ACS (Audit Collection Services) Operations Manager 2007 ile beraber gelen ve şüphesiz güvenlik denetimi ve raporlaması yapmak isteyen, özellikle IT denetimlerine tabi olan kurumların işlerini çok kolaylaştıran çözümdür.
ACS sayesinde aşağıdaki örnek sorulara ve çok daha fazlasına cevap vereceğiniz analiz raporları veya verilerine birkaç dakika içinde ulaşabilirsiniz:
- Belirtilen sunucuya son 3 gün içinde kimler oturum açmış?
- Belirtilen sunucuda son 7 gün içinde “alpero” kullanıcısı hangi yazılımları çalıştırmış?
- “alpero” kullanıcısı son 1 aydır hangi sunuculara oturum açmış?
- Son 1 haftadır Active Directory üzerinde kimler yönetimsel görevler (kullanıcı hesabı oluşturmak, silmek, şifre resetlemek gibi) gerçekleştirmiş?
ACS sayesinde aynı zamanda sizin aklınıza soru olarak gelmeyecek fakat güvenlik tehdidi oluşturabilecek konuları da raporlayabilirsiniz. Aynı zamanda adli konular için delil niteliği taşıyan raporlar üretebilirsiniz.
Bununla beraber, Operations Manager 2007 ortamında ACS özelliğini aktif hale getirmeden önce veri depolama kapasitesinin ve optimizasyonun çok iyi tasarlanması gerekmekte. Aksi taktirde ACS veritabanınız çok kısa süre içinde saklayamayacağınız veya raporlayamayacağınız büyüklükte veriler ile dolabilir.
Peki, ACS çözümünü altyapıya uygularken ne gibi optimizasyon seçenekleri mevcut?
AUDIT POLICY
ACS raporları istemciler ve sunucular üzerindeki security event log’larının merkezi veritabanına toplanıp yorumlanması sonucunda oluşturulur. Bu perspektiften bakıldığında ACS veritabanında oluşacak verilerin kaplayacağı alan ve ihtiyaç duyacağı donanım kaynağı, ACS ajanları üzerinde aktif hale getirilecek Audit Policy’ler ile doğru orantılıdır. İhtiyacınız olmayan Audit Policy’leri devreden çıkararak ACS optimizasyonunda ilk adımı atabilirsiniz.
ACS COLLECTION FİLTRELERİ
ACS veritabanından elde edeceğiniz ilk raporların çoğu zaman raporların işinize yaramayacak, gereksiz bilgiler ile dolduğunu göreceksiniz (Group Policy kontrolü yapmak için oturum açan ve kapatan bilgisayarların COMPUTER$ şeklindeki hesapları gibi…). Bu kirliliği engellemek için ACS Collection Filtrelerini kullanmanız gerekmekte. Bu konu ne yazık ki Microsoft tarafından çok iyi dokümante edilmemiş konulardan biridir. Fakat Microsoft’un özellikle ACS konusunda oldukça başarılı çözümler geliştiren Secure Vantage firmasının ürettiği “ACS Noise Filter Guide” bu iş için çok güzel ve anlaşılabilir bir dokümandır. Aynı zamanda yine Secure Vantage firmasının ürettiği ACS Resource Kit içinde gelen “Noise Filter Starting Kit” ile var olan filtreleri inceleyebilir, yeni filtreleri kolaylıkla uygulayabilirsiniz.
ACS Veri Tabanının Optimizasyonu
ACS veritabanındaki veriler günlük olarak SQL partition’larına ayrılır. Her gece 01:00’da çalışan bir görev sonucunda yeni bir partition oluşturulur ve o günün ACS verileri aynı günün partition’una kaydedilir.
Bazı kurumlar, ACS’i kısa dönemli güvenlik olaylarının sorgulanması için kullanırken geçmiş veriler (Örn: Son 1 yılın güvenlik raporları) için 3rd party arşivleme çözümleri kullanmakta. ACS veritabanında geriye doğru sadece ihtiyacınız kadar günkü verileri saklamak performansı arttırıcı tasarım kararları arasındadır.
Bunun için SQL dtconfig tablosundaki “number of partitions” değerini değiştirmek yeterli olacaktır.
ACS Optimizasyonu ve Planlaması hakkında daha detaylı bilgi için aşağıdaki linklerden faydalanabilirsiniz: