インターセプト イベントの監査のしくみ

内容
capamsc141
インターセプト イベント
とは、
Privileged Access Manager
に初めて出現し、カーネル キャッシュに許可または監査に関する情報が存在しないイベントです。
監査レコードをログに記録するために、
Privileged Access Manager
は以下のアクションを実行し、インターセプト イベントにその結果が反映されるようにします。
監査レコード インターセプト イベント
Audit Record Interception Events
  • No Enforcement モードでは、イベントはインターセプトも監査もされません。
  • Full Enforcement モードでは、
    Privileged Access Manager
    は以下の手順に従います。
    1. 認証エンジンは、認証結果に基づいて、監査項目を監査キュー、および監査キャッシュに配置します。
      Privileged Access Manager
      が監査項目を書き込むのは、リソースまたはアクセサの監査プロパティが結果のイベントを監査するように設定され、監査フィルタ ファイルがこのイベントをフィルタするように設定されていない場合のみです。
    2. 認証エンジンは、認証結果に関する情報および監査関連情報が含まれている応答をカーネルに返します。
  • Audit Only モードでは、
    Privileged Access Manager
    は許可要求を処理しません。リソースおよびユーザの監査プロパティに関係なく、監査情報は常に書き込まれます。
    Privileged Access Manager
    は、監査フィルタ ファイルがこのイベントをフィルタ処理するように設定されていない場合のみ、監査項目を書き込みます。このモードでは、認証結果は常に
    P
    (許可)です。
インターセプトされたログイン イベント(TERMINAL クラス)、およびユーザ トレースによって生成された監査レコードはキャッシュされません。認証エンジンは、これらのイベントの監査レコードを常に書き込みます。

監査イベントの監査のしくみ

以下の図に、監査イベントの監査のしくみを示します。
監査イベントの監査のしくみ
How Auditing Works for Audit Events
カーネルがキャッシュされたインターセプト イベントについて
Privileged Access Manager
に通知すると、
Privileged Access Manager
は以下のアクションを実行して、監査イベントをログに記録します。
  1. カーネルが送信する情報が格納されている監査キャッシュを使用して、監査データを再構築します。
  2. 監査項目を監査キューに挿入します。

カーネルおよび監査のキャッシュ

カーネル キャッシュ
には、以前にインターセプトされたイベントに関するデータが含まれています。カーネルは、このようにキャッシュされたインターセプト イベント(監査イベント)を識別して、処理を実行する
Privileged Access Manager
に送信します。基本的に、
Privileged Access Manager
は、カーネル キャッシュを使用して、以前にインターセプトされたイベントと同じパターンを取るイベントをインターセプトします。
この
監査キャッシュ
に含まれるデータによって、
Privileged Access Manager
は再帰的な監査レコードを再構築します。再構築された監査レコードは、許可プロセスに従う必要なく監査キューに送られます。これは、キャッシュにすでに十分な情報があるインターセプト イベント(監査イベント)はすぐに処理され、監査キューに追加されることを意味します。認証エンジンが提供するデータは、認証エンジンがインターセプトした最初のイベントの結果、カーネル キャッシュおよび監査キャッシュに格納されているものです。

キャッシュのリセット

Privileged Access Manager
は、以下の場合に、カーネル キャッシュと監査キャッシュの両方をクリアします。
  • データベースの変更時
    Privileged Access Manager
    は、データベース情報が変更された場合にキャッシュ全体をクリアします。アクセス ルールが新規に作成されたり、変更されると、既存のキャッシュが不正確になる可能性があります。
  • 時間チェックポイント到達時
    Privileged Access Manager
    は、時間チェックポイントが任意のイベントに対する許可結果に影響を及ぼす場合にキャッシュ全体をクリアします。DAYTIME 制限プロパティまたは HOLIDAY クラス レコードが変更されると。認証結果も変更され、キャッシュが不正確になる可能性があります。
  • PROGRAM リソースの変更時
    Privileged Access Manager
    は、PROGRAM リソースが変更され、untrusted 状態になったことを Watchdog が検知すると、キャッシュ全体をクリアします。untrusted 状態のプログラムは、そのプログラムの許可要求の結果に影響を及ぼします。これにより、キャッシュが不正確になる可能性があります。
  • 監査キャッシュの飽和時
    Privileged Access Manager
    は、監査キャッシュが飽和状態になると、キャッシュ項目の 10% (最も使用頻度の低い項目)をクリアします。
キャッシュがクリアされたら、キャッシュに再び情報を格納し、
Privileged Access Manager
で監査イベントをインターセプトできるようにするには、新規インターセプト イベントの情報が必要になります。