最即時的Sybase ASE Server資料庫診斷工具

M-Power eNews

PSD 產品服務部李秉錡

Feb-11 2014 M-Power eNew

本篇文章版權為倍力資訊股份有限公司所有，未經書面同意，嚴禁複製、轉載 Page 1 of 21

InTrust 企業稽核之神兵利器

一、前言

當一個企業確立了市場定位與建立了競爭優勢，便開始進入 PDCA(戴明循

環)的管理循環了。換句話說，就是由內部、外部的稽核人員，透過稽核程序深入

組織及其運作，進而達成：促進公司之健全經營，合理確保公司營運獲利、績效

及保障資產安全…等長程目標。

企業在面臨的網際網路與國際化的經營挑戰下，除了有外部的既有競爭對手

與潛在競爭對手會對企業進行商業情報的搜集，也會遭遇內部既有員工與欲離職

員工計劃從事非法情事的挑戰。甚至當企業要與國際接軌，還會需要給稽核的內

容提供給國際認證組織(SOX, HIPAA, GLBA…等)。

當企業主管在思考資訊系統究竟要如何自動化地達成以上目的，既能夠配合

年度定期的稽核作業，又能夠減輕因應稽核作業所帶來的工作負載。並且可以支

援臨時性的蒐證(Forensics)，透過法律途徑主張企業合法的權利，免於不法情事

的傷害。

Dell Software在其Compliance and IT governance產品線中，有一項 InTrust

產品，他兼具稽核與預警(Auditing and alerting)、矯正(Remediation)、資料保存

與分析(Messaging data archiving and e-discovery)的幾個面向，提供企業專業且

適切的解決方法，來滿足以上的需求。

什麼是 InTrust？

InTrust 是一套針對 event-log based 管理的完整解決方案，在您的企業網絡

環境中，可以提供異質性(Windows 與非 Windows 平台)的稽核資訊，透過這個

powerful 與 comprehensive 的稽核系統平台，您可以輕鬆地佈署與管理，日益複

雜與龐大的企業環境。並且達到以下目標：

1. 投入最少的資源，完成每日基本的資訊安全稽核工作項目。

2. 以高度資訊安全(HTTPS/SSL)資料處理機制，進行稽核資料的收集(加密傳

輸)、儲存(對長期資料進行壓縮)、查詢(直覺且快速)。

3. 即時監控重要的安全事件，透過自動化的機制來觸發警示與動作。

4. 豐富的稽核報表，藉由 SQL Server Reporting Service 來發佈，多種作業系

統與指定的系統 log 的稽核資訊。

M-Power eNews




5. 全方位稽核，除了掌握伺服器的關鍵服務(service)/應用(application)，範圍也

能包含個人電腦的使用行為。

6. 整合 Dell software 與 Microsoft 的稽核相關軟硬體產品。

InTrust 稽核怎麼做？

在 InTrust 產品建置完成後，先要決定哪些伺服器需要安裝佈署 agent，然後

再透過環境設定(configuration)、策略(policies)、規則(Rules)，系統便能自動化

的執行稽核與警示。如下圖：

M-Power eNews




InTrust 的預期效益

導入 InTrust 稽核平台後，企業除了可以透過管理介面，集中管理分散在不

同地域的稽核資訊，並且還能達成以下目標：

1. 即時監控企業關注的重要事件，並於發生時產生警示通知管理者。

2. 應用智慧查詢，找出不法情事，並儲存為證據。

3. 在企業網絡中，追蹤與分析關注的伺服器運作與使用者行為。

4. 長期保存符合標準規範的稽核資訊。

5. 透過排程與隨需(on demand)的稽核報表，深入地稽核企業細節。

6. 保障既有投資，InTrust 可以與既有的稽核軟硬體協同合作。

7. 應用流程引擎，產出稽核所需的資訊，進而與國際標準接軌。

M-Power eNews




二、InTrust 的系統架構

InTrust 的產品定位，是可以符合複雜企業網絡的稽核解決方案。他可以支援

多個網域(Domain)、多個地域組織(Organization)、多台伺服器/個人電腦的稽核

作業。基本的管理單位是一台 InTrust server，安裝在 Windows 的伺服器後並配

置MS SQL server後，便可以開始監控多達 1800台異質性(Windows/Linux/Unix)

的被稽核端。至於多台 InTrust server 在企業中的協同運作流程，第一步是每台

InTrust server 會蒐集資料至自己的儲存區(repository)，第二步是整合多個儲存

區至集中的儲存區，第三步由集中的儲存區匯入至 Audit 資料庫中，進而出具整

合全企業的報表。

由於 InTrust 的架構較為完整且豐富，以下將依據各種面向，向大家介紹這

套企業等級的稽核平台。

系統面(Module)

InTrust 產品經過系統化的模組設計，可依據所需功能，將模組由下往上堆疊

建置起來。例如針對企業的網站服務，進行 IIS 的稽核。

系統面(Key components)

元件名稱元件功能備註

InTrust Site 一個欲稽核的電腦群組，可透過網段、電腦

名稱、AD 組織、EMCA script、文字檔的

方式，將其加入同一個 Site

InTrust 負責收集資料，監控 InTrust Site。另外企

M-Power eNews




Server 業會有員工/伺服器的增減，也是透過他進

行相關的安裝、設定、維護作業

InTrust

Organization

可包含多個 InTrust Server 的群組，透過分

享同一個 Configuration DB，達到負載平衡

與一致性(收集策略、監控規則…)的管理

InTrust Agent 透過 InTrust Server(自動)佈署在被稽核端

的執行程式，然後定期的把稽核資料傳送至

集中管理的儲存裝置

若超過時限，連接

不上 InTrust Server

會自動移除

InTrust

Manager

集中化的管理介面，負責設定(系統環境、

稽核範圍)、資料(單一儲存區的資料收集、

多個儲存區的資料整合)、即時監控(策略、

規則)、資料分析(報表、即時監控管理介

面)、流程引擎(流程設定、執行記錄)

InTrust

Deployment

Manager

集中化的佈署管理介面，負責 Agent 的佈

署與相關設定

InTrust

Monitoring

Console

即時監控的管理介面，可透過參數的設定滿

足不同的企業網絡環境。負責追蹤與解決即

時監控的作業。

Web 版

InTrust

Repository

Viewer

負責資料查詢，包含主機查詢(指定網域、

伺服器、個人電腦)與應用查詢(Domain

controller、Exchange、Windows Filer、

Network Filer、SharePoint、Lunix & Unix、

VMWare、Workstations、Event analysis)、

自定義查詢(儲存自己的常用的查詢條件)

Quest

Knowledge

Portal

基礎於 SSRS 的稽核報表，可排程產出給

不同使用者所需的不同內容報表。另外標準

報表都可透過報表設計師再加以客製化，以

符合各個企業的不同需求

可選擇相對應的

Report pack，縮

短對異質平台的

稽核報表需求

隨著企業的規模以及時間累積，稽核的資料會不斷的累積，存取的速度就會

變慢。為此 InTrust 除了在系統的設計上，讓 Repository Viewer 直接去讀取儲存

區(如下圖的 Indexed Repository)。還內建了許多儲存區索引、稽核資料壓縮、

M-Power eNews




稽核資料清除、儲存區資料合併…等程式工具或 Scripts，提供給企業單獨執行或

是加入排程引擎。

支援的平台(Agent)

InTrust 除了 Windows 還可以支援多種作業系統，而且預設 7 天當 agent 連

不上 InTrust Server 會自動移除。兼具稽核容易與管理方便的效益，下表是目前

InTrust 有支援的作業系統版本整理。

作業系統版本

Windows Windows server 2003, 2008, 2012

Windows XP professional, Vista, 7, 8

Windows embedded POSReady2009

IBM AIX 5, 6, 7.1

HP HP Unix 11i v1~3

Sun Sun Solaris 8, 9, 10

SUSE SUSE Linux Enterprise 9, 10, 11

Red Hat Red Hat Enterprise Linux 3, 4, 5

VMWare VMWare ESX 3.5~4.1

VMWare ESXI 3.5~4.0

M-Power eNews




報表平台(Quest Knowledge Portal)

Quest Knowledge Portal 是一套架構 Microsoft SQL Server Reporting

service 之上的報表平台。管理者可以將內建稽核報表，依據使用者的需求與存

取權限，在排程的時間提供指定的檔案格式，而且容易客製化(利用報表設計師)。

M-Power eNews




擴充模組(Knowledge Pack/ Report Pack)

InTrust 產品針對異質性平台及應用服務的稽核需求，已經內建許多設定樣版

與報表，有效地縮短佈署與設定的時間，減輕管理者的 workload。

以下圖為例，當我們選擇安裝 IIS 的 Knowledge Pack 後，在管理介面中，

M-Power eNews




就會出現預先定義好的 Gathering policies、Import policies、rules，縮短我們設

定相關稽核作業的時間。

M-Power eNews




以下圖為例，當我們選擇安裝 Microsoft SQL server Report Pack 後，在

Quest Knowledge Portal 管理介面中，就會出現預先定義好的範例報表，縮短我

們設定與開發的時間。

M-Power eNews




擴充模組(Add-in)

InTrust 針對整合既有稽核工具(Security Information and Event

Management)與輸出格式的需求，提供了相關的 Add-in。

廠商軟體產品備註

Microsoft Microsoft Identity Integration Server

Microsoft Microsoft Operations Manager 2005 版本

Microsoft Microsoft System Center Operations Manager 2007 版本

Microsoft Microsoft System Center Operations Manager

for Audit Collection Services

2007 版本

Dell software ChangeAuditor

Dell software Active Role Server

以下圖就以 MOM ACS 為例，安裝 Add-in 後整合後。同一個事件，在 MOM

與 InTrust 二邊都會收到，甚至二邊的 Alert 也可以整合。以免事件數量增加，會

加重管理者的工作量，因為要處理二邊針對同一的事件重覆的警示郵件。

M-Power eNews




在下圖中有一個 Excel Add-in，值得一提的事 InTrust 也針對沒有辦法訂閱

SSRS 的使用者，貼心地開發 Add-in，將報表輸出成 Excel；而非是 InTrust 的

報表無法輸出成 Excel。

M-Power eNews




三、InTrust 企業稽核案例

在企業網絡中大多會以 Active Directory (以下簡稱 AD)的架構，再配合政策

(權限管理、資源劃分、責任歸屬…等)的制定，來管理所有的使用者(帳號、組織…

等)、電腦(Workstation、Server)、資源(共享檔案夾、網路、印表機…等)。以下

將以幾個 InTrust 的稽核應用情境，來感同身受這個產品所能帶來的效益。

稽核 Member server

因為開發、測試…等其他原因，企業中可能會存在一些沒有加入 AD 管理的

Member server。由於這個類型的伺服器的 Event log，並沒有辦法透過 AD 集中

管理，若是 Member server 能夠存取 Intranet，就有可能會成為企業網絡中較大

的安全威脅。

假設當駭客入侵一台 Member server，可能會出現下表的相關事件。但是當

駭客在入侵結束後，會習慣性的毀屍滅跡，經過 Event log 清除動作之後，只能

看到事件 517 與 622。若是這個駭客行徑囂張，甚至還會出現 643 與 609，意圖

癱瘓這台機器原來的使用者。

事件編號事件內容分類

621 Logon right granted 駭客入侵過程

608 User right assigned 駭客入侵過程

601 Service installed or changed 駭客入侵過程

520 System time changed 駭客入侵過程

517 Audit log cleared 駭客入侵收尾

622 Logon right revoked 駭客入侵收尾

643 Password/ Lockout policy changed 駭客惡意行為

609 User right removed 駭客惡意行為

M-Power eNews




下圖是 InTrust 針對 Member server 的 Major security events and policies

changes 報表(他還有一張對象為 AD member 相同名稱的報表)。在這張報表中

可以看出 InTrust 二個特色，第一是可以將分散在個別 Member server 內的 Event

log 集中管理，而且資訊整理地很完整(人事時地物)，甚至還能顯示改動前後的

值；第二是透過 Agent 的佈署，除了事件可以即時回傳(在事件 517 進行之前，

就已經將駭客的入侵動作，逐一記錄下來（包含駭客把自己帳號的行為偽裝成

NT authority\System），送至 InTrust 的 Repository。

檔案權限異動

雖然說 Windows 有一個原生的檔案(目錄、子目錄、檔案)稽核功能，但是隨

著時間的增加，目錄結構與檔案會逐漸地複雜，所以相對來說檔案存取與權限異

動的事件也會快速的增加，加重管理者的困擾。

下圖是 InTrust 所提供的 Permission changes 報表，我們可以完整地了解檔

案/目錄權限異動的相關訊息。在最近一週， Financial(企業常見的機敏目錄)目

錄曾經被 madmin 帳號，執行過 ACE(Access Control Entries)修改與新增動作。

M-Power eNews




在 Files access 報表中，我們可以完整地看到檔案存取的狀況，包含授權的

類型。以下圖為例，WRITE_DAC 權限是可以修改 discretionary access control

list，換句話說是可以任意加入其他的帳號來存取這個檔案。管理者可以去檢視

madmin 這個帳號對這個檔案具有權限，是否合適？

M-Power eNews




在 Share permission changes 報表，我們可以完整地了解共享目錄的權限異

動相關訊息。甚至可以點選超連結(Drill down)，繼續了解每一筆記錄的 Detail。

找出不法情事的證據

假設有一個股票上市的公司，還沒有到達公佈公司營收的時間，但是市場上

卻已傳出下半年的業務(財報數字)不好，股價急速下跌，公司管理者開始懷疑可

能是內賊所為。但是仔細想想，知道 administrator 密碼的人也不少，在還沒有證

據就把人約來談話，可能會打草驚蛇！適得其反增加蒐證的困難度。

於是管理者透過 InTrust Repository Viewer 工具想要了解財報是否有人外

洩？先在 Filter 工具中設定 Computer name = work1(存放財報的 File server)日

M-Power eNews




期為 last 1 day，看看是否能找到嫌疑記錄，過濾出來的記錄真的很多。

接著把找到的記錄以 what/when/where/who Filter 再過濾一次，利用 group

by 的功能(拖曳 who 與 what 欄位)，以求快速找到嫌疑記錄。

發現 mkent 曾經有存取 work1，另外切到 Event details 頁面，除了看到有

存取十月財報的記錄，也記載了 ip。接著再把 Filter 條件設成 10.30.39.0 這個網

段，更進一步分析相關的存取途徑。

M-Power eNews




果然這個 ip，曾經以 administrator 帳號去登入 AD 中其他機器。所以取消

groupby who，以 who = administrator 加上 when after 01/25/2012 12:41 PM，

把相關的操作行為找到。

果然有找到 Event log 被清除的記錄

M-Power eNews




另外他還花了 6 分鐘，先將自己加入 Financial

report user 群組(Group member added)，獲得

財務檔案存取的權限，再移除將自己這個群組

(Group member removed)。

最後管理者以 who=mkent，when 介於這 6 分

鐘，what=file，將查詢結果存儲起來，然後報警

處理。

M-Power eNews




四、結論：

透過以上的介紹，最後我們用一張圖來總結這個神兵利器。企業透過 InTrust

稽核平台，可以依據公司的策略與規則來稽核自己的企業網絡(從下圖的內圈，可

以看到 InTrust 可以稽核的對象相當的廣泛)，實現了自動化地稽核資料的蒐集

(Access 異質平台的 event logs)、稽核管理(Audit/Alert 即時監控與警示)、稽核

分析與矯正(Remediate)的正向循環。

主管能透過 Browser 連上 Quest Knowledge Portal 主動了解相關的稽核資

訊，也會因為收到警示需要連上 Quest Knowledge Portal 進行異常分析與問題解

決。最重要的是，當企業要與國際接軌時，光是研究這些國際認證組織(COSO,

M-Power eNews




HIPAA, PCI DSS, SOX…等)的規則，再來提出相關的稽核資訊，將會需要投入

較高的人力與時間成本。選擇 InTrust，您的企業在起跑點上已經領先競爭對手一

半了。

聯絡資訊：

倍力資訊股份有限公司

http://www.mpinfo.com.tw

地址：台北市大安區仁愛路 4 段 85 號 12 樓

產品諮詢：[email protected]

連絡電話：02-2731-6868 分機：603 陳小姐

http://www.mpinfo.com.tw/

mailto:[email protected]

Documents

最即時的Sybase ASE Server資料庫診斷工具