Miten ottaa SQL Server Audit ja tarkistaa Tarkastusloki

Auditing Microsoft SQL Server on kriittinen tunnistaa tietoturvaongelmia ja rikkomuksia. Lisäksi SQL Serverin auditointi edellyttää PCI DSS: n ja HIPAA: n kaltaisten säännösten noudattamista.

ensimmäinen vaihe on määritellä, mitä auditoidaan. Voit esimerkiksi tarkastaa käyttäjän kirjautumisia, palvelimen asetuksia, skeemamuutoksia ja auditointitietojen muutoksia. Seuraavaksi sinun on valittava, mitä tietoturvavalvonnan ominaisuuksia käytetään. Hyödyllisiä ominaisuuksia ovat muun muassa seuraavat:

  • C2 Auditing
  • Common Compliance Criteria
  • Login Auditing
  • SQL Server Auditing
  • SQL Trace
  • Extended Events
  • Change Data Capture
  • DML, DDL, ja kirjautumisen käynnistäjät

tämä artikkeli on tarkoitettu tietokannan ylläpitäjille (DBAs), jotka tarkastelevat C2-auditointia, yhteisiä vaatimustenmukaisuusvaatimuksia ja SQL Server-auditointia. Emme aio tarkastella mitään kolmannen osapuolen auditointityökaluja, vaikka ne voivat olla suureksi avuksi, erityisesti suuremmissa ympäristöissä ja säännellyillä teollisuudenaloilla.

Enabling C2 Auditing and Common Criteria Compliance

If you are not currently auditing your SQL Server, The easily place to started is by enabling C2 auditing. C2-auditointi on kansainvälisesti hyväksytty standardi, joka voidaan ottaa käyttöön SQL Server-järjestelmässä. Se tarkastaa tapahtumia, kuten käyttäjätunnuksia, tallennettuja menettelyjä sekä objektien luomista ja poistamista. Mutta se on kaikki tai ei mitään — et voi valita, mitä se auditoi, ja se voi tuottaa paljon tietoa. Lisäksi C2-auditointi on huoltotilassa, joten se todennäköisesti poistetaan tulevassa SQL Server-versiossa.

Common Criteria Compliance on uudempi standardi, joka syrjäyttää C2 auditoinnin. Sen on kehittänyt Euroopan unioni ja se voidaan ottaa käyttöön yritys-ja Datakeskusversioissa SQL Server 2008 R2: ssa ja uudemmissa. Mutta se voi aiheuttaa suorituskykyä ongelmia, jos palvelin ei ole riittävän spec ’ d selviytymään ylimääräisiä yleiskustannuksia.

Näin voit ottaa C2-valvonnan käyttöön SQL Server-palvelimessa 2017:

1. Avaa SQL Server Management Studio.

2. Yhdistä tietokantamoottoriin, jolle haluat ottaa käyttöön C2-valvonnan. Varmista Muodosta yhteys palvelimeen-valintaikkunassa, että palvelimen tyyppi on asetettu Tietokantamoottoriksi, ja valitse sitten Yhdistä.

3. Napsauta vasemmassa Object Explorer-paneelissa hiiren kakkospainikkeella SQL Server-instanssiasi ja valitse valikosta Ominaisuudet.

4. Valitse palvelimen ominaisuudet-Ikkunassa suojaus Valitse sivu.

5. Tietoturvasivulla voit määrittää kirjautumisen seurannan. Oletusarvoisesti vain epäonnistuneet kirjautumiset kirjataan. Vaihtoehtoisesti voit tarkastaa vain onnistuneet kirjautumiset tai sekä epäonnistuneet että onnistuneet kirjautumiset.

SQL Server Audit käyttöoikeuksien valvonnan määrittäminen

SQL Server Audit configuring Access Auditing

Kuva 1. Käyttöoikeuksien valvonnan määrittäminen

6. Valitse Ota käyttöön C2 audit tracing kohdassa Options.

7. Jos haluat ottaa C2 Common Criteria Compliance auditing-toiminnon käyttöön, valitse Ota käyttöön yhteisten kriteerien noudattaminen.

Common Criteria (CC) Compliance on joustava standardi, joka voidaan toteuttaa eri Evaluation Assurance Levels (EALs) – tasoilla 1-7. Ylemmillä Eaaleilla on vaativampi todentamisprosessi. Kun valitset Enable Common Criteria compliance in SQL Server, otat CC Compliance EAL1: n käyttöön. On mahdollista määrittää SQL Server manuaalisesti eal4+.

CC-vaatimustenmukaisuuden mahdollistaminen muuttaa SQL Serverin käyttäytymistä. Esimerkiksi taulukkotason esto-oikeudet menevät saraketason avustusten edelle, ja sekä onnistuneet että epäonnistuneet kirjautumiset tarkastetaan. Lisäksi käytössä on Jäännöstietosuojaus (Residue Information Protection, RIP), joka ylikirjoittaa muistinjakoja bittikuviolla ennen kuin uusi resurssi käyttää niitä.

8. Klikkaa OK.

9. Valittujen vaihtoehtojen perusteella sinua saatetaan pyytää käynnistämään SQL Server uudelleen. Jos saat tämän viestin, napsauta OK varoitusikkunassa. Jos käytössä C2 Common Criteria Compliance, käynnistä palvelin uudelleen. Muuten, napsauta hiiren kakkospainikkeella SQL Server instance Object Explorer uudelleen ja valitse Käynnistä valikosta. Valitse varoitusikkunassa Kyllä vahvistaaksesi, että haluat käynnistää SQL Serverin uudelleen.

Enabling SQL Server Audit

SQL Server auditing voidaan ottaa käyttöön C2 auditoinnin sijaan; voit myös ottaa molemmat käyttöön. SQL Server Audit-objektit voidaan määrittää keräämään tapahtumia palvelintasolla tai SQL Server-tietokannan tasolla.

Create Server Audit Object

Let ’ s create a server-level SQL Server audit object:

1. Laajenna suojausta Object Explorer-paneelissa vasemmalla.

2. Napsauta hiiren kakkospainikkeella tarkastukset ja valitse valikosta Uusi tarkastus…. Tämä luo uuden SQL Server Audit-objektin palvelintason valvontaa varten.

3. Luo tarkastus-ikkunassa anna tarkastusasetuksille nimi tarkastuksen nimessä

4. Määritä, mitä pitäisi tapahtua, jos SQL Server auditing epäonnistuu käyttämällä on Audit Loki vika voit valita Jatka tai valitse sammuttaa palvelimen tai lopettaa tietokannan toiminnot, jotka tarkastetaan. Jos valitset Fail-toiminnon, tietokantatoiminnot, joita ei ole tarkastettu, jatkavat toimintaansa.

SQL Server Audit luodaan palvelintason SQL Server audit-olio

SQL Server Audit luodaan palvelintason SQL Server audit-objekti

kuva 2. Luodaan palvelintason SQL Server-auditointikohde

5. Audit destination-pudotusvalikossa voit kirjoittaa SQL-kirjausketjun tiedostoon tai tarkastaa Windowsin suojauslokin tai sovelluksen tapahtumalokin tapahtumia. Jos valitset tiedoston, sinun täytyy määrittää tiedostolle polku.

huomaa, että jos haluat kirjoittaa Windowsin tietoturvan tapahtumalokiin, SQL Serverille on annettava lupa. Yksinkertaisuuden vuoksi, valitse Sovelluksen tapahtumaloki. Lisäksi voit sisällyttää suodattimen osaksi tarkastusobjektia, jotta saadaan kapea tulosjoukko; suodattimet on kirjoitettava Transact-SQL (T-SQL) – kielellä.

6. Klikkaa OK.

7. Uusi auditointikokoonpano on nyt Object Explorerissa auditointien alla. Napsauta hiiren kakkospainikkeella uutta tarkastusasetusta ja valitse valikosta Enable Audit.

8. Valitse Sulje salli tarkastus-valintaikkunassa.

Create Database Audit Object

to create a SQL Server audit object for database-level auditing, the process is a little different and you need to create at least one server-level audit object first.

1. Laajenna tietokantoja Object Explorerissa ja laajenna tietokanta, johon haluat määrittää valvonnan.

2. Laajenna Tietoturvakansio, napsauta hiiren kakkospainikkeella tietokannan Auditointimääritykset ja valitse valikosta Uusi tietokannan Auditointimääritys….

SQL Server Audit luodaan palvelimen auditointimääritys tietokantatason tarkastukseen

SQL Server Audit luodaan palvelimen auditointimääritys tietokantatason auditoinnille

kuva 3. Luodaan palvelimen auditointimääritys tietokantatason auditointiin

3. Ominaisuudet-ikkunassa toiminnot, käytä pudotusvalikoita määrittääksesi yhden tai useamman tarkastustoiminnon tyypin, valitsemalla tarkastettavat lausekkeet (kuten poista tai lisää), objektiluokka, johon toiminto suoritetaan, ja niin edelleen.

4. Kun olet valmis, valitse OK ja ota sitten audit-objekti käyttöön napsauttamalla sitä hiiren kakkospainikkeella ja valitsemalla Enable Database Audit Specification.

SQL Serverin Tarkastuslokien katselu

C2 Audit SQL Serverin tarkastuslokit tallennetaan SQL Server-ilmentymän oletustietohakemistoon. Jokainen lokitiedosto voi olla enintään 200 megatavua. Uusi tiedosto luodaan automaattisesti, kun raja saavutetaan.

natiiviratkaisu, jota suositellaan SQL Serverin tarkastuslokien katseluun, jota kutsutaan lokitiedostojen Katselijaksi. Käytä sitä seuraavasti:

1. SQL Server Management studiossa, Object Explorer-paneelissa laajenna tietoturvaa ja

2. Napsauta hiiren kakkospainikkeella tarkastusobjektia, jota haluat tarkastella, ja valitse valikosta Näytä tarkastuslokit.

3. Lokitiedostojen katseluohjelmassa lokit näkyvät oikealla puolella. Riippumatta siitä, onko lokit kirjoitettu tiedostoon tai Windowsin tapahtumalokiin, Log File Viewer näyttää lokit.

4. Lokitiedostojen katseluohjelman yläreunassa voit valita suodattimen mukauttaaksesi, mitkä lokimerkinnät näytetään. SQL Server – tiedostolokit tallennetaan .sqlaudit muoto ja eivät ole luettavissa, joten Log File Explorer voit napsauttaa Vie tallentaa lokit pilkulla rajattu .lokitiedostomuoto.

SQL Server Audit Review SQL Server audit logging in the lokitiedosto Viewer

SQL Server Audit Reviewing SQL Server audit logging in the Log File Viewer

Figure 4. Tarkistetaan SQL Server audit logging in the lokitiedosto Viewer

IT-konsultti ja kirjailija, joka on erikoistunut johtamis-ja turvallisuusteknologioihin. Russell on yli 15 vuoden kokemus IT, hän on kirjoittanut kirjan Windows security, ja hän coauthored tekstin Microsoftin virallinen Academic Course (MOAC) sarja.



+