AUDITORA DE BASE DE DATOS

MICROSOFT SQL SERVER 2014

W ALTER JAVIER NAPN TARMEO

Auditora de Bases de Datos

Temas:
1. Introduccin a la auditora de SQL Server
2. Herramientas de auditora de SQL Server
3. Implementacin de objetos de auditoria
4. Administracin de la auditora
Auditora de Bases de Datos

Temas:
1. Introduccin a la auditora de SQL Server
2. Herramientas de auditora de SQL Server
3. Implementacin de objetos de auditoria
4. Administracin de la auditora
 1 Introduccin a la auditora
Auditora = seguimiento y registro de los eventos que se
producen en el sistema.

SQL Server puede utilizar varios mtodos de auditora

Tpicamente a travs de disparadores a nivel de tabla

(triggers DML) a nivel de base de datos.

A partir de SQL Server 2005 se cuenta con disparadores a

nivel de servidor y base de datos (triggers DDL)

A partir de SQL Server 2008 Enterprise, se puede configurar

la auditora automtica mediante SQL Server Audit.

Varias formas de llevar a cabo auditora en SQL Server,

Dependiendo de los requisitos o estndares de cada
instalacin
Dependiendo de las polticas de seguridad y auditoria la
empresa o institucin
Introduccin a la auditora

Por qu auditar?
Proteger los activos y recursos

Verificar las actividades que se desarrollan y si se desarrollan eficientemente y

de acuerdo con las polticas existentes en cada empresa

Prevenir espionaje, delincuencia y terrorismo.

Prevenir resultados o informacin errnea, ya sea por Virus informticos o por

que fueron alimentados con datos errneos.
Auditora de Bases de Datos

Temas:
1. Introduccin a la auditora de SQL Server
2. Herramientas de auditora de SQL Server
3. Implementacin de objetos de auditoria
4. Administracin de la auditora
2 Herramientas de Auditora en SQL Server

Estndares de auditora:
Modo de auditora C2.
Modo de auditora de criterio comn.

Auditora de SQL Server

Change data capture

Disparadores o Triggers

Otros:
SQL Server profiler.
SQL Trace.
Auditora de Bases de Datos

Temas:
1. Introduccin a la auditora de SQL Server
2. Herramientas de auditora de SQL Server
3. Implementacin de objetos de auditoria
4. Administracin de la auditora
3 Implementacin de Objetos de Auditora

Modo de auditora C2
Trusted Computer System Evaluation Criteria (TCSEC) estndar del
Departamento de Defensa del gobierno de los Estados Unidos de Amrica

Registra los intentos sin xito como los intentos con xito de accesos a
instrucciones y objetos del servidor y base de datos por parte de los usuarios

Permite seguimiento a las posibles infracciones de las polticas de seguridad de la

empresa

Los datos se guardan en un archivo en la carpeta de datos predeterminada de la

instancia.

NOTA: Tener en consideracin que habilitar este modo de

auditora puede producir largos volmenes de informacin
Implementacin de Objetos de Auditora

Activacin del Modo de auditora C2

sp_configure 'show advanced options', 1;
GO
RECONFIGURE;
GO

sp_configure 'c2 audit mode', 1;

GO
RECONFIGURE;
GO

O mediante:

Chek la opcin Habilitar seguimiento de auditoria C2 en las propiedades de

Seguridad de la instancia
Implementacin de Objetos de Auditora

Modo de auditora de Criterio Comn

Estndar ms actual y por lo general remplaza al modo de auditora C2

Basado en el estndar internacional ISO/IEC 15408 conocido como Common

Criteria for Information Technology Security Evaluation (abreviado como Common
Criteria or CC) para certificacin de seguridad para computadoras.
 Implementacin de Objetos de Auditora

Criterios Descripcin
Proteccin de RIP requiere que una asignacin de memoria se sobrescriba con un patrn de bits
informacin residual conocido antes de que la memoria se reasigne a un nuevo recurso. Ajustarse al estndar
(RIP) RIP puede contribuir a mejorar la seguridad; sin embargo, sobrescribir la asignacin de
memoria puede ralentizar el rendimiento. Una vez habilitada la opcin common criteria
compliance enabled, se produce la sobrescritura.

La capacidad para ver Una vez habilitada la opcin common criteria compliance enabled, se habilita la auditora
estadsticas de inicio de inicio de sesin. Cada vez que un usuario inicia sesin correctamente en SQL Server,
de sesin se muestra la informacin acerca del ltimo inicio de sesin correcto, el ltimo inicio de
sesin incorrecto y el nmero de intentos realizados entre la hora del ltimo inicio de
sesin correcto y la hora actual.

La columna GRANT no Una vez habilitada la opcin common criteria compliance enabled, una instruccin DENY
debe invalidar la tabla de nivel de tabla tiene prioridad sobre una instruccin GRANT de nivel de columna.
DENY Cuando no est habilitada la opcin, una instruccin GRANT de columna tiene prioridad
sobre una instruccin DENY de tabla.
Implementacin de Objetos de Auditora

Habilitar Modo de auditora de Criterio Comn

sp_configure 'show advanced
options', 1;
GO
RECONFIGURE;
GO

sp_configure 'common criteria

compliance enabled', 1;
GO
RECONFIGURE
GO
O

Chek la opcin Habilitar compatibilidad con Criterio comn en las propiedades

de Seguridad de la instancia.
Implementacin de Objetos de Auditora

Auditora de SQL Server

Introducida en la versin 2008

Operacin completa en la edicin Enterprise de SQL Server 2012 y con operacin

bsica en otras ediciones de SQL Server 2012

Facilita seguimiento y registro de eventos que se producen mientras los usuarios

operan el sistema creaciones de objetos, consultas a datos, cambios en la
configuracin, modificacin de datos, etc.

Componentes de Auditora de SQL Server:

SQL Server Audit
Especificacin de auditora de servidor
Especificacin de auditora de base de datos
Implementacin de Objetos de Auditora

SQL Server Audit

Define como se va a capturar los eventos de auditora en el servidor.

Varios objetos SQL Server Audit por instancia de SQL Server.

Se especifica:
Un nombre
Donde se van a almacenar los resultados de la auditora destino
El tiempo de procesamiento de la cola
La accin a tomar en caso de falla

La auditora se crea en un estado deshabilitado y no audita automticamente

ninguna accin.

Una vez habilitada la auditora, el destino de la auditora recibe los datos de la

misma
Implementacin de Objetos de Auditora

Especificacin de auditora de servidor

Recopila las acciones de nivel de servidor que se desean auditar.

Pertenece a un SQL Server Audit e incluye grupos de acciones de auditora.

Los grupos de acciones constituyen los eventos que tienen lugar en el servidor que
se desean auditar.

Estas acciones se envan al objeto SQL Server Audit, el cual los registra en el
destino.
Implementacin de Objetos de Auditora

Especificacin de auditora de base de datos

Similar a la especificacin de auditora de servidor, solo que captura los eventos a
nivel de base de datos.

Recopila las acciones de nivel de base de datos que se desean auditar.

Pertenece a un SQL Server Audit e incluiye grupos de acciones de auditora.

Los grupos de acciones constituyen los eventos que tienen lugar en la base de
datos y que se desean auditar.

Estas acciones se envan al objeto SQL Server Audit, el cual los registra en el
destino.

NOTA: No es necesario crear especificaciones de auditora a nivel de

servidor y base de datos juntos. Se pueden crear cualquiera de ellas de
manera independiente segn lo que se requiera auditar.
Implementacin de Objetos de Auditora

Destino
Cuando se configura el objeto SQL Server Audit, se debe definir un destino

Especifica donde se va a guardar la informacin de auditora.

Un destino puede ser:

Un archivo,
el registro de eventos de seguridad de Windows
el registro de eventos de aplicacin de Windows.

NOTA: Estos registros se deben revisar y archivar peridicamente para

garantizar que el destino tiene espacio suficiente para escribir registros
adicionales.
Demostracin de Auditora de SQL Server

En esta demostracin usted ver como se implementa

la auditora de SQL Server
ESTANDARES DE AUDITORIA
SQL AUDIT
1

4
ESPECIFICACIONES DE AUDITORIA
(NIVEL DE SERVIDOR)
1
2

3
ESPECIFICACIONES DE AUDITORIA
(NIVEL DE BASE DE DATOS)
HABILITACIN DE AUDITORIA
Habilita la Auditora, en el Explorador de objetos, a nivel de la instancia,
expanda Seguridad, haga clic derecho en la Auditora llamada
SQLAudit_Webinar y seleccione Habilitar Auditora.
La misma operacin se realiza con la
especificacin de Auditoria de Servidor y
Base de Datos
REALIZANDO OPERACIONES AUDITABLES
DESHABILITANDO LAS AUDITORAS
De forma similar a la habilitacin, se proceder a deshabilitar las
auditoras, de modo tal que quedar como la imagen
VISUALIZANDO LO AUDITADO
Implementacin de Objetos de Auditora

Change data capture

Registra cambios realizados en una tabla por insercin, actualizacin o
eliminacin

Los detalles se guardan en un formato relacional (tablas) de fcil uso para el

usuario. Se crean tablas especiales y funciones con valores de tabla especiales
para permitir el acceso a los datos modificados por los usuarios
Implementacin de Objetos de Auditora
TABLAS DE USUARIO

TABLA1
Tablas de usuario.- tabla o
TABLA2
tablas de usuarios que se
INSERT desean auditar
TABLA3 UPDATE
DELETE

Tablas de Cambio.- tablas que

van a guardar la informacin del
cambio
TABLAS DE
TABLA1
CAMBIOS Funciones de Consulta.- Se
TABLA2 crean para facilitar la consulta
TABLA3
PROCESO
DE CAPTURA
de los cambios desde
DE CAMBIOS
aplicaciones

Para las tablas de cambio y

funciones de consulta se crea
FUNCION1 un esquema especial llamado
FUNCION2
FUNCION3 cdc
FUNCIONES DE CONSULTA
Auditora de Bases de Datos

Temas:
1. Introduccin a la auditora de SQL Server
2. Herramientas de auditora de SQL Server
3. Implementacin de objetos de auditoria
4. Administracin de la auditora
4 Administracin de la auditora

Detener el modo de auditora C2

sp_configure 'c2 audit mode', 0;
GO
RECONFIGURE;
GO
o retirar check en la opcin Habilitar seguimiento de auditoria C2 en las
propiedades de Seguridad de la instancia.

Detener el modo de auditora de Criterio Comn

sp_configure 'common criteria compliance enabled', 0;
GO
RECONFIGURE
GO

o retirar el check la opcin Habilitar compatibilidad con Criterio comn

en las propiedades de Seguridad de la instancia.
Implementacin de Objetos de Auditora

Deshabilitar la Auditora de SQL Server

USE [master]
GO

ALTER SERVER AUDIT [SQLAuditAW] WITH (STATE = OFF);

GO

ALTER SERVER AUDIT SPECIFICATION [AuditaLogins]

WITH (STATE = OFF);
GO

USE [AdventureWorks2012]
GO

ALTER DATABASE AUDIT SPECIFICATION [AuditaPerson]

WITH (STATE = ON);
GO
Q&
A
 REFERENCIA:
HTTPS://MSDN.MICROSOFT.COM/EN-US/CC280386.ASPX
pwnapan@cibertec.edu.pe

@javiernt