Tips for finding Knowledge Articles

  • - Enter just a few key words related to your question or problem
  • - Add Key words to refine your search as necessary
  • - Do not use punctuation
  • - Search is not case sensitive
  • - Avoid non-descriptive filler words like "how", "the", "what", etc.
  • - If you do not find what you are looking for the first time,reduce the number of key words you enter and try searching again.
  • - Minimum supported Internet Explorer version is IE9
Home  >
article

Iniciar grabación de sesiones al realizar elevación de privilegios

11 April,19 at 11:51 AM

Como configurar la integración entre Infrastructure Service (Auditing and Monitoring Service) y Splunk
Parte1 - Iniciar grabación de sesiones al realizar elevación de privilegios
 
 
Resumen
Se realizará la configuración de un perfil para iniciar las grabaciones de las sesiones a partir de la elevación de privilegios y se realizará la integración con Splunk de forma que se puedan visualizar las sesiones de auditoria directamente desde el Portal de Splunk.
 
Requerimientos - Parte 1
- Un servidor con Infrastructure Service (Privilege Elevation Service y Auditing and Monitoring Service) pre-instaladas.
- Una estación Windows 7 con agente de Centrify funcionando
 
Desarrollo
Este laboratorio será dividido en 2 partes. Inicialmente realizaremos las configuraciones en Centrify para crear un perfil que permita elevación de privilegios e inicie la grabación de la sesión una vez se acceda a las aplicaciones dentro el perfil. Luego de verificar el funcionamiento de lo anterior, procederemos a realizar la instalación de Splunk y la integración del mismo con Centrify.
 
    1. Para iniciar, dentro de Centrify Access manager, realizaremos la creación de 2 aplicaciones que requieran privilegios de administrador para su ejecución, en este caso la aplicación de Services y las opciones avanzadas del firewall para una maquina Windows.
    2. Para la aplicación de Windows Services (services.msc) usaremos la siguiente configuración.
       
      0CCD0B1A-8211-4FBB-8643-D08D83F8FE9D.png

      Crearemos 3 perfiles, uno para versiones anteriores a Windows 2003 o superior, otro perfil por defecto y por ultimo para la consola de MMC.

      6D5D9C99-71D4-4F9F-881A-474A80E56FD8.png

       

      18C298C2-F86D-4A5C-A4D4-BA5F63C68716.png

       

      32A0C50A-738C-42FD-96EF-ACE1D68A0BD4.png

      76B0869A-B188-4348-B948-F301080F7515.png

    3. Configuramos la pestaña de RunAs para realizar la ejecución como un usuario administrador local.

    4. Para la aplicación de Firewall with Advanced Security (WF.msc), tenemos la siguiente configuración.9B2B82DF-526C-4294-A5A1-20323A407D3A.png

       

      B2518911-94A2-4124-B065-A095ADD63896.png

       

      8FE4FC3F-48E6-430E-932D-BC86415554A5.png

       

    5. Realizamos la creación de una definición de role para los usuarios que requieran auditoria al elevarse privilegios.F40A51A7-2EB9-44A7-AEFF-8D84394A05A7.png

       

      0C837418-B2B8-42E5-A4BF-9893B5BE7A93.png

       

    6. Asignamos las aplicaciones creadas en los pasos anteriores al nuevo rol. (Services y Windows Firewall)73F3ED43-E9CB-46E6-9C20-F3D3974311E2.png
    7. A continuación realizaremos la creación de otro rol que permita el login a los sistemas sin necesidad de realizar auditoria de los mismos.

       E6ADB249-02E1-4BCD-8E11-361C5FE2BEE1.png

       

      9672A515-6DE3-4935-9A1A-C67900FCADF5.png

       

      Screen Shot 2018-05-18 at 3.35.17 PM.png

       

    8. Para finalizar la configuración realizaremos la asignación de un grupo de Active Directory a los roles creados.94126A14-EC5B-4CED-BCE3-7E70C7B0448D.png

       

    9. Verificamos que los roles están asignados a uno del los usuarios dentro del grupo de AD seleccionado.4E824365-A3A0-4212-A256-A6E96BB494C8.png

       

    10. Realizaremos las pruebas ingresando a uno de los sistemas dentro de la Zona donde creamos el rol y elevaremos los privilegios para verificar el funcionamiento de la configuración realizada.7C2C0E8F-B843-4552-82FB-19CE00C0B4CC.png  6A0831B9-B2F0-4C7A-AB29-5AC2BD46B6D0.png
    11. Verificamos la sesión de auditoria en el Audit Analyzer y observamos que la session es interrumpida cuando se cierra la aplicación configurada.


      DCCE469B-7799-4BCF-A7E7-A95C01CFADF0.png

       

Comprobada la sesión de auditoría, finalizamos la configuración de la parte 1 de este articulo. Visita en el siguiente link la parte 2.

 Configuración de integración entre Infrastructure Service (Auditing and Monitoring Service) y Splunk

 

Still have questions? Click here to log a technical support case, or collaborate with your peers in Centrify's Online Community.