|
|
|
Un messaggio di avviso è un processo di query pianificato che può essere utilizzato per rilevare violazioni dei criteri, tendenze d'uso, modelli di accesso e altre informazioni che potrebbero richiedere attenzione a breve termine. Ad esempio, un messaggio di avviso può rilevare eventi gravi e segnalarli alla persona, prodotto o processo configurato. Tutti gli avvisi vengono aggiunti a un feed RSS.. Se configurato, l'avviso può notificare gli utenti tramite posta elettronica, eseguire il processo CA IT PAM configurato o inviare trap SNMP a un server remoto.
Definizione e configurazione di avvisi personalizzati
L'account di amministratore Windows è stato rinominato TheMan da un amministratore di sistema. Questo account, però, è ancora necessario per alcune attività amministrative, come l'installazione di un nuovo software sui server di produzione. In circostanze normali questo account non dovrebbe essere utilizzato, e l'eventuale utilizzo sarebbe regolato severamente da un comitato di supervisione interno. L'attività di accesso associata a questo account corrisponde ad una potenziale violazione di criteri e richiede una notifica immediata. Dal momento che questo account non è stato chiamato Amministratore, non viene riconosciuto dagli avvisi integrati come account dotato di privilegi.
Un amministratore aggiunge TheMan come valore per l'elenco con chiave Default_Accounts, quindi pianifica un avviso che esegue la query Accessi riusciti da parte degli account predefiniti nelle ultime 24 ore. Questa query utilizza l'elenco con chiave Default_Accounts. Viene generato un avviso quando si verifica un accesso riuscito da parte di TheMan o qualsiasi altro valore per la chiave Default_Accounts.
|
Procedura |
Ulteriori informazioni |
|---|---|
|
Personalizzazione dei valori con chiave |
Per informazioni complementari, consultare: Informazioni relative agli avvisi Considerazioni relative agli avvisi Per visualizzare degli esempi, consultare: Esempio: creazione di un avviso per Spazio su disco insufficiente Creazione di un avviso per un evento di monitoraggio automatico |
Invio automatico di avvisi tramite posta elettronica
È necessario che agli amministratori venga notificato se i log indicano accessi impropri a risorse come server, file, directory e URL critici e ad altre risorse IT. Questo tipo di accesso improprio rappresenta una potenziale violazione dei criteri che deve essere documentata nei rapporti di conformità e sulla quale occorre intervenire.
CA User Activity Reporting Module viene configurato da un analista in modo da inviare una notifica all'amministratore tramite posta elettronica (Blackberry) quando si verificano violazioni dei controlli.
|
Procedura |
Ulteriori informazioni |
|---|---|
|
|
Invio automatico di avvisi tramite RSS
È necessario che gli amministratori si assicurino che la loro azienda sia sempre conforme ai controlli PCI, perché non incorra in sanzioni esorbitanti. Se si verificano violazioni dei controlli, devono agire rapidamente per riportare l'azienda alla conformità. Vi sono tre amministratori che condividono la responsabilità di agire su questi avvisi in momenti diversi della giornata. Ogni amministratore vuole ricevere gli avvisi tramite un lettore RSS preferito solo durante il proprio turno, e non ricevere tutti gli avvisi in ogni momento.
Durante il proprio turno, uno degli amministratori configura SharpReader perché riceva avvisi da CA User Activity Reporting Module tramite RSS quando si verificano violazioni dei controlli. Gli altri due amministratori eseguono FeedReader per le notifiche degli avvisi CA User Activity Reporting Module quando sono di turno. Ognuno riceve gli avvisi soltanto quando avvia il proprio client RSS.
|
Procedura |
Ulteriori informazioni |
|---|---|
|
|
Invio automatico di avvisi all'assistenza tecnica tramite CA IT PAM
Molti sistemi ampiamente diffusi vengono installati con un account di amministratore con privilegi predefinito già integrato dal fornitore. Ad esempio, i sistemi operativi Windows vengono installati con un account di amministratore con privilegi. Secondo il criterio di protezione di molte aziende, gli amministratori di sistema non devono utilizzare questi account con privilegi senza prima ricevere un'approvazione scritta. Quando viene utilizzato un account di questo tipo, all'azienda occorre un mezzo per avvisare l'assistenza tecnica il più in fretta possibile, in modo che il personale possa controllare se l'approvazione è stata data e, in caso contrario, prendere provvedimenti.
Prendere in considerazione uno scenario in cui il processo dell'assistenza tecnica venga configurato in CA IT PAM.
L'invio di avvisi all'assistenza tecnica è una buona soluzione. Una volta configurata l'integrazione con CA IT PAM, è possibile identificare la query che individua tutti gli elementi che prevedono l'accesso con un account privilegiato, per poi configurare l'elenco con chiave con i nomi utente dell'account privilegiato che si vuole limitare e pianificare un avviso che invii una notifica a CA IT PAM quando CA User Activity Reporting Module rileva un accesso riuscito eseguito con un account dotato di privilegi. È possibile inserire una descrizione con campi CEG per le variabili che CA IT PAM può utilizzare per popolare il campo Descrizione dell'assistenza tecnica per questo ticket. Quando un evento viene restituito dall'avviso pianificato basato su questa query, CA User Activity Reporting Module invia automaticamente l'evento e la relativa descrizione a CA IT PAM. CA IT PAM elabora l'informazione e crea il ticket dell'assistenza tecnica.
Invio manuale di avvisi all'help desk tramite CA IT PAM
SOX richiede che le organizzazioni tengano traccia delle modifiche di configurazione e relative approvazioni. Molte organizzazioni utilizzano CA Service Desk per tenere traccia, monitorare e creare rapporti per tutti i problemi e gli incidenti, comprese le indagini sulla violazione dei criteri. Si supponga che un analista stia analizzando un incidente e scopra che sono stati utilizzati degli account con privilegi al di fuori degli orari d'ufficio. A rivelarlo sono gli eventi restituiti dalla query Dettagli sessioni utente con privilegi.
L'analista esegue il processo IT PAM di output evento/avviso che genera una richiesta di assistenza per l'evento selezionato. Le istruzioni di riepilogo e descrizione descrivono cosa si è verificato utilizzando i campi CEG. La conferma visualizza il numero della richiesta creato in CA Service Desk. L'analista accede a CA Service Desk, seleziona Richieste e inserisce il numero della richiesta.. L'analista esamina la richiesta di assistenza creata da CA User Activity Reporting Module con le istruzioni di riepilogo e descrizione che rispecchiano i dati effettivi.
|
Procedura |
Ulteriori informazioni |
|---|---|
|
Esempio: eseguire un processo di output di evento/avviso con i risultati della query selezionata |
|
Invio di avvisi automatici al Network Operations Center tramite trap SNMP
I Network Operations Center (NOC) controllano la rete alla ricerca di condizioni che possano richiedere un intervento per evitare ripercussioni sulla disponibilità del servizio o sulle prestazioni di rete. La modifica della configurazione di un sistema critico è un esempio di azione iniziata dall'utente che può influenzare la disponibilità del servizio. In molte aziende è obbligatorio che gli amministratori ricevano un'autorizzazione prima di eseguire questa modifica alla configurazione. Per il NOC è importante essere in grado di verificare subito dopo aver apportato la modifica che un simile cambiamento sia stato autorizzato.
Prendere in considerazione lo scenario in cui un NOC utilizza CA Spectrum NFM per tenere traccia della disponibilità del servizio e del sistema. È necessario che Spectrum venga avvisato quando si apporta una modifica.
L'invio di avvisi ad SNMP consente di risolvere questo problema. Le modifiche alla configurazione creano eventi che possono essere individuati dalle query di CA User Activity Reporting Module. È possibile pianificare gli avvisi sulla base di tali query. Una volta configurata l'integrazione con i trap SNMP, è possibile indirizzare gli avvisi al sistema di monitoraggio NOC, ad esempio CA Spectrum. Questo avviso di esempio invia tutti gli eventi di modifica della configurazione a Spectrum tramite SNMP, il metodo di input standard. Quando viene ricevuto un avviso che informa della modifica alla configurazione apportata ad un particolare sistema, l'icona di Spectrum per quel sistema passa dal colore verde al giallo. A questo punto, il personale NOC può controllare se la modifica è stata autorizzata e prendere le dovute contromisure in caso non lo sia.
| Copyright © 2011 CA. Tutti i diritti riservati. | Contatta CA Technologies |