Splunk Manuale utente per l’applicazione “Garante Privacy” 15/09/2010 Ver. 1.2.0 Splunk – Manuale utente per l’applicazione “Garante Privacy” INDICE PREMESSA PER L’AMMINISTRATORE SPLUNK .......................................................................................... 4 1 SCOPO DEL DOCUMENTO .............................................................................................................................. 5 2 LOGIN ALL’APPLICAZIONE .......................................................................................................................... 6 3 DASHBOARD RIEPILOGATIVA (PAGINA INIZIALE) ...................................................................... 7 3.1 3.2 3.3 4 BARRA DEI MENÙ ................................................................................................................................................ 7 GRAFICI .............................................................................................................................................................. 7 COLLEGAMENTI AD ALTRE SEZIONI ................................................................................................................... 9 I MENÙ ................................................................................................................................................................... 10 4.1 INTRODUZIONE ........................................................................................................................................... 10 4.1.1 DASHBOARD RIEPILOGATIVA ........................................................................................................... 10 4.2 CONSULTAZIONE E RIEPILOGO ............................................................................................................ 10 4.2.1 RIEPILOGO MULTIPIATTAFORMA LOGIN LOGOUT LOGFAIL .................................................. 10 4.2.2 RIEPILOGO EVENTI LOGIN E LOGOUT WINDOWS .................................................................... 13 4.2.3 RIEPILOGO LOGFAIL WINDOWS ...................................................................................................... 14 4.2.4 RIEPILOGO EVENTI WIN APPLICATIONS ...................................................................................... 16 4.2.5 LINUX AUDIT LOGIN, LOGOUT E LOGFAIL ................................................................................... 18 4.3 ACCESSI NOTTURNI E FESTIVI.............................................................................................................. 20 4.3.1 LOGIN/LOGFAIL NOTTURNI E FESTIVI – MULTIPIATTAFORMA ............................................ 20 4.3.2 LOGIN NOTTURNI E FESTIVI – WINDOWS................................................................................... 21 4.3.3 LOGFAIL NOTTURNI E FESTIVI – WINDOWS .............................................................................. 21 4.3.4 LOGIN NOTTURNI E FESTIVI – WIN APPLICATIONS ................................................................ 22 4.3.5 LOGFAIL NOTTURNI E FESTIVI – WIN APPLICATIONS ............................................................ 23 4.3.6 LOGIN NOTTURNI E FESTIVI - LINUX AUDIT .............................................................................. 23 4.4 MODULI PER RICERCHE PARTICOLARI ............................................................................................... 24 4.4.1 MULTIPIATTAFORMA – MODULO RICERCHE PARTICOLARI MULTIPIATTAFORMA ......... 24 4.4.2 WINDOWS – MODULO RICERCHE PARTICOLARI LOGIN - WINDOWS ............................... 25 4.4.3 WINDOWS – MODULO RICERCHE PARTICOLARI LOGOUT - WINDOWS ........................... 25 4.4.4 WINDOWS – MODULO RICERCHE PARTICOLARI LOGFAIL - WINDOWS .......................... 25 4.4.5 MOD. RICERCHE PARTICOLARI LOGIN/FAIL/OUT WINAPPLICATIONS ............................. 25 4.4.6 MOD. RICERCHE PARTICOLARI - LOGIN/FAIL/OUT LINUX .................................................... 26 2 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” STORIA DELLE MODIFICHE Versione 1.2.0 Data Sintesi Modifica Emissione 15/09/2010 Prima Emissione ACRONIMI E DEFINIZIONI Nel seguito del documento verranno utilizzati i seguenti acronimi e definizioni: (to be defined) indica un'informazione per la quale non si dispone {tbd} degli elementi sufficienti ad una completa definizione (to be written) indica un’informazione di cui si dispone degli {tbw} elementi necessari per definirla e deve essere ancora redatta (to be confirmed) indica un’informazione di cui si è completata la {tbc} definizione ma deve essere ancora confermata (non applicabile) indica un punto di una struttura predefinita che nel {na} contesto particolare risulta priva di significato 3 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” Premessa per l’Amministratore Splunk Il presente manuale è indirizzato al Titolare del Trattamento dei Dati Personali e ai suoi delegati, pertanto la sua natura non è di tipo strettamente tecnico. A seconda della personalizzazione effettuata per l’applicazione “Garante Privacy”, questo manuale deve essere modificato dall’Amministratore Splunk per eliminare le voci non pertinenti od integrare voci non ancora presenti. A titolo di esempio potrebbero essere da modificare: Le sorgenti dati oggetto del manuale (da aggiungere o togliere); gli orari dei report che riguardano l’accesso in fascia extralavorativa; In questo manuale vengono infatti descritte solo 3 tipologie di dati: windows, windows applications e linux. L’amministratore Splunk dovrebbe quindi preoccuparsi di documentare altre tipologie di log presenti in azienda (database, applicazioni custom, apparati di rete, …), che ovviamente saranno state precedentemente inserite nell’applicazione “Garante Privacy” da personale qualificato. Prima di consegnare questo documento al Titolare del Trattamento dei Dati Personali è inoltre necessario eliminare questa premessa. 4 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” 1 Scopo del documento Il presente documento è indirizzato al Titolare del Trattamento dei Dati Personali. Il suo scopo è documentare l’utilizzo dell’applicazione Splunk “Garante Privacy”, finalizzata a semplificare le operazioni di audit previste dal Garante della Privacy relativamente alle attività degli Amministratori di Sistema. La soluzione Splunk, insieme all’applicazione “Garante Privacy”, consente di raccogliere gli eventi di login/logout relativi agli amministratori di sistema, di registrarli in un database, e di visualizzarli a fini di audit, ottemperando quindi a quanto richiesto dal Provvedimento del Garante per la protezione dei Dati Personali: “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008)”. Splunk non si limita a registrare gli accessi riusciti, ma anche i tentativi falliti di accesso ai sistemi ed i logout dai sistemi, estendendo quindi il campo di ricerca possibile. L’applicazione Splunk “Garante Privacy” rappresenta uno strumento di audit che consente di effettuare le verifiche sui dati memorizzati, andando ad individuare eventuali comportamenti anomali o non conformi alle regole aziendali da parte degli amministratori di sistema. 5 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” 2 Login all’applicazione Per iniziare ad usare l’applicazione è necessario l’utilizzo di un browser che punti all’URL sul quale viene eseguito Splunk. Tipicamente questo URL è http://<nome server>:8000, ma può variare a seconda delle installazioni. Per maggiori ragguagli rivolgersi all’amministratore Splunk. L’applicazione, fruibile da browser internet quali internet explorer o mozilla firefox, presenta la seguente interfaccia di accesso al sistema: E’ necessario quindi inserire le proprie credenziali per poter iniziare ad utilizzare l’applicazione. Se nel sistema informativo è presente un software di “single sign on”, è possibile che non sia necessario effettuare l’accesso tramite l’interfaccia descritta; rivolgersi all’Amministratore Splunk per maggiori informazioni. 6 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” 3 DASHBOARD RIEPILOGATIVA (Pagina iniziale) La pagina iniziale dell’applicazione garante è un cruscotto che presenta quattro sezioni, di seguito descritte: 3.1 Barra dei menù Rappresenta lo strumento di navigazione attraverso le varie sezioni di cui è composta l’applicazione. E’ composto da differenti menù a tendina, ognuno con collegamenti a specifiche dashboard (o “viste”) che analizzeremo in seguito. 3.2 Grafici I due grafici soprastanti rappresentano i login di successo e di fallimento relativi all’ultimo mese su tutte le piattaforme gestite e serve a dare una visione complessiva su eventuali problematiche presenti, come ad esempio un esagerato numero di tentativi di accesso riusciti e/o falliti. 7 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” I grafici Splunk sono interattivi e consentono la visualizzazione dei dati in formato originale. A questo fine, partendo da uno dei grafici riportati alla pagina precedente, si può operare come segue: cliccare su una barra del grafico: verrà visualizzata una pagina simile a quella sottostante cliccare sull’icona indicata dalla freccia: verranno visualizzati gli eventi nel formato originale Il rettangolo verde con la spunta in bianco e la scritta “valid” significa che il dato non è stato in nessun modo manipolato ed è quindi uguale a quanto presente sul dispositivo che lo ha generato (in questo caso una macchina windows). Splunk riesce a stabilire la validità o meno di un evento andando a creare, al momento della memorizzazione del dato sul database, un “hash” dell’evento (una sorta di impronta digitale). Se qualcuno dovesse modificare l’evento l’”hash” corrispondente non sarebbe più valido e Splunk lo segnalerebbe con un’icona rossa e la dicitura “Not valid”. Per tornare alla dashboard principale è sufficiente cliccare sul tasto “indietro” del browser. 8 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” 3.3 Collegamenti ad altre sezioni La pagina principale dell’applicazione presenta altre due sezioni: “ACCESSO ALLA DASHBOARD MULTIPIATTAFORMA”; “ACCESSO ALLE DASHBOARD SPECIFICHE PER PIATTAFORMA”. All’interno delle due sezioni sono presenti collegamenti che portano alla pagina “DASHBOARD RIEPILOGATIVA MULTIPIATTAFORMA” ed alle differenti tipologie di dati memorizzati in splunk (in questo caso “WINDOWS”, “WINDOWS_APP” e “LINUX_AUDIT”). Tali voci saranno comunque anche selezionabili dalla barra dei menù a tendina. 9 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” 4 I menù 4.1 INTRODUZIONE Utilizzata per tornare alla dashboard iniziale dell’applicazione. 4.1.1 DASHBOARD RIEPILOGATIVA Attraverso questa voce di menù è possibile tornare alla dashboard iniziale dell’applicazione descritta nel paragrafo 2.2. 4.2 CONSULTAZIONE E RIEPILOGO Utilizzata per ottenere dashboard di sintesi. 4.2.1 RIEPILOGO MULTIPIATTAFORMA LOGIN LOGOUT LOGFAIL Attraverso questa voce di menù si entra nella seguente schermata (questa, come le altre dell’applicazione si chiameranno d’ora in poi “vista”): 10 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” Da questa schermata è possibile interrogare il database splunk sugli eventi di login/logout/logfail che riguardano gli utenti amministratori censiti. Per poterlo fare è necessario scegliere la tipologia di evento del menù a tendina di destra: Inoltre è necessario scegliere il periodo temporale di riferimento, dal menù a tendina di sinistra: Per scegliere un periodo temporale preciso è necessario cliccare su “Custom time…” ed utilizzare la seguente finestra, confermando la scelta cliccando su Apply: In questo caso è stato scelto come periodo di riferimento l’intera giornata del 5 maggio 2010. 11 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” Una volta effettuate le selezioni è sufficiente premere su Search (così come in tutte le altre viste descritte in questo manuale) ed attendere i risultati, che saranno composti da 4 grafici ed una tabella. Il primo grafico rappresenta il numero di eventi generato dai 10 utenti principali (in termini di numero di accessi) e sarà simile a quello sottostante: Nell’esempio, la sproporzione tra il primo utente ed i successivi potrebbe essere sintomo di un comportamento anomalo di un amministratore di sistema, che esegue un numero eccessivo di login rispetto agli altri amministratori. Il secondo grafico mostra il numero di eventi registrato per server e suddiviso per utente: Il terzo ed il quarto grafico mostrano la percentuale sul totale eventi dei dieci server e dei dieci utenti che hanno generato il maggior numero di eventi: Infine è presente una tabella riepilogativa degli eventi con indicazione di data, ora, utenza, asset, tipologia di evento: 12 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” Cliccando sul link “View Results” è possibile visualizzare, utilizzando la procedura descritta in 3.2, gli eventi nella loro forma originale. 4.2.2 RIEPILOGO EVENTI LOGIN E LOGOUT WINDOWS Questa vista, per quanto riguarda i report prodotti è identica a quella precedente, ma riguarda unicamente eventi di login o logout generati in ambiente windows. Dopo avere effettuato la scelta della tipologia (in questo esempio login) di evento e selezionato data e ora si ottiene un report che sarà composto dalle stesse sezioni della vista precedente (4.2.1), ovverosia 4 grafici ed una tabella, ma unicamente con dati windows. Top10 utenti per numero di eventi generati; Eventi per server per utente; 13 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” Percentuale sul totale eventi dei dieci server e dei dieci utenti che hanno generato il maggior numero di eventi; Tabella riepilogativa degli eventi con indicazione di data, ora, utenza, asset, tipologia di evento. 4.2.3 RIEPILOGO LOGFAIL WINDOWS Questa vista riguarda unicamente eventi di logfail generati in ambiente windows. Dopo avere selezionato il periodo temporale ed iniziato la ricerca, si ottiene un output formato da 4 grafici ed una tabella riepilogativa (sempre che esistano eventi di logfail). Il primo grafico rappresenta il numero di eventi generato dai 10 utenti che hanno generato più eventi e sarà simile a quello sottostante: Si noti che in questo grafico sono presenti due utenze generiche administrator (con la “a” minuscola e maiuscola), in netto contrasto con quanto stabilito dal Garante Privacy che impone utenze nominative. Questo grafico è stato riportato come esempio di verifica a cura del Titolare del trattamento dei dati. Il secondo grafico mostra il numero di eventi registrato per server e suddiviso per utente: 14 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” Il terzo ed il quarto grafico mostrano la percentuale sul totale eventi dei dieci server e dei dieci utenti che hanno generato il maggior numero di eventi: Infine è presente una tabella riepilogativa degli eventi con indicazione di data, ora, asset, utenza, postazione ed un eventuale messaggio del sistema. 15 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” 4.2.4 RIEPILOGO EVENTI WIN APPLICATIONS Anche questa vista produce informazioni simili alla vista del paragrafo 4.2.1 e dà la possibilità di scegliere eventi di login, logout, logfail relativi ad eventi WIN APPLICATIONS. Tipicamente in ambiente WINDOWS si intendono WIN APPLICATIONS gli eventi provenienti da database e sistemi di posta elettronica in ambiente Microsoft. Dopo avere effettuato la scelta della tipologia di evento e selezionato data e ora Come descritto in 4.2.1, si ottiene un report con le seguenti sezioni: Top10 utenti per numero di eventi generati: 16 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” Eventi per server per utente: Percentuale sul totale eventi dei dieci server e dei dieci utenti che hanno generato il maggior numero di eventi: Tabella riepilogativa degli eventi con indicazione di data, ora, utenza, asset, tipologia di evento: 17 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” 4.2.5 LINUX AUDIT LOGIN, LOGOUT E LOGFAIL Questa vista mostra informazioni relative all’ambiente linux. Dopo avere selezionato la/e tipologie di evento e scelto un periodo di riferimento si ottengono i seguenti report: Top 10 utenti per numero di eventi generati: In questo caso si noti come siano stati effettuati login con l’utenza amministrativa generica “root”, che va contro lo spirito del provvedimento del Garante Privacy. Eventi per server per utente: 18 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” Percentuale sul totale eventi dei dieci server e dei dieci utenti che hanno generato il maggior numero di eventi: Tabella riepilogativa degli eventi con indicazione di data, ora, utenza, asset, tipologia di evento: 19 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” 4.3 ACCESSI NOTTURNI E FESTIVI Gli accessi effettuati al di fuori dell’orario di lavoro sono potenzialmente sospetti ed è compito del Titolare del trattamento dati verificare se sono relativi a normale operatività o hanno natura fraudolenta. L’orario di lavoro di riferimento è stato impostato dall’amministratore Splunk come: lunedì-venerdì, 7:30-20:00. 4.3.1 LOGIN/LOGFAIL NOTTURNI E FESTIVI – MULTIPIATTAFORMA Questa vista serve per individuare eventuali comportamenti sospetti, in termini di orario, delle attività di login e logfail su tutte le piattaforme (sorgenti dei log) censite. In questo caso è necessario selezionare l’attività (login, logfail o entrambe) ed un periodo temporale di riferimento, come nella figura sottostante. La selezione dell'evento e la scelta del periodo temporale per la ricerca produrrà il report degli eventi rilevati nei week end e dalle ore 20.00 fino alle 7.30 di un qualsiasi giorno infrasettimanale. Il risultato sarà una tabella contenente le informazioni di data e ora, tipo sorgente (windows, linux, …), l’asset di destinazione ed il conteggio degli eventi. 20 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” 4.3.2 LOGIN NOTTURNI E FESTIVI – WINDOWS Questa vista serve per individuare eventuali comportamenti sospetti, in termini di orario, delle attività di login in ambito windows. E’ necessario selezionare unicamente il periodo di riferimento e cliccare su search per visualizzare il report degli eventi rilevati nei week end e dalle ore 20.00 fino alle 7.30 di un qualsiasi giorno infrasettimanale. I dati visualizzati sono data ed ora, tipo sorgente (windows), utenza, indirizzo IP sorgente ed asset di destinazione. 4.3.3 LOGFAIL NOTTURNI E FESTIVI – WINDOWS 21 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” Questa vista serve per individuare eventuali comportamenti sospetti, in termini di orario (vedi 4.3.1), dei logfail in ambito windows e produce un output tabellare identico alla vista 4.3.1. 4.3.4 LOGIN NOTTURNI E FESTIVI – WIN APPLICATIONS Questa vista serve per individuare eventuali comportamenti sospetti, in termini di orario (vedi 4.3.1), dei login in ambito windows applications (database, sistemi di posta elettronica, …) e produce un output tabellare identico alla vista 4.3.1. 22 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” 4.3.5 LOGFAIL NOTTURNI E FESTIVI – WIN APPLICATIONS Questa vista serve per individuare eventuali comportamenti sospetti, in termini di orario (vedi 4.3.1), dei logfail in ambito windows applications (database, sistemi di posta elettronica) e produce un output tabellare identico alla vista 4.3.1. 4.3.6 LOGIN NOTTURNI E FESTIVI - LINUX AUDIT Questa vista serve per individuare eventuali comportamenti sospetti, in termini di orario (vedi 4.3.1), dei login in ambito linux e produce un output tabellare identico alla vista 4.3.1. 23 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” 4.4 MODULI PER RICERCHE PARTICOLARI I moduli per ricerche particolari servono per andare ad indagare le attività di login/logout/logfail di uno specifico utente (o tutti) su uno (o tutti) i server censiti nel database di Splunk. 4.4.1 MULTIPIATTAFORMA – MODULO RICERCHE PARTICOLARI MULTIPIATTAFORMA Le selezioni da fare sono 3: nome “host” “User_Name” (nome utente) Tipologia di evento (login/logout/logfail o tutte e tre) Il carattere “*” rappresente il carattere jolly ed indica tutti gli host o tutti gli utenti, a seconda del campo in cui lo si inserisce. Una volta effettuate le selezioni l’output prodotto sarà una tabella come quella visualizzata di seguito: I dati visualizzati saranno data e ora evento, tipologia di evento, utenza, asset di destinazione e numero eventi. In questo caso è stato scelto di effettuare una ricerca con il nome generico “root”, per vedere se e quanto questa utenza venga ancora utilizzata in azienda. 24 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” L’utente “root”, infatti, stando al provvedimento del Garante Privacy non è riconducibile a persona fisica e dovrebbe quindi essere sostituito con una utenza nominale. 4.4.2 WINDOWS – MODULO RICERCHE PARTICOLARI LOGIN - WINDOWS Una volta selezionati i dati in ingresso, l’output sarà identico a quanto descritto nel punto 4.4.1, ma riguarderà unicamente i login windows. 4.4.3 WINDOWS – MODULO RICERCHE PARTICOLARI LOGOUT - WINDOWS Una volta selezionati i dati in ingresso, l’output sarà identico a quanto descritto nel punto 4.4.1, ma riguarderà unicamente i logout windows. 4.4.4 WINDOWS – MODULO RICERCHE PARTICOLARI LOGFAIL - WINDOWS Una volta selezionati i dati in ingresso, l’output sarà identico a quanto descritto nel punto 4.4.1, ma riguarderà unicamente i logfail windows. 4.4.5 MOD. RICERCHE PARTICOLARI LOGIN/FAIL/OUT WINAPPLICATIONS 25 di 26 Splunk – Manuale utente per l’applicazione “Garante Privacy” Una volta selezionati i dati in ingresso, l’output sarà identico a quanto descritto nel punto 4.4.1, ma riguarderà unicamente i log provenienti dalle windows applications (database, sistemi di posta elettronica, …). 4.4.6 MOD. RICERCHE PARTICOLARI - LOGIN/FAIL/OUT LINUX Le selezioni da fare sono 3: nome “host” “User_Name” (nome utente) Tipologia di evento (login/logout/logfail o tutte e tre) Il carattere “*” rappresente il carattere jolly ed indica tutti gli host o tutti gli utenti, a seconda del campo in cui lo si inserisce. Una volta selezionati i dati in ingresso, l’output sarà identico a quanto descritto nel punto 4.4.1, ma riguarderanno informazioni relative a host linux. 26 di 26