Jak povolit SQL Server Audit a zkontrolovat protokol auditu

audit Microsoft SQL Server je rozhodující pro identifikaci bezpečnostních problémů a porušení. Kromě toho je audit SQL Server požadavkem na dodržování předpisů, jako jsou PCI DSS a HIPAA.

prvním krokem je definovat, co auditovat. Můžete například auditovat přihlašovací údaje uživatelů, konfiguraci serveru, změny schématu a úpravy dat auditu. Dále musíte zvolit, které funkce bezpečnostního auditu použít. Mezi užitečné funkce patří následující:

  • C2 Auditu
  • Společná Kritéria Shody
  • Přihlášení Auditu
  • SQL Server Auditování
  • Trasování SQL
  • Rozšířené Události
  • Změnit Data Capture
  • DML, DDL a Logon Triggery

Tento článek je určen pro databázové administrátory (Dba) kdo se dívá na použití C2 audit, Společná Kritéria Splnění požadavků a SQL Server Audit. Nebudeme se dívat na žádné auditorské nástroje třetích stran, i když mohou být velkou pomocí, zejména pro větší prostředí a v regulovaných průmyslových odvětvích.

povolení auditu C2 a dodržování společných kritérií

pokud v současné době neprovádíte audit SQL Serveru, nejjednodušší je začít povolením auditu C2. C2 audit je mezinárodně uznávaný standard, který lze zapnout v SQL Serveru. Audituje události, jako jsou přihlašovací údaje uživatelů, uložené postupy a vytváření a odstraňování objektů. Ale je to všechno nebo nic — nemůžete si vybrat, co audituje, a může generovat spoustu dat. Audit C2 je navíc v režimu údržby, takže bude pravděpodobně odstraněn v budoucí verzi serveru SQL Server.

dodržování společných kritérií je novější standard, který nahrazuje audit C2. Byl vyvinut Evropskou unií a může být povolen v edicích Enterprise a Datacenter SQL Server 2008 R2 a novějších. Ale to může způsobit problémy s výkonem, pokud váš server není dostatečně spec ‚ d vyrovnat se s extra režii.

zde je návod, jak povolit audit C2 v SQL Serveru 2017:

1. Otevřete Studio správy serveru SQL.

2. Připojte se k databázovému nástroji, pro který chcete povolit audit C2. V dialogovém okně Připojit k serveru zkontrolujte, zda je typ serveru nastaven na databázový stroj, a klepněte na tlačítko Připojit.

3. V panelu Průzkumník objektů vlevo klepněte pravým tlačítkem myši na instanci serveru SQL v horní části a v nabídce vyberte Vlastnosti.

4. V okně Vlastnosti serveru klikněte na možnost Zabezpečení v části vyberte stránku.

5. Na stránce Zabezpečení můžete nakonfigurovat monitorování přihlášení. Ve výchozím nastavení se zaznamenávají pouze neúspěšná přihlášení. Případně můžete provést audit pouze úspěšných přihlášení, nebo neúspěšných i úspěšných přihlášení.

 SQL Server Audit konfigurace auditu přístupu

SQL Server Audit konfigurace přístupového auditu

Obrázek 1. Konfigurace auditu přístupu

6. Zkontrolujte Povolit sledování auditu C2 v části Možnosti.

7. Pokud chcete povolit audit shody C2 Common Criteria, zkontrolujte Povolit shodu s Common Criteria.

dodržování společných kritérií (CC) je flexibilní standard, který lze implementovat s různými úrovněmi hodnocení (EAL), od 1 do 7. Vyšší EAL mají náročnější ověřovací proces. Když zkontrolujete povolit shodu společných kritérií v SQL Serveru, povolujete CC Compliance EAL1. SQL Server je možné konfigurovat ručně pro EAL4+.

povolení shody CC mění chování serveru SQL. Například oprávnění odepřít na úrovni tabulky budou mít přednost před granty na úrovni sloupců a budou ověřena úspěšná i neúspěšná přihlášení. Kromě toho je povolena ochrana zbytkových informací (RIP), která přepíše alokace paměti se vzorem bitů dříve, než jsou použity novým zdrojem.

8. Klikněte na OK.

9. Na základě vybraných možností můžete být vyzváni k restartování serveru SQL Server. Pokud se zobrazí tato zpráva, klepněte na tlačítko OK v dialogovém okně varování. Pokud jste povolili shodu s běžnými kritérii C2, restartujte server. V opačném případě znovu klepněte pravým tlačítkem myši na instanci serveru SQL v Průzkumníku objektů a v nabídce vyberte restartovat. V dialogovém okně varování klepněte na tlačítko Ano a potvrďte, že chcete restartovat SQL Server.

povolení auditu serveru SQL

místo auditu C2 lze povolit audit serveru SQL; můžete také zvolit povolení obou. Objekty auditu serveru SQL Server lze nakonfigurovat tak, aby shromažďovaly události na úrovni serveru nebo na úrovni databáze serveru SQL Server.

vytvořit objekt auditu serveru

pojďme vytvořit objekt auditu serveru SQL Server na úrovni serveru:

1. V panelu Průzkumník objektů vlevo rozbalte zabezpečení.

2. Klepněte pravým tlačítkem myši audity a v nabídce vyberte Nový Audit…. Tím se vytvoří nový objekt auditu serveru SQL Server pro audit na úrovni serveru.

3. V okně Vytvořit Audit zadejte nastavení auditu název v názvu auditu

4. Určete, co by se mělo stát, pokud selže audit serveru SQL Server pomocí selhání protokolu auditu můžete zvolit pokračovat nebo se rozhodnout vypnout server nebo zastavit auditované operace databáze. Pokud vyberete možnost selhání operace, operace databáze, které nejsou auditovány, budou i nadále fungovat.

 SQL Server Audit vytvoření serveru na úrovni SQL Server audit objekt

SQL Server Audit vytvoření objektu serveru SQL Server audit

Obrázek 2. Vytvoření objektu auditu serveru SQL Server

5. V rozbalovací nabídce cíl auditu můžete zvolit zápis stopy auditu SQL do souboru nebo audit událostí v protokolu zabezpečení systému Windows nebo protokolu událostí aplikace. Pokud zvolíte Soubor, musíte zadat cestu k souboru.

Všimněte si, že pokud chcete zapsat do protokolu událostí zabezpečení systému Windows, SQL Server bude muset mít oprávnění. Z důvodu jednoduchosti vyberte protokol událostí aplikace. Kromě toho, můžete zahrnout filtr jako součást auditu objektu stanovit úzkou sadu výsledků; filtry musí být napsané v Transact-SQL (T-SQL).

6. Klikněte na OK.

7. Nyní najdete novou konfiguraci auditu v Průzkumníku objektů pod audity. Klepněte pravým tlačítkem myši na novou konfiguraci auditu a v nabídce vyberte Povolit Audit.

8. V dialogovém okně povolit Audit klikněte na Zavřít.

Vytvořit Auditu Objektu Databáze

vytvořit SQL Server auditu objektu databáze auditu na úrovni, proces je trochu jiný a musíte vytvořit alespoň jeden server audit na úrovni objektu jako první.

1. Rozbalte databáze v Průzkumníku objektů a rozbalte databázi, ve které chcete konfigurovat audit.

2. Rozbalte složku Zabezpečení, klikněte pravým tlačítkem myši na specifikace auditu databáze a v nabídce vyberte možnost Nová SPECIFIKACE auditu databáze….

SQL Server Auditu Vytvoří server auditu specifikace databáze auditu na úrovni

SQL Server Auditu Vytvoří server auditu specifikace databáze auditu na úrovni

Obrázek 3. Vytvoření SPECIFIKACE auditu serveru pro audit na úrovni databáze

3. V okně Vlastnosti v části Akce, použijte rozbalovací menu pro konfiguraci jednoho nebo více auditních akční typy, výběr výroků, které chcete auditovat (například DELETE nebo INSERT), třídy objektu, na kterém je provedena akce, a tak dále.

4. Až budete hotovi, klepněte na tlačítko OK a poté aktivujte objekt auditu kliknutím pravým tlačítkem myši a výběrem možnosti Povolit specifikaci auditu databáze.

Zobrazení protokolů auditu serveru SQL Server

C2 Audit protokoly auditu serveru SQL Server jsou uloženy ve výchozím adresáři dat instance serveru SQL Server. Každý soubor protokolu může být maximálně 200 megabajtů. Po dosažení limitu se automaticky vytvoří nový soubor.

nativní řešení, které se doporučuje zobrazit protokoly auditu serveru SQL Server s názvem prohlížeč souborů protokolu. Chcete-li jej použít, proveďte následující kroky:

1. V SQL Server Management Studio v panelu Object Explorer rozbalte zabezpečení a

2. Klepněte pravým tlačítkem myši na objekt auditu, který chcete zobrazit, a v nabídce vyberte Zobrazit protokoly auditu.

3. V prohlížeči souborů protokolu se protokoly zobrazí na pravé straně. Bez ohledu na to, zda jsou protokoly zapsány do souboru nebo do protokolu událostí systému Windows, Prohlížeč souborů protokolu zobrazí protokoly.

4. V horní části prohlížeče souborů protokolu můžete klepnutím na filtr přizpůsobit, které položky protokolu se zobrazují. Protokoly souborů SQL Server jsou uloženy v.sqlaudit formátu a nejsou čitelné, takže protokol File Explorer umožňuje kliknout na Export uložit protokoly čárkami oddělenými .Formát souboru protokolu.

SQL Server Auditu Přezkoumání auditu Serveru SQL protokolování v Protokolu File Viewer

SQL Server Auditu Přezkoumání auditu Serveru SQL protokolování v Protokolu File Viewer

Obrázek 4. Přezkoumání auditu Serveru SQL protokolování v Protokolu File Viewer

IT konzultant a autor, specializující se na správu a bezpečnostní technologie. Russell má více než 15 let zkušeností v oblasti IT, napsal knihu o Zabezpečení systému Windows a spoluautorem textu pro oficiální akademický kurz společnosti Microsoft (MOAC).



+