5.4 Protección de los datos de Sentinel

IMPORTANTE:A causa de la naturaleza sumamente confidencial de los datos del servidor de Sentinel, debería proteger físicamente el equipo y mantenerlo en un área segura de la red. Para recopilar datos de orígenes de eventos que no están en la red segura, utilice un gestor de recopiladores remoto.

Para ciertos componentes, las contraseñas deben almacenarse para que estén disponibles cuando el sistema necesite conectarse a un recurso como la base de datos o a un origen de eventos. En este caso, cuando se almacena la contraseña, se cifra primero para evitar el acceso no autorizado a la contraseña de texto no cifrada.

Aunque la contraseña esté cifrada, debe procurar que el acceso a los datos almacenados de la contraseña están protegidos para evitar que ésta sea revelada. Por ejemplo, puede garantizar que otros usuarios no autorizados no pueden leer los permisos en los archivos con datos confidenciales.

ARCHIVOS

advisor_client.xml

Credenciales de la base de datos

Las credenciales de la base de datos se almacenan en el archivo <directorio_de_instalación>/config/server.xml.

<class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

Credenciales del Asesor

<obj-component id="DownloadComponent">
          <class>esecurity.ccs.comp.advisor.feed.NewAdvClientDownload</class>
      <property name="advisor.downloadfrom.url">https://secure-www.novell.com/sentinel/advisor/advisordata</property>
      <property name="username">admin</property>
      <!-- Set the password (encrypted) using the adv_change_password script -->
      <property name="password">jqhlWIX8HD6GDHVX9FApWg==</property>
<property name="compression.enabled">true</property>
      <!--
        Set the following properties to connect through an HTTP proxy.
        Set the proxy password (encrypted) using the adv_change_password script (make a
        copy of the script and add "-x" to the java cmd line to set the proxy password
        instead of the advisor password.
      -->
      <!--
      <property name="proxy_host"></property>
      <property name="proxy_port"></property>
      <property name="proxy_username"></property>
      <property name="proxy_password"></property>
      -->
        </obj-component>

Configuration.xml

<strategy active="yes" id="jms" location="com.esecurity.common.communication.strategy.jmsstrategy.activemq.ActiveMQStrategyFactory" name="ActiveMQ">
<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>
    </strategy>

das_binary.xml

<class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

das_core.xml

 <class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

Algunas tablas de la base de datos almacenan contraseñas y certificados. Estos datos confidenciales están cifrados y se almacenan en las tablas indicadas más abajo. Debe limitar el acceso a estas tablas.

Sentinel Rapid Deployment almacena tanto datos de configuración como de eventos. Estos datos se almacenan en las siguientes ubicaciones:

Componentes

Ubicación de los datos de configuración

Ubicación de los datos de eventos

Servidor de Sentinel Rapid Deployment

Tablas de la base de datos y sistema de archivos (<directorio_instalación>/config)

Esta información de configuración incluye la base de datos cifrada, el origen de eventos, integradores y contraseñas.

Base de datos (tablas EVENTS, CORRELATED_EVENTS y EVT_SMRY_, AUDIT_RECORD) y el sistema de archivos en <directorio_instalación>/data/eventdata y <directorio_instalación>/data/raw data

Los datos de eventos se pueden archivar en el sistema de archivos como parte del trabajo de gestión de particiones.

Motor de correlación

Sistema de archivos (<directorio_instalación>/config). La única información de configuración confidencial es el par de claves del cliente utilizado para conectarse al bus de mensajes.

correlation_engine.cache

DAS Core

<directorio_instalación>/config

das_core.cache

DAS Binary

<directorio_instalación>/config

Los datos de eventos se pueden almacenar en el caché si la base de datos está inactiva.

das_binary.cache

Gestor de recopiladores

Sistema de archivos (<directorio_instalación>/config). La única información de configuración confidencial es la contraseña del usuario del gestor de recopiladores utilizada para conectar al bus de mensajes.

Los datos de eventos se pueden almacenar en el caché en el sistema de archivos durante condiciones de error como que el bus de mensajes esté inactivo o haya una sobrecarga de eventos. Estos datos de eventos se almacenan en el directorio <directorio_de_instalación>/data/collector_mgr.cache.

Aplicaciones cliente

Sistema de archivos (directorio_instalación/config). Las aplicaciones cliente no almacenan información confidencial en sus archivos de configuración.

Por ejemplo, las aplicaciones cliente pueden exportar datos de la gestión de orígenes de eventos a un sistema de archivos local. El archivo exportado contiene contraseñas cifradas, si están presentes en la configuración de los orígenes de eventos que se han exportado. Aunque las contraseñas estén cifradas, el permiso de exportación de ESM sólo debería otorgarse a aquellos usuarios que tengan un privilegio de confianza.

Ninguna