Splunk: Italian Garante Privacy Amministratori di Sistema compliance

Postato il Aggiornato il

Con mia sorpresa ho scoperto che tra le apps che si possono aggiungere a Splunk ne esiste una realizzata da Consoft-Sistemi già pronta per la verifica dei requisiti imposti dal Provvedimento del Garante per la Privacy (G.U. n. 300 del 24 dicembre 2008) relativa  alla gestione delle operazioni di audit dell’attività degli Amministratori di Sistema.
Questa applicazione è concessa con licenza Creative Commons BY-NC-SA 2.5 e l’ultima versione disponibile è la 1.2.1.
Scaricate l’app su disco e per l’installazione occorre logarsi via web al proprio splunk server e dal menù Manager–>Apps cliccare sul pulsante “Install app from file” come da figura sotto:


Lanciando l’applicazione otterremo:

Splunk non si limita a registrare gli accessi riusciti, ma anche i tentativi falliti di accesso ai sistemi ed i logout dai sistemi, estendendo quindi il campo di ricerca possibile.
L’applicazione viene fornita con dashboard che analizzano alcune le seguenti sorgenti dati:

  • “WINDOWS” = log security di windows
  • “WINDOWS APP” = log application di windows
  • “LINUX AUDIT” = file di audit linux
  • “LINUX ORACLE” = log oracle in ambiente linux
  • “CISCO” = apparecchiature CISCO
  • “DOCUMENTUM” = log applicazione Documentum
  • “MAINFRAME” = log mainframe prelevati tramite FTP
  • “DB2” = log DB2

L’applicazione è davvero ben fatta e soddisfa i criteri del provvedimento in questione.
Per l’utilizzo completo dell’app vi rimando al manuale completo che trovate all’interno del file dell’app “GARANTE.tar.gz”.
Sarebbe interessante poter avere i commenti su questa app dagli utilizzatori…..postate gente, postate!

IZ

10 pensieri riguardo “Splunk: Italian Garante Privacy Amministratori di Sistema compliance

    Daniele Vincenzi ha detto:
    06/05/2011 alle 01:59

    Grazie per la segnalazione! Già usavo splunk per la piccola azienda dove lavoro ma è gradito dare la possibilità di una applicazione mirata allo scopo per i miei superiori abbastanza profani di informatica!
    Però ad essere sincero questa app non mi riconosce nessun evento presente in splunk!
    Con che criteri determina gli utenti amministratori dagli altri che evidentemente filtra?

      Ivan Zini ha risposto:
      23/05/2011 alle 23:23

      Ciao Daniele
      cito dalla documentazione dell’appliance:
      L’applicazione può essere personalizzata integrando qualunque altra sorgente dati, utilizzando come template le definizioni fornite.

      2 – CAMPO UTENTE

      Ogni evento di login/logout contiene il riferimento all’utente che ha effettuato l’operazione.
      E’necessario che l’utente venga referenziato con lo stesso nome di campo, ad esempio User_Name, in tutte le sorgenti dati.
      Affinché l’applicazione funzioni è quindi necessario definire questo campo per ognuna delle sorgenti dati presenti.
      3 – TAG

      E’ necessario definire alcuni tag utilizzati nelle search:

      Nome tag: ADMUSR
      Scopo: Identificare gli utenti AdS, distinguendoli da eventuali altri utenti presenti nel repository
      NOTA : Le search che popolano le dashboard fanno riferimento al tag=ADMUSR
      A questo scopo occorre modificare il file:

      *%splunk_home%/etc/apps/GARANTE/Default/tags.conf

      accodando ai TAG già presenti nuovi TAG relativi all’identificazione degli ADMUSR (propri di ciascuna azienda)

      IZ

        Tomasz ha detto:
        13/09/2011 alle 16:23

        ho agiunto i TAG ma non trova niente, ho Windows 2008 R2 in italiano e ho visto che nei
        ho c’è LOGIN o LOGOFF ma Accesso e Disconnessione è questo il motivo ?
        [User_Name=Administrator]
        ADMUSR = enabled

        [User_Name=Admin]
        ADMUSR = enabled

        # [User_Name=root]
        # ADMUSR = enabled

        [User_Name=Mario]
        ADMUSR = enabled

          Ivan Zini ha risposto:
          12/10/2011 alle 23:51

          Ciao,

          si occorre personalizzare i files di configurazione tags.conf e eventtypes.conf

          IZ

    Massimo ha detto:
    19/09/2011 alle 12:04

    anche io ho lo stesso problema con windows server 2003 R2. Apparentemente gli utenti dentro sono già giusti e non dovrebbe servire nessun tag in più

    Manu ha detto:
    03/10/2011 alle 11:08

    Ciao,
    sto provando l’applicazione, ma non riesco a farla funzionare, o meglio, non vedo nessun log di login o logoff in nessuna schermata.
    Probabilmente è solo un problema di configurazione dell’applicazione stessa, perchè se su Splunk installao la app “windows” vedo che splunk cattura effettivamente tutti i log di login e logoff.
    Nei server windows uso “snare for windows” per inviare i log a splunk.
    Sapete aiutarmi ?

      Ivan Zini ha risposto:
      12/10/2011 alle 23:41

      Ciao

      copio e incollo le istruzioni fornite con l’app:

      1 – SORGENTI DATI (SOURCETYPE)
      L’applicazione viene fornita con dashboard che analizzano alcune sorgenti dati comuni, così identificate:

      “WINDOWS” = log security di windows
      “WINDOWS APP” = log application di windows
      “LINUX AUDIT” = file di audit linux
      “LINUX ORACLE” = log oracle in ambiente linux
      “CISCO” = apparecchiature CISCO
      “DOCUMENTUM” = log applicazione Documentum
      “MAINFRAME” = log mainframe prelevati tramite FTP
      “DB2” = log DB2
      L’applicazione può essere personalizzata integrando qualunque altra sorgente dati, utilizzando come template le definizioni fornite.

      2 – CAMPO UTENTE

      Ogni evento di login/logout contiene il riferimento all’utente che ha effettuato l’operazione.
      E’necessario che l’utente venga referenziato con lo stesso nome di campo, ad esempio User_Name, in tutte le sorgenti dati.
      Affinché l’applicazione funzioni è quindi necessario definire questo campo per ognuna delle sorgenti dati presenti.

      3 – TAG

      E’ necessario definire alcuni tag utilizzati nelle search:

      Nome tag: ADMUSR
      Scopo: Identificare gli utenti AdS, distinguendoli da eventuali altri utenti presenti nel repository
      NOTA : Le search che popolano le dashboard fanno riferimento al tag=ADMUSR
      A questo scopo occorre modificare il file:

      *%splunk_home%/etc/apps/GARANTE/Default/tags.conf

      accodando ai TAG già presenti nuovi TAG relativi all’identificazione degli ADMUSR (propri di ciascuna azienda)

      **********************

      Nome tag: LOGIN
      Scopo: Normalizzare le ricerche degli eventi di LOGIN, indipendentemente dalla piattaforma

      Nome tag: LOGFAIL
      Scopo: Normalizzare le ricerche degli eventi LOGIN FAILED, indipendentemente dalla piattaforma

      Nome tag: LOGOUT
      Scopo: Normalizzare le ricerche degli eventi LOGOUT, indipendentemente dalla piattaforma

      NOTA: Le search che popolano le dashboard fanno riferimento a tag=LOGIN, TAG=LOGFAIL, TAG=LOGOUT

      I tre TAG sono stati definiti tramite il tagging di eventtypes.
      Qualora gli eventtypes disponibili non fossero sufficienti (per la presenza di piattaforme non contemplate) occorre integrare
      la lista esistente con nuovi eventtypes.com (keywords per documentazione ufficiale: “About event types”,”Tag event types”)

      IZ

    Adalberto ha detto:
    09/01/2012 alle 18:56

    E’ ancora possibile scaricare in rete la vs 1.21? La 1.22 è una App informativa di poca utilità.

      simone ha detto:
      28/04/2015 alle 22:37

      ciao, ero interessato pure io a trovare la versione 1.21. Ci sei riuscito? Oppure hai trovato alternative?
      grazie

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...