 13 結論 論 One eFS 7.1 では は、システム構 構成の変更や SMB プロトコ コル イベントを を監査する機能 能が提供され れます。 EMC C の CEE エコ コシステムとの の統合により、プロトコル監 監査イベントを Varonis DatAdvantage e に転 送す することも可能 能です。 Varonis DatAd dvantage で提供されるロ で ログやレポート トにより、IT の監査担当者 の は、規制やコンプラ イアンスの要件を を満たすのに必 必要なデータを を得ることがで できます。 関連 連資料 • 「Config guring DatA Advantage 5.8 5 for EMC C Celerra CEPA Event Collection」 • 「EMC CEE C Release e 6.1 Using g the Comm mon Event Enabler forr Windows」 」(P/N 302-00 00-085 Rev 02) EMC Isilon、EMC Common Eventt Enabler、V Varonis を使用したファイル ル システム監 監査 ベストプラ ラクティス ガイ イド 14 付録 録 監査 査ログ ビュー ーアー One eFS 7.1 では は、クラスター ーに保存された たバイナリ形式 式の監査ログ グを表示するツ ツールが提供さ されま す。iisi_audit_viewer コマン ンドを使用して、プロトコルま または構成のログを見ること とができます。 。 Us sage: isi_aud dit_viewer [ -n <nodeid> > | -t <topic c> | -s <starrttime>| -e <end dtime> | -v ] -n <nod deid> : 表示す するノードを指定 指定(デフォルト: ローカルノード ド) -t <topiic> : 表示する するトピックを選択 択。 トピック クは"config"または ま "protoco ol"(デフォルト: : "config") -s <starrt> : <startttime>以降の の時刻の監査ロ ログを表示 -e <end d> : <endttime>までの時 時刻の監査ログ グを表示 -v verbo ose : レコード ドの印刷前に開 開始/終了時刻の の範囲を出力 例: ローカル ノー ードのプロトコル ル監査ログを を表示する ster-1# isi_ _audit_view wer -t proto ocol clus 例: 日付の範囲に に該当するプロトコル監査ログを表示す する isi_audit_viewer -t protoc col -s "2013-08-18 12 2:00:00" -e e "2013-08--19 12:00:00" 監査 査イベント イベ ベント ユーザー ーの操作 cre eate ファイルま またはフォルダ ダーを作成する る ファイルま またはフォルダ ダーを開く 共有をマウントする delete ファイルま またはフォルダ ダーを削除する る get_security ファイルま またはフォルダ ダーのプロパテ ティを表示する る log gon ネットワー ーク ドライブの の割り当て log goff マップされ れたドライブの の接続を解除す する rea ad ファイルま またはフォルダ ダーを表示する る ren name ファイルま またはフォルダ ダーの名称を変更する sett_security ファイルま またはディレク クトリの権限を を変更する tre ee_connect ネットワー ーク ドライブの の割り当て ファイルま またはフォルダ ダーのセキュリ リティ設定を表 表示する wrrite ファイルを を変更する 表 2: 2 OneFS の SMB イベン ント監査 EMC Isilon、EMC Common Eventt Enabler、V Varonis を使用したファイル ル システム監 監査 ベストプラ ラクティス ガイ イド 15
© Copyright 2024