Audit Sécurité Sybase

Procédure de mise en place de l’audit pour Sybase

Mettre en place l’audit
Se référer au document : « ASE - System Administration Guide », le PDF est disponible en 2 volumes (v1,v2). Le chapitre 12 est consacré à la mise en place de l’architecture de l’audit. Vous comprendrez que je ne peux pas donner notre méthode exacte.

Activer l’audit
exec sp_configure “auditing”, 1
go

Auditer les paramètres généraux suivants
Les procédures DBCC
sp_audit “dbcc”,”all”,”all”,”on”
go

Les erreurs générées
sp_audit “errors”,”all”,”all”,”on”
go

L’établissement des connections à la base
sp_audit “login”,”all”,”all”,”on”
go

L’utilisation des procédures externes
sp_audit “rpc”, “all”, “all”, “on”
go

Les opérations du System Administrator
sp_audit “all”, “sa_role”, “all”, “on”
go

Les opérations du System Security Officer
sp_audit “all”, “sso_role”, “all”, “on”
go

Les opérations de sécurité
sp_audit “security”, “all”, “all”, “on”
go

Auditer les procédures systèmes suivantes
Pour cela on se place dans la base de données Sybsystemprocs
use sybsystemprocs
go

L’ajout d’enregistrements manuels sur la table d’audit
sp_audit “exec_procedure”, “all”, “sp_addauditrecord”, “on”
go

L’ajout ou les changements sur la table d’audit
sp_audit “exec_procedure”, “all”, “sp_addaudittable”, “on”
go

Les modifications des paramètres d’audit
sp_audit “exec_procedure”, “all”, “sp_audit”, “on”
go

La création d’un serveur distant
sp_audit “exec_procedure”, “all”, “sp_addserver”, “on”
go

La suppression d’un serveur distant
sp_audit “exec_procedure”, “all”, “sp_dropserver”, “on”
go

Les modifications d’un serveur distant
sp_audit “exec_procedure”, “all”, “sp_serveroption”, “on”
go

La création d’un alias
sp_audit “exec_procedure”, “all”, “sp_addalias”, “on”
go

La suppression d’un alias
sp_audit “exec_procedure”, “all”, “sp_dropalias”, “on”
go

La création d’un identifiant
sp_audit “exec_procedure”, “all”, “sp_addlogin”, “on”
go

La modification d’un identifiant
sp_audit “exec_procedure”, “all”, “sp_modifylogin”, “on”
go

La suppression d’un identifiant
sp_audit “exec_procedure”, “all”, “sp_droplogin”, “on”
go

Le verrouillage d’un compte utilisateur
sp_audit “exec_procedure”, “all”, “sp_locklogin”, “on”
go

La création d’un identifiant externe
sp_audit “exec_procedure”, “all”, “sp_addexternlogin”, “on”
go

La suppression d’un identifiant externe
sp_audit “exec_procedure”, “all”, “sp_dropexternlogin”, “on”
go

La création d’un identifiant à distance
sp_audit “exec_procedure”, “all”, “sp_addremotelogin”, “on”
go

La modification d’un identifiant à distance
sp_audit “exec_procedure”, “all”, “sp_remoteoption”, “on”
go

La suppression d’un identifiant à distance
sp_audit “exec_procedure”, “all”, “sp_dropremotelogin”, “on”
go

La création d’un utilisateur
sp_audit “exec_procedure”, “all”, “sp_adduser”, “on”
go

La suppression d’un utilisateur
sp_audit “exec_procedure”, “all”, “sp_dropuser”, “on”
go

La modification d’un mot de passe
sp_audit “exec_procedure”, “all”, “sp_password”, “on”
go

La création d’un groupe
sp_audit “exec_procedure”, “all”, “sp_addgroup”, “on”
go

Le changement de groupe
sp_audit “exec_procedure”, “all”, “sp_changegroup”, “on”
go

La suppression d’un groupe
sp_audit “exec_procedure”, “all”, “sp_dropgroup”, “on”
go

La modification des rôles systèmes
sp_audit “exec_procedure”, “all”, “sp_role”, “on”
go

Le changement du propriétaire de la base de données
sp_audit “exec_procedure”, “all”, “sp_changedbowner”, “on”
go

Le changement de nom des bases de données
sp_audit “exec_procedure”, “all”, “sp_renamedb”, “on”
go

Le changement de nom des objets de la base de données
sp_audit “exec_procedure”, “all”, “sp_rename”, “on”
go

Les ordres SQL à distance
sp_audit “exec_procedure”, “all”, “sp_passthru”, “on”
go

Les modifications des paramètres d’audit et système
sp_audit “exec_procedure”, “all”, “sp_configure”, “on”
go

Activer l’audit des tables sur les serveurs de production
Exemple : la table master

Les modifications de structure
sp_audit “alter”,”all”,”master”,”on”
go

Les créations
sp_audit “create”,”all”,”master”,”on”
go

Les suppressions
sp_audit “drop”,”all”,”master”,”on”
go

Les sauvegardes
sp_audit “dump”,”all”,”master”,”on”
go

Les chargements
sp_audit “load”,”all”,”master”,”on”
go

Les permissions
sp_audit “grant”,”all”,”master”,”on”
go
sp_audit “revoke”,”all”,”master”,”on”
go

Les modifications sur l’utilisateur
sp_audit “setuser”,”all”,”master”,”on”
go

Le nettoyage des tables
sp_audit “truncate”,”all”,”master”,”on”
go

Activer les options suivantes pour surveiller les tables à risque
Exemple : les modifications pour la base d’audit
use audit_db
go

Le mise à jour des enregistrements
sp_audit “update”,”all”,”audit_data”,”on”
go
La suppression d’enregistrements
sp_audit “delete”,”all”,”audit_data”,”on”
go

Contrôler les paramètres d’audit activés
exec sp_displayaudit
go

Sybase conf audit 1

Sybase conf audit 2

Remarque : Il faut penser à activer l’audit sur les bases :

  • d’audit;
  • de type critiques;
  • de type système;
  • de type secours.