在过去的几年中,人们对内部威胁的认识大大增加。 这些威胁源于公司内部人员(特权用户,例如系统和数据库管理员)特权的提升。 特权用户有权访问组织中的敏感数据。 网络钓鱼攻击和其他使用社会工程学的攻击的兴起,很可能使无辜的管理员成为攻击目标,并且他们的凭据也被盗用并用于邪恶活动。 有关管理员如何定向的演示,请确保观看以下安全免疫系统视频演示。
为了帮助应对内部威胁,组织依靠IBM Security的行业领先解决方案。 在本文中,我们将描述两种产品以及它们如何协同工作以提供对特权用户活动的更多了解:
- Guardium为数据保护提供了全面的解决方案,包括全面的数据和文件活动监视。 使用Guardium,组织可以针对数据库或文件监视详细的活动。 Guardium提供实时警报和详细分析,以帮助您发现未经授权的内部人员活动,甚至是随时间推移发生的活动。
- 特权身份管理器(PIM)通过集中管理和审核特权访问凭据的使用来帮助减轻内部威胁。
集成解决方案的好处
借助Guardium数据活动监控器(DAM),公司可以生成具有洞察力的报告,以显示数据活动的详细信息,例如谁执行了一项活动,何时执行了一项活动,该活动发生在哪里以及如何发生。 如果您拥有由IBM Security Privileged Identity Manager管理的特权帐户凭证,那么可以使用用户签出的共享帐户来执行数据库活动。 在集成之前,Guardium将只能“看到”共享的帐户ID,而无法将该活动与签出该帐户的真实人员相关联。
为了创建清晰的审核记录并追究人员的责任,重要的是确定租赁PIM共享证书的实际用户。
本文中描述的Guardium和PIM集成需要Guardium Data Activity Monitor v10补丁103或更高版本。 使用该解决方案,Guardium报告可以显示详细的活动,并将其与签出凭据的真实用户相关联,如图1中的报告所示。
图1.样本报告显示了用户和签入时间戳
解决方案架构
解决方案的配置需要两步过程:
- 将PIM元数据视图的定期导入安排到一组Guardium定制表。 这些数据库视图中加载了PIM数据,例如租约历史记录(使用共享帐户的人),共享凭据列表以及PIM管理的数据库。
- 将PIM数据上传到Guardium之后,您可以安排并自动将导入的PIM租约历史记录和凭据与DAM捕获的活动进行关联。
图2.将PIM数据与Guardium捕获的数据活动集成的两步过程
重要说明:在PIM数据关联过程中,只有那些专门在PIM中租用的共享凭据才与各自捕获的数据库活动关联。 换句话说,只有在任何时候只有一个人租用的那些共享凭证才与Guardium DAM捕获的活动相关。 如果将PIM设置为允许非独占的共享凭据租用,并且有两个用户同时租用了同一共享凭据,那么Guardium将不会连接结帐数据。 这里缺少相关性,因为无法识别同时签出共享凭据的两个用户中的哪个用户执行了相应的特定数据活动。
当PIM数据关联完成时,可以将有关捕获的Guardium数据活动的信息与用户信息结合在一起。 该用户实际上是通过租用的特权凭证执行活动的。 Guardium用户可以在其查询和报告中添加PIM属性,以查看特权用户的数据库活动。 他们还可以查看PIM租约信息以及租借共享凭证并执行活动的用户。
安装与配置
本节描述了设置Guardium与IBM Privileged Security Identity Manager(PIM)之间的集成的过程。 以下是步骤的高级概述:
- 在PIM配置中添加数据库资源以上传批量数据(PIM管理员)。
- 将数据库用户访问权限添加到PIM数据视图(PIM管理员)。
- 计划将PIM数据上载到Guardium现成的PIM定制表中(Guardium管理员)。
- 安排自动PIM数据关联(Guardium管理员)。
安装和配置完成后,Guardium用户可以将PIM数据添加到数据活动报告中,如使用PIM数据增强报告中所述。
在PIM配置中添加数据库资源以批量上传数据
从IBM Security Privileged Identity Manager版本2.0.2 Fix Pack 6开始,PIM允许用户使用#Resource-type标识符来处理批量上传。 在可以将Guardium配置为提取PIM凭据和检出/检入活动之前,需要在Privileged Identity Manager中设置PIM数据库资源。
例如,以下屏幕快照显示了PIM中的示例数据库类型资源,其中PIM管理凭据的数据库服务器的主机名/端口/类型。 此示例屏幕快照显示了Oracle数据库服务器的IP地址和端口,可以在其中跟踪PIM签入/签出活动并将其与Guardium特权用户的数据库访问活动相关联。
图3.示例PIM更新资源屏幕
有关在PIM中设置数据库类型资源以用于数据上传的更多信息,请访问PIM知识中心。
添加数据库用户对PIM数据视图的访问权限
IBM Security Privileged Identity Manager会在其元数据数据库(默认情况下称为“ idmdb”)中跟踪PIM活动。 在将PIM活动从idmdb数据库上载到Guardium设备之前,我们首先需要创建一个数据库用户,Guardium可以使用该数据库用户来访问idmdb数据视图。
- 为PIM idmdb创建数据库用户:
- 在PIM服务器上,在操作系统上创建一个新用户。 例如,
pimview
。 - 将新的操作系统用户
pimview
添加到组DB2USERS
。 - 更改新的
pimview
用户的密码。
- 在PIM服务器上,在操作系统上创建一个新用户。 例如,
- 授予用户访问所需的PIM数据视图的权限。 以您的PIM idmdb管理员身份登录,然后使用以下命令授予新用户访问所需PIM数据视图的权限:
清单1.示例代码清单
db2 connect to idmdb user piminst using <password> GRANT SELECT ON V_PIM_CICO_HISTORY_DB_RSRC TO <username> GRANT SELECT ON V_PIM_CRED_INFO_DB_RSRC TO <username> GRANT SELECT ON V_PIM_CRED_DETAILS_DB_RSRC TO <username> db2 disconnect current
注意:默认情况下,PIM数据由PIM idmdb管理员PIMINST
用户拥有。 有关如何允许数据库用户访问idmdb中所需的PIM数据视图的更多信息,请参见此知识中心主题 。
安排将PIM数据上载到Guardium现成的PIM定制表中
本节逐步介绍了将PIM元数据上传到Guardium设备的步骤。 从Guardium v10p103开始,现成提供了三个PIM定制表。 一旦PIM数据定期上传到提供的自定义表中,Guardium便可以将PIM检出数据与捕获的活动报告相关联。
- 登录到Guardium设备。
- 导航到“ 遵从”>“自定义报告”>“自定义表构建器” 。
- 在“自定义表”页面上,查找三个PIM自定义表。
图4. Guardium中的现成的PIM定制表
- 选择一个PIM自定义表,然后单击“上载数据”以配置将数据从PIM元数据数据库上载到Guardium。
图5.将数据上传到PIM定制表
- 在上载数据页面上,单击添加数据源以添加PIM数据源。
图6.添加数据源以将数据上传到PIM定制表
- 将打开“数据源查找器”页面。 单击“ 新建(+)”为包含PIM活动信息的PIM元数据数据库创建新的数据源。
图7.在Datasource Finder中添加新的PIM数据源
- 在数据源定义中,提供连接细节以连接到PIM idmdb数据库。 使用上一节“添加对PIM数据视图的数据库用户访问权限”中添加的凭据进行连接。 有关所需的最低特权的列表,请参阅IBM知识中心“创建用户以访问数据库视图”。 单击“ 应用”以保存数据源定义测试,并在继续操作之前使用“ 测试连接”按钮测试数据源连接。
图8. PIM idmdb的数据源连接定义
图9.测试数据源连接提示
- 创建PIM数据源定义后,选择PIM数据源并将其添加到“定制表上载数据”作业中。
图10.将PIM idmdb数据源添加到PIM定制表数据上传中
图11.在每个PIM定制表上传作业中添加PIM idmdb数据源
- 要设置自动数据上传的时间表,请单击“ 修改时间表”以修改将要上传到Guardium定制表的PIM数据的时间表。
图12.安排从PIM到Guardium的定期数据上传
图13.为您的PIM数据上传作业定义一个优选的时间表
图14.上载活动已计划
- 对其余的PIM表重复相同的步骤。
故障排除技巧:如果没有数据填充到Guardium PIM定制表中,请验证以下实例:
- 具有PIM数据库资源设置的配置是正确的(请参阅前面的部分, 在PIM配置中添加数据库资源以进行批量数据上传 )。
- 有特权用户具有针对PIM数据库资源中指定的数据库的签入/签入活动。 PIM定制表仅将尚未上载的数据上载到Guardium表。
设置PIM数据关联
将PIM数据上载到Guardium设备后(或将PIM数据分发到所有受管单元时),安排PIM数据关联作业以定期将上载的PIM数据与捕获的Guardium Session数据相关联。
- 使用以下CLI命令启用已上传的PIM数据与捕获的Guardium DAM会话数据的关联。 请注意,可以将<状态>设置为
on
或off
。 将<state>设置为on
启用PIM相关模式,设置为off
禁用PIM相关模式。> store pim_correlation_mode < state>
- 使用以下CLI命令来验证是否已启用PIM相关模式。
> show pim_correlation_mode
要将PIM数据与Guardium会话数据进行关联 ,请导航至“ 遵从”>“ PIM关联”>“修改时间表”。 确保选中“ 激活计划”框以激活计划的作业。 这是PIM数据关联计划的示例。
图15.安排定期的PIM数据与Guardium捕获的数据的关联
这是PIM数据关联计划的示例。
图16.样本PIM数据关联时间表
使用PIM数据增强报告
当PIM数据与捕获的Guardium会话数据相关联时,用户可以在其查询/报告中将其活动数据与PIM数据结合在一起。 可通过Guardium查询构建器中的访问域来访问与PIM相关的数据。 您可以创建新报告或修改现有的访问报告以添加此相关数据。
如果我们回顾一下第一个报告,它既包含捕获的数据库用户名和活动信息,又包含相关的PIM数据。 在此样本中,Guardium捕获了数据活动(时间戳,服务器类型,ServerIP,ClientIP,网络协议,数据库用户名,SQL),并将其与PIM签入和签入数据相关联。 该数据使我们不仅可以看到执行SQL语句的共享数据库用户名(即SYSTEM),而且可以看到执行该活动的实际PIM用户,从而获得可见性。
以下样本报告显示了数据库用户名,PIM用户名以及PIM签入和签入时间戳记:
图17.样本PIM活动报告
这是对先前样本报告的样本查询。 您可以包括“实体”列表中的任何PIM会话属性,以在您自己的活动报告中进行关联。
图18.带有PIM会话属性信息的示例查询
图19.带有PIM签入/签入时间戳记以及包含已捕获数据活动的理由信息的示例PIM关联报告
结论
IBM Security Privileged Identity Manager和Guardium活动监视的强大组合可以帮助您减少特权用户的管理和监视中的盲点,尤其是在敏感数据访问和活动方面。 设置并不困难,并且在两个产品之间安排了流程并实现了自动化。 这种集成只是IBM Security产品组合中构成安全免疫系统的众多产品之一。