DBA 權限無限大? 誰異動了資料? 異動軌跡稽核你有做嗎?

作者: -

身為 MSSQL 資料庫管理員,當然需要有權限可以適當的管理資料庫,包含維持資料庫服務的運作、效能調教、資料的調整...等等。權限配置於相對應人員的行為看似很正常,但這是假設執行這些工作的人是具有良心道德的前提下才具備的,試想若有一位資料庫管理員因為某些原因而利用自己職位權限之利"嘗試"竄改資料庫中的資料 (電影看太多?),或是管理員的帳號密碼沒有管理好而被有心人士取得登入進行不正當的行為。以上的事件看似只會在電影中發生的情節,會不會剛好發生在你身上以及發生在你公司的環境裡?看到這裡,想著想著,越想越擔心...

 若資料被竄改,我會及時發現嗎?

 若資料被竄改,我知道來源嗎?

 我要如何取得異動紀錄?

 我要如何追蹤?要花多少時間?然後開始緊張了......
如果有一個工具,可以讓我在短時間內解決以上提及的擔憂,是不是會覺得安心多了呢。

 看一下下圖這個畫面,哇!Drop Database!恩,有人做了這個行為阿。


Who (哪個人做的)
Where (哪一台伺服器)
What (做了什麼事)
When (何時做的)
Origin (來源主機)

從這個畫面中,以上這些資訊都看的到,還可以利用這些欄位去查詢。

 突然感到安心很多了嗎?

 我們繼續看下去....
上面是一個刪除整個資料庫的例子,其他像是DDL及DML指令、資料庫上任何物件的異動、包含權限的調整等等訊息都可以被記錄下來,有一個完整的稽核軌跡。
除此之外,容易搜尋、主動通知、定期發送報表也是這工具的強大功能!



Change Auditor for SQL Server 使得 Microsoft SQL Server 的資料庫稽核相當簡單安全。它會針對變更進行即時地追蹤、稽核、報告和警示,進而將事件轉譯成簡單的詞彙,並免除稽核所需的時間與複雜性。您將可立即得知「對象、內容、時間、地點與來源工作站」等詳細資料。利用此資訊,讓您為稽核人員與管理作業自動產生智慧型深度鑑識,進而降低日常修改所帶來的風險,並確保您對下次稽核更有把握。




Change Auditor 之所以強大,在於它將各種不同服務的稽核資料整合於單一介面,簡化了繁瑣的稽核工作。上圖為 Change Auditor 所支援稽核的服務。

我們來看一下官方列出此產品的一些特色,希望此篇文章對您有幫助。


使用 Change Auditor Threat Detection 主動偵測威脅

透過分析異常活動來評斷組織中風險最高的使用者,以找出潛在威脅,並減少誤判警示的干擾,進而簡化使用者威脅偵測作業。

透過關聯式檢視畫面稽核混合式環境

單一關聯式檢視畫面可讓您查看混合式 Microsoft 環境中的活動,確保全盤掌握發生的所有變更,不論是在內部部署或雲端都沒問題。 可稽核的混合式環境和資料包括:
  • AD 和 Azure AD 使用者、群組、角色、身分等
  • Exchange 和 Exchange Online 的信箱登入/活動、非所有人存取信箱、發佈群組等
  • SharePoint/SharePoint Online/商務用 OneDrive 的檔案、資料夾等
  • AD 登入和 Azure AD 登入

變更預防

防範 AD、Exchange 和 Windows 檔案伺服器內部重要資料的變更,包括權限群組、群組原則物件和機密信箱。

稽核員專用報告

產生安全性最佳實務及法規遵循命令規範的完備報告,包括 SOX、PCI-DSS、HIPAA、FISMA、GLBA、GDPR等。

以IT Security Search 提升洞察能力

將來自多個系統和裝置,且種類各異的 IT 資料整合至互動式搜尋引擎,以加快資安事件回應和鑑識調查分析的速度。 透過豐富的視覺效果和事件時間軸,將使用者權利和活動、事件趨勢、可疑模式等資訊一一納入。



簡化調查工作

擷取帳戶鎖定事件的原始 IP 位址和工作站名稱,並透過互動式時間軸檢視相關的登入和存取嘗試。這有助於簡化內部和外部安全性威脅的偵測和調查。


高效能稽核引擎

消除稽核限制,並擷取存取和安全性事件,完全不需要原生的稽核日誌,因此可加速獲得結果和進行事件回應。


安全性時間軸

檢視、突顯和過濾變更事件,並在 AD 和 Microsoft 平台上按照時間先後順序查明與其他安全性事件的關係,藉以強化鑑識分析和安全性事件回應。


相關搜尋

按一下即可取得您檢視的變更和所有相關事件的資訊,例如特定使用者進行的其他存取嘗試,以及特定使用者登入的時間和地點。這可簡化內部人員威脅的調查。


整合式事件轉送

可輕鬆整合各種解決方案,以充分運用 Change Auditor 的記錄,包括:
  • 將 Change Auditor 事件轉送至 Splunk、HP Arcsight 或 IBM QRadar,以整合 SIEM 解決方案。
  • 整合 Quest InTrust,以壓縮率為 20:1 的長期事件儲存和彙總原生或第三方記錄,以降低 SIEM 轉送的儲存成本,並建立高度壓縮的記錄存放庫。

在外活動也能即時獲得警示

接收重大變更與圖案警示至電子郵件和行動裝置,提醒您立即採取行動,讓您迅速對威脅做出回應,即使不在現場也不錯過第一時機。


角色式存取

設定存取權,讓稽核員不必變更任何應用程式組態,也不必要求 IT 管理員撥冗協助,即可搜尋並回報。


網頁式存取和儀表板報告

使用網頁瀏覽器隨處搜尋安全性及存取事件,並建立針對性儀表板,使高層管理者與稽核員無須瞭解架構或管理方式也能夠迅速存取所需的資訊。

留言

張貼留言

這個網誌中的熱門文章

MSSQL 瘦身 : 壓縮資料庫

作者: -
圖片
資料庫經過一段時間後,經常碰到的是空間管理的問題,尤其是資料量成長太快的情況下,例如一些稽核軟體,在蒐集異動事件 Log 的行為上,非預期的發現資料量成長快速,通常會設定資料保留多久的時間,然後定期做 Purge,在第一次做 Purge 後發現奇怪的事情是,資料庫檔案為何沒有變小。如果加上空間快不夠用的情況,會有種火燒屁股的感覺。 在執行大量 Delete 後,資料庫不會立即釋放出原本占用的空間,會保留給新增進來的資料,所以看到 MDF 檔案大小並沒有變小。此時我們可以做 壓縮資料庫 ( Shrink Database ) 的動作,此行為會釋放出占用的空間。執行步驟如下: A) 使用SSMS 選取 Database > 工作 > 壓縮 > 資料庫 檔案壓縮後的最大可用空間 N%,可自行調整。此範例為10% B) 使用指令 USE [ChangeAuditor] GO DBCC SHRINKDATABASE(N'ChangeAuditor', 10 ) GO 執行壓縮資料庫會同時壓縮 MDF 與 LDF 檔案,也可以只壓縮 MDF 或只壓縮 LDF,執行步驟: 選取 Database > 工作 > 壓縮 > 檔案 此畫面可以選擇 檔案(MDF) 或 記錄檔(LDF)。
閱讀完整內容

InTrust 自動幫您蒐集 AD 帳號的登入/登出紀錄,長時間保存並保護

作者: -
圖片
基於資訊安全的考量下,電腦主機、系統伺服器、個人電腦及系統操作行為等,這些行為均需要被記錄下來,我們稱之為 Log,這些 Log 不旦需要記錄下來,且要確保保留的時間夠長以便能夠在發生問題時得以查詢。但如何確保這些重要的 Log 並長時間保存並且受到保護而不被串改呢?我們今天要討論的重點在於AD帳號在任何主機上登入及登出的行為需要被記錄下來,並且確定儲存下來的資料是正確的,最重要的是能夠在這些大量的資料中快速查到資料 (搜尋快速是很重要的)。 如何記錄所有AD帳號在伺服器上登入登出的Log,其實 Windows 有內建此功能,只是要手動把這功能 Enable 起來。 步驟如下 開啟 群組原則管理 到 網域 | Domain.com | Domain Controllers 按右鍵,選擇編輯,會跳出一個警示訊息提醒你所做的修改會套用,按「是」進入編輯 編輯畫面 到 電腦設定 | 原則 | Windows 設定 | 安全性設定 | 本機原則 | 稽核原則 設定「稽核帳號登入事件」 勾選如下畫面,套用 接著是透過 InTrust 這個工具來蒐集 DC 上的 Log 在 InTrust 安裝完成後,開啟 InTrust Manager,透過以下設定步驟,將 DC 新增進來 選擇要蒐集的主機 → Domain Controller 接著安裝Agent,安裝完之後便會開始蒐集 Log。到這裡就算設定完成囉,步驟其實很簡單。 接著我們關心的就如何查找這些紀錄,InTrust 的工具 Repository Viewer 提供方便的搜尋功能,我們來看看能如何做搜尋,查到我們想要找的資料。 下圖就是 Repository Viewer 的畫面,左邊預設幫你分類了幾個項目,右邊則是顯示結果。 我們可以透過右邊畫面中的欄位進行搜尋,也可利用下方 Search Filter 頁籤新增搜尋的條件。 舉例:我想找到 admin01 這個帳號在所有伺服器上是否有做登入/登入的行為,如何查找? 將 Who 這個條件勾選進來,畫面中下方便可輸入帳號當作搜尋的條件。 條件輸入後,剪輯右上方的 Go 開始進行搜尋,並將結果顯示出來。 點擊其中任一事
閱讀完整內容

[SAP] 什麼是SAP? R/3 and S/4 是什麼意思? 差別在哪? (勿轉臉書)

作者: -
圖片
什麼是SAP? SAP 是 Systems Applications and Products in Data Processing 的縮寫。 R/3 and S/4 是什麼意思?  差別在哪? 如果我們去搜尋一下,可以發現更多的名詞。譬如 SAP R/2 SAP R/3 SAP ECC SAP Business Suite on HANA SAP S/4 HANA SAP S/4 HANA on cloud 白話來說,這些都是SAP ERP系統的版本,例如 基於SAP Main frame的ERP系統稱為SAP R/2。 在1997年,當SAP轉換到client server架構時,它被稱為SAP R/3 (3 Tier Architecture)。然後在一段時間內,它也被稱為MySAP business suite。 隨後SAP推出了6.0的新版本,並將其更名為ECC (ERP Core Component)。 在6.0之後,SAP推出了HANA數據庫,並將其ERP產品遷移到了HANA。然後ECC(ERP產品)被重命名為 S/4 HANA。 如果不想使用S/4 HANA 但仍想使用HANA的功能或提高效能,則可以選擇 SAP Business Suite on HANA,這是S/4 HANA 和 ECC 6 EHP7之間的版本。 S/4 HANA 也可以在雲上使用,它被稱為S/4 HANA cloud,它與 on premise 幾乎相同,但有一些限制 (Cloud)。 簡而言之,這些都是SAP ERP系統的不同版本,當然還有一些功能和架構上的演進。 版本推出的順序大約是這樣: SAP R/1 → SAP R/2 → SAP R/3 → SAP ECC → SAP Business Suite on HANA → SAP S/4 HANA → SAPS/4 HANA Cloud SAP S/4 HANA 於2015年2月發佈,是SAP公司繼SAP R/3和SAP ECC之後的第4代ERP產品。S/4 HANA主要有以下三個版本: Public Cloud Managed Cloud On-Premise SAP Business Suite 高度整合的應用系統的集合,例
閱讀完整內容