| 4.3. Informes | ||
|---|---|---|
 | Capítulo 4. Gestión de aplicaciones con perfiles |  |
| 4.3. Informes | ||
|---|---|---|
| | Capítulo 4. Gestión de aplicaciones con perfiles | |
La función de creación de informes de Novell AppArmor añade flexibilidad, al mejorar la forma en que los usuarios pueden ver los datos de los eventos de seguridad. La herramienta de creación de informes hace lo siguiente:
Crea informes a petición.
Exporta informes.
Programa informes periódicos para archivar.
Envía por correo electrónico informes periódicos.
Filtra datos de informe por fecha.
Filtra datos de informe por otros criterios, como el nombre del programa.
Mediante el uso de informes, es posible leer información importante sobre los eventos de seguridad de Novell AppArmor incluida en los archivos de registro sin tener que escudriñar manualmente en la maraña de mensajes que sólo resultan de utilidad para la herramienta logprof. Se puede reducir el tamaño del informe filtrando por periodo de tiempo o por nombre de programa. También es posible exportar un archivo html o csv.
Estos son los tres tipos de informes disponibles en Novell AppArmor:
Es un informe combinado que consta de uno o más informes de incidentes de seguridad provenientes de uno o más equipos. Este informe puede ofrecer una vista unificada de los eventos de seguridad en varias máquinas. Para obtener más información, consulte Sección 4.3.1.3, “Resumen ejecutivo de seguridad” (↑Guía de administración de Novell AppArmor 2.0).
Se trata de una herramienta de auditoría que informa sobre qué servidores de aplicaciones se están ejecutando y si las aplicaciones están siendo limitadas por Novell AppArmor. Los servidores de aplicaciones son aplicaciones que aceptan conexiones de red entrantes. Para obtener más información, consulte Sección 4.3.1.1, “Informe de auditoría de aplicaciones” (↑Guía de administración de Novell AppArmor 2.0).
Se trata de un informe que muestra la seguridad de las aplicaciones de un sólo host. Informa sobre violaciones de directivas realizadas por aplicaciones limitadas localmente durante un periodo concreto de tiempo. Este informe se puede editar y personalizar o añadir nuevas versiones. Para obtener más información, consulte Sección 4.3.1.2, “Informe de incidentes de seguridad” (↑Guía de administración de Novell AppArmor 2.0).
Para utilizar las funciones de creación de informes de Novell AppArmor, siga este procedimiento:
Para ejecutar informes, abra + Se abrirá la interfaz de Novell AppArmor.
 |
En haga clic en Se abrirá la ventana Seleccione una opción en la ventana y diríjase a la siguiente sección para obtener más instrucciones:
 |
Muestra todos los informes que se han ejecutado y almacenado en /var/log/apparmor/reports-archived/. Seleccione el informe que desee ver en detalle y haga clic en Para ver instrucciones sobre la opción diríjase a la Sección 4.3.1, “Visualización de los informes archivados” (↑Guía de administración de Novell AppArmor 2.0).
Produce una versión instantánea del tipo de informe seleccionado. Si selecciona un informe de incidentes de seguridad, podrá filtrarlo de varias formas. Para ver instrucciones sobre la opción diríjase a la Sección 4.3.2, “Ejecutar ahora: ejecución de informes a petición” (↑Guía de administración de Novell AppArmor 2.0).
Permite crear un informe de incidentes de seguridad programado. Para ver instrucciones sobre la opción diríjase a la Sección 4.3.3, “Adición de informes nuevos” (↑Guía de administración de Novell AppArmor 2.0).
Permite editar un informe de incidentes de seguridad programado.
Suprime un informe de incidentes de seguridad programado. Los informes bursátiles o empaquetados no se pueden suprimir.
Vuelve a la pantalla principal de Novell AppArmor.
Vuelve a la pantalla principal de Novell AppArmor.
Realiza la misma función que el botón
La opción permite especificar la ubicación de gran número de informes de uno o más sistemas, además de incluir la habilidad de filtrar por fechas o por los nombres de los programas a los que se ha accedido y mostrarlos todos juntos en un informe.
En la ventana seleccione
 |
Seleccione el tipo de informe que desea ver. Puede cambiar de un tipo a otro: (Informe de incidentes de seguridad), (Auditoría de aplicaciones) y (Resumen ejecutivo de seguridad).
Se puede modificar la ubicación del directorio de los informes archivados en Seleccione para utilizar el directorio actual o para buscar una ubicación de informes nueva. El directorio por defecto es /var/log/apparmor/reports-archived/.
Para ver todos los informes archivados, seleccione Para ver un informe específico, seleccione un archivo de informe del campo y haga clic en
Para los informes y continúe en el Paso 9 (↑Guía de administración de Novell AppArmor 2.0).
Se abrirá el para el
 |
El permite filtrar los informes seleccionados en la pantalla anterior. Escriba los detalles de filtro deseados. Los campos son:
Para mostrar los informes de un periodo de tiempo concreto, seleccione Introduzca las fechas de inicio y final que definan el alcance del informe.
Si introduce un nombre de programa o un patrón que coincida con el nombre del archivo binario ejecutable del programa que le interesa, el informe mostrará los eventos de seguridad que se hayan producido para ese programa específico.
Si se introduce el nombre del perfil, el informe mostrará los eventos de seguridad que se hayan generado para el perfil especificado. Puede utilizarlo para comprobar qué limita un perfil específico.
El es un número que identifica exclusivamente un proceso concreto o un programa en ejecución (este número sólo será válido durante la duración del proceso).
Seleccione el nivel de gravedad más bajo de los eventos de seguridad que se deban incluir en el informe. Se incluirán en los informes los eventos del nivel de gravedad seleccionado y los de gravedad mayor.
Un origen al que el perfil ha denegado el acceso, incluidas las capacidades y los archivos. Se puede utilizar este campo para hacer un informe de los recursos a los que los perfiles impiden el acceso.
El tipo de acceso describe lo que está ocurriendo en realidad con el evento de seguridad. Las opciones son: permiso, rechazo o auditoría.
El es el permiso que el perfil otorga al programa o al proceso al que se aplica. Las opciones son: r (lectura) w (escritura) l (enlace) x (ejecutar).
Permite exportar un archivo CSV (valores separados por comas) o HTML. El archivo CSV separa datos de las entradas de registro con comas utilizando un formato estándar de datos para que se puedan importar en aplicaciones orientadas a tablas. Se puede introducir una vía para el informe exportado escribiendo la vía completa en el campo al efecto.
Permite cambiar la ubicación de almacenamiento del informe exportado. La ubicación por defecto es /var/log/apparmor/reports-exported. Si cambia esta ubicación, haga clic en Seleccione para desplazarse por el sistema de archivos.
Para ver el informe, con los filtros oportunos, seleccione . Se mostrará uno de los tres informes.
Consulte las secciones siguientes para obtener información detallada sobre cada tipo de informe.
Para el informe de auditoría de aplicaciones, consulte Sección 4.3.1.1, “Informe de auditoría de aplicaciones” (↑Guía de administración de Novell AppArmor 2.0).
Para el informe de incidentes de seguridad, consulte Sección 4.3.1.2, “Informe de incidentes de seguridad” (↑Guía de administración de Novell AppArmor 2.0).
Para el informe de resumen ejecutivo, consulte Sección 4.3.1.3, “Resumen ejecutivo de seguridad” (↑Guía de administración de Novell AppArmor 2.0).
Herramienta de auditoría que informa de los servidores de aplicaciones que se están ejecutando y de si AppArmor está limitando las aplicaciones. Los servidores de aplicaciones son aplicaciones que aceptan conexiones de red entrantes. Este informe proporciona la dirección IP del equipo host, la fecha en la que se realizó el informe de auditoría de la aplicación, el nombre y la vía del programa sin limitación o del servidor de la aplicación, el perfil sugerido o un espacio reservado para un perfil para un programa sin limitación, el número ID del proceso, el estado del programa (si está limitado o no) y el tipo de limitación que está efectuando el perfil (aplicación o queja).
La siguiente pantalla representa un informe de auditoría de aplicación:
 |
A continuación se definen los campos del informe de auditoría de aplicación:
El equipo protegido por AppArmor sobre cuyos eventos de seguridad se está informando.
La fecha en la que se produjeron los eventos de seguridad.
El nombre del proceso en ejecución.
El nombre completo del perfil de seguridad que se aplica al proceso.
El número PID del proceso es un número que identifica exclusivamente un proceso concreto o un programa en ejecución (este número sólo será válido durante la duración del proceso).
Este campo indica si el programa presente en el campo de programa está limitado. Si no lo está, debería plantearse crear un perfil para él.
Este campo indica el tipo de limitación que representa el evento de seguridad: aplicación o queja. Si la aplicación no está limitada (estado), no se informará de ningún tipo de limitación.
Se trata de un informe que muestra los eventos de seguridad de interés para los administradores. El SIR informa sobre violaciones de directivas realizadas por aplicaciones limitadas localmente durante un periodo concreto de tiempo. Estos informes presentan las excepciones de la directiva y los cambios de estado del motor de la directiva. Estos dos tipos de eventos de seguridad se definen de la siguiente forma:
Cuando una aplicación solicita un recurso que no está definido dentro de su perfil, se activa un evento de seguridad. Se genera un informe que muestra los eventos de seguridad de interés para los administradores. El SIR informa sobre violaciones de directivas realizadas por aplicaciones limitadas localmente durante un periodo concreto de tiempo. Estos informes presentan las excepciones de la directiva y los cambios de estado del motor de la directiva.
Aplica la directiva para las aplicaciones y mantiene su propio estado, incluido si los motores se inician o se detienen, si se vuelve a cargar una directiva y si la función de seguridad global está habilitada o no.
La siguiente pantalla representa un informe de incidentes de seguridad:
 |
A continuación se definen los campos del informe de incidentes de seguridad:
El equipo protegido por AppArmor sobre cuyos eventos de seguridad se está informando.
La fecha en la que se produjeron los eventos de seguridad.
El nombre del proceso en ejecución.
El nombre completo del perfil de seguridad que se aplica al proceso.
El número PID del proceso es un número que identifica exclusivamente un proceso concreto o un programa en ejecución (este número sólo será válido durante la duración del proceso).
Los niveles de seguridad de los eventos se toman de la base de datos de gravedad. En esta base de datos se define la importancia de los eventos potenciales de seguridad. La gravedad se mide en una escala del uno al diez, siendo el diez el incidente de seguridad más grave. Estos niveles vienen determinados por la importancia o el grado de amenaza de los distintos eventos de seguridad, por ejemplo si se accede a ciertos recursos o se deniegan servicios.
El modo es el permiso que el perfil otorga al programa o al proceso al que se aplica. Las opciones son: r (lectura) w (escritura) l (enlace) y x (ejecutar).
Un origen al que el perfil ha denegado el acceso, incluidas las capacidades y los archivos. Se puede utilizar este campo para hacer un informe de los recursos a los que los perfiles impiden el acceso.
El tipo de acceso describe lo que está ocurriendo en realidad con el evento de seguridad. Las opciones son: permiso, rechazo o auditoría.
Es un informe combinado que consta de uno o más informes de alto nivel provenientes de uno o más equipos. Este informe puede ofrecer una vista unificada de los eventos de seguridad de varias máquinas, si los datos de estos equipos se copian en el directorio de archivo de informes, /var/log/apparmor/reports-archived. Este informe proporciona la dirección IP del equipo host, las fechas de inicio y fin de los eventos sondeados, el número total de rechazos, el número total de eventos, los niveles medios de gravedad registrados y el nivel de seguridad más alto registrado. Una línea de este informe representa un rango de informes de incidentes de seguridad.
En la siguiente pantalla se muestra un resumen ejecutivo de seguridad.
 |
A continuación se definen los campos del resumen ejecutivo de seguridad:
El equipo protegido por AppArmor sobre cuyos eventos de seguridad se está informando.
La fecha de inicio del periodo para el que se está creando el informe de eventos de seguridad.
La fecha de finalización del periodo para el que se está creando el informe de eventos de seguridad.
En el periodo indicado, el número total de eventos de seguridad consistentes en intentos de acceso rechazados.
En el periodo indicado, el número total de eventos de seguridad.
La media de los niveles de gravedad registrados en el periodo indicado. Los eventos de gravedad desconocida no se tienen en cuenta en este cálculo.
La gravedad del evento de gravedad más alta registrado en el periodo indicado.
La función de informes permite extraer de manera instantánea información de informes de los registros de eventos de Novell AppArmor sin tener que esperar a los eventos programados. Vuelva al principio de esta sección si necesita ayuda para volver a la pantalla principal de informes (consulte la Sección 4.3, “Informes” (↑Guía de administración de Novell AppArmor 2.0)). Lleve a cabo estos pasos para ejecutar un informe de la lista:
Seleccione el informe que desee ejecutar de forma inmediata en la lista de informes de la ventana
Seleccione o La siguiente pantalla dependerá del informe que haya seleccionado en el paso anterior. Para los informes y continúe en el Paso 6 (↑Guía de administración de Novell AppArmor 2.0).
Se abrirá el para los Informes de incidentes de seguridad.
|
El permite filtrar los informes seleccionados en la pantalla anterior. Escriba los detalles de filtro deseados. Están disponibles las opciones siguientes de filtro:
Para limitar los informes a un periodo de tiempo concreto, seleccione Introduzca las fechas de inicio y final que determinen el alcance del informe.
Si introduce un nombre de programa o un patrón que coincida con el nombre del archivo binario ejecutable del programa que le interesa, el informe mostrará los eventos de seguridad que se hayan producido sólo para el programa especificado.
Si se introduce el nombre del perfil, el informe mostrará los eventos de seguridad que se hayan generado para el perfil especificado. Puede utilizarlo para comprobar qué limita un perfil específico.
El número PID del proceso es un número que identifica exclusivamente un proceso concreto o un programa en ejecución (este número sólo será válido durante la duración del proceso).
Seleccione el nivel de gravedad más bajo de los eventos de seguridad que se deban incluir en el informe. Se incluirán en los informes los eventos del nivel de gravedad seleccionado y los de gravedad mayor.
Un origen al que el perfil ha denegado el acceso, incluidas las capacidades y los archivos. Se puede utilizar este campo para hacer un informe de los recursos a los que los perfiles impiden el acceso.
El tipo de acceso describe lo que está ocurriendo en realidad con el evento de seguridad. Las opciones son: permiso, rechazo o auditoría.
El modo es el permiso que el perfil otorga al programa o al proceso al que se aplica. Las opciones son: r (lectura) w (escritura) l (enlace) y x (ejecutar).
Permite exportar un archivo CSV (valores separados por comas) o HTML. El archivo CSV separa datos de las entradas de registro con comas utilizando un formato estándar de datos para que se puedan importar en aplicaciones orientadas a tablas. Se puede introducir una vía para el informe exportado escribiendo la vía completa en el campo al efecto.
Permite cambiar la ubicación de almacenamiento del informe exportado. La ubicación por defecto es /var/log/apparmor/reports-exported. Si cambia esta ubicación, haga clic en Seleccione para desplazarse por el sistema de archivos.
Para ver el informe, con los filtros oportunos, seleccione . Se mostrará uno de los tres informes.
Consulte las secciones siguientes para obtener información detallada sobre cada tipo de informe.
Para el informe de auditoría de aplicaciones, consulte Sección 4.3.1.1, “Informe de auditoría de aplicaciones” (↑Guía de administración de Novell AppArmor 2.0).
Para el informe de incidentes de seguridad, consulte Sección 4.3.1.2, “Informe de incidentes de seguridad” (↑Guía de administración de Novell AppArmor 2.0).
Para el informe de resumen ejecutivo, consulte Sección 4.3.1.3, “Resumen ejecutivo de seguridad” (↑Guía de administración de Novell AppArmor 2.0).
La adición de nuevos informes permite crear un informe de incidentes de seguridad programado que muestre los eventos de seguridad de Novell AppArmor según los filtros definidos previamente. Si los informes están configurados con la opción se generará periódicamente un informe de los eventos de seguridad de Novell AppArmor que se hayan producido en el sistema.
Es posible configurar que se genere un informe diario, semanal, mensual o cada hora durante el periodo de tiempo especificado. Se puede establecer que los informes muestren los rechazos de niveles de seguridad concretos o que realicen un filtro por nombre de programa, nombre de perfil, nivel de seguridad o recursos denegados. Este informe se puede exportar a un archivo HTML (lenguaje de marcas de hipertexto) o CSV (valores separados por comas).
![[Note]](admon/note.png) | Nota |
|---|---|
Vuelva al principio de esta sección si necesita ayuda para volver a la pantalla principal de informes (consulte la Sección 4.3, “Informes” (↑Guía de administración de Novell AppArmor 2.0)). | |
Para añadir un nuevo informe de incidentes de seguridad programado, haga lo siguiente:
Haga clic en para crear un nuevo informe de incidentes de seguridad. Se abrirá la primera página de
 |
Complete los campos con la siguiente información de filtro, según se precise:
Especifique el nombre del informe. Utilice nombres que permitan diferenciar claramente los informes entre sí.
Seleccione el día del mes en el que se efectuarán los informes mensuales. Si selecciona Todo, los filtros mensuales no se aplicarán.
Seleccione el día de la semana en el que se efectuarán los informes semanales, si se desea. Si selecciona Todo, los filtros semanales no se aplicarán. Si están activados los informes mensuales, este campo estará definido por defecto en Todo.
Permite seleccionar la hora. De esta forma se indica la hora y el minuto en los que desea que se efectúe el informe. Si no cambia la hora, los informes seleccionados se ejecutarán a media noche. Si no se han seleccionado ni valores de mes ni de semana, el informe se efectuará todos los días a la hora especificada.
Puede enviar el informe de incidentes de seguridad programado por correo electrónico hasta a tres destinatarios. Sólo hay que introducir las direcciones electrónicas de los usuarios que necesiten esta información.
Esta opción permite exportar un archivo CSV (valores separados por comas) o HTML. El archivo CSV separa datos de las entradas de registro con comas utilizando un formato estándar de datos para que se puedan importar en aplicaciones orientadas a tablas. Se puede introducir una vía para el informe exportado escribiendo la vía completa en el campo al efecto.
Permite cambiar la ubicación de almacenamiento del informe exportado. La ubicación por defecto es /var/log/apparmor/reports-exported. Si cambia esta ubicación, haga clic en Seleccione para desplazarse por el sistema de archivos.
Haga clic en para continuar a la segunda página del asistente
 |
Complete los campos con la siguiente información de filtro, según se precise:
Es posible indicar un nombre de programa o un patrón que coincida con el nombre del archivo binario ejecutable del programa que interese. Este informe muestra los eventos de seguridad que se hayan producido sólo para el programa indicado.
Es posible indicar el nombre del perfil para el que se deban mostrar en el informe los eventos de seguridad. Puede utilizarlo para comprobar qué limita un perfil específico.
El número PID del proceso es un número que identifica exclusivamente un proceso concreto o un programa en ejecución (este número sólo será válido durante la duración del proceso).
Un origen al que el perfil ha denegado el acceso, incluidas las capacidades y los archivos. Se puede utilizar este campo para crear un informe de los recursos a los que los perfiles impiden el acceso.
Seleccione el nivel de gravedad más bajo de los eventos de seguridad que se deban incluir en el informe. Se incluirán en los informes los eventos del nivel de gravedad seleccionado y los de gravedad mayor.
El tipo de acceso describe lo que está ocurriendo en realidad con el evento de seguridad. Las opciones son: permiso, rechazo o auditoría.
El modo es el permiso que el perfil otorga al programa o al proceso al que se aplica. Las opciones son: r (lectura) w (escritura) l (enlace) y x (ejecutar).
Haga clic en para guardar este informe. Novell AppArmor volverá a la ventana principal de donde aparecerá el informe recién programado en la lista de informes.
En la pantalla de AppArmor es posible seleccionar y editar un informe. Los informes bursátiles no se pueden editar ni suprimir.
| Nota |
|---|---|
Vuelva al principio de esta sección si necesita ayuda para volver a la pantalla principal de informes (consulte la Sección 4.3, “Informes” (↑Guía de administración de Novell AppArmor 2.0)). | |
Lleve a cabo estos pasos para ejecutar un informe de la lista:
En la lista de informes de la ventana , seleccione el informe que desee editar.
Haga clic en para modificar el informe de incidentes de seguridad. Se abrirá la primera página de
 |
Introduzca la siguiente información de filtros, si es necesario:
Seleccione el día del mes en el que se efectuarán los informes mensuales. Si selecciona Todo, los filtros mensuales no se aplicarán.
Seleccione el día de la semana en el que se efectuarán los informes semanales. Si selecciona Todo, los filtros semanales no se aplicarán. Si están activados los informes mensuales, este campo estará definido por defecto en Todo.
Permite seleccionar la hora. De esta forma se indica la hora y el minuto en los que desea que se efectúe el informe. Si no cambia la hora, el informe seleccionado se ejecutará a media noche. Si no se ha seleccionado ni el mes ni el día de la semana, el informe se ejecutará todos los días a la hora indicada.
Puede enviar el informe de incidentes de seguridad programado por correo electrónico hasta a tres destinatarios. Sólo hay que introducir las direcciones electrónicas de los usuarios que necesiten esta información.
Esta opción permite exportar un archivo CSV (valores separados por comas) o HTML. El archivo CSV separa datos de las entradas de registro con comas utilizando un formato estándar de datos para que se puedan importar en aplicaciones orientadas a tablas. Se puede introducir una vía para el informe exportado escribiendo la vía completa en el campo al efecto.
Permite cambiar la ubicación de almacenamiento del informe exportado. La ubicación por defecto es /var/log/apparmor/reports-exported. Si cambia esta ubicación, haga clic en Seleccione para desplazarse por el sistema de archivos.
Haga clic en para continuar a la siguiente página del asistente Se abrirá la segunda página de
 |
Complete los campos con la siguiente información de filtro, según se precise:
Es posible indicar un nombre de programa o un patrón que coincida con el nombre del archivo binario ejecutable del programa que interese. Este informe muestra los eventos de seguridad que se hayan producido sólo para el programa indicado.
Es posible indicar el nombre del perfil para el que se deban mostrar los eventos de seguridad. Puede utilizarlo para comprobar qué limita un perfil específico.
El número PID del proceso es un número que identifica exclusivamente un proceso concreto o un programa en ejecución (este número sólo será válido durante la duración del proceso).
Un origen al que el perfil ha denegado el acceso, incluidas las capacidades y los archivos. Se puede utilizar este campo para crear un informe de los recursos a los que los perfiles impiden el acceso.
Seleccione el nivel de gravedad más bajo de los eventos de seguridad que se deban incluir en el informe. Se incluirán en los informes los eventos del nivel de gravedad seleccionado y los de gravedad mayor.
El tipo de acceso describe lo que está ocurriendo en realidad con el evento de seguridad. Las opciones son: permiso, rechazo o auditoría.
El modo es el permiso que el perfil otorga al programa o al proceso al que se aplica. Las opciones son: r (lectura) w (escritura) l (enlace) y x (ejecutar).
Seleccione para guardar los cambios en este informe. Novell AppArmor volverá a la ventana principal de donde aparecerá el informe programado en la lista de informes.
La opción permite eliminar de forma permanente un informe de la lista de informes programados de Novell AppArmor. Para suprimir un informe, siga estas instrucciones:
| |  | |
| 4.2. Establecimiento de notificaciones de eventos |  | 4.4. Reacción a los eventos de seguridad |