Splunk Manuale utente per l applicazione Garante Privacy 15/09/2010 Ver. 1.2.0
INDICE PREMESSA PER L AMMINISTRATORE SPLUNK... 4 1 SCOPO DEL DOCUMENTO... 5 2 LOGIN ALL APPLICAZIONE... 6 3 DASHBOARD RIEPILOGATIVA (PAGINA INIZIALE)... 7 3.1 BARRA DEI MENÙ... 7 3.2 GRAFICI... 7 3.3 COLLEGAMENTI AD ALTRE SEZIONI... 9 4 I MENÙ... 10 4.1 INTRODUZIONE... 10 4.1.1 DASHBOARD RIEPILOGATIVA... 10 4.2 CONSULTAZIONE E RIEPILOGO... 10 4.2.1 RIEPILOGO MULTIPIATTAFORMA LOGIN LOGOUT LOGFAIL... 10 4.2.2 RIEPILOGO EVENTI LOGIN E LOGOUT WINDOWS... 13 4.2.3 RIEPILOGO LOGFAIL WINDOWS... 14 4.2.4 RIEPILOGO EVENTI WIN APPLICATIONS... 16 4.2.5 LINUX AUDIT LOGIN, LOGOUT E LOGFAIL... 18 4.3 ACCESSI NOTTURNI E FESTIVI... 20 4.3.1 LOGIN/LOGFAIL NOTTURNI E FESTIVI MULTIPIATTAFORMA... 20 4.3.2 LOGIN NOTTURNI E FESTIVI WINDOWS... 21 4.3.3 LOGFAIL NOTTURNI E FESTIVI WINDOWS... 21 4.3.4 LOGIN NOTTURNI E FESTIVI WIN APPLICATIONS... 22 4.3.5 LOGFAIL NOTTURNI E FESTIVI WIN APPLICATIONS... 23 4.3.6 LOGIN NOTTURNI E FESTIVI - LINUX AUDIT... 23 4.4 MODULI PER RICERCHE PARTICOLARI... 24 4.4.1 MULTIPIATTAFORMA MODULO RICERCHE PARTICOLARI MULTIPIATTAFORMA... 24 4.4.2 WINDOWS MODULO RICERCHE PARTICOLARI LOGIN - WINDOWS... 25 4.4.3 WINDOWS MODULO RICERCHE PARTICOLARI LOGOUT - WINDOWS... 25 4.4.4 WINDOWS MODULO RICERCHE PARTICOLARI LOGFAIL - WINDOWS... 25 4.4.5 MOD. RICERCHE PARTICOLARI LOGIN/FAIL/OUT WINAPPLICATIONS... 25 4.4.6 MOD. RICERCHE PARTICOLARI - LOGIN/FAIL/OUT LINUX... 26 2 di 26
STORIA DELLE MODIFICHE Versione Data Sintesi Modifica Emissione 1.2.0 15/09/2010 Prima Emissione ACRONIMI E DEFINIZIONI Nel seguito del documento verranno utilizzati i seguenti acronimi e definizioni: {tbd} (to be defined) indica un'informazione per la quale non si dispone degli elementi sufficienti ad una completa definizione {tbw} (to be written) indica un informazione di cui si dispone degli elementi necessari per definirla e deve essere ancora redatta {tbc} (to be confirmed) indica un informazione di cui si è completata la definizione ma deve essere ancora confermata {na} (non applicabile) indica un punto di una struttura predefinita che nel contesto particolare risulta priva di significato 3 di 26
Premessa per l Amministratore Splunk Il presente manuale è indirizzato al Titolare del Trattamento dei Dati Personali e ai suoi delegati, pertanto la sua natura non è di tipo strettamente tecnico. A seconda della personalizzazione effettuata per l applicazione Garante Privacy, questo manuale deve essere modificato dall Amministratore Splunk per eliminare le voci non pertinenti od integrare voci non ancora presenti. A titolo di esempio potrebbero essere da modificare: Le sorgenti dati oggetto del manuale (da aggiungere o togliere); gli orari dei report che riguardano l accesso in fascia extralavorativa; In questo manuale vengono infatti descritte solo 3 tipologie di dati: windows, windows applications e linux. L amministratore Splunk dovrebbe quindi preoccuparsi di documentare altre tipologie di log presenti in azienda (database, applicazioni custom, apparati di rete, ), che ovviamente saranno state precedentemente inserite nell applicazione Garante Privacy da personale qualificato. Prima di consegnare questo documento al Titolare del Trattamento dei Dati Personali è inoltre necessario eliminare questa premessa. 4 di 26
1 Scopo del documento Il presente documento è indirizzato al Titolare del Trattamento dei Dati Personali. Il suo scopo è documentare l utilizzo dell applicazione Splunk Garante Privacy, finalizzata a semplificare le operazioni di audit previste dal Garante della Privacy relativamente alle attività degli Amministratori di Sistema. La soluzione Splunk, insieme all applicazione Garante Privacy, consente di raccogliere gli eventi di login/logout relativi agli amministratori di sistema, di registrarli in un database, e di visualizzarli a fini di audit, ottemperando quindi a quanto richiesto dal Provvedimento del Garante per la protezione dei Dati Personali: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008). Splunk non si limita a registrare gli accessi riusciti, ma anche i tentativi falliti di accesso ai sistemi ed i logout dai sistemi, estendendo quindi il campo di ricerca possibile. L applicazione Splunk Garante Privacy rappresenta uno strumento di audit che consente di effettuare le verifiche sui dati memorizzati, andando ad individuare eventuali comportamenti anomali o non conformi alle regole aziendali da parte degli amministratori di sistema. 5 di 26
2 Login all applicazione Per iniziare ad usare l applicazione è necessario l utilizzo di un browser che punti all URL sul quale viene eseguito Splunk. Tipicamente questo URL è http://<nome server>:8000, ma può variare a seconda delle installazioni. Per maggiori ragguagli rivolgersi all amministratore Splunk. L applicazione, fruibile da browser internet quali internet explorer o mozilla firefox, presenta la seguente interfaccia di accesso al sistema: E necessario quindi inserire le proprie credenziali per poter iniziare ad utilizzare l applicazione. Se nel sistema informativo è presente un software di single sign on, è possibile che non sia necessario effettuare l accesso tramite l interfaccia descritta; rivolgersi all Amministratore Splunk per maggiori informazioni. 6 di 26
3 DASHBOARD RIEPILOGATIVA (Pagina iniziale) La pagina iniziale dell applicazione garante è un cruscotto che presenta quattro sezioni, di seguito descritte: 3.1 Barra dei menù Rappresenta lo strumento di navigazione attraverso le varie sezioni di cui è composta l applicazione. E composto da differenti menù a tendina, ognuno con collegamenti a specifiche dashboard (o viste ) che analizzeremo in seguito. 3.2 Grafici I due grafici soprastanti rappresentano i login di successo e di fallimento relativi all ultimo mese su tutte le piattaforme gestite e serve a dare una visione complessiva su eventuali problematiche presenti, come ad esempio un esagerato numero di tentativi di accesso riusciti e/o falliti. 7 di 26
I grafici Splunk sono interattivi e consentono la visualizzazione dei dati in formato originale. A questo fine, partendo da uno dei grafici riportati alla pagina precedente, si può operare come segue: cliccare su una barra del grafico: verrà visualizzata una pagina simile a quella sottostante cliccare sull icona indicata dalla freccia: verranno visualizzati gli eventi nel formato originale Il rettangolo verde con la spunta in bianco e la scritta valid significa che il dato non è stato in nessun modo manipolato ed è quindi uguale a quanto presente sul dispositivo che lo ha generato (in questo caso una macchina windows). Splunk riesce a stabilire la validità o meno di un evento andando a creare, al momento della memorizzazione del dato sul database, un hash dell evento (una sorta di impronta digitale). Se qualcuno dovesse modificare l evento l hash corrispondente non sarebbe più valido e Splunk lo segnalerebbe con un icona rossa e la dicitura Not valid. Per tornare alla dashboard principale è sufficiente cliccare sul tasto indietro del browser. 8 di 26
3.3 Collegamenti ad altre sezioni La pagina principale dell applicazione presenta altre due sezioni: ACCESSO ALLA DASHBOARD MULTIPIATTAFORMA ; ACCESSO ALLE DASHBOARD SPECIFICHE PER PIATTAFORMA. All interno delle due sezioni sono presenti collegamenti che portano alla pagina DASHBOARD RIEPILOGATIVA MULTIPIATTAFORMA ed alle differenti tipologie di dati memorizzati in splunk (in questo caso WINDOWS, WINDOWS_APP e LINUX_AUDIT ). Tali voci saranno comunque anche selezionabili dalla barra dei menù a tendina. 9 di 26
4 I menù 4.1 INTRODUZIONE Utilizzata per tornare alla dashboard iniziale dell applicazione. 4.1.1 DASHBOARD RIEPILOGATIVA Attraverso questa voce di menù è possibile tornare alla dashboard iniziale dell applicazione descritta nel paragrafo 2.2. 4.2 CONSULTAZIONE E RIEPILOGO Utilizzata per ottenere dashboard di sintesi. 4.2.1 RIEPILOGO MULTIPIATTAFORMA LOGIN LOGOUT LOGFAIL Attraverso questa voce di menù si entra nella seguente schermata (questa, come le altre dell applicazione si chiameranno d ora in poi vista ): 10 di 26
Da questa schermata è possibile interrogare il database splunk sugli eventi di login/logout/logfail che riguardano gli utenti amministratori censiti. Per poterlo fare è necessario scegliere la tipologia di evento del menù a tendina di destra: Inoltre è necessario scegliere il periodo temporale di riferimento, dal menù a tendina di sinistra: Per scegliere un periodo temporale preciso è necessario cliccare su Custom time ed utilizzare la seguente finestra, confermando la scelta cliccando su Apply: In questo caso è stato scelto come periodo di riferimento l intera giornata del 5 maggio 2010. 11 di 26
Una volta effettuate le selezioni è sufficiente premere su Search (così come in tutte le altre viste descritte in questo manuale) ed attendere i risultati, che saranno composti da 4 grafici ed una tabella. Il primo grafico rappresenta il numero di eventi generato dai 10 utenti principali (in termini di numero di accessi) e sarà simile a quello sottostante: Nell esempio, la sproporzione tra il primo utente ed i successivi potrebbe essere sintomo di un comportamento anomalo di un amministratore di sistema, che esegue un numero eccessivo di login rispetto agli altri amministratori. Il secondo grafico mostra il numero di eventi registrato per server e suddiviso per utente: Il terzo ed il quarto grafico mostrano la percentuale sul totale eventi dei dieci server e dei dieci utenti che hanno generato il maggior numero di eventi: Infine è presente una tabella riepilogativa degli eventi con indicazione di data, ora, utenza, asset, tipologia di evento: 12 di 26
Cliccando sul link View Results è possibile visualizzare, utilizzando la procedura descritta in 3.2, gli eventi nella loro forma originale. 4.2.2 RIEPILOGO EVENTI LOGIN E LOGOUT WINDOWS Questa vista, per quanto riguarda i report prodotti è identica a quella precedente, ma riguarda unicamente eventi di login o logout generati in ambiente windows. Dopo avere effettuato la scelta della tipologia (in questo esempio login) di evento e selezionato data e ora si ottiene un report che sarà composto dalle stesse sezioni della vista precedente (4.2.1), ovverosia 4 grafici ed una tabella, ma unicamente con dati windows. Top10 utenti per numero di eventi generati; Eventi per server per utente; 13 di 26
Percentuale sul totale eventi dei dieci server e dei dieci utenti che hanno generato il maggior numero di eventi; Tabella riepilogativa degli eventi con indicazione di data, ora, utenza, asset, tipologia di evento. 4.2.3 RIEPILOGO LOGFAIL WINDOWS Questa vista riguarda unicamente eventi di logfail generati in ambiente windows. Dopo avere selezionato il periodo temporale ed iniziato la ricerca, si ottiene un output formato da 4 grafici ed una tabella riepilogativa (sempre che esistano eventi di logfail). Il primo grafico rappresenta il numero di eventi generato dai 10 utenti che hanno generato più eventi e sarà simile a quello sottostante: Si noti che in questo grafico sono presenti due utenze generiche administrator (con la a minuscola e maiuscola), in netto contrasto con quanto stabilito dal Garante Privacy che impone utenze nominative. Questo grafico è stato riportato come esempio di verifica a cura del Titolare del trattamento dei dati. Il secondo grafico mostra il numero di eventi registrato per server e suddiviso per utente: 14 di 26
Il terzo ed il quarto grafico mostrano la percentuale sul totale eventi dei dieci server e dei dieci utenti che hanno generato il maggior numero di eventi: Infine è presente una tabella riepilogativa degli eventi con indicazione di data, ora, asset, utenza, postazione ed un eventuale messaggio del sistema. 15 di 26
4.2.4 RIEPILOGO EVENTI WIN APPLICATIONS Anche questa vista produce informazioni simili alla vista del paragrafo 4.2.1 e dà la possibilità di scegliere eventi di login, logout, logfail relativi ad eventi WIN APPLICATIONS. Tipicamente in ambiente WINDOWS si intendono WIN APPLICATIONS gli eventi provenienti da database e sistemi di posta elettronica in ambiente Microsoft. Dopo avere effettuato la scelta della tipologia di evento e selezionato data e ora Come descritto in 4.2.1, si ottiene un report con le seguenti sezioni: Top10 utenti per numero di eventi generati: 16 di 26
Eventi per server per utente: Percentuale sul totale eventi dei dieci server e dei dieci utenti che hanno generato il maggior numero di eventi: Tabella riepilogativa degli eventi con indicazione di data, ora, utenza, asset, tipologia di evento: 17 di 26
4.2.5 LINUX AUDIT LOGIN, LOGOUT E LOGFAIL Questa vista mostra informazioni relative all ambiente linux. Dopo avere selezionato la/e tipologie di evento e scelto un periodo di riferimento si ottengono i seguenti report: Top 10 utenti per numero di eventi generati: In questo caso si noti come siano stati effettuati login con l utenza amministrativa generica root, che va contro lo spirito del provvedimento del Garante Privacy. Eventi per server per utente: 18 di 26
Percentuale sul totale eventi dei dieci server e dei dieci utenti che hanno generato il maggior numero di eventi: Tabella riepilogativa degli eventi con indicazione di data, ora, utenza, asset, tipologia di evento: 19 di 26
4.3 ACCESSI NOTTURNI E FESTIVI Gli accessi effettuati al di fuori dell orario di lavoro sono potenzialmente sospetti ed è compito del Titolare del trattamento dati verificare se sono relativi a normale operatività o hanno natura fraudolenta. L orario di lavoro di riferimento è stato impostato dall amministratore Splunk come: lunedì-venerdì, 7:30-20:00. 4.3.1 LOGIN/LOGFAIL NOTTURNI E FESTIVI MULTIPIATTAFORMA Questa vista serve per individuare eventuali comportamenti sospetti, in termini di orario, delle attività di login e logfail su tutte le piattaforme (sorgenti dei log) censite. In questo caso è necessario selezionare l attività (login, logfail o entrambe) ed un periodo temporale di riferimento, come nella figura sottostante. La selezione dell'evento e la scelta del periodo temporale per la ricerca produrrà il report degli eventi rilevati nei week end e dalle ore 20.00 fino alle 7.30 di un qualsiasi giorno infrasettimanale. Il risultato sarà una tabella contenente le informazioni di data e ora, tipo sorgente (windows, linux, ), l asset di destinazione ed il conteggio degli eventi. 20 di 26
4.3.2 LOGIN NOTTURNI E FESTIVI WINDOWS Questa vista serve per individuare eventuali comportamenti sospetti, in termini di orario, delle attività di login in ambito windows. E necessario selezionare unicamente il periodo di riferimento e cliccare su search per visualizzare il report degli eventi rilevati nei week end e dalle ore 20.00 fino alle 7.30 di un qualsiasi giorno infrasettimanale. I dati visualizzati sono data ed ora, tipo sorgente (windows), utenza, indirizzo IP sorgente ed asset di destinazione. 4.3.3 LOGFAIL NOTTURNI E FESTIVI WINDOWS 21 di 26
Questa vista serve per individuare eventuali comportamenti sospetti, in termini di orario (vedi 4.3.1), dei logfail in ambito windows e produce un output tabellare identico alla vista 4.3.1. 4.3.4 LOGIN NOTTURNI E FESTIVI WIN APPLICATIONS Questa vista serve per individuare eventuali comportamenti sospetti, in termini di orario (vedi 4.3.1), dei login in ambito windows applications (database, sistemi di posta elettronica, ) e produce un output tabellare identico alla vista 4.3.1. 22 di 26
4.3.5 LOGFAIL NOTTURNI E FESTIVI WIN APPLICATIONS Questa vista serve per individuare eventuali comportamenti sospetti, in termini di orario (vedi 4.3.1), dei logfail in ambito windows applications (database, sistemi di posta elettronica) e produce un output tabellare identico alla vista 4.3.1. 4.3.6 LOGIN NOTTURNI E FESTIVI - LINUX AUDIT Questa vista serve per individuare eventuali comportamenti sospetti, in termini di orario (vedi 4.3.1), dei login in ambito linux e produce un output tabellare identico alla vista 4.3.1. 23 di 26
4.4 MODULI PER RICERCHE PARTICOLARI I moduli per ricerche particolari servono per andare ad indagare le attività di login/logout/logfail di uno specifico utente (o tutti) su uno (o tutti) i server censiti nel database di Splunk. 4.4.1 MULTIPIATTAFORMA MODULO RICERCHE PARTICOLARI MULTIPIATTAFORMA Le selezioni da fare sono 3: nome host User_Name (nome utente) Tipologia di evento (login/logout/logfail o tutte e tre) Il carattere * rappresente il carattere jolly ed indica tutti gli host o tutti gli utenti, a seconda del campo in cui lo si inserisce. Una volta effettuate le selezioni l output prodotto sarà una tabella come quella visualizzata di seguito: I dati visualizzati saranno data e ora evento, tipologia di evento, utenza, asset di destinazione e numero eventi. In questo caso è stato scelto di effettuare una ricerca con il nome generico root, per vedere se e quanto questa utenza venga ancora utilizzata in azienda. 24 di 26
L utente root, infatti, stando al provvedimento del Garante Privacy non è riconducibile a persona fisica e dovrebbe quindi essere sostituito con una utenza nominale. 4.4.2 WINDOWS MODULO RICERCHE PARTICOLARI LOGIN - WINDOWS Una volta selezionati i dati in ingresso, l output sarà identico a quanto descritto nel punto 4.4.1, ma riguarderà unicamente i login windows. 4.4.3 WINDOWS MODULO RICERCHE PARTICOLARI LOGOUT - WINDOWS Una volta selezionati i dati in ingresso, l output sarà identico a quanto descritto nel punto 4.4.1, ma riguarderà unicamente i logout windows. 4.4.4 WINDOWS MODULO RICERCHE PARTICOLARI LOGFAIL - WINDOWS Una volta selezionati i dati in ingresso, l output sarà identico a quanto descritto nel punto 4.4.1, ma riguarderà unicamente i logfail windows. 4.4.5 MOD. RICERCHE PARTICOLARI LOGIN/FAIL/OUT WINAPPLICATIONS 25 di 26
Una volta selezionati i dati in ingresso, l output sarà identico a quanto descritto nel punto 4.4.1, ma riguarderà unicamente i log provenienti dalle windows applications (database, sistemi di posta elettronica, ). 4.4.6 MOD. RICERCHE PARTICOLARI - LOGIN/FAIL/OUT LINUX Le selezioni da fare sono 3: nome host User_Name (nome utente) Tipologia di evento (login/logout/logfail o tutte e tre) Il carattere * rappresente il carattere jolly ed indica tutti gli host o tutti gli utenti, a seconda del campo in cui lo si inserisce. Una volta selezionati i dati in ingresso, l output sarà identico a quanto descritto nel punto 4.4.1, ma riguarderanno informazioni relative a host linux. 26 di 26