5.4 Sécurisation des données Sentinel

IMPORTANT :les données du serveur Sentinel étant extrêmement sensibles, cette machine doit être sécurisée physiquement et placée dans un endroit sûr du réseau.Pour collecter les données des sources d'événements en dehors du réseau sécurisé, utilisez un gestionnaire des collecteurs distant.

Les mots de passe de certains composants doivent être stockés pour être disponibles lorsque le système doit se connecter à une ressource telle que la base de données ou une source d'événements. Dans ce cas, lorsque le mot de passe est stocké, il est d'abord codé pour empêcher tout accès non autorisé au mot de passe en texte clair.

Même si le mot de passe est codé, veillez à ce que l'accès aux données du mot de passe stocké soit protégé pour éviter toute exposition. Vous pouvez vérifier par exemple que les autorisations sur les fichiers contenant des données sensibles ne sont pas lisibles par des utilisateurs non autorisés.

Fichiers

advisor_client.xml

Référence de base de données

Les références de la base de données sont stockées dans le fichier <répertoire_installation>/config/server.xml.

<class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

Références d'Advisor

<obj-component id="DownloadComponent">
          <class>esecurity.ccs.comp.advisor.feed.NewAdvClientDownload</class>
      <property name="advisor.downloadfrom.url">https://secure-www.novell.com/sentinel/advisor/advisordata</property>
      <property name="username">admin</property>
      <!-- Set the password (encrypted) using the adv_change_password script -->
      <property name="password">jqhlWIX8HD6GDHVX9FApWg==</property>
<property name="compression.enabled">true</property>
      <!--
        Set the following properties to connect through an HTTP proxy.
        Set the proxy password (encrypted) using the adv_change_password script (make a
        copy of the script and add "-x" to the java cmd line to set the proxy password
        instead of the advisor password.
      -->
      <!--
      <property name="proxy_host"></property>
      <property name="proxy_port"></property>
      <property name="proxy_username"></property>
      <property name="proxy_password"></property>
      -->
        </obj-component>

Configuration.xml

<strategy active="yes" id="jms" location="com.esecurity.common.communication.strategy.jmsstrategy.activemq.ActiveMQStrategyFactory" name="ActiveMQ">
<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>
    </strategy>

das_binary.xml

<class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

das_core.xml

 <class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

Certaines tables de la base de données stockent des mots de passe et des certificats. Ces données sensibles sont codées et stockées dans les tables répertoriées ci-dessous. Vous devez limiter l'accès à ces tables.

Sentinel Rapid Deployment stocke les données de configuration et d'événements. Ces données sont stockées dans les emplacements suivants :

Composants

Emplacement des données de configuration

Emplacement des données d'événements

Serveur Sentinel Rapid Deployment

Tables de base de données et système de fichiers (<répertoire_installation>/config)

Ces informations de configuration comprennent la base de données code, la source d'événements, les intégrateurs et les mots de passe.

Base de données (tables EVENTS, CORRELATED_EVENTS, EVT_SMRY_ et AUDIT_RECORD) et système de fichiers aux emplacements <répertoire_installation>/data/eventdata et <répertoire_installation>/data/raw data

Les données d'événements peuvent être archivées dans le système de fichiers dans le cadre de la gestion des partitions.

Moteur de corrélation

Système de fichiers (<répertoire_installation>/config). La seule information de configuration sensible est la paire de clés client utilisée pour établir la connexion au bus de messages.

correlation_engine.cache

DAS Core

<répertoire_installation>/config

das_core.cache

DAS Binary

<répertoire_installation>/config

Les données d'événements peuvent être mises en cache si la base de données est arrêtée.

das_binary.cache

Gestionnaire des collecteurs

Système de fichiers (<répertoire_installation>/config). La seule information de configuration sensible est le mot de passe utilisateur du gestionnaire des collecteurs permettant d'établir la connexion au bus de messages.

Les données d'événements peuvent être mises en cache dans le système de fichiers dans des situations d'erreur : bus de messages arrêté ou débordement d'événements. Ces données d'événements sont stockées dans le répertoire <répertoire_installation>/data/collector_mgr.cache.

Programmes clients

Système de fichiers (répertoire_installation/config). Les programmes clients ne stockent pas d'informations sensibles dans les fichiers de configuration..

Par exemple, les programmes clients peuvent exporter des données ESM dans un système de fichiers local. Le fichier exporté contient des mots de passe codés s'ils sont présents dans la configuration des sources d'événements exportées.  Les mots de passe sont codés, mais l'autorisation d'exportation ESM ne doit être accordée qu'aux utilisateurs approuvés et disposant de ce privilège.

Aucun