5.4 Sichern der Sentinel-Daten

WICHTIG:Aufgrund des hochsensiblen Charakters der Daten auf dem Sentinel-Server sollten Sie den Computer physisch schützen und in einem sicheren Bereich des Netzwerks betreiben.Verwenden Sie einen remoten Collector-Manager, um Daten von Ereignisquellen außerhalb des sicheren Netzwerks zu sammeln.

Für bestimmte Komponenten müssen Passwörter gespeichert werden, sodass sie verfügbar sind, wenn das System eine Verbindung zu einer Ressource herstellen muss, z. B. zur Datenbank oder zu einer Ereignisquelle. In diesem Fall wird das Passwort beim Speichern zunächst verschlüsselt, um den unerlaubten Zugriff auf das unverschlüsselte Passwort zu verhindern.

Auch wenn Passwörter verschlüsselt werden, müssen Sie dafür sorgen, dass der Zugriff auf die gespeicherten Passwortdaten geschützt ist, um eine Passwortoffenlegung zu verhindern. Beispielsweise können Sie sicherstellen, dass die Berechtigungen für die Dateien mit vertraulichen Daten nicht von unbefugten Benutzern gelesen werden können.

DATEIEN

advisor_client.xml

Datenbank-Berechtigungsnachweise

Der Datenbank-Berechtigungsnachweis wird in der Datei <Installationsverzeichnis>/config/server.xml gespeichert:

<class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

Advisor-Berechtigungsnachweis

<obj-component id="DownloadComponent">
          <class>esecurity.ccs.comp.advisor.feed.NewAdvClientDownload</class>
      <property name="advisor.downloadfrom.url">https://secure-www.novell.com/sentinel/advisor/advisordata</property>
      <property name="username">admin</property>
      <!-- Set the password (encrypted) using the adv_change_password script -->
      <property name="password">jqhlWIX8HD6GDHVX9FApWg==</property>
<property name="compression.enabled">true</property>
      <!--
        Set the following properties to connect through an HTTP proxy.
        Set the proxy password (encrypted) using the adv_change_password script (make a
        copy of the script and add "-x" to the java cmd line to set the proxy password
        instead of the advisor password.
      -->
      <!--
      <property name="proxy_host"></property>
      <property name="proxy_port"></property>
      <property name="proxy_username"></property>
      <property name="proxy_password"></property>
      -->
        </obj-component>

Configuration.xml

<strategy active="yes" id="jms" location="com.esecurity.common.communication.strategy.jmsstrategy.activemq.ActiveMQStrategyFactory" name="ActiveMQ">
<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>
    </strategy>

das_binary.xml

<class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

das_core.xml

 <class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

In einigen Datenbanktabellen werden Passwörter und Zertifikate gespeichert. Diese vertraulichen Daten sind verschlüsselt und werden in den unten aufgeführten Tabellen gespeichert. Sie müssen den Zugriff auf diese Tabellen einschränken.

Sentinel Rapid Deployment speichert sowohl Konfigurationsdaten als auch Ereignisdaten. Diese Daten werden an folgenden Speicherorten gespeichert:

Komponenten

Speicherort für Konfigurationsdaten

Speicherort für Ereignisdaten

Sentinel Rapid Deployment-Server

Datenbanktabellen und das Dateisystem (<Installationsverzeichnis>/config)

Diese Konfigurationsdaten enthalten die verschlüsselte Datenbank, die Ereignisquelle, die Integratoren und die Passwörter.

Datenbank (Tabellen „EVENTS“, „CORRELATED_EVENTS“, „EVT_SMRY_“ und „AUDIT_RECORD“) sowie das Dateisystem unter <Installationsverzeichnis>/data/eventdata und <Installationsverzeichnis>/data/raw data

Die Ereignisdaten können im Rahmen der Partitionsverwaltung in das Dateisystem archiviert werden.

Correlation Engine

Dateisystem (<Installationsverzeichnis>/config). Die einzigen sensitiven Konfigurationsdaten sind das Client-Schlüsselpaar, das zur Verbindung mit dem Nachrichtenbus verwendet wird.

correlation_engine.cache

DAS Core

<Installationsverzeichnis>/config

das_core.cache

DAS Binary

<Installationsverzeichnis>/config

Die Ereignisdaten können im Cache zwischengespeichert werden, wenn die Datenbank außer Betrieb ist.

das_binary.cache

Collector-Manager

Dateisystem (<Installationsverzeichnis>/config). Die einzigen vertraulichen Konfigurationsdaten sind das Collector-Manager-Benutzerpasswort, das zur Verbindung mit dem Nachrichtenbus verwendet wird.

In Störungssituationen können die Ereignisdaten im Dateisystem zwischengespeichert werden, z. B. wenn der Nachrichtenbus außer Betrieb ist oder ein Ereignisüberlauf vorliegt. Diese Ereignisdaten werden im Verzeichnis <Installationsverzeichnis>/data/collector_mgr.cache gespeichert.

Client-Anwendungen

Dateisystem (Installationsverzeichnis/config). Die Client-Anwendungen speichern keine vertraulichen Daten in ihren Konfigurationsdateien.

Beispielsweise können Client-Anwendungen die ESM-Daten in ein lokales Dateisystem exportieren. Die exportierten Dateien enthalten verschlüsselte Passwörter, wenn sie in der Konfiguration der Ereignisquellen vorhanden sind, die exportiert wurden. Obwohl die Passwörter verschlüsselt sind, sollte die Erlaubnis zum ESM-Export nur Benutzern erteilt werden, denen dieses Privileg wirklich anvertraut werden kann.

Keine