ヘッダーをスキップ
Oracle® Database Firewall管理ガイド
リリース5.0
B65097-01
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

13 システム管理

この章では、時々実行が必要になるルーチン・タスクについて説明しています。管理コンソールから使用可能なオプションすべてについては説明していません。

この章の内容は、次のとおりです。

ダッシュボードの使用

管理コンソールの「Dashboard」ページには、脅威ステータス、スループット、上位10件の脅威など、保護対象のデータベースに関する高レベルの重要情報が表示されます。キー・インジケータはグラフで表示され、このグラフは、システムを毎日監視するITマネージャおよびセキュリティ・マネージャを使用対象者としています。

ダッシュボードの使用方法の詳細は、『Oracle Database Firewallセキュリティ管理ガイド』を参照してください。

図13-1に、Management Serverの管理コンソールにある「Dashboard」ページの例を示します。

図13-1 Management Server管理コンソールの「Dashboard」ページ

図13-1の説明が次にあります
「図13-1 Management Server管理コンソールの「Dashboard」ページ」の説明


注意:

「Dashboard」には、F5 Networks社のWebアプリケーション・ファイアウォール製品であるBIG-IP Application Security Managerからの統計を表示できます。詳細は、第11章を参照してください。

Oracle Database Firewallの構成

「Appliances」タブを使用して、Database Firewall Management Serverで管理するOracle Database Firewallを構成できます。「Appliances」タブは、Oracle Database Firewall Management Server管理コンソールでのみ使用可能になります。

図13-2に、Management Server管理コンソールの「Appliances」タブを示します。

図13-2 Oracle Database Firewallを構成するための「Appliances」タブ

図13-2の説明は次にあります。
「図13-2 Oracle Database Firewallを構成するための「Appliances」タブ」の説明

「Add」ボタンを使用して、Oracle Database Firewallを追加します。「ステップ3B: Management Serverへの各Oracle Database Firewallの追加」を参照してください。

「Create Resilient Pair」ボタンを使用して、Oracle Database Firewallのレジリエント・ペアを作成します。「ステップ3C: Oracle Database Firewallのレジリエント・ペアの定義」を参照してください。レジリエント・ペアを作成すると、「Unpair」および「Swap」ボタンが表示されます。「Swap」を使用すると、プライマリをセカンダリに(その逆も可能)変更できます。

Oracle Database Firewallには、次のボタンが表示されます。

保護対象データベースの構成

この項の内容は、次のとおりです。

保護対象データベースの構成の概要

保護対象データベースの詳細は、「Monitoring」タブの「Protected Databases」メニューのオプションを使用して設定できます。

図13-3に、管理コンソールの「Protected Databases」ページを示します。

図13-3 保護対象データベースの構成

図13-3の説明は次にあります。
「図13-3 保護対象データベースの構成」の説明

「Protected Databases」メニューの「List」をクリックすると、構成済のすべての保護対象データベースがリストされます。前述の図に例を示します。

「Protected Databases」メニューの「Create」をクリックすると、新しい保護対象データベースを作成できます。

データベース名をクリックすると、保護対象データベースの設定を変更できます。図13-4に、使用可能な設定を示します。

図13-4 保護対象データベースの設定

図13-4の説明は次にあります。
「図13-4 保護対象データベースの設定」の説明

チェック・ボックスを使用して、生成できるコンプライアンス・レポートのタイプを選択します。(これらのレポート・タイプの詳細は、『Oracle Database Firewallセキュリティ管理ガイド』を参照してください。)データベースの「Sarbanes-Oxley」(SOX)、「Payment Card Industry」(PCI)、「Data Protection Act」(DPA)、「Gramm-Leach-Bliley Act」(GLBA)または「Health Insurance Portability and Accountability Act」(HIPAA)レポートを生成する必要がある場合は、該当するチェック・ボックスを選択します。

終了後に「Save Settings」をクリックします。

保護対象データベースに対するユーザー設定の構成

保護対象データベースに対してユーザー設定を構成する手順は、次のとおりです。

  1. Monitoring」タブを選択します。

  2. 「Protected Databases」の下にある「List」を選択します。

  3. 「Protected Databases」ページで、「users」リンクを選択します。

    保護対象データベース・リストで「users」をクリックすると、データベースにアクセスしたユーザーの名前を表示できます(これは、データベース・トラフィックから特定されます)。ユーザーの名前をクリックすると、ユーザーの接続元のIPアドレス、ユーザーのデータベースへのアクセスを不可にするかどうか(「Access terminated since」)など、ユーザーのプロファイルを構成できます。

  4. 「protected database」ページの「Users」で、構成するユーザー名を選択します。

  5. 「Edit Database User」ページで、適切なユーザー設定を入力します。

    image107.gifの説明が続きます
    image107.gifの説明

  6. 「Save Settings」ボタンをクリックします。

これらの設定は、予想されるデータベース使用率からの偏差を表示するためにレポートで使用されます。

強制ポイントのリスト、作成および構成

この項の内容は、次のとおりです。

強制ポイントの使用の概要

強制ポイントはDatabase Firewallの論理構成で、特定の保護対象データベースおよびネットワーク・トラフィック・ソースにポリシーを関連付けることができます。

「Monitoring」ページの「Enforcement Points」メニューを使用すると、既存の強制ポイントのリスト作成、新しい強制ポイントの作成(「Enforcement Point Wizard」を使用)、および強制ポイントに関する未処理のタスクの表示を実行できます。「Enforcement Point Wizard」では有効になっていない設定を構成できます。詳細は、「ステップ6: スタンドアロンDatabase Firewallの強制ポイントの構成」を参照してください。

図13-5に、管理コンソールの「Enforcement Points」ページを示します。

図13-5 既存の強制ポイントの検索

図13-5の説明は次にあります。
「図13-5 既存の強制ポイントの検索」の説明

「List」をクリックすると、前述の図に示すように、既存の強制ポイントがすべて表示されます。リストされた各強制ポイントには、「Manage」「Status」「Settings」および「Advanced」の4つのボタンが表示されます(各ボタンについては後続の各項を参照)。

強制ポイントの管理

「Manage」ボタンを使用すると、次の操作を実行できます。

  • 強制ポイントの一時停止、再開または削除

  • 選択した強制ポイントに対するストアド・プロシージャ監査またはユーザー・ロール監査の実行、一時停止または再開

強制ポイントのステータスの検索

「Monitoring」タブをクリックし、「Enforcement Points」メニューから「List」を選択します。「Status」ボタンを使用して、強制ポイントの詳細とステータス、および保護対象のデータベースを表示します。強制ポイントが管理対象Database Firewall内にある場合は、Management Serverの「Appliances」タブに強制ポイントを含むOracle Database Firewallデバイスが表示されます。

強制ポイントの設定の変更

「Settings」ボタンを使用すると、保護対象のデータベース、使用されるポリシー、保護モードなど、強制ポイントの設定を変更できます。

図13-6に、強制ポイントの設定の変更例を示します。

図13-6 強制ポイントの設定の変更

図13-6の説明は次にあります。
「図13-6 強制ポイントの設定の変更」の説明

次のオプションを使用できます。

BIG-IP Application Security Managerの設定の構成

「Advanced」ボタンをクリックして、BIG-IP Application Security Managerの設定を構成します。詳細は、第11章を参照してください。

強制ポイントのレジリエント・ペアの構成

Oracle Database Firewall Management Server管理コンソールを使用しているときは、「Resilience」メニューが使用可能になります。「Create Pair」オプションを使用すると、強制ポイントのペアを設定できます。詳細は、「強制ポイントのペアの作成」を参照してください。

トラフィック・ソースの構成

Oracle Database Firewallの管理コンソールを使用すると、「Traffic Sources」を設定できます。詳細は、「ステップ7: スタンドアロンDatabase FirewallのブリッジIPアドレスの構成」を参照してください。

システムの構成

「System」ページの「System」メニューにあるオプションを使用すると、Oracle Database Firewallのシステム設定を構成できます。これらのオプションは、Oracle Database Firewallの最初のデプロイメント時に使用されます。

図13-7に、Management Serverの管理コンソールの「System Settings」ページを示します。

図13-7 Management Serverのシステム設定

図13-7の説明は次にあります。
「図13-7 Management Serverのシステム設定」の説明

特に注記がないかぎり、次のオプションは、Management ServerまたはスタンドアロンDatabase Firewallの「System」メニューから使用できます。「Manage」および「Email Configuration」オプションは、管理対象Database Firewallでは使用できません。

データのアーカイブ

この項の内容は、次のとおりです。

データのアーカイブの概要

管理コンソールの「Archiving」ページには、万一ディスク・エラーやシステム・エラーが発生した場合にデータの消失を防ぐために、重要データをアーカイブするためのオプションが表示されます。アーカイブは、「Tasks」メニューの「Manage」を使用し、コーポレート・ポリシーに従って定期的に(たとえば、毎日)実行することをお薦めします。必要な場合は、保護対象データベースごとに異なるアーカイブを作成できます。

図13-8に、管理コンソールの「Archiving Jobs」ページを示します。

図13-8 データのアーカイブ

図13-8の説明は次にあります。
「図13-8 データのアーカイブ」の説明

「Archive Data」および「Manage」を使用すると、ストアド・プロシージャ監査およびユーザー・ロール監査のトラフィック・ログまたは監査履歴がアーカイブされます。「Archive Configuration」を使用すると、ベースライン・ポリシーを含むシステム構成データがアーカイブされます。


注意:

  • トラフィック・ログのデータ量は、Analyzerのロギング設定によって決まります。過度のロギングを行うと、大量のディスク領域が短時間で使用されることになります。

    Oracle Database FirewallまたはOracle Database Firewall Management Serverで、処理済のトラフィック・ログ・ファイルの蓄積によって問題が発生するのを回避するには、ディスク領域の25%が空き領域になることを目標にします。トラフィック・ログ・ファイルの格納に必要なディスク領域の量を計算するときは、このことを考慮する必要があります。

    空きディスク領域が目標を上回ると、システムによってログ・ファイルが削除され、アーカイブや非定型検索で使用できなくなります。

  • Analyzerで使用されるすべてのファイルは、自社の通常のバックアップ/アーカイブ・システムで個別にアーカイブする必要があります。次のAnalyzerファイルはアーカイブすることをお薦めします。

    ベースライン・ファイル: ファイル拡張子.dna

    モデル・ファイル: ファイル拡張子.smdlおよび.smdl_data

    トレーニング・ファイル: ファイル拡張子.train


アーカイブ先の定義

アーカイブを開始するには、その前に、次のように1つ以上のアーカイブ先を定義する必要があります。アーカイブ先の定義では、アーカイブ格納場所、およびその他の構成設定を指定します。

  1. スタンドアロンDatabase FirewallまたはManagement Server管理コンソールにログインします。

    詳細は、「管理コンソールへのログイン」を参照してください。

  2. 「Archiving」タブをクリックします。

  3. 「Destinations」メニューの「Create」をクリックします。次が表示されます。

    image141.gifの説明が続きます
    image141.gifの説明

  4. 次のフィールドを指定します。

    • Transfer Method: データをアーカイブするマシンにOracle Database Firewall Management Serverからデータを転送する方法。通常、Linuxマシンでデータをアーカイブする場合は「Secure Copy (scp)」を選択し、Windowsマシンでデータをアーカイブする場合は「Windows File Sharing (smb)」を選択します。

    • Name: アーカイブ先の名前。この名前は、アーカイブを開始するときに、アーカイブ先を選択するために使用します。

    • Username: アーカイブ・データが転送されるマシンのユーザー名。

    • Address: データをアーカイブするマシンの名前またはIPアドレス。「Windows File Sharing」を選択した場合は、IPアドレスを指定します。

    • Port: これは、データをアーカイブするマシン上のセキュア・コピーまたはWindowsファイル共有サービスで使用されるポート番号です。通常は、デフォルトのポート番号を使用できます。

      「Transfer Method」で「Windows File Sharing」を選択した場合は、ポート445を使用することをお薦めします。

    • Path: アーカイブ格納場所へのパス。Linuxマシンを使用してデータをアーカイブする場合、先頭にスラッシュ文字がないと、パスはユーザーのホーム・ディレクトリへの相対パスになります。先頭にスラッシュがあると、パスはルート・ディレクトリへの相対パスになります。Windowsマシンの場合は、共有名を入力し、その後にスラッシュとフォルダ名を入力します(例: /sharename/myfolder)。

    • Authentication Method: Windowsマシンを使用してデータをアーカイブする場合は、「Password」を選択してログイン・パスワードを入力します。Linuxマシンを使用している場合は、「Key Authentication」を選択できます。「Key Authentication」を選択した後に表示される指示に従ってください。

    • Password、Confirm Password: データをアーカイブするマシンにログインするためのパスワード。

  5. 「Save」をクリックします。

アーカイブ・スケジュールの作成

トラフィック・ログまたは監査ファイルを指定日の午前0時に自動的にアーカイブするように、スケジュールを作成できます。次の手順を実行します。

  1. スタンドアロンDatabase FirewallまたはManagement Server管理コンソールにログインします。

    詳細は、「管理コンソールへのログイン」を参照してください。

  2. 「Archiving」タブをクリックします。

  3. 「Jobs」の下にある「Schedule」を選択します。

  4. 「Archiving」ページで、「Add」ボタンをクリックします。

  5. トラフィック・ログをアーカイブするスケジュールを作成する場合は「Log Files」を選択し、ストアド・プロシージャ監査およびユーザー・ロール監査の履歴をアーカイブするスケジュールを作成する場合は「Db Audit」を選択します。

  6. 指定した間隔でアーカイブを自動的に実行する場合は、「Recurring」を選択します。

    このチェック・ボックスが選択されていない場合、アーカイブは1回のみ実行されます。

  7. 「Date」「Month」および「Weekday」を使用して、間隔を指定します。

    たとえば、「Mon」のみを選択すると、毎週月曜日の午前0時にアーカイブが実行されます。「1」および「Jan」を選択すると、毎年1月1日にアーカイブが実行されます(アーカイブは頻繁に実行する必要があるため、これはお薦めできません)。

  8. 「Host」を使用して、アーカイブ先を選択します。

  9. 保護対象データベースを選択するか、「All」を選択します。

  10. 「Save」をクリックします。

アーカイブ・ジョブの手動での開始

アーカイブのスケジュールを設定しない場合は、次の手順に従って、トラフィック・ログまたは監査ファイルを手動でアーカイブします。

  1. スタンドアロンDatabase FirewallまたはManagement Server管理コンソールにログインします。

    詳細は、「管理コンソールへのログイン」を参照してください。

  2. 「Archiving」タブをクリックします。

    既存のアーカイブ・ジョブまたはリストア・ジョブが「Archiving Jobs」ページにリストされます。

  3. 最初にアーカイブ先が作成されていることを確認します。

    「Destinations」メニューで「Create」を選択して、アーカイブ先を作成します。

  4. 「Jobs」メニューで、「Archive Data」を選択します。

    次の画面が表示されます。

    image145.gifの説明が続きます
    image145.gifの説明

  5. 次のフィールドを指定します。

    • Job Name: 各アーカイブに名前を指定します。

    • Archive Destination: アーカイブ先を選択します。

    • Archive class: アーカイブ対象として、「Log Files」(トラフィック・ログ)または「Audit Files」(ストアド・プロシージャ監査およびユーザー・ロール監査の履歴のアーカイブ)を選択します。「Log Files」を選択した場合は、次のオプションも表示されます。

    Include files that have already been archived: すでにアーカイブされたファイルを再度アーカイブする場合は、このチェック・ボックスを選択します。

    Protected Database: 「All」または特定のデータベースを選択します。

    Log Files: アーカイブする期間を選択します。

  6. 「Archive」をクリックします。

「Archiving Jobs」ページ(「Archiving」タブをクリックします)で、アーカイブ・ジョブの進行状況を表示できます。

「Archiving Jobs」ページでジョブ番号をクリックすると、ジョブの一時停止または削除を選択できるページが表示されます。

構成アーカイブ・ジョブの開始

Oracle Database Firewall Management Serverから構成データをアーカイブする前に、「Appliances」ページを表示して、管理対象のOracle Database Firewallデバイスごとに「Manage」をクリックし、「Backup」オプションを選択します。

ベースライン・ポリシーを含む構成データをアーカイブする手順は、次のとおりです。

  1. スタンドアロンDatabase FirewallまたはManagement Server管理コンソールにログインします。

    詳細は、「管理コンソールへのログイン」を参照してください。

  2. 「Archiving」タブをクリックします。

  3. 「Jobs」メニューで、「Archive Configuration」を選択します。

  4. 「Create Archive Job」ページで、「Job Name」および「Archive Destination」フィールドを指定します。

  5. 「Archive」ボタンをクリックします。

    「Archive」をクリックした後に、「Archiving Jobs」ページの「Configuration Archive Jobs」リストにアーカイブ・ジョブが表示されます。

アーカイブのリストア

アーカイブからデータをリストアする場合は、「Jobs」メニューの「Restore Data」または「Restore Configuration」をクリックします。表示されるページを使用して、リストアするアーカイブ先を選択できます。アーカイブ先に格納されているすべてのデータがリストアされます。

Oracle Database Firewall Management Serverで構成データをリストアした後に、「Appliances」ページを表示して、管理対象のOracle Database Firewallデバイスごとに「Manage」をクリックし、「Restore」オプションを選択します。

ログの表示

Database Firewallのログ・ファイルに取得されるのはSQL文のみです。ユーザーがログ・ファイルを変更した場合は、その変更内容が記録されます。ログに記録された情報を表示するには、「System」ページの「Logs」メニューにあるオプションを使用します。

図13-9に、管理コンソールの「Manage Logs」ページを示します。

「Logs」メニューには、次のオプションがあります。

サード・パーティ・システムへのコネクタの構成

「System」タブの「Connectors」メニューから「Syslog」を選択して、サード・パーティ・システムへの接続を構成できます。

図13-10に、管理コンソールの「Syslog Settings」ページを示します。

「Connectors」メニューには、次のオプションがあります。

サード・パーティ・コネクタ用の電子メール・アラートの構成

ユーザー向けの電子メール・アラート通知を構成できます。この項の内容は、次のとおりです。

SMTPサーバーの構成

SMTPプロトコルはインターネット・メール・サーバーで広く使用され認識されています。

SMTPサーバーを構成する手順は、次のとおりです。

  1. 「System」タブの「Connectors」メニューから、「Email Alerts」を選択します。

  2. 「Email Alerts」ページで「Email configuration」リンクを選択します。

    「Email Configuration」ページが表示されます。

  3. 次の設定を入力します。

    • SMTP Server Address: IPアドレスまたはホスト名を使用して、SMTPサーバー・アドレスを入力します。次に例を示します。

      auth.smtp.example.com
      mail.example.com
      192.0.2.20
      
    • Port: ポート番号を入力します(通常は25)。

    • Username: (オプション)ISPログイン資格証明のユーザー名を入力します。

    • Password、Password Confirmation: (オプション)ISPログイン資格証明のパスワードを入力します。

    • From Address: 電子メールに送信者として表示される適切な電子メール・アドレスを入力します。

    • Reply-to Address: 返信先アドレスとして使用される適切な電子メール・アドレスを入力します。

  4. Save」ボタンをクリックします。

  5. 電子メール構成をテストするには、「Email Address」フィールドに有効な電子メール・アドレスを入力し、「Test」をクリックします。電子メール・アドレスで使用される電子メール・ツールには、電子メールがすぐに表示される必要があります。

電子メール受信者の構成

SMTPサーバーを構成した後は、電子メール・アラートを受信するユーザーの電子メール・アドレスを1つ以上構成できます。

電子メール・アラート転送を構成する手順は、次のとおりです。

  1. 「System」タブの「Connectors」メニューから、「Email Alerts」を選択します。

    「Email Alerts」ページが表示されます。

  2. 「Enable email alert forwarding」チェック・ボックスを選択します。

  3. 1つ以上の電子メール受信者アドレスを、空白、タブまたは改行で区切って入力します。

    email_alerts.gifの説明が続きます
    図email_alerts.gifの説明

  4. 「Apply」ボタンをクリックします。

電子メール・アラート通知の例

例13-1に、電子メール通知の例を示します。件名ヘッダーは、「Alert from device 192.0.2.82 for database 192.0.2.81 - Statement Alert」です。

例13-1 電子メール・アラート通知の内容

Details of the alert:
     Alert name:                Statement Alert
     Device:                    192.0.2.82
     Alert severity:            Undefined
     Action:                    Warn
     Action Type:               Unknown Alerted
     Message timestamp:         2010-11-12 13:45:05.746
     Cluster ID:                2362095612
     Logging level:             Always
     Client address:            192.0.2.237:4743
     Server address:            192.0.2.81:1433
     Database username:         unknown_username
     SQL statement ID:          4cdd44e129500000
     Database response:         Not collected
         Response code          0
         Response text          
         Response detail        
     SQL:                       select * from creditcard where 0=0

ユーザーの構成

この項の内容は、次のとおりです。

ユーザーの構成の概要

「System」ページの「Users」メニューを使用すると、管理コンソール・ユーザー・アカウントの作成、リストおよび編集を実行できます。管理コンソールを起動するとき、またはAnalyzerソフトウェアのユーザーが「Train on Log Data」「Test with Log Data」を使用して接続するときは、有効なユーザー名とパスワードを入力する必要があります。

ユーザーは、Database Firewall(スタンドアロンおよび管理対象の両方)、およびManagement Serverで作成できます。これらのユーザー・アカウントは、Database FirewallをManagement Serverに接続するように構成した後も、各システムに対してはローカルです。スタンドアロンDatabase Firewallでは、Database FirewallとManagement Serverが同じLinuxサーバー上にある場合、システム管理者ユーザーはすべての機能を実行できます。ただし、Database FirewallとManagement Serverが別々のサーバー上にある場合は、Management ServerをこのDatabase Firewallに接続した後にシステム管理者が実行できる機能は異なります。次に例を示します。

  • Database Firewall管理者: ネットワーク設定の変更、ネットワーク・トラフィックの表示、Management ServerからのDatabase Firewallの削除、現在のDatabase Firewallに固有のタスクのみを実行できます。

  • Management Server管理者: 強制ポイントの作成と管理、ポリシーの構成、レポートの実行、アーカイブなどを実行できます。

これらの2つのアカウントに関連付けられている権限の完全リストは、「使用する管理コンソールの選択」を参照してください。

デフォルトの管理者ユーザー名はadmin(小文字のみ)です。セキュリティの向上と業務の分離のために、adminユーザー・アカウントはバックアップ・アカウントとして保持し、日常的な業務を行う1名以上の既存のユーザー用に別の管理アカウントを作成することをお薦めします。このようにすると、管理ユーザーが業務を行えない場合や退職した場合に、このユーザーのかわりにバックアップの管理ユーザー・アカウントを使用できます。すべての種類のユーザー・アカウントは、現場で必要な数だけ作成できます。

システム変更を完全にトレースするために、管理ログには、管理コンソールから変更を加えたユーザーのログインIDが格納されます。別の管理コンソール・アカウントを作成する理由の1つは、このログを使用して、Database Firewallシステムに変更を加えたユーザーを簡単に追跡できることです。

図13-11に、管理コンソールの「Users」ページを示します。

図13-11 ユーザーの構成

図13-11の説明は次にあります。
「図13-11 ユーザーの構成」の説明

新規ユーザー・アカウントの作成

新しいユーザー・アカウントを作成するには、次のステップを実行します。

  1. 管理コンソールにログインします。

    Database Firewall(スタンドアロンまたは管理対象)、またはManagement Serverにログインできます。ログインの詳細は、「管理コンソールへのログイン」を参照してください。

  2. 「System」タブを選択します。

    「System Settings」ページが表示されます。

  3. 「Users」メニューで、「Add New」を選択します。

    Add Userページが表示されます。

  4. 次の情報を入力します。

    • User name: アカウントのログイン・ユーザー名を入力します(例: psmithlbernstein)。この名前は大/小文字が区別されることに注意してください。たとえば、lbernsteinと作成した場合、LBERNSTEINでログインしようとすると失敗します。

    • First Name: ユーザーの名を入力します。

    • Last Name: ユーザーの姓を入力します。

    • Email: ユーザーの電子メール・アドレスを入力します。

    • Role: 次のロールから選択します。

      • System Administrator: ユーザーは、管理コンソール内のすべてのオプションにアクセスでき、Analyzerから接続できます。

      • View-only User: ユーザーは、ログ・データの表示、ユーザー自身のパスワードの変更、およびAnalyzerからの接続を実行できます。このロールを持つユーザーは、Analyzerで文の詳細を表示できます。このユーザーは、ポリシー・ファイルを作成できますが、それをアップロードすることはできません。

      • Log Administrator: 管理コンソールのユーザーは、ログ・データの表示、ユーザー自身のパスワードの変更、ロギングの構成、アーカイブやリストア・ジョブの実行、およびAnalyzerからの接続を実行できます。

    • Suspended: ユーザー・アカウントを一時停止する場合に、このチェック・ボックスを選択します。

    • Force Password Change on Next Login: ユーザーが最初にログインするときにプライベート・パスワードの作成を許可する場合は、このチェック・ボックスを選択します。デフォルトでは、このチェック・ボックスは選択されています。

    • Password: セキュアなパスワードを入力します。次のガイドラインに従ってください。

      • パスワードは8から30文字の英数字にします。

      • パスワードには、数値、大文字および小文字を少なくとも1文字ずつ含めます。

      • 意味のある単語のみで構成されるパスワードを使用しないでください。

      • welcomeとbinky1のように、解読可能な2つのパスワードを組み合せてWelBinky1Comeとします。

    • Confirm Password: パスワードを再入力します。

  5. 「Signup」ボタンをクリックします。

後でユーザー・アカウントの変更が必要になった場合は、「Users」メニューから「List」を選択し、変更するユーザー・アカウントの名前をクリックします。「Edit User」ページが表示されます。

パスワード・ポリシーの作成

セキュリティを強化するために、パスワード・ポリシーを作成して、ユーザーに安全なパスワードを使用するように指示できます。パスワード・ポリシーは、Database Firewallで管理されているすべてのユーザーに適用されます。

パスワード・ポリシーを作成する手順は、次のとおりです。

  1. 管理コンソールにログインします。

    Database Firewall(スタンドアロンまたは管理対象)、またはManagement Serverにログインできます。ログインの詳細は、「管理コンソールへのログイン」を参照してください。

  2. 「System」タブを選択します。

    「System Settings」ページが表示されます。

  3. 「Users」メニューで、「Security」を選択します。

    「User Security Settings」ページが表示されます。

  4. 次の設定を指定します。

    • Enforce Strong Passwords: 次の基準を強制する場合は、このチェック・ボックスを選択します。

      • 大文字と小文字が含まれていること

      • アルファベット以外の文字が最低1文字含まれていること

      • 体系的または単純でないこと(例: abcde12345)

      • ほとんど同じ文字で構成されていないこと(例: aaaaaa11111)

      このオプションを無効にすると、Oracle Database Firewallではユーザーに対してパスワードの安全性についてアドバイスしますが、これらのガイドラインは強制されません。

    • Minimum Password Length: 数値を入力します。デフォルトは6です。

    • Enforce Novel Passwords: ユーザーが過去に使用したパスワードを指定するのを防ぐ場合は、このチェック・ボックスを選択します。

    • Expire Passwords: 指定した日数が経過した後にユーザーにパスワード変更を強制する場合は、数値(日数)を入力します。パスワードの期限切れを無効にする場合は、0を入力します。

  5. Save」ボタンをクリックします。

各Database Firewallでのネットワーク・トラフィックの表示と取得

この項の内容は、次のとおりです。

ネットワーク・トラフィックの表示

Database Firewall(スタンドアロンまたは管理対象)のネットワーク・トラフィックを表示できます。ネットワーク・トラフィックを画面にリアルタイムで表示するには、「System」タブの「Network Traffic」メニューから「Show」をクリックします。Management Serverではこのオプションを使用できません。

図13-12に、Database Firewallの管理コンソールの「Network Traffic」ページを示します。

図13-12 Database Firewallからのネットワーク・トラフィックの表示

図13-12の説明は次にあります。
「図13-12 Database Firewallからのネットワーク・トラフィックの表示」の説明

ネットワーク・トラフィックの取得

ネットワーク・トラフィックをファイル(.pcapファイル・タイプ)に取得すると、後でダウンロードして分析できます。

ネットワーク・トラフィックをファイルに取得する手順は、次のとおりです。

  1. Database Firewall(スタンドアロンまたは管理対象)管理コンソールにログインします。

    ログインの詳細は、「管理コンソールへのログイン」を参照してください。

  2. 「System」タブを選択します。

  3. 「Network Traffic」メニューから「Capture to File」を選択します。

    直後に、「Network Traffic」ページにトラフィック・ファイルがリストされます。

    network_traffic.gifの説明が続きます
    図network_traffic.gifの説明

  4. 「Network traffic files」領域で「download」ボタンをクリックします。

  5. 「File Download」ダイアログ・ボックスで「Save」をクリックします。

  6. 「Save As」ダイアログ・ボックスで、ファイルを保存するディレクトリにナビゲートし、「Save」ボタンをクリックします。