|
|
|
Ein Aktionsalarm ist ein geplanter Abfragejob, mit dessen Hilfe Verletzungen von Richtlinien, Nutzungstrends, Anmeldemuster und andere Informationen, die möglicherweise ein kurzfristiges Eingreifen erfordern, ermittelt werden können. Damit lässt sich z. B. ermitteln, wenn Ereignisse von hohem Schwergrad eingetreten sind, und es kann eine Nachricht an die in der Konfiguration festgelegten Personen, Produkte oder Prozesse gesendet werden. Alle Alarme werden einem RSS-Feed hinzugefügt. Wenn dies in der Konfiguration festgelegt ist, können die Benutzer auch via E-Mail von dem Alarm benachrichtigt werden, den konfigurierten CA IT PAM-Prozess ausführen oder SNMP-Traps an einen Remote-Server senden.
Definition/Konfiguration von benutzerdefinierten Alarmen
Ein Systemadministrator hat das Administrator-Konto von Windows in TheMan umbenannt, das Konto wird aber immer noch für bestimmte administrative Aufgaben benötigt, wie zur Installation neuer Software auf Produktivsystemen. Normalerweise darf dieses Konto nicht verwendet werden, und seine Nutzung wird von einem internen Kontrollgremium streng reglementiert. Anmeldeaktivitäten im Zusammenhang mit diesem Konto stellen eine potenzielle Richtlinienverletzung dar und führen zu einer sofortigen Benachrichtigung. Da aber das Konto nicht mehr Administrator heißt, erkennen die Standard-Alarme dieses Konto nicht mehr als berechtigtes Konto.
Ein Administrator fügt TheMan als Wert zur Schlüsselliste "Standard_Konten" hinzu und plant dann einen Alarm, der die Abfrage "Erfolgreiche Anmeldung nach Standardkonten in den letzten 24 Stunden" ausführt. Bei dieser Abfrage wird die Schlüsselliste "Standard_Konten" verwendet. Bei jeder erfolgreichen Anmeldung durch TheMan oder irgendeinen anderen Wert in der Schlüsselliste "Standard_Konten" wird ein Alarm erstellt.
|
Vorgehensweise |
Weitere Informationen: |
|---|---|
|
Anpassen der Schlüsselwerte für Standardkonten (Default_Accounts) Senden eines Alarms, mit dem ein IT PAM-Prozess pro Reihe ausgeführt wird |
Weitere Informationen finden Sie unter: Überlegungen zu Aktionsalarmen Vorbereiten der Verwendung von Alarmen mit Schlüssellisten Beispiele finden Sie unter: Aktionsalarm für wenig Speicherplatz erstellen |
Automatisierte Alarmbenachrichtigung per E-Mail
Administratoren müssen benachrichtigt werden, wenn in den Protokollen Hinweise auf unzulässige Zugriffsaktivitäten auf kritische Server, Dateien, Verzeichnisse, URLs und andere IT-Ressourcen aufgezeichnet werden. Solche unzulässigen Zugriffe stellen mögliche Richtlinienverletzungen dar und müssen in Konformitätsberichten dokumentiert und geahndet werden.
Ein Analyst konfiguriert CA Enterprise Log Manager so, dass der Administrator per E-Mail (Blackberry) benachrichtigt wird, sobald eine Kontrollverletzung auftritt.
|
Vorgehensweise |
Weitere Informationen: |
|---|---|
|
Festlegen von Benachrichtigungszielen Beispiel: E-Mail an den Administrator, wenn Ereignisfluss stoppt |
|
Automatische Benachrichtigung über RSS
Administratoren müssen sicherstellen, dass Ihr Unternehmen jederzeit mit den PCI-Kontrollen konform geht, damit dem Unternehmen keine hohen Geldstrafen drohen. Wenn Kontrollverletzungen auftreten, müssen sie schnell handeln, um die Konformität wieder herzustellen. Drei Administratoren teilen sich die Verantwortung, rund um die Uhr umgehend auf diese Benachrichtigungen zu reagieren. Jeder Administrator möchte natürlich nur während seiner Bereitschaftsperiode und über seinen bevorzugten RSS-Reader benachrichtigt werden, anstatt rund um die Uhr alle Benachrichtigungen zu erhalten.
Wenn er Bereitschaft hat, konfiguriert ein Administrator SharpReader so, dass dieser, sobald Kontrollverletzungen auftreten, über RSS Benachrichtigungen von CA Enterprise Log Manager erhält. Die anderen beiden Administratoren aktivieren die Alarmbenachrichtigungen über FeedReader für CA Enterprise Log Manager, wenn sie Bereitschaft haben. Jeder erhält dann die Alarme nur, wenn er seinen RSS-Client ausführt.
|
Vorgehensweise |
Weitere Informationen: |
|---|---|
|
|
Automatische Benachrichtigung des Help Desk über CA IT PAM
Viele gängige Systeme werden mit den standardmäßigen privilegierten Benutzerkonten der jeweiligen Hersteller installiert. Windows-Betriebssysteme werden beispielsweise mit einem vordefinierten Administrator-Konto installiert. In vielen Unternehmen gelten Sicherheitsrichtlinien, die es den Systemadministratoren untersagen, diese privilegierten Benutzerkonten ohne schriftliche Genehmigung zu verwenden. Wenn ein solches Konto verwendet wird, braucht die Organisation eine Möglichkeit, ihren Help Desk umgehend zu benachrichtigen, damit die Mitarbeiter dort überprüfen können, ob eine Genehmigung vorliegt, und falls nicht, die nötigen Schritte ergreifen können.
Wir gehen von einem Szenario aus, in dem ein Prozess für Help Desks in CA IT PAM konfiguriert ist.
Die Benachrichtigung des Help Desk ist eine gute Lösung. Sobald die Integration mit CA IT PAM konfiguriert ist, können Sie die Abfrage definieren, die die einzelnen Ereignisse beschreibt, die im Zusammenhang mit einem privilegierten Benutzerkonto auftreten können. Konfigurieren Sie dazu die Schlüsselliste mit den Benutzernamen der privilegierten Konten, deren Zugriff beschränkt werden soll, und planen Sie einen Alarm, der CA IT PAM benachrichtigt, sobald CA Enterprise Log Manager eine erfolgreiche Anmeldung mit einem dieser privilegierten Konten registriert. In die CEG-Felder für Variablen, die CA IT PAM zum Ausfüllen des Beschreibungsfeldes für das Help Desk-Ticket verwendet, können Sie eine Beschreibung für den Help Desk eingeben. Wenn der geplante Alarm auf Grundlage dieser Abfrage ein Ereignis zurückgibt, sendet CA Enterprise Log Manager dieses Ereignis samt seiner Beschreibung automatisch an CA IT PAM. CA IT PAM verarbeitet diese Information und erstellt das Help Desk-Ticket.
Manueller Alarm an das Help Desk über CA IT PAM
SOX verlangt von Organisationen, Konfigurationsänderungen und deren Genehmigung nachzuverfolgen. Viele Organisationen verwenden CA Service Desk, um Probleme und Vorkommnisse, einschließlich Untersuchungen von Richtlinienverletzungen, nachzuverfolgen, zu überwachen und darüber zu berichten. Angenommen, ein Analyst untersucht ein Vorkommnis und entdeckt, dass berechtigte Konten außerhalb der Geschäftszeit genutzt wurden. Dies kann er aus den Ergebnissen ersehen, die von der Abfrage "Sitzungen von berechtigten Benutzern - Details" zurückgegeben werden.
Der Analyst führt den IT PAM Ereignis-/Alarmausgabeprozess aus, mit dem ein Help Desk-Ticket für das ausgewählte Ereignis erstellt wird. Die Zusammenfassungs- und Beschreibungsanweisungen beschreiben, was beim Verwenden der CEG-Felder abgelaufen ist. In der Bestätigung wird die Anforderungsnummer angezeigt, die in CA Service Desk erstellt worden ist. Der Analyst meldet sich bei CA Service Desk an, wählt "Anforderungen" aus und gibt die Anforderungsnummer ein. Dann überprüft der Analyst das Help Desk-Ticket, das mit den Zusammenfassungs- und Beschreibungsangaben, die die tatsächlichen Daten wiedergeben, von CA Enterprise Log Manager erstellt worden ist.
|
Vorgehensweise |
Weitere Informationen: |
|---|---|
|
Beispiel: Ausführen eines Ereignis-/Alarmausgabeprozesses mit ausgewählten Abfrageergebnissen |
|
Automatische Benachrichtigung des Network Operations Center über SNMP-Traps
Network Operations Centers (NOCs) überwachen das Netzwerk auf Bedingungen, die möglicherweise ein Eingreifen erfordern, um mögliche Auswirkungen auf die Systemverfügbarkeit und Netzwerkleistung zu verhindern. Ein Beispiel für Benutzeraktionen, die die Systemverfügbarkeit beeinträchtigen können, sind Änderungen an der Konfiguration eines kritischen Systems. In vielen Unternehmen müssen sich Administratoren derartige Konfigurationsänderungen zunächst einmal genehmigen lassen. Für das NOC ist es wichtig, im Falle solcher Änderungen möglichst schnell verifizieren zu können, ob eine Genehmigung dafür vorliegt.
Folgendes Szenario: Ein NOC verwendet CA Spectrum NFM zur Nachverfolgung von System- und Serviceverfügbarkeit. Spectrum muss benachrichtigt werden, wenn Konfigurationsänderungen vorgenommen werden.
Mit Hilfe von SNMP-Benachrichtigungen können Sie dieses Problem lösen. Konfigurationsänderungen erzeugen Ereignisse, die von CA Enterprise Log Manager-Abfragen erfasst werden können. Sie können Alarme mit Hilfe solcher Abfragen planen. Sobald die Integration der SNMP-Traps konfiguriert ist, können Sie Alarme an das NOC-Überwachungssystem, beispielsweise CA Spectrum, richten. In diesem Beispielalarm werden alle Ereignisse zu Konfigurationsänderungen als Standard-Eingabemethode über SNMP an Spectrum gesendet. Sobald ein Alarm über eine Konfigurationsänderung an einem bestimmten System bei Spectrum eingeht, ändert sich die Farbe seines Symbols in Spectrum von Grün nach Gelb. Die Mitarbeiter im NOC können dann überprüfen, ob die Änderung autorisiert war und, falls nicht, die entsprechenden Maßnahmen ergreifen.
| Copyright © 2010 CA. Alle Rechte vorbehalten. | Senden Sie CA Technologies eine E-Mail zu diesem Thema. |