Supervisión de Office 365 con Netwrix Auditor

Sobre Netwrix Auditor

Uno de los componentes habituales del SAAS, Software As A Service, (Software como Servicio), de cualquier proveedor de Cloud que se precie es, sin duda, el correo electrónico. Y uno de los que más preocupantes para administradores. Saber si se producen cambios en la configuración del correo y quienes acceden a los buzones son algunas de las funciones que Netwrix Auditor proporciona para hacer la vida de los responsables del correo más tranquila.

Netwrix Auditor es un programa especializado en la auditoría de acceso a distintos componentes de la infraestructura de TI.

Estructurado en módulos que se pueden adquirir e instalar en conjunto o por separado, de forma gradual, cuenta con un componente específico que permite supervisar la actividad y configuración de la operación del correo en cloud de Microsoft, Office 365.

Este módulo permite a los administradores monitorizar el acceso al “servidor” Exchange y sus buzones en La Nube. No porque haya que desconfiar de Microsoft, si por otros motivos, como puede ser comprobar que la configuración y privilegios que se han asignado se aplican como se espera y, como no, para reunir evidencias para cumplimiento normativo de cualquier índole.

Instalación

¿qué necesitas saber para su instalación?

Para instalar Netwrix Auditor se necesita poco. Un servidor o un equipo de escritorio. Que sea físico o virtual es indiferente, pero que cuente con 8 GB de RAM, un procesador Intel Core 2 Duo a 3GHz y de disco, y 500 MB libres para alojar el programa.

Para datos con 500MB dedicadas a las bases de datos es suficiente. Si se quiere mantener archivado del registro a largo plazo, la recomendación para guardar los logs va a los 30 GB. Bien es verdad que este espacio no tiene por qué estar en la misma máquina, puede estar perfectamente en otro almacenamiento.

El equipo puede ser virtual y, en este caso, puede estar también en Cloud. En software, cualquier versión de sistema operativo de Microsoft, a partir de Windows 7 con SP1 con .Net Framework 3.5 SP1 instalado.

También se necesita un servidor SQL para organizar los datos que maneja el programa, principalmente lo que tiene que ver con la presentación de informes, Reporting. Este requisito no tiene que ser nunca impedimento para aprovechar el programa, puesto que puede ser perfectamente una versión Express de este motor de bases de datos.

Este servicio puede estar en la misma máquina donde se instala Netwrix Auditor, o contra un servidor en maquina aparte, para aquellos escenarios de consolidación.

Al trasladar el correo a La Nube no se traslada la responsabilidad de su gestión. A todos los efectos, las compañías son responsables de sus servicios, estén estos On Premise o en Cloud.

Si están en Cloud, habrá que auditar al proveedor de servicios para comprobar que los servicios se operan como deben operarse, si se quieren evitar sorpresas.

El asistente de instalación no tiene ningún misterio, y proporciona una instalación del tipo “next, next” simple a más no poder y rápido. En este punto no se hace notar SQL. Este componente queda para la configuración del servicio.

Una vez instalado, “on premise” o en Cloud, para monitorizar el correo, como no podía ser de otro modo, hay que configurar equipo y programa.

Lo primero, “lo de los permisos”. La cuenta para operar la consola de administración ha de tener acceso de administrador local y contar con los correspondientes permisos de modificación en la carpeta en donde se guardan los logs, por defecto en C:Archivos de ProgramaNetwrix AuditorData, si la instalación del sistema oeprativo es en castellano.Y en el servidor Exchange, la cuenta que se utilice para recopilar los datos en nombre de Netwrix Auditor tiene que contar con la asignación de los roles de “Audit Logs”, “Mail Recipients” y “View-Only Configuation”.

Para ampliar más detalles sobre estos privilegios, lo mejor es pedir asistencia al proveedor en Cloud o consultar la documentación para la gestión que haya proporcionado.

Igualmente, el servidor Exchange Online tiene que estar configurado para generar los logs que recopilará Netwrix Auditor.

Por defecto, Microsoft mantiene activado el registro de sucesos del servidor y deja constancia de los cambios que se producen sin necesidad de hacer más. Este registro de actividad es accesible desde el apartado de “Seguridad y Cumplimiento” del centro de administración de Office 365 o ejecutando cmdlets de Windows PowerShell.

Configuración

Con esto resuelto hay que volver a la consola de gestión del programa para definir los objetos que hay que auditar. En esta consola hay que localizar “Office 365” y lanzar el asistente asociado para crear un nuevo objeto gestionado, New Managed Object. Para este sencillo asistente, en la primera pantalla, seleccionar el objeto en cuestión, obviamente.

En el siguiente paso, hay que definir las credenciales que utilizará el programa en su funcionamiento, que se habrá planificado y creado con anterioridad, como se ha comentado anteriormente. Este no es un parámetro inamovible y siempre se puede modificar en la configuración del programa.

A continuación, la configuración para el envío de mensajes e informes. Los campos que se han de cumplimentar están relacionados con el servidor para envío de informes y alertas de Netwirx Auditor.

Puede o no coincidir con el servidor Exchange que se supervisa. Hay que especificar servidor de correo SMTP, puerto y dirección del remitente de estos mensajes, la dirección de email que figurará en el campo “De” o si se prefiere “From”, de los correos que genere el programa durante la supervisión.

También hay que especificar si el servidor SMTP requiere autenticación y en caso afirmativo, las credenciales que se utilizarán para que el servidor acepte del envío de esos mensajes. Usuario y password consignados tienen que tener permiso para el envío de correo y no tiene por qué ser la misma que la utilizada para recopilar datos en el servidor Exchange.

Si se utiliza SSL en el servidor SMTP, mejor; pero hay que indicarlo chequeando las casillas de verificación asociadas a este transporte seguro.

La primera opción, “Use Secure Sockets Layer encrypted connection (SSL)” para establecer una conexión cifrada con el servidor SMTP y la segunda para indicar que esta conexión tiene que ser establecida antes de intercambiar datos. “Implicit SSL coneection mode”.

El siguiente paso que solicita el asistente de configuración de este objeto esta ya relacionado con el servidor en cloud que se quiere supervisar.

El asistente solicita al operador que indique cuales son las credenciales de la cuenta que se utilizará para acceder al servidor y recopilar los datos de la supervisión. Las credenciales que se consignen aquí, no tienen por qué tener privilegios de administrador. Es más, no es nada recomendable utilizar cuentas con este nivel de privilegio para la configuración de la supervisión.

Anteriormente se han comentado los permisos que han de tener la cuenta utilizada, que no debe corresponder con ningún usuario en activo. En este punto es imprescindible disponer de conexión a Internet.

Netwrix Auditor sabe cómo conectar con Office 365 y chequea la validez de las credenciales indicadas y sus permisos antes de continuar con la configuración del objeto que se monitoriza. Si alguno de estos detalles, credenciales o permisos falla, el programa lo indica, por lo que es fácil ponerle remedio a los posibles errores.

ISO 27018
Aprobada en febrero de 2014, la nueva norma ISO 27018 es la primera norma internacional sobre seguridad en la nube y aborda cuestiones específicamente relacionadas con este tipo de tecnología, algo que hasta el momento no existía. Protege el derecho a la privacidad de la información de los usuarios y obliga a las empresas proveedoras a informar sobre el tratamiento que le dan a los datos de sus clientes. Fortalece la privacidad con la incorporación de controles de seguridad para el control de la información sensible de clientes almacenada en la nube.

Netwrix Auditor tiene toda razón de ser cuando recopila datos de los “objetos gestionados” y estos datos son incorporados a la gestión de las infraestructuras TI. De otro modo no se justifica el esfuerzo de adquisición, instalación, configuración y operación.

Netwrix Auditor puede manejar los objetos gestionados a través de una base de datos y es el siguiente paso que se ha de completar en el asistente.

También da opción a que sólo se ocupe de enviar una alerta, que no guarde información de supervisión del objeto gestionado. Si en el momento de crear el objeto gestionado de Office 365 hay un servidor SQL ya disponible, se puede especificar éste seleccionando la segunda opción “Use un existing SQL Server instance with SQL Server Reporting Services” y cumplimentando los datos de conexión en el siguiente cuadro de diálogo del asistente.

Nótese que es imprescindible que el servidor SQL ha de tener habilitados los servicios de Reporting. De otro modo no funcionará la instalación y poco aportaría Netwrix Auditor si no se pueden generar informes, su verdadera gracia.

En caso de no haber un servidor SQL disponible donde ubicar la base de datos para la gestión de este objeto Netwrix, se puede montar automáticamente desde el propio asistente. Instala y configura Microsoft Server 2014 Express with Advanced Services. Para ello hay que optar por la primera opción de configuración “Automatically install and configure a new instance of SQL Server Edition” y no olvidar tener acceso a internet desde el servidor de Netwrix Auditor.

Supervisión

Completados estos pasos y si todo ha sucedido como debiera, ya se está en disposición de monitorizar el servidor y el correo.

El programa hace una primera recopilación de datos de supervisión del Exchange Online y a partir de ese momento, se conectará a intervalos regulares para recopilar nuevos datos de monitorización. La frecuencia es modificable y cada administrador podrá acomodarla a sus necesidades. No hay que perder de vista que no es un registro de sucesos al uso de Windows. No advierte de los sucesos cuando se producen; no es una monitorización en tiempo real. Con la frecuencia marcada, Netwrix Auditor conectará con el servidor y recopilará los datos para formatearlos en su base de datos y presentarlos según se demande.

La presentación de los datos hay que buscarlos en la parte cliente. Normalmente se instala junto con el componente de servidor, el recopilador de datos, pero no tiene porqué ser así. Puede instalarse en el portátil o desktop de los administradores independientemente. La instalación, igual de sencilla que la parte de servidor: “next,next”.

El principal medio para la supervisión del proveedor de Servicios Cloud son los acuerdos que se establezcan. Es importante que los Acuerdos de Nivel de Servicio (SLA) recojan todos los puntos críticos de cada servicio contratado y las responsabilidades del proveedor y del cliente.

Al lanzar la consola, ya hay acceso a un tablero de control con información significativa de lo que se está monitorizando. Sin embargo, para ver la supervisión del correo en la nube, hay que ir a su apartado específico, dentro del acceso a “Reports” en general. Aquí, en el listado que aparece, localizar la carpeta rotulada “Exchange Online”. En este apartado, se agrupan distintos informes incluidos con la instalación, por defecto. Como se puede comprobar, hay informes diferenciados entre el acceso a buzones, el servidor y la gestión de los usuarios y su nombre, aunque en inglés, permite adivinar fácilmente que información presenta. Al seleccionar en el panel de navegación de la izquierda, el informe en cuestión, con el botón “View” se muestra el informe.

Insistir en que es una “foto” de la supervisión del servidor en la última recolección de datos. No se deben esperar ver cambios que se han producido muy recientemente. Si s quieren incluir estos cambios, habrá que provocar una recolección de datos desde el servidor.

El botón “Subscribe” también es interesante considerarlo. Permite automatizar la generación de informes y recibirlo cómodamente en el correo. Para la automatización, se pueden aplicar algunos filtros que permiten perfilar mejor los datos y su presentación según la querencia del destinatario del informe.

Los administradores que tengan que generar informes de cumplimiento, lo tienen también fácil con el apartado de “Compliance”, que localizarán fácilmente en la parte superior del panel de navegación. Desde aquí, se accede a informes específicos para formatear información de los requerimientos normativos más habituales.

Obviamente, estos informes, tanto los convencionales como de cumplimiento, cubren la mayoría de las necesidades de supervisión que pueden darse en un entorno “normal”. Pero Netwrix Auditor también deja cierta “cancha” a los administradores para que puedan elaborar sus propios informes y que generen también sus propias consultas a la base de datos de los objetos monitorizados.

Esto se puede hacer desde el apartado “Search” del panel inicial del cliente. Desde este acceso, se muestra otro asistente que permite hacer la construcción de la consulta deseada, cumplimentando cinco campos: Quién, Hizo, Qué, Cuándo, Dónde. Al pinchar en cada uno de los iconos etiquetados como “Who”, “Action”, “What”, “When” and “Where”, se introducen los datos para la consulta. Esta opción es interesante y no pasará desapercibida a los administradores que necesiten localizar datos concretos sobre la actividad en el correo, de forma precisa y rápida. Es una funcionalidad imprescindible para localizar el momento y autor de un cambio determinado en la configuración del correo o para secuenciar su gestión.

Esta funcionalidad se potencia con el modo avanzado, al que se accede desde el botón “Avanced Mode”, con el que es posible refinar la consulta añadiendo filtros adicionales que se pueden combinar y que permiten analizar un volumen de datos elevado y que en los informes convencionales pueden resultar más complicado. En el modo avanzado, los criterios de filtrado disponibles en la consulta simple “Simple Mode”, se pueden combinar con operadores y valores, con lo que la construcción de consultas complejas resulta sencillo e inmediato.

El nuevo estándar ISO 27018 establece requisitos destinados a garantizar que los proveedores de servicios en la nube puedan ofrecer controles adecuados de seguridad de la información

Como se puede ver, llevar a la nube el correo no tiene por qué suponer la pérdida total del servicio. Con herramientas sencillas de instalar y de operar como es Netwrix Auditor 8.5 es posible mantener la supervisión del correo y conocer de primera mano que sucede en el “paraíso”.

Si tienes alguna duda, sugerencia o información adicional del producto, no dudes en ponerte en contacto con tu asesor habitual en Danysoft.

Sigue descubriendo:

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Utilizamos cookies propias y de terceros para mejorar nuestros servicios. Al utilizar el Sitio, usted acepta el uso de cookies. más información

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close