5.4 Sentinelデータのセキュリティ保護

重要:Sentinelサーバのデータは機密性が高いため、マシンのセキュリティを物理的に保護し、ネットワーク上の安全な領域に配置する必要があります。セキュリティ保護されたネットワークの外部のイベントソースからデータを収集するには、リモートコレクタマネージャを使用します。

特定のコンポーネントでは、システムがデータベースやイベントソースなどのリソースに接続するときに使用できるように、パスワードを格納しておく必要があります。この場合、クリアテキストパスワードに対して認証されていないアクセスが行われないよう、パスワードを格納する際は最初に暗号化が行われます。

パスワードが暗号化されているとしても、パスワードの漏洩を避けるため、格納されているパスワードデータへのアクセスが保護されるように注意する必要があります。たとえば、機密性のあるデータを含むファイルのアクセス許可が、権限のないユーザによって読み取り可能ではないことを確認します。

ファイル

advisor_client.xml

データベース資格情報

データベースの資格情報は、<installation_directory>/config/server.xmlファイルに保存されています。

<class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

アドバイザの資格情報

<obj-component id="DownloadComponent">
          <class>esecurity.ccs.comp.advisor.feed.NewAdvClientDownload</class>
      <property name="advisor.downloadfrom.url">https://secure-www.novell.com/sentinel/advisor/advisordata</property>
      <property name="username">admin</property>
      <!-- Set the password (encrypted) using the adv_change_password script -->
      <property name="password">jqhlWIX8HD6GDHVX9FApWg==</property>
<property name="compression.enabled">true</property>
      <!--
        Set the following properties to connect through an HTTP proxy.
        Set the proxy password (encrypted) using the adv_change_password script (make a
        copy of the script and add "-x" to the java cmd line to set the proxy password
        instead of the advisor password.
      -->
      <!--
      <property name="proxy_host"></property>
      <property name="proxy_port"></property>
      <property name="proxy_username"></property>
      <property name="proxy_password"></property>
      -->
        </obj-component>

Configuration.xml

<strategy active="yes" id="jms" location="com.esecurity.common.communication.strategy.jmsstrategy.activemq.ActiveMQStrategyFactory" name="ActiveMQ">
<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>
    </strategy>

das_binary.xml

<class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

das_core.xml

 <class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

一部のデータベーステーブルにはパスワードや証明書が保存されます。この機密データは暗号化され、以下に一覧表示するテーブルに格納されます。これらのテーブルへのアクセスは制限する必要があります。

Sentinel Rapid Deploymentは、設定データとイベントデータの両方を格納します。このデータは次の場所に格納されます。

コンポーネント

設定データの場所

イベントデータの場所

Sentinel Rapid Deploymentサーバ

データベースのテーブルとファイルシステム(<install_directory>/config)

この設定情報には、暗号化されたデータベース、イベントソース、インテグレータ、パスワードが含まれます。

データベース(EVENTS、CORRELATED_EVENTS、およびEVT_SMRY_, AUDIT_RECORDテーブル)と<Install_Directory>/data/eventdataおよび<Install_Directory>/data/raw dataにあるファイルシステム。

データは、パーティション管理ジョブの一部としてファイルシステムにアーカイブできます。

相関エンジン

ファイルシステム(<Install_Directory>/config)機密性のある設定情報は、メッセージバスへの接続に使用されるクライアントキーのペアのみです。

correlation_engine.cache

DAS Core

<Install_Directory>/config

das_core.cache

DAS_Binary

<Install_Directory>/config

データベースが停止中の場合、データがキャッシュされることがあります。

das_binary.cache

コレクタマネージャ

ファイルシステム(<Install_Directory>/config)機密性のある環境設定情報は、メッセージバスへの接続に使用されるコレクタマネージャユーザのパスワードのみです。

イベントデータは、メッセージバスの停止時やイベントのオーバーフロー時などのエラーが発生した状況では、ファイルシステムにキャッシュされることがあります。このイベントデータは<Install_Directory>/data/collector_mgr.cacheディレクトリに保存されます。

クライアントアプリケーション

ファイルシステム(install_directory/config)クライアントアプリケーションは機密情報を自身の環境設定ファイルに保存しません。

たとえば、クライアントアプリケーションはESMデータをローカルのファイルシステムにエクスポートできます。エクスポートされたイベントソースの設定に暗号化されたパスワードが含まれている場合、そのパスワードがエクスポートされたファイルに含まれます。パスワードは暗号化されますが、ESMのエクスポート許可は、この特権について信頼できるユーザにのみ付与するようにしてください。

None - なし。