Configuración de consultas forenses

Las consultas forenses permiten a Identity Manager leer datos que se han incluido en el almacén de datos. Pueden identificar objetos de usuario o de rol basándose en valores actuales o históricos del usuario, del rol, o de tipos de datos relacionados. Una consulta forense es análoga a un informe Buscar usuario o Buscar rol, con la diferencia de que los criterios de coincidencia pueden evaluarse con datos históricos, ya que permite buscar atributos con tipos de datos distintos a los del usuario o rol consultados.

La finalidad de una consulta forense es emprender una acción con los resultados utilizando Identity Manager. La consulta forense no constituye una herramienta de informes genérica.

Una consulta forense puede plantear preguntas como éstas:

• ¿Quién ha tenido acceso al sistema X entre las horas A y B y quién ha aprobado ese acceso?

• ¿Cuántas solicitudes de abastecimiento se han procesado durante las últimas 48 horas y cuánto se ha tardado con cada solicitud?

Los resultados de las consulta forenses no se pueden guardar. Los informes genéricos sobre los datos del almacén deben realizarse con herramientas comerciales de creación de informes.

Creación de consultas

Una consulta forense puede buscar objetos de usuario o de rol. Se pueden efectuar consultas forenses muy complejas, seleccionando una o más condiciones de atributo sobre tipos de datos relacionados. Las consultas forenses sobre usuarios pueden utilizar atributos de búsqueda con los tipos de datos Usuario, Cuenta, Cuenta de recursos, Rol, Derecho y Elemento de trabajo. Las consultas forenses sobre roles pueden utilizar atributos de búsqueda con los tipos de datos Rol, Usuario y Elemento de trabajo.

Dentro de un mismo tipo de datos, todas las condiciones de atributo se unen lógicamente (con el operador Y), de modo que han de cumplirse todas las condiciones para que haya una coincidencia. De manera predeterminada, se aplica el operador Y a las coincidencias se unen lógicamente entre los tipos de datos, pero si marca la casilla Utilizar O, se les aplica el operador O.

El almacén puede contener varios registros para un solo objeto de usuario o rol, y una misma consulta puede devolver múltiples coincidencias para el mismo usuario o rol. Para facilitar la distinción entre estas coincidencias, cada tipo de datos puede restringirse a un rango de fechas, de manera que sólo se consideren coincidencias los registros a partir del rango especificado. Cada tipo de datos relacionados se puede restringir a un rango de fechas, lo que permite realizar consultas del tipo:

find all Users with Resource Account on ERP1 between May and July 2005 
who were attested by Fred Jones between June and August 2005

El rango de fechas va de una medianoche a otra. Por ejemplo, del 3 de mayo de 2007 al 5 de mayo de 2007 hay un rango de 48 horas. Por tanto, no se incluiría ningún registro del 5 de mayo.

Los operandos (valores de comparación) de cada condición de atributo deben especificarse dentro de la definición de la consulta. El esquema restringe algunos atributos a un conjunto limitado de posibles valores, mientras que otros atributos carecen de restricciones. Por ejemplo, la mayoría de los campos de fecha sólo admiten el formato AAAA-MM-DD HH:mm:ss.

Dado el gran volumen potencial de los datos del almacén y la complejidad de la consulta, puede tardarse mucho en obtener resultados. Si sale de la página de consulta mientras se ejecuta una consulta forense, no podrá ver los resultados.

Para crear una consulta forense

1. En la interfaz de administración, seleccione Cumplimiento en el menú principal.

   Aparece la página Directivas de auditoría (ficha Administrar directivas).

2. Haga clic en la ficha secundaria Consulta forense.

   Aparece la página Buscar en almacén de datos.

   Figura 16–5 Buscar en almacén de datos

   
   

3. Indique si se deben buscar registros de usuario o de rol en el menú desplegable Tipo.

4. Marque la casilla Utilizar O para que Identity Manager aplique el operador lógico O a los resultados de cada tipo de datos consultado. El sistema aplica el operador lógico Y de manera predeterminada a los resultados.

5. Seleccione una ficha correspondiente a un tipo de datos que vayan a aparecer en la consulta forense.

   1. Pulse Agregar condición. Aparece un conjunto de menús desplegables.

   2. Seleccione un operando (condición para verificar) en el menú desplegable de la izquierda y el tipo de comparación en el de la derecha. A continuación, introduzca una cadena o un entero para la búsqueda. La lista de posibles operandos se define en el esquema externo. Todos los operandos se describen en la ayuda en línea.

   3. Si lo desea, seleccione un rango de fechas para restringir el ámbito de la consulta.

      Incluya otras condiciones necesarias para el tipo de datos seleccionado. Repita este paso con todos los tipos de datos que deban formar parte de la definición de la consulta forense.

6. Seleccione los atributos disponibles que desea mostrar en los resultados de la consulta forense.

7. Especifique un valor en el campo Limitar resultados al primero. Cuando se emplean condiciones de diversos tipos de datos, el límite se aplica a la subconsulta de cada tipo y el resultado final es la intersección de todas las subconsultas. En consecuencia, el resultado final puede excluir algunos registros debido al límite de una subconsulta.

8. Haga clic en Buscar para ejecutar la consulta forense enseguida o Guardar consulta para poder reutilizarla. La reutilización de las consultas forenses se explica en Cómo guardar una consulta forense.

Cómo guardar una consulta forense

Después de configurar una consulta y, opcionalmente, ejecutarla para comprobar si produce los resultados deseados, es posible guardarla para ejecutarla en el futuro.

Para guardar una consulta forense

1. En la página Buscar en almacén de datos, elija Guardar consulta. Aparece la página Guardar consulta forense.

2. Indique un nombre y una descripción para la consulta.

3. Marque la casilla Guardar valores de condición para guardar los valores de las condiciones (cadenas y enteros) que ha introducido en la página Buscar en almacén de datos. Si no marca esta casilla, la consulta forense guardada servirá como plantilla, con lo cual deberá introducir valores cada vez que ejecute la consulta.

4. Cualquier persona puede ejecutar una consulta guardada, pero de forma predeterminada sólo su autor puede modificarla. Para que otros usuarios puedan modificar su consulta, marque la casilla Permitir que otros alteren esta consulta.

5. Como la consulta devuelve objetos de usuario o de rol, puede indicar qué atributos de los objetos aparecen en los resultados. Si quiere ver atributos no incluidos en la lista Atributos para mostrar, puede ir a la página Configuración del exportador de datos y agregar nuevos atributos visualizables al tipo de usuario o rol.

Carga de consultas

Es posible cargar cualquier consulta guardada por cualquier usuario, pero sólo puede alterar las consultas creadas por usted o que otros usuarios hayan marcado como modificables por cualquier persona.

Para cargar una consulta forense

1. En la página Buscar en almacén de datos, elija Cargar consulta. Aparece la página Cargar consulta forense. La columna Resumen de la consulta indica Consulta incompleta si la consulta se ha guardado como una plantilla.

2. Marque la casilla situada a la izquierda de la consulta y haga clic en Cargar consulta.