El nivel de dependencia de la información y la trascendencia de ésta a llevado a la creación de áreas organizacionales y funciones de software que permiten realizar un seguimiento completo de quién, cómo, cuándo, porqué movió los datos.
Se anexa un breve documento aportacion de LUZ DEL CARMEN RODRIGUEZ al respecto.
Para poder auditar dentro de ASE es necesario efectuar los siguientes pasos:
1. Instalar el modulo de auditoria.
En este paso deben de crearse los dispositivos y tablas de auditoria. Usualmente se utiliza el programa de instalacion llamado auditinit. En este proceso de instalacion se establece el numero de tablas de auditoria a utilizar (pueden ser hasta 8) y en que dispositivo van a residir dichas tablas y el log de transacciones.
La instalacion puede efectuarse ejecutando el script installsecurity, el cual puede ser localizado en el directorio $SYBASE/scripts. Antes de ejecutar este script es necesario crear los dispositivos en los que residira la primera tabla de auditoria y el log de transacciones, una vez completado este pre-requisito, ejecutar el script y reiniciar el server.
Si se desean crear mas tablas de auditoria, utilizar sp_audittable para tal proposito.
2.Configurar el manejo de las tablas de auditoria
Crear un threshold que ejecute un stored procedure que modifique la tabla de auditoria actual o bien suspenda la auditoria.
Tambien deben modificarse los parametros de configuracion “audit queue size” y “suspend audit when device full”. Deben de adecuarse a sus necesidades especificas.
3. Configurar el manejo del log de transacciones para la base de datos sybsecurity.
Es conveniente encender la opcion “tunc log on chkpt” en la base de datos sybsecurity o bien crear el sp_thresholdaction para poder truncar o respaldar el log de trransacciones y con esto evitar que se llene el log de transacciones y se interrumpa el servicio del server por un llenado del log en esta base de datos.
4. Configurar los eventos a auditar.
El SSO (oficial de seguridad) debe de utilizar el stored procedure sp_audit para configurar los eventos a auditor. La sintaxis es:
sp_audit option, login_name, object_name [,setting]
Las opciones a auditar se pueden encontrar en la siguiente tabla:
|
Opcion
|
Descripcion
|
|
adhoc
|
|
|
all
|
Audita todas las acciones de auditoria realizadas por un usuario en particular o por usuarios con un role especifico. Puede usarse esta opcion para especificar roles de sistema.
|
|
alter
|
Audita la ejecución de alter table o alter database.
|
|
bcp
|
Audita the ejecución de la utilería bcp in.
|
|
bind
|
|
|
cmdtext
|
Audita todas las acciones realizadas por un usuario en particular.
|
|
create
|
Audita la creación de objetos de base de datos.
|
|
dbaccess
|
Audita el acceso de la base de datos actual a otra base de datos.
|
|
dbcc
|
Audita la ejecución de comandos dbcc.
|
|
delete
|
Audita el borrado de renglones de una tabla o vista.
|
|
disk
|
Audita la ejecución de disk init, disk refit, disk reinit, disk mirror, disk unmirror, and disk remirror.
|
|
drop
|
Audita el borrado de objetos de la base de datos.
|
|
dump
|
Audita la ejecución de dump database o dump transaction.
|
|
errors
|
Audita errors, sean fatales o no.
|
|
exec_procedure
|
Audita la ejecución de un stored procedure.
|
|
exec_trigger
|
Audita la ejecución de un trigger.
|
|
func_dbaccess
|
Audita el acceso a una base de datos a través de una función de Transact-SQL.
|
|
func_obj_access
|
Audita el acceso a un objeto a través de una función de Transact-SQL.
|
|
grant
|
Audita la ejecución de grant.
|
|
insert
|
Audita la inserción de renglones en una tabla o vista.
|
|
load
|
Audita the ejecución de load database o load transaction.
|
|
login
|
Audita todos los intentos de conexión a Adaptive Server.
|
|
logout
|
Audita todos los intentos de desconexión desde Adaptive Server.
|
|
reference
|
Audita las referencias entre tablas.
|
|
revoke
|
Audita la ejecución de revoke.
|
|
rpc
|
Audita la ejecución de llamadas a procedimientos remotos.
|
|
security
|
Audita los siguientes eventos de seguridad:
|
|
Audita la ejecución de select.
|
|
setuser
|
Audita la ejecución de setuser.
|
|
table_access
|
Audita el acceso a acceso a cualquier tabla por un usuario especifico.
|
|
truncate
|
Audita la ejecución de truncate table.
|
|
unbind
|
|
|
update
|
Audita actualizaciones a renglones a una tabla o vista.
|
|
view_access
|
Audita el acceso a cualquier vista por un usuario especifico.
|
login_name
es el parámetro que te permite especificar “all” (todos), un role de sistema, o el nombre de un login especifico a ser auditado. Los roles de sistema pueden ser especificados si se utiliza la opcion “all”. No se pueden auditar opciones individuales para un role de sistema.
object_name
es el nombre del objeto a ser auditado. Los valores validos dependen del valor que se especifique en el parámetro option:
· El nombre del objeto, incluyendo el nombre del dueño en caso de no pertenecerle. Por ejemplo, para auditar una tabla llamada inventario que le pertenezca a Juan, debe de especificarse juan.inventario en el nombre del objeto.
· all para todos los objetos.
· default table, default view, default procedure, or default trigger to audit access to any new table, view, procedure, or trigger.
default table and default view are valid values for object_name when you specify delete, insert, select, or update for the option parameter. default procedure is valid when you specify the exec_procedure option. default trigger is valid when you specify the exec_trigger option.
setting
es el nivel de auditoria. Si no se especifica un valor para este parámetro, Adaptive Server despliega el valor actual para la opción. Los valores validos para este parámetro se describen en la siguiente tabla:
|
Valor de setting
|
Descripción
|
|
on
|
Activa la auditoria. Adaptive Server genera los registros de auditoria para los eventos controlados por esta opción, los permisos son verificados cuando el evento pasa o falla.
|
|
off
|
Desactiva la auditoria para la opción especificada.
|
|
pass
|
Activa el auditar los eventos pasen el chequeo de permisos.
|
|
fail
|
Desactiva la auditoria de eventos que pasen el chequeo de permisos.
|
Si se selecciona pass para una opcion y posteriormente se especifica fail para la misma opcion, o vice versa, el resultado es equivalente a especificar on. Adaptive Server genera registros de auditoria independientemente de que los eventos pasen o fallen la verificacion de permisos. La configuracion de on u off aplica a todas las opciones de auditoria excepto errors y adhoc. Para estas opciones, solamente aplica on u off. El valor inicial por default para todas las opciones es off.
5. Habilitar la auditoria
Para comenzar el proceso de auditoria, se debe de modificar el parámetro de configuracion “auditing” mediante sp_configure “auditing”,1