L'enjeu des nouvelles règlementations sur l'audit et la ... · CA eTrust Access Control for AIX...

© 2009 IBM Corporation

24 Juin 2009

L'enjeu des nouvelles règlementationssur l'audit et la traçabilité du comportement des utilisateursChristian Châteauvieux, consultant sécuritéIBM Tivoli

2

24 Juin 2009

Agenda• Présentation de l’offre IBM

Tivoli sécurité

• Gestion des logs et Surveillance des utilisateurs avec Tivoli Compliance Insight Manager

• Implémentation

• Questions / Réponses

3

24 Juin 2009

IBM: Comprehensive Security Risk & Compliance Management

– Le seul vendeur de sécurité du marchéayant une couverture de bout en boutdans le domaine de la sécurité

– 15,000 chercheurs, développeurs et experts sur des initiatives de sécurité

– Plus de 3,000 patentes dans le domaine de la sécurité et de la gestion des risques

– Plus de 200 références clients dans le domaine de la sécurité et plus de 50 cas d’études publiés

– Gérant plus de 2.5 milliard d’événements de sécurité quotidien pour ses clients

– 1.5 milliard de dollars investis dans la sécurité pour la seule année 2008

4

24 Juin 2009

IBM Security Framework & Security Compliance

The IBM Security Framework

Common Policy, Event Handling and Reporting

The IBM Security Framework

Common Policy, Event Handling and Reporting

Security Governance, Risk Management and Compliance

Security Governance, Risk Management and Compliance

Network, Server, and End-point

Physical Infrastructure

People and Identity

Data and Information

Application and Process

• SECURITY COMPLIANCE• Demonstrable policy enforcement aligned to

regulations, standards, laws, agreements (PCI, FISMA, etc..)

• IDENTITY & ACCESS• Enable secure collaboration with internal and external users with controlled and secure access to information, applications and assets

• DATA SECURITY• Protect and secure your data and information assets

• APPLICATION SECURITY• Continuously manage, monitor and audit application security

• INFRASTRUCTURE SECURITY• Comprehensive threat and vulnerability

management across networks, servers and end-points

IBM Security SolutionsIBM Security Solutions

5

24 Juin 2009

IBM et Tivoli sécurité : assurer la sécurité àtous les niveaux

Périmètre défensifFermer la porte aux intrus avec:• Firewalls• Anti-Virus• Détection d’intrusion, etc.Périmètre Défensif

Couche de contrôle

Couche d’assurance

Couche de contrôle• Qui peut entrer?• Que peuvent-ils voir et faire?• Accès liés aux rôles?• Protection de la vie privée?

Couche d’assurance• Conformité aux réglementations?• Rapports et auditabilité?• Suis-je en situation de risque?• Réponse aux événements de

sécurité?

6

24 Juin 2009

EnforceEnforce• authorization• authorization

• federated SSO• federated SSO• authentication• authentication

(Multiple Domains)(Multiple Domains)

Identity & Access Management

EnforceEnforce• authorization• authorization

• SSO• SSO• authentication• authentication

(Single Domain)(Single Domain)

Administer• provision usersAdminister•• provision users

Synchronize• meta-directorySynchronize• meta-directory

Store• directory• LDAP

Store• directory• LDAP

IBM Tivoli Directory ServerIBM Tivoli Directory Server

IBM Tivoli Identity ManagerIBM Tivoli Identity Manager

IBM Tivoli Directory IntegratorIBM Tivoli Directory Integrator

IBM Tivoli Access ManagerIBM Tivoli Access Manager

IBM Tivoli Federated Identity Mgr.IBM Tivoli Federated Identity Mgr.

7

24 Juin 2009

Audit Compliance and Reporting


Security Event Security Event ManagementManagement

Preemptive Network Security & Compliance

IBM Tivoli Security Operations ManagerIBM Tivoli Security Operations Manager

Security Status Security Status AuditAudit

PreemptivePreemptiveNetworkNetworkSecuritySecurity

ISSISS

IBM Tivoli Security Compliance ManagerIBM Tivoli Security Compliance Manager

Tivoli Compliance InSight ManagerTivoli Compliance InSight Manager

!

ISS = Internet Security Systems

8

24 Juin 2009



Tivoli Compliance InSight Mgr.Tivoli Compliance InSight Mgr.Security Event Security Event ManagementManagement

Preemptive Network Security & Compliance

IBM Tivoli Security Operations Mgr.IBM Tivoli Security Operations Mgr.Security Status Security Status

AuditAudit

PreemptivePreemptiveNetworkNetworkSecuritySecurity

ISSISS

IBM Tivoli Security Compliance Mgr.IBM Tivoli Security Compliance Mgr.

!

Problématiques adressées

• Attaques perpetrées de l’intérieur – comprendre et gérer ceque les utilisateurs internes font

• Satisfaction de l’auditeur et corrélation vers des régulationsspécifiques (SOX, HIPAA, GLBA, . . .)

9

24 Juin 2009

Agenda• Présentation de l’offre IBM

Tivoli sécurité

• Gestion des logs et Surveillance des utilisateurs avec Tivoli Compliance Insight Manager

• Implémentation

• Questions / Réponses

10

24 Juin 2009

Agenda “Surveillance des utilisateurs”

Les challenges actuelsSolution: Tivoli Compliance Insight Manager -- les “3 C”

1.Capturer – Gestion des logs de l’entreprise2.Comprendre – Interprétation sophistiquée des logs3.Communiquer – Reporting et audit de conformité

Architecture de la solution Conclusion

11

24 Juin 2009

43% of CFOs think that improving governance, controls and risk management is their top challenge.

CFO Survey: Current state & future direction, IBM Business Consulting Services

• Besoins de conformité croissants– Initiatives de conformité toujours plus nombreuses– Besoin de mesurer la conformité à ses règles et pratiques

internes– Surveillance et contrôles fiables sont nécessaires pour gérer

les risques et éviter des pénalités ou la perte de crédibilité

• Complexité croissante– Les technologies et les infrastructures disparates fragmentent

et alourdissent les efforts de supervision, de coorélation, d’analyse et d’audit de conformité

– Lier la conformité de l’infrastructure à celle du business est souhaitable, mais difficile

• Coût croissant– Main d’œuvre chère incite à l’automatisation– Peu de prédictibilité et de visibilité sur des infrastructures

complexes conduit à une inflation rapide des coûts– Ne pas atteindre la conformité ou ne pas prévenir des

menaces peu imposer des coûts énormes

Les Challenges de Sécurité et de Conformité

12

24 Juin 2009

“Pour les sociétés, le meilleur moyen de prévenir les incidents internes est de

superviser les activités anormales lorsd’accès au réseau et aux banques de

données et de déterminer un niveaud’utilisation acceptable pour différents types

d’utilisateurs”

“Pour les sociétés, le meilleur moyen de prévenir les incidents internes est de

superviser les activités anormales lorsd’accès au réseau et aux banques de

données et de déterminer un niveaud’utilisation acceptable pour différents types

d’utilisateurs”Source: InformationWeek, Feb. 15, 2007

Ferez-vous la prochaine “Une” des journaux?Ce qui s’est passé:

Employé partant chez un compétiteur

Accède aux bases de données

Transfère des documents sur son nouvel ordinateur portable

Commentaires du Carnegie Mellon CERT:“75% des … vols d’informations confidentielles étudiés… ont étéperpétrés par des employés actifs”

“45% d’entre eux avaient déjà acceptéun nouvel emploi ailleurs”

Commentaires de la CIA:“…les concepteurs et les scientifiques ont tendance à considérer le capital intellectuel de leur entreprise comme le leur… et souhaite le garder en partant”

Ce qui s’est passé:Employé partant chez un compétiteur

Accède aux bases de données

Transfère des documents sur son nouvel ordinateur portable

Commentaires du Carnegie Mellon CERT:“75% des … vols d’informations confidentielles étudiés… ont étéperpétrés par des employés actifs”

“45% d’entre eux avaient déjà acceptéun nouvel emploi ailleurs”

Commentaires de la CIA:“…les concepteurs et les scientifiques ont tendance à considérer le capital intellectuel de leur entreprise comme le leur… et souhaite le garder en partant”

13

24 Juin 2009

Surveiller les utilisateurs privilégiés n’est plus une option

• 87% des incidents internes sont causés par des utilisateurs privilégiés

• La plupart sont des incidents non intentionnels causés par la violation:

– Des processus de gestion des changement– Des politiques d’utilisation acceptables

• D’autres sont malveillants, les motifs étant:– Revanche (84%)– “Événements négatifs” (92%)

• Quelle que soit leur raison, ces incidents coûtent trop cher et ne peuvent être ignorés:

– Les attaques internes représentent 6% du chiffre d’affaire annuel

– Aux USA, ceci représente un coût de 400 milliards de dollars

Sources: Forrester research, IdM Trends 2006; USSS/CERT Insider ThreatSurvey 2005; CSI/FBI Survey, 2005; National Fraud Survey; CERT, variousdocuments.

Source: “Taking Action to Protect Sensitive Data,” IT Policy Compliance Group, March 2007

14

24 Juin 2009

Questions de la Direction Informatique et du Métier: Pouvez vous surveiller si quelqu’un a touché ou modifié des données sensibles de manière inappropriée?Pouvez-vous vérifier si nos outsourcers gèrent vos systèmes et données de manière responsable?Disposez-vous de rapports sur les changements non autorisés sur notre environnement d’opérations?Etes-vous alerté quand des comptes administrateurs interdits sont créés? Avez-vous les moyens d’investiguer des incidents sans délais?

Questions de vos auditeurs:Les journaux des vos application, databases, OS et dispositifs réseaux sont-ils archivés et analysés? Les activités de vos administrateurs et opérateurs système sont-ils enregistrés et analysés régulièrement? Archivez-vous tous les accès aux données sensibles – incluant les accès root/administrateur et DBA?Avez-vous des outils automatisés pour analyser les enregistrements d’audit?Les incidents de sécurité et les activités suspectes sont-ils analysés, investigués? Et les actions de remédiations sont-elles prises?

Le questionnaire “Security Audit and Compliance”

15

24 Juin 2009

Les Régulateurs & Auditeurs créent l’urgence

[ISO17799:2005]10.10.1 Audit logging

Audit logs recording user activities, exceptions, and

information security events should be

produced and kept for an agreed period to assist in future investigations and

access control monitoring.

IBM SIEM

16

24 Juin 2009

TCIM: Supervision sur toutes les plate-formes

Comprehensive, distributed log management, access monitoring and compliance reporting

Integrated mainframe audit, monitoring,

compliance and administration

zSecure Suite

17

24 Juin 2009

Quel est le comportement de mes utilisateurs sur mes données sensibles?

InSight consolide toute l’information contenue dans les journaux des serveurs, databases et applications de l’entreprise, et rapporte toute exception aux politiques de sécurité et de comportements acceptables.

18

24 Juin 2009

Plus précisément, les challenges adressés par TCIM

1. Tableaux de bords de conformité et rapports

2. Privileged User Monitoring and Audit (PUMA)

3. Monitoring des bases de données et Audit

4. Gestion des Logs et des pistes d’audit

Besoins croissantsBesoins

croissants

Complexitécroissante


Coût croissantCoût croissant

User Identity and Behavioral Audit

19

24 Juin 2009





20

24 Juin 2009

Capture“Je dois stocker les logs pour des investigations post-incident”

“Je n’ai aucune idée de la manière dont il faut

collecter les logs”

Comprehend

“Mes équipes n’ont ni l’envie, ni le temps, ni l’expertise de scanner les logs”

“Je m’interroge sur les actions des utilisateurs

privilégiés”Communiquer

“Je dois fournir des rapports à mes auditeurs”

“Je dois prouver que je dispose de contrôles efficace

de la sécurité du SI”

Gestion, analyse et communication sur les évènements de sécurité

21

24 Juin 2009

Gestion des Logs de toutes les plate-formes

Fonctionnalités:• Collecte sécurisée et fiable depuis

n’importe quelle plate-forme• Support complet de collecte de logs natifs

(Syslogs, audit trails, SNMP, LDAP, Active Directory, etc.)

• Archivage dans un dépôt efficace et compressé

• Accéder aux informations à la demande• Recherche à travers tous les logs• Rapports prouvant la continuité de la

collecte

Implementation: plug and play.Implementation: plug and play.

Avantages: • Réduction de coûts par l’automatisation et

la centralisation de la collecte et de l’archivage

• Réduire la longueur des audits internes ou externes.C

aptu

rer

Cap

ture

rC

aptu

rer

22

24 Juin 2009

Log Continuity Report Rapport de Continuité des LogsPreuve immédiate pour auditeurs et institutions de Conformité que votre gestion des logs est complète et continue.

23

24 Juin 2009

TCIM Event SourcesOperating Systems VersionCA ACF2 through zAudit ACF2 8.0CA eTrust Access Control for AIX 5.0CA eTrust Access Control for HP-UX 5.0CA eTrust Access Control for Solaris 5.0CA eTrust Access Control for Windows 4.10CA Top Secret for VSE/ESA 3.0Hewlett-Packard HP NonStop (Tandem) SafeGuard D42Hewlett-Packard HP-UX audit trail 10.2, 11iHewlett-Packard HP-UX syslog 10.2, 11iHewlett-Packard OpenVMS 7.3.2Hewlett-Packard Tru64 4.0, 5.1, 5.1BIBM AIX audit trail 4.x, 5.1, 5.2, 5.3IBM AIX syslog 4.x, 5.1, 5.2, 5.3IBM OS/400 journals 4.5, 5r1-r2-r3IBM z/OS RACF - excl. DB2 through zAudit RACF Lite R1.4 to 1.9IBM z/OS RACF through (already) installed zAudit RACF R1.4 to 1.9 R1.4 to 1.7IBM z/OS ACF2 -excl. DB2 through zAudit ACF2 Lite R1.4 to 1.9 R10 to 1.7IBM z/OS RACF through (already) installed zAudit ACF2 R1.4 to 1.9 R10 to 1.7IBM z/OS TopSecret - excl. DB2 through zAudit Lite R1.4 to 1.9Microsoft Windows security event log NT4, 2000, 2003, XPNovell Netware 4, 5, 6, 6.5 (via Nsure Audit)Novell Nsure Audit 1.0.1, 1.0.2, 1.0.3Novell Suse Linux 8.2, 9.xRed Hat Linux syslog 6.2,7.2,8.0,9.0, ES 4, Fedora CoreStratus VOS 13.x, 14.x, 15.xSUN Solaris audit trail (32 bit & 64 bit) 7, 8, 9, 10SUN Solaris syslog 7, 8, 9, 10User Information SourcesHewlett-Packard HP HP-UX 10.2,11iIBM AIX 4.x, 5.1, 5.2, 5.3IBM OS/400 4.5, 5.1, 5.2, 5.3IBM z/OS R10 to 1.7Microsoft NT Domain Windows NT4, 2000, 2003Microsoft Active Directory Windows 2000, 2003SUN Solaris 7, 8, 9, 10IBM Tivoli Directory Server 6.0, 6.1

Authentication SourcesBMC Identity Manager on AIX / Oracle via ODBC 3.2.0.3CA eTrust (Netegrity) SiteMinder (from Windows) 5.5IBM Tivoli Access Manager for e-business 5.1, 6.0RSA Authentication Server (Ace) 6.0

Mail servers and GroupWareIBM Lotus Domino (Notes) 5.0, 6.0, 6.5Microsoft Exchange Server 2000, 2003

Proxy ServersBlue Coat Systems ProxySG series SGOS 3.2.5

Web ServersMicrosoft Internet Information Server (IIS) on Windows 4.0, 5.0, 6.0SUN iPlanet Web Server on Solaris 4.0, 6.0

VPNCisco VPN Concentrator 3000 (via Syslog) 4.1

Vulnerability ScannersIBM ISS System Scanner (from Windows) 4.2

Application Packages VersionIBM Tivoli Identity Manager 4.6IBM Tivoli Access Manager for OS 6.0IBM Tivoli Federated Identity Manager 6.0, 6.1, 6.1.1Misys OPICS 5, 6, 6.1SAP R/3 4.6, 4.7SAP NetWeaver Application Server 6.10, 6.20, 6.40, 7.0BMC Identity Manager 2.3.0.3

DatabasesIBM DB2 on z/OS through zAudit Lite 7.x, 8.xIBM UDB on Windows 8.2, 9.5IBM UDB on Solaris 8.2, 9.5IBM UDB on AIX 8.2, 9.5IBM Informix Dynamic Server on Windows, AIX, Solaris, HP/UX 9 to 11.iMicrosoft SQL Server application logs 6.5, 7.0, 2000Microsoft SQL Server trace files 2000, 2005Oracle database server on Windows 8i, 9i, 10gOracle database server on Solaris 8i, 9i, 10gOracle database server on AIX 8i, 9i, 10gOracle database server on HP-UX 8i, 9i, 10gOracle database server FGA on Windows 9i, 10gOracle database server FGA on Solaris 9i, 10gOracle database server FGA on AIX 9i, 10gOracle database server FGA on HP-UX 9i, 10gSybase ASE on Windows 12.5, 15Sybase ASE on Solaris 12.5, 15Sybase ASE on AIX 12.5, 15Sybase ASE on HP-UX 12.5, 15

FirewallsCheck Point FireWall-1 (via SNMP) 4.1, NG, NGXCisco PIX (from AIX) 6.0 – 6.3.3Cisco PIX (from Windows) 6.0 – 6.3.3Cisco PIX (via SNMP) 6.0 – 6.3.3Cisco PIX (via Syslog) 6.0 – 6.3.3Symantec (Raptor) Enterprise Firewall (via SNMP) 6.0, 6.5, 7.0Symantec (Raptor) Enterprise Firewall (via Syslog) 6.0, 6.5, 7.0

IDS, IPSIBM ISS RealSecure (alerts) via SNMP 6.0IBM ISS RealSecure (operational messages, Windows) 6.0IBM ISS Proventia Site Protector 2.0SP6, 2.0 SP6.1McAfee IntruShield IPS Manager (via Syslog) 1.9Snort (Open Source) IDS (via Syslog) 2.1.3, 2.2.0, 2.3.3

RoutersCisco Router (from AIX) IOS 12.xCisco Router (from Windows) IOS 12.xCisco Router (via SNMP) IOS 12.xCisco Router (via Syslog) IOS 12.xSwitchesHewlett-Packard ProCurve switch (via SNMP) Managed units, 2500 series & upVirus ScannersMcAfee ePolicy Orchestrator (ePO) 3.5.2TrendMicro ScanMail for Domino on Windows 5.3TrendMicro Scanmail for MS Exchange 5.3TrendMicro ServerProtect 5 for NT 5.3Symantec AntiVirus Corporate Edition for Windows 9.0

24

24 Juin 2009

Comparer le comportement “Désiré” Versus “Réel”

Com

pren

dre

Com

pren

dre

Que font les utilisateurs sur mes systèmes?

25

24 Juin 2009

Comment comprendre tous ces différentsformats et informations?

Com

pren

dre

Com

pren

dre

26

24 Juin 2009

Plutôt que de recourir à de nombreux experts…

Windows z/OS AIX Oracle SAP ISS FireWall-1 Exchange IIS Solaris

Export Windows

Expert z/OS

Expert AIX

Expert Oracle

Expert SAP

Expert ISS

Expert FireWall-1

Expert Exchange

Expert IIS

Expert Solaris

Com

pren

dre

Com

pren

dre

27

24 Juin 2009

Tous les journaux sont traduits en un mêmelanguage

Traduction des logs en “français”

Compliance Insight Manager

Windows z/OS AIX Oracle SAP ISS FireWall-1 Exchange IIS Solaris

Com

pren

dre

Com

pren

dre

Qui? Quelle action? Quand? Sur quoi? Où? D’où? Vers où?

28

24 Juin 2009

Utiliser un langage compréhensible pour le métier, le management et les auditeurs: la méthodologie W7

1. Who did

2. What type of action3. on What file/data4. When did he do it and

5. Where6. from Where7. Where to Nous faisons le travail de traduction,

à votre place!Nous faisons le travail de traduction,

à votre place!

Com

pren

dre

Com

pren

dre

29

24 Juin 2009

Comply with rigorous regulatory requirements Tableau de Bord de Conformité

Des milliards de journaux résumés dans un graphique de vision générale, en language W7

30

24 Juin 2009

W& Eventlist

Liste des événementsNote: Mike Bonfire, un DBA,lit le fichier Payroll

31

24 Juin 2009

EventDetailLe détail de l’événementPlonger dans un événement spécifique pour en extraire tous les détails, jusqu’àretourner aux données brutes

32

24 Juin 2009

Des rapports, tout prêts, pour communiquerC

omm

uniq

uer

Com

mun

ique

r

time

activ

ity

33

24 Juin 2009

Compliance Modules

34

24 Juin 2009

Des modules pour Réglementations spécifiques, avec des rapports taillés sur mesure pour accélérer vos efforts de conformité – réduisant votre investissement en temps, ressources et coûts

35

24 Juin 2009

Operational Change ControlUn résumé de tous les changements opérationnels effectués par les différents groupes d’utilisateurs.

36

24 Juin 2009

EventlistListe des évènementsZoomer dans chaque action que l’administrateur a effectuésur un système financier et voir la création du compteutilisateur Chin055

37

24 Juin 2009





38

24 Juin 2009

Architecture de TCIM – Serveur uniqueInSight Application Output

Dashboards & drill down

Reports

Retrieve Log-files

alerts

Third party integration

Log Depot

Reporting DBs

Event Sources

Applications

Databases

Operating Systems

IDS & IPS

Firewalls

Mainframe

Collection method

Collectors

Agent less

39

24 Juin 2009

Enterprise Server

Standard Servers

Architecture de TCIM – Serveur distribuéInSight Cluster Output

Dashboards & drill down

Reports

Retrieve Log-files

Third party integration

alerts

Event Sources

Applications

Databases

Operating Systems

IDS & IPS

Firewalls

Mainframe

Collection method

Collectors

Agent less

40

24 Juin 2009



1. Capturer – Gestion des logs de l’entreprise2. Comprendre – Interprétation sophistiquée des logs3. Communiquer – Reporting et audit de conformité


41

24 Juin 2009

Bénéfices de TCIM

• Aptitude unique à surveiller le comportement des utilisateurs

• Tableau de bord de la conformitéde l’entreprise

• Modules de conformité et rapports pour des législations spécifiques

• Capacité à collecter les logs et les pistes d’audits de grand nombre de systèmes

• Normalisation W7 qui traduisent vos logs en langage naturel

• Capacité à comparer aisément le comportement réel aux politiques de sécurité et aux besoins de conformité règlementaire

Besoins croissantsBesoins

croissants



Coût croissantCoût croissant

42

24 Juin 2009

L’avis deGartner

IBM in Magic Quadrant for Security Information and Event Management

43

24 Juin 2009

L’avis de Yphise

44

24 Juin 2009

Codan Forsikring, Leading Danish insurance company

Value DriversSpecific audit expertise of all the systems is needed. Protecting confidential customer and business data against

misuse of authorized access and preventing unauthorized access Monitoring and reporting all platforms creates a high daily manual

workload

“After years of satisfactory use, we’ve also recommended InSight to the UK insurer Royal & Sun Alliance, Codan Lithuania, the Swedish Trygg Hansa and the Swedish SEB Bank. " -Flemming Schmidt- Jørgensen, IT Security Manager.

Value RealizationSaving a significant amount of time, Daily workload is now reduced

to approximately fifteen minutes for a team of four people instead of eight hours

Ability to detect and deter unauthorized use within the corporate perimeter.

Pragmatically organize Sarbanes-Oxley compliance

SolutionLook at events with the policy in mind, just like an auditor doesAll platform events are collected and reported Formalize IT security policy Filter policy exceptions down to less than 0.1 %. Automate reporting ensures visibility

45

24 Juin 2009

Philadelphia Stock ExchangeProtection, Compliance and More with IBM Security

Value DriversProtect a national stock exchange from unwanted electronic intruders and internal threats

Monitor and demonstrate compliance with security regulations

SolutionDeployed automated user monitoring and compliance reporting solution

Solution is key to data governance and compliance monitoring, auditing and reporting capabilities across mainframe and distributed environments

Value RealizationEasy auditing and investigations of internal or external malicious or accidental violations

Enhanced security and visibility

Proactive capability for meeting future regulations

“Our administrators have the keys to the kingdom, which is

scary. They need to be monitored. PHLX has policies

in place, but if we can’t enforce policies, we might as well throw them away. InSight

helps us enforce policies.”

Bernie DonnellyVP of Quality Assurance, Philadelphia

Stock Exchange

46

24 Juin 2009

Dutch MN ServicesProvider of pension payments in the Netherlands

Value Drivers

Meet stringent auditors’ requirements to satisfy Statements on Auditing Standards (SAS)-70.

Solution

Company-wide monitoring of critical IT control processes. The company found in the IBM Consul InSight Security Manager solution an optimal tool to manage the most important IT controls and meet the most stringent auditors’ requirements.

Value Realisation

Acquired SAS-70 certification; improved quality of IT infrastructure; completed implementation of system in 3 months .

“The nice thing about the IBM TCIM solution is that it is a tool with many adjustment possibilities and many options. It takes on average half an hour to get an overview and I can easily determine if and which security breaches have taken place,”

- Piet Osefius,Security Coordinator

47

24 Juin 2009

DocumentationzSecure data sheets, solution sheets, and white papers• http://www-306.ibm.com/software/tivoli/products/zsecure/

TCIM data sheets, solution sheets, and white papers• http://www-01.ibm.com/software/tivoli/products/compliance-insight-mgr/

zSecure Manuals• http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.

zsecure.doc/welcome.htm

TCIM Manuals• http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.

itcim.doc/welcome.htm

Redbooks• http://www.redbooks.ibm.com/

– z/OS Mainframe Security and Audit Management using IBM Tivoli zSecure (SG24-7633)– Compliance Management Design Guide with IBM Tivoli Compliance Manager– Deployment Guide Series: IBM Tivoli Compliance Manager

http://www-306.ibm.com/software/tivoli/products/zsecure/

http://www-01.ibm.com/software/tivoli/products/compliance-insight-mgr/

http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.zsecure.doc/welcome.htm

http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.zsecure.doc/welcome.htm

http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.itcim.doc/welcome.htm

http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.itcim.doc/welcome.htm

http://www.redbooks.ibm.com/

48

24 Juin 2009

Redbooks disponibles

50

24 Juin 2009

Thank You

Grazie

Gracias

Obrigado

Danke

Merci

Japanese

English

Russian

German

Italian

Spanish

Brazilian Portuguese

French

Arabic

Simplified Chinese

Traditional Chinese

Hindi

Tamil

Thai

Korean

51

24 Juin 2009

TCIM 8.5 event sources with W7 mapping(continued)

SAP R/3 on Windows, Solaris, AIX, HP-UX

• Human Resources (HR)• System (SM)• Development• (ABAP/4)• Development (DV)• Sales and• Distribution (SD)• Basis Components• (BS)• Cross-Application• Functions (CA)• SAP Office (SO)• Financial Accounting• (FI)• Treasury (TR)• Controlling (CO)

Project System (PS)Enterprise Control (EC)Materials Management (MM)Plant Maintenance (PM)Inventory Management (MM-IM)Quality Management (QM)Production Planning (PP)Logistics (LO)

SAP NetWeaver WebApplication Server 6.10, 6.20,

6.40, 7.0 on ABAP stack;

52

24 Juin 2009

InSight adapter for z/OS – Technologie

• Captures les enregistrements SMF – Depuis les fichiers SMF actifs ou archivés– RACF, ACF2, Top Secret, UNIX, z/OS– Extensible à des formats particuliers d’enregistrements– Prise en compte des alertes de Tivoli zSecure Alert

• Traduit les évènements au format W7– Prend en compte les aspects spécifiques de RACF (Operations, Warning)

• Capture des événements de différentes sources de z/OS– Base de donnée RACF :

• Userids, name, connect groups, user attributes– Implémentation de z/OS :

• APF, Linklist, Parmlibs, etc

• Reporting des évènements selon la politique de sécurité

53

24 Juin 2009

• Rapport d’audit des activités via des informations collectées des multiple plate-formes

– z/OS, RACF, CA-ACF2, CA-Top Secret, DB2, TCPIP, USS (Unix System Services)

• Tivoli Compliance Insight Manager facilite l’audit sur Mainframe

– Les jargons de Mainframe sont traduits en langage compréhensible– Auditors n’ont plus besoin d’être expert de z/OS pour surveiller les activités

• Enregistrements SMF collectés

– 0, 2, 3, 4, 5, 6, 8, 10, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 28, 30, 31, 32, 33, 34, 35, 36, 27, 39, 40, 41, 42, 43, 45, 47, 48, 49, 50, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 68, 69, 70, 71, 72, 73, 74, 75, 76, 77, 78, 79

– 80, 81 (RACF)– 82 (ICSF – Integrated Cryptographic Services Facility)– 83 (Security Events)– 84, 85, 88, 91, 92, 94, 96, 99, 100, 101, 103, 108, 109, 115, 116, 118, 119, 120

Apports de TCIM au système Mainframe

54

24 Juin 2009

zAudit (and TSIEM/TCIM) supports thefollowing SMF types:• 0 -IPL• 7 -Data Lost• 9 -VARY Device ONLINE• 11 -VARY Device OFFLINE• 14 -INPUT or RDBACK data Set

Activity• 15-OUTPUT, UPDATE, INOUT,or

OUTIN Data Set Activity• 17 -Scratch Data Set Status• 18 -Rename Data Set Status• 22 -Configuration• 26 -JES2 or JES3 Job Purge• 30 -Common Address Space

Work• 36 ICF Catalog Transmission

41 -DIV ACCESS/UNACCESS43 -JES2 or JES3 Start45 -JES2 Withdrawal or JES3 Stop47 -JES2 or JES3 SIGNON/StartLine/LOGON48 -JES2 or JES3 SIGNOFF/Stop Line/LOGOFF49 -JES2 or JES3 Integrity52 -JES2 LOGON/Start Line53 -JES2 LOGOFF/Stop Line54 -JES2 Integrity55 -JES2 Network SIGNON56 -JES2 Network Integrity57 -JES2 or JES3 Network Transmission58 -JES2 Network SIGNOFF59 -MVS/BDT File-to-File

61 -ICF Define Activity62 -VSAM Component or Cluster Opened64 -VSAM Component or Cluster Status65 -ICF Delete Activity66 -ICF Alter Activity80 -RACF Processing/TSS Audit81 -RACF Initialization90 -System Status92 -OpenMVS File System activity102 -DB2 performance and audit118 -TCP/IP Telnet and FTP119 -Connectivity StatisticsACF2 -ACF2 all events

55

24 Juin 2009

Agent de TCIM (InSight for z/OS) –Architecture

56

24 Juin 2009

InSight for z/OS

57

24 Juin 2009

58

24 Juin 2009

InSight for z/OS

59

24 Juin 2009

L'enjeu des nouvelles règlementations sur l'audit et la ... · CA eTrust Access Control for AIX...

Documents

Transcript of L'enjeu des nouvelles règlementations sur l'audit et la ... · CA eTrust Access Control for AIX...