15 Oracle Database Vaultの監視

この章の内容は次のとおりです。

• セキュリティ違反未遂行為

• データベースの構成および構造の変更

• カテゴリ別のセキュリティ・ポリシー変更

• セキュリティ・ポリシー変更の詳細

関連項目: 「監視」ページのグラフにスクリーン・リーダー用のテキスト説明を提供するための設定の詳細は、「Database Vault Administratorのグラフのテキスト説明の提供」を参照してください。

セキュリティ違反未遂行為

レルム違反やコマンド・ルール違反などのセキュリティ違反をチェックできます。この機能を使用すると、違反をコミットしたユーザーの名前、コミットしたアクションおよびアクティビティのタイムスタンプなどのデータが表示されます。

セキュリティ違反をチェックするには、次のようにします。

1. DV_OWNER、DV_ADMINまたはDV_SECANALYSTロールを使用するアカウントを使用してOracle Database Vault Administratorにログインします。

   ログイン方法は、「Oracle Database Vault Administratorの起動」で説明されています。

2. 「管理」ページで、「監視」をクリックします。

3. 「監視」ページの上部で、「次のレコードを表示」リストから選択して「実行」をクリックし、監視アクションの期間を設定します。

   「監視」ページのこのセクションには、ページのデータがリフレッシュされた最終時刻も表示されます。

4. 「監視」ページで、「セキュリティ違反未遂行為」をクリックします。

   セキュリティ・ポリシー変更を示す表が表示されます。

   
   図security_violation_attempts.gifの説明
   
   

データベースの構成および構造の変更

データベースまたはデータベース・スキーマ・オブジェクトに対する構造的な変更を確認できます。また、この機能では、CREATE TABLE、ALTER TABLE、DROP TABLE、ALTER DATABASEなどの文を監査します。コマンド・ルールで使用されるコマンドだけでなく、すべてのコマンドを監査します。たとえば、本番システムで誰かが予期しない変更を表に対して行った場合、この機能を使用してその内容を特定できます。

次の手順に従います。

1. DV_OWNER、DV_ADMINまたはDV_SECANALYSTロールを使用するアカウントを使用してOracle Database Vault Administratorにログインします。

   ログイン方法は、「Oracle Database Vault Administratorの起動」で説明されています。

2. 「管理」ページで、「監視」をクリックします。

3. 「監視」ページの上部で、「次のレコードを表示」リストから選択して「実行」をクリックし、監視アクションの期間を設定します。

   「監視」ページのこのセクションには、ページのデータがリフレッシュされた最終時刻も表示されます。

4. 「監視」ページで、「データベースの構成および構造の変更」をクリックします。

   次のような表が表示されます。

   
   図config_struct_changes.gifの説明
   
   

カテゴリ別のセキュリティ・ポリシー変更

次に示すカテゴリについて、ポリシー変更数を確認できます。これらのカテゴリは、任意の環境のデータベース・セキュリティ・ポリシー（つまり構成）を反映します。セキュリティに関連した何かが変更された場合は、グラフや表を使用して掘り下げ、調査する必要がある予期しない変更を発見できます。

• Database Vaultポリシー: Oracle Database Vaultの構成またはポリシーの変更を表す、Oracle Database Vaultの管理パッケージまたはユーザー・インタフェースを介して行われた変更を示します。

• Label Securityポリシー: Oracle Label Securityのポリシーまたは権限の変更を表す、Oracle Database Vaultの管理パッケージまたはユーザー・インタフェースを介して行われた変更を示します。

• 監査ポリシー: AUDIT文またはNOAUDIT文から取得されるデータベース監査ポリシーに対する変更を示します。

• 権限の付与: システム権限またはオブジェクト権限のGRANT文に対する変更を示します。

• 権限の取消: システム権限またはオブジェクト権限のREVOKE文に対する変更を示します。

• データベース・アカウント: CREATE USER文、ALTER USER文またはDROP USER文に対する変更を示します。

• データベース・ロール: CREATE ROLE文、ALTER ROLE文またはDROP ROLE文に対する変更を示します。

カテゴリ別のセキュリティ・ポリシー変更を監視するには、次のようにします。

1. Oracle Database Vault所有者（DV_OWNERロールを保持）またはセキュリティ分析者アカウント（DV_SECANALYSTロールを保持）を使用して、Oracle Database Vault Administratorにログインします。

   ログイン方法は、「Oracle Database Vault Administratorの起動」で説明されています。

2. 「管理」ページで、「監視」をクリックします。

3. 「監視」ページの上部で、「次のレコードを表示」リストから選択して「実行」をクリックし、監視アクションの期間を設定します。

   「監視」ページのこのセクションには、ページのデータがリフレッシュされた最終時刻も表示されます。

4. 「監視」ページで、「カテゴリ別のセキュリティ・ポリシー変更」のグラフを確認します。

   次のようなグラフが表示されます。このグラフは、Oracle Database Vaultポリシー、監査ポリシー、権限の付与および取消、データベース・アカウントおよびデータベース・ロールに基づいて、セキュリティ・ポリシー変更の数を示しています。

   
   図sec_policy_changes.gifの説明
   
   

セキュリティ・ポリシー変更の詳細

変更を行ったユーザー、発生したアクション、変更のタイムスタンプなど、セキュリティ・ポリシー変更の詳細を確認できます。

セキュリティ・ポリシー変更の詳細を監視するには、次のようにします。

1. DV_OWNER、DV_ADMINまたはDV_SECANALYSTロールを使用するアカウントを使用してOracle Database Vault Administratorにログインします。

   ログイン方法は、「Oracle Database Vault Administratorの起動」で説明されています。

2. 「管理」ページで、「監視」をクリックします。

3. 「監視」ページの上部で、「次のレコードを表示」リストから選択して「実行」をクリックし、監視アクションの期間を設定します。

   ページのこのセクションには、ページのデータがリフレッシュされた最終時刻も表示されます。

4. 「監視」ページで、「セキュリティ・ポリシー変更の詳細」をクリックします。

   セキュリティ・ポリシー変更の詳細を示す表が表示されます。

   
   図sec_policy_changes_detail.gifの説明