El documento proporciona instrucciones sobre cómo crear una auditoría y una especificación de auditoría en SQL Server. Explica los pasos para crear una auditoría llamada AUDIT-2023-09 y configurar su ubicación de salida. Luego, crea una especificación de auditoría de servidor llamada ESPECIFICATION-AUDIT-2023-09 para auditar eventos a nivel de servidor. Finalmente, crea una especificación de auditoría de base de datos llamada DATABASE-AUDIT-2023-09 para auditar las operaciones SELECT, INSERT, UPDATE, DELETE y BACK
2. PROCEDIMIENTO 01
PROCEDIMIENTO 01
Para comenzar a trabajar con auditoria vamos a abrir nuestro
entorno de base de datos SQL Server Management Studio
(SSMS) y tenemos que asegurarnos de estar conectado a
nuestro servidor de base de datos.
3. PROCEDIMIENTO 02
PROCEDIMIENTO 02
Vamos explicar sobre La auditoría en SQL Server esto nos permite registrar eventos
específicos para la seguridad y el cumplimiento de políticas
La auditoría en SQL Server es una característica que permite rastrear y registrar
eventos específicos en la base de datos. Esto es esencial para garantizar la
seguridad de los datos y cumplir con las políticas de auditoría y cumplimiento.
Carpeta "Seguridad".
En este caso expandimos la carpeta de segurity(seguridad)
Haciendo clic derecho seleccionamos en "Auditorías" y seleccionamos
"Nueva Auditoría".
4. PROCEDIMIENTO 03
PROCEDIMIENTO 03
En la ventana emergente, senos abrirá la pestaña "General". Aquí
vamos a asignar un nombre descriptivo a nuestar auditoría, en
este caso el nombre que vamos proporcionar será , "AUDIT-
2023-09".
5. PROCEDIMIENTO 04
PROCEDIMIENTO 04
Cambia a la pestaña "Salida". Aquí vamos configurarla ubicación de nuestra
carpeta que tenemos creado donde se guardarán los registros de auditoría. En
este caso tenemos una carpeta con el nombre de AUDITORIA 2023 . tenemos que
asegurarnos de que la cuenta de servicio de SQL Server tenga permisos de
escritura en esta carpeta.
6. PROCEDIMIENTO 05
PROCEDIMIENTO 05
Una vez que ya tenemos configurado todas las
opciones según nuestras necesidades, haciendo clic en
"Aceptar" ya tendremos creado la auditoria.
7. PROCEDIMIENTO
PROCEDIMIENTO
06
06
En el Explorador de Objetos de SSMS,
expandiendo la carpeta "Seguridad".
Haciendo clic derecho en "Especificaciones de
Auditoría de Servidor".
Seleccionamos "Nueva Especificación de
Auditoría de Servidor...".
Creación, una Especificación de Auditoría de
Servidor
En este caso vamos crear la especificación de
auditoria Especificación de Auditoría
8. PROCEDIMIENTO 07
PROCEDIMIENTO 07
Nombre de la Especificación: en este caso el nombre de
nuestro auditoria especificación será la siguiente
ESPECIFICATION-AUDIT-2023-09
Eventos a Auditar: Aquí podemos especificar los eventos
específicos que deseamos auditar a nivel de servidor. Por
ejemplo, podemos auditar eventos de cambio en objetos de
base de datos, permisos de objetos de servidor, etc.
Estado: Activa la especificación de auditoría marcando la
casilla "Habilitado".
Haciendo clic en "Aceptar" para guardar la especificación de
auditoría de servidor.
En la ventana de configuración de la especificación de auditoría
de servidor, completaremos los siguientes campos:
9. PROCEDIMIENTO
PROCEDIMIENTO
08
08
Verificar la Especificación de Auditoría de Servidor
Puedes verificar que la especificación de auditoría de
servidor se haya creado correctamente revisando el
Explorador de Objetos de SSMS. Deberías ver la
especificación con el nombre que hayas elegido (por
ejemplo, "ESPECIFICATION-AUDIT-2023-09") bajo
"Especificaciones de Auditoría de Servidor".
Con estos pasos, hemos creado una especificación de
auditoría de servidor que no está vinculada a una base
de datos específica y que auditará eventos a nivel de
servidor según la configuración que hayas definido.
10. PROCEDIMIENTO
PROCEDIMIENTO
08
08
Crear Database audit specifications auditoria con el
nombre DATABASE-AUDIT-2023-09 (INSERT, DELETE,
BACKUP_RESTORE_GROUP
Lo primero que tenemos que hacer es abrir una de los
base de datos que tenemos en este caso será
BDsistemacound para poder hacer la auditoria
12. PROCEDIMIENTO 10
PROCEDIMIENTO 10
En la ventana de configuración de la especificación de auditoría de
base de datos, completa los siguientes campos:
Nombre de la Especificación: DATABASE-AUDIT-2023-09 (o el
nombre que desees).
Eventos a Auditar: Aquí es donde puedes vamos a configurar los
eventos específicos que deseas auditar en la base de datos. Para
auditar operaciones como INSERT, DELETE y el grupo
BACKUP_RESTORE_GROUP, debes seleccionar las siguientes
opciones:
"SELECT"
"INSERT"
"UPDATE"
"DELETE"
"BACKUP_RESTORE_GROUP"
Estado: Activa la especificación de auditoría marcando la casilla
"Habilitado".
Haz clic en "Aceptar" para guardar la especificación de auditoría de
base de datos.
Configurar la Especificación de Auditoría de Base de Datos
13. PROCEDIMIENTO 11
PROCEDIMIENTO 11
Ya Con todos los procesos podemos verificar que la
especificación de auditoría de base de datos se haya creado
correctamente revisando nuestro Explorador de Objetos de
SSMS. vamos ver la especificación con el nombre que hemos
creado ("DATABASE-AUDIT-2023-09") bajo "Especificaciones de
Auditoría de Base de Datos".
Con estos pasos, ya configuramos una especificación de
auditoría de base de datos que auditará las operaciones de
SELECT, INSERT, UPDATE, DELETE y el grupo
BACKUP_RESTORE_GROUP en la base de datos que
seleccionamos en este caso de BDsistemcount . Podemos
personalizar aún más esta configuración según nuestras
necesidades específicas de auditoría.
14. PROCEDIMIENTO 12
PROCEDIMIENTO 12
Creación de Copias de Seguridad (Backup): Esto implica registrar quién
realiza una copia de seguridad, cuándo se realiza y qué bases de datos se
incluyen en la copia de seguridad.
Restauración de Bases de Datos: Esto implica registrar quién realiza una
restauración de base de datos, cuándo se realiza y qué base de datos se
restaura.
Modificaciones en Configuraciones de Copia de Seguridad: Esto puede incluir
cambios en las políticas de retención de copias de seguridad, ubicaciones
de almacenamiento, entre otros.
Errores o Intentos de Restauración no Autorizados: También es importante
auditar los intentos fallidos de restauración o cualquier intento no autorizado
de realizar operaciones de copia de seguridad y restauración.
Vamos explicar un poco sobre
BACKUP_RESTORE_GROUP
Este grupo está relacionado con las operaciones de copia de seguridad y
restauración de bases de datos en SQL Server. Cuando hablamos de auditoría,
el grupo BACKUP_RESTORE_GROUP se utiliza para auditar eventos relacionados
con la creación de copias de seguridad (backup) y la restauración de bases de
datos.
Las operaciones de copia de seguridad y restauración son críticas para la
integridad y la disponibilidad de los datos en SQL Server. Por lo tanto, auditar
estas operaciones es esencial para garantizar la seguridad y el cumplimiento de
políticas en una base de datos.
Las operaciones que se auditan en el grupo BACKUP_RESTORE_GROUP pueden
incluir:
15. PROCEDIMIENTO 13
PROCEDIMIENTO 13
¿Por qué auditar INSERT?
La operación de INSERT se utiliza para agregar nuevos registros o filas a una tabla en una base de datos. Cuando
hablamos de auditoría, auditar las operaciones de INSERT implica registrar quién realiza inserciones de datos,
cuándo se realizan y qué datos se insertan en la base de datos. Esto es fundamental para rastrear cambios en los
datos y garantizar la integridad de la información.
Auditar las inserciones es importante para detectar actividades no autorizadas, asegurar el cumplimiento de
políticas de datos y realizar un seguimiento de quién está agregando información a la base de datos.
16. PROCEDIMIENTO 14
PROCEDIMIENTO 14
¿Por qué auditar DELETE? Auditar las eliminaciones es crucial para
detectar actividades sospechosas, evitar la pérdida accidental de
datos importantes y mantener un registro de las acciones realizadas
en la base de datos.
DELETE (Eliminación): La operación de DELETE se utiliza para eliminar
registros o filas existentes de una tabla en una base de datos. Al igual que
con INSERT, auditar las operaciones de DELETE implica registrar quién
realiza eliminaciones de datos, cuándo se realizan y qué datos se eliminan
de la base de datos. Esto es esencial para rastrear cambios en los datos y
detectar posibles problemas de seguridad.