Segurança
Nenhuma estratégia de segurança está completa sem uma estratégia de auditoria abrabgente. Com freqüência, organizações compreendem isso somente após sofrerem um incidente de segurança. Sem uma faixa de auditoria de ações, é quase impossível investigar com êxito um incidente de segurança. Você deve determinar, como parte da sua estratégia de segurança como um todo, que eventos necessitam de auditoria, qual o nível de auditoria adequado para o seu ambiente, como os eventos dos quais foi feita a auditoria são coletados e como são consultados.
Auditoria é o processo que rastreia as atividades do usuário e as atividades do sistema operacional gravando tipos selecionados de eventos no log de segurança de um servidor ou de uma estação de trabalho. Logs de segurança contêm várias entradas de auditoria, que contêm as informações a seguir:
A Ação que foi executada.
O usuário que executou a ação.
O êxito ou falha do evento e quando ele ocorreu.
Informações adicionais, como o computador no qual o evento ocorreu.
As necessidades de segurança de uma organização ajudam a determinar a quantidade de auditoria usada. Por exemplo, uma rede de segurança mínima pode optar por fazer a auditória de tentativas de logon que falharam para monitorar ataques de força bruta em potencial. Uma rede de alta segurança pode optar por fazer a auditoria de tentativas de logon de êxito ou de falha para rastrear quaisquer usuários não autorizados que consigam obter acesso à rede.
Embora a auditoria possa oferecer informações valiosas, auditorias excessivas podem preencher o log com informações desnecessárias. Sso pode afetar potencialmente o desempenho do sistema e dificultar muito a localização de informações importantes.
Os tipos mais comuns de eventos a serem submetidos à auditoria ocorrem quando:
Objetos, como arquivos e pastas, são acessados.
Contas de usuário e contas de grupos são gerenciadas.
Usuários fazem logon e logoff do sistema.