| Oracle® Database Firewall管理ガイド リリース5.1 B66170-01 |
|
 前 |
 次 |
この付録の内容は、次のとおりです。
ArcSight Security Information Event Management(SIEM)システムは、様々なソースからsyslogメッセージを記録、分析および管理するための集中管理システムです。ArcSight SIEMを使用すると、Oracle Database Firewallでは、セキュリティ・アラートやその他の選択したイベント・タイプ(メッセージ・テキスト、優先度および攻撃者のIPアドレスを含む)の詳細を提供できます。Management Serverを使用している場合にはArcSight SIEMメッセージが送信され、それ以外の場合、イベントはスタンドアロンDatabase Firewallから送信されます。
BIG-IP ASMインタフェースも使用している場合は、攻撃がインターネットから実行されると、Database Firewallでは攻撃側Webクライアントの実際のIPアドレスを特定します。この機能によって、インターネット・ベースの攻撃のソースを特定できます。
ArcSight SIEMとDatabase Firewallを統合する場合、追加のソフトウェアをインストールする必要はありません。次の項で説明するように、Database Firewall管理コンソールを使用して統合を構成できます。
ArcSight SIEMサーバーに送信されるsyslogメッセージは、Database Firewallから送信されるその他のsyslogメッセージから独立しています。これは、標準のsyslogメッセージを異なる宛先に送信できることを意味します。
Oracle Database FirewallとArcSight SIEMの統合を有効にすると、設定値は即時に有効になります。Database Firewallを再起動する必要はありません。
Oracle Database Firewallに対してArcSight SIEMを有効にする手順は、次のとおりです。
スタンドアロンDatabase FirewallまたはManagement Serverの管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
「System」タブを選択します。
「Connectors」メニューで、「ArcSight SIEM」を選択します。
「ArcSight SIEM」ページが表示されます。
次のオプションを指定します。
Enable ArcSight event forwarding: ArcSightインタフェースを有効にする場合に、このチェック・ボックスを選択します。
ArcSight destinations: 使用する通信プロトコルに応じて、「UDP」または「TCP」フィールドにArcSightサーバーのIPアドレスまたはホスト名を入力します。この設定を使用すると、syslogのログ出力を共通イベント・フォーマット(CEF)でこのArcSightサーバーに送信できます。
Event categories: ArcSightサーバーで必要なメッセージのタイプに応じて、syslogカテゴリの組合せを選択します。メッセージ・タイプの詳細は、「Oracle Database FirewallとArcSight SIEMのsyslogマッピング表」を参照してください。
Limit message length: ネットワーク上で大量のSQLテキストが送信されるのを防ぐために、メッセージの長さを指定のバイト数に制限できます。
Maximum message length (bytes): 任意の最大長を入力します。許容範囲は1024から1048576文字です。デフォルトは、256バイトです。
「Apply」ボタンをクリックします。
ArcSight SEIMのsyslog出力を送信できます(『Oracle Database Firewallセキュリティ・ガイド』を参照)。次の表では、ArcSight SIEMに渡されるメッセージ、および関連するArcSightキーにマップされるOracle Database Firewallメッセージのフィールドについて説明します。
表12-1に、Oracle Database FirewallからArcSight SIEMに送信されるメッセージ・タイプを示します。
表12-1 ArcSight SIEMに送信されるメッセージ・タイプ
| メッセージ・タイプ | イベント名 | 説明 |
|---|---|---|
|
DBFW:3 |
ハートビート |
ハートビート・メッセージ。Database Firewallの実行中に、毎秒1つのメッセージが生成されます。 |
|
DBFW:4 |
プロパティ変更 |
プロパティ変更メッセージ。ユーザーが加えた構成変更が記述されます。 |
|
DBFW:8 |
データベース監査 |
データベース・オブジェクト監査メッセージ。これらは、Database Firewallのストアド・プロシージャ監査またはユーザー・ロール監査機能によって生成されます。 |
|
DBFW:9 |
文アラート |
文アラート。このタイプのアラートは、完全なSQL文および関連する詳細を表示するために指定します。データベース・レスポンス・モニタリングが有効な場合は、レスポンス情報がアラートに含まれます。 |
|
DBFW:10 |
文アラート(WAF) |
Webアプリケーション・ファイアウォール(WAF)の文アラート。このタイプのアラートは、Database FirewallアプライアンスがWebアプリケーション・ファイアウォールとともに動作している場合に指定します。データベース・レスポンス・モニタリングが有効な場合は、レスポンス情報がアラートに含まれます。 |
|
DBFW:11 |
ログイン・アラート |
ユーザーがデータベースへのログインを試みました。データベース・レスポンス・モニタリングが有効な場合は、ログイン試行の結果(成功または失敗)がアラートに含まれます。 |
|
DBFW:12 |
ログアウト・アラート |
ユーザーがデータベースから明示的にログアウトしたか、またはユーザーのTCPセッションが閉じられました。 |
|
DBFW:system |
システム・メッセージ |
オペレーティング・システム形式のシステム・メッセージ。これらは、Database Firewallがインストールされているオペレーティング・システムによって生成されるアラートです。 |
DBFW:3ハートビート・メッセージは、Database Firewallの実行中に毎秒生成されます。ハートビート・メッセージには文の数が含まれます。
表12-2に、DBFW:3 CEFヘッダー・フィールドを示します。
表12-2 DBFW:3(ハートビート)CEFヘッダー・フィールド
| ヘッダー名 | 内容 | 例 |
|---|---|---|
|
Version |
固定整数: |
なし |
|
Device Vendor |
固定文字列: |
なし |
|
Device Product |
固定文字列: |
なし |
|
Device Version |
Database Firewallのバージョン |
|
|
SignatureID |
固定文字列: |
なし |
|
Name |
固定文字列: |
なし |
|
Severity |
固定整数: |
なし |
表12-3に、DBFW:3拡張フィールドを示します。
DBFW:4プロパティ変更メッセージには、ユーザーがDatabase FirewallまたはManagement Serverに対して加えた構成変更が記述されます。
表12-4に、DBFW:4 CEFヘッダー・フィールドを示します。
表12-4 DBFW:4(プロパティ変更)CEFヘッダー・フィールド
| ヘッダー名 | 内容 | 例 |
|---|---|---|
|
Version |
固定整数: |
なし |
|
Device Vendor |
固定文字列: |
なし |
|
Device Product |
固定文字列: |
なし |
|
Device Version |
Database Firewallのバージョン |
|
|
SignatureID |
固定文字列: |
なし |
|
Name |
固定文字列: |
なし |
|
Severity |
固定整数: |
なし |
表12-5に、DBFW:4拡張フィールドを示します。
表12-5 DBFW:4(プロパティ変更)拡張フィールド
| Database Firewallフィールド | 説明 | ArcSightキー名 | 例 |
|---|---|---|---|
|
Monitoring point IP |
監視元ポイントのIPアドレス |
dvc |
|
|
timestamp |
イベントのタイムスタンプ。ミリ秒に変換する必要があります。 |
rt |
|
|
category |
イベントのカテゴリ |
cat |
|
|
name |
変更されたシステム・プロパティの名前 |
cs4 |
|
|
なし |
固定文字列: |
cs4Label |
なし |
|
value |
「Value」プロパティが割り当てられます |
cs2 |
1 |
|
なし |
固定文字列: |
cs2Label |
なし |
DBFW:8データベース監査メッセージでは、ストアド・プロシージャ監査およびユーザー・ロール監査の実行完了後に監査が取得されます。(このタイプの監査の詳細は、第5章「ストアド・プロシージャ監査の構成」および第6章「ロール監査の構成および使用」を参照してください。)
表12-6に、DBFW:8 CEFヘッダー・フィールドを示します。
表12-6 DBFW:8(データベース監査)CEFヘッダー・フィールド
| ヘッダー名 | 内容 | 例 |
|---|---|---|
|
Version |
固定整数: |
なし |
|
Device Vendor |
固定文字列: |
なし |
|
Device Product |
固定文字列: |
なし |
|
Device Version |
Database Firewallのバージョン |
|
|
SignatureID |
固定文字列: |
なし |
|
Name |
固定文字列: |
なし |
|
Severity |
固定整数: |
なし |
表12-7に、DBFW:8拡張フィールドを示します。
表12-7 DBFW:8(データベース監査)拡張フィールド
| Database Firewallフィールド | 説明 | ArcSightキー名 | 例 |
|---|---|---|---|
|
Monitoring point IP |
監視元ポイントのIPアドレス |
dvc |
|
|
Target Database |
監査データベースの接続文字列 |
request |
|
|
Protected Database |
データベースの名前 |
cs3 |
|
|
なし |
固定文字列: |
cs3Label |
なし |
|
Audit start time |
監査の開始タイムスタンプ。値は、1-Jan-1970からのミリ秒です。 |
start |
|
|
Object collected time |
すべての情報がデータベースから収集された時刻。値は、1-Jan-1970からのミリ秒です。 |
rt |
|
|
Audit end time |
監査の終了タイムスタンプ。値は、1-Jan-1970からのミリ秒です。 |
end |
|
|
Database counter |
検出されたデータベースの数 |
flexNumber1 |
|
|
なし |
固定文字列: |
flexNumber1Label |
なし |
|
New counter |
新しいアイテムの数 |
flexNumber2 |
|
|
固定文字列: |
flexNumber2Label |
なし |
|
|
Modified counter |
変更されたアイテムの数 |
cn1 |
|
|
なし |
固定文字列: |
cn1Label |
なし |
|
Deleted counter |
削除されたアイテムの数 |
cn2 |
|
|
なし |
固定文字列: |
cn2Label |
なし |
|
Unchanged counter |
変更されていないアイテムの数 |
cn3 |
|
|
なし |
固定文字列: Unchanged |
cn3Label |
なし |
DBFW:9文メッセージ・アラートには、監査済の完全なSQL文および関連する詳細が含まれます。ユーザーがベースラインを構成した方法に応じて、文アラートはユーザーごとに異なります。データベース・レスポンス・モニタリングが有効な場合は、レスポンス情報がアラートに含まれます。データベース・レスポンス・モニタリングを有効にする方法については、第10章「データベース・レスポンス・モニタリングの構成および使用」を参照してください。
表12-8に、DBFW:9 CEFヘッダー・フィールドを示します。
表12-8 DBFW:6(文アラート)CEFヘッダー・フィールド
| ヘッダー名 | 内容 | 例 |
|---|---|---|
|
Version |
固定整数: |
なし |
|
Device Vendor |
固定文字列: |
なし |
|
Device Product |
固定文字列: |
なし |
|
Device Version |
Database Firewallのバージョン |
|
|
SignatureID |
固定文字列: |
なし |
|
Name |
固定文字列: |
なし |
|
Severity |
0から10の値 |
|
表12-9に、DBFW:9拡張フィールドを示します。
表12-9 DBFW:6(文アラート(WAF))拡張フィールド
| Database Firewallフィールド | 説明 | ArcSightキー名 | 例 |
|---|---|---|---|
|
Monitoring point IP |
監視元ポイントのIPアドレス |
dvc |
|
|
アクション |
実行されたアクション。syslog仕様ドキュメントの語に変換する必要があります。 |
act |
|
|
timestamp |
イベントのタイムスタンプ。ミリ秒に変換する必要があります。 |
rt |
|
|
db_client |
データベース・クライアントIPアドレス |
src |
|
|
db_server |
データベース・サーバーIPアドレス |
dst |
|
|
user_name |
データベース・ユーザー名。空白の場合は、 |
duser |
Not recorded |
|
statement |
SQL文 |
msg |
select dvdcatalog.*, fullpromoname, imageurl, imagealt, landingpageid from dvdcatalog, dual left join promo on promo.catalog_no = catalog_no and sysdate between startdate and enddate where ((select count(*) from star inner join starlink on star.starid = starlink.starid where starlink.catalog_no = catalog_no and (starname like '#########' and starname like '########' )) > 0) and status = 0 and not art_type = 0 and not art_class = '###' and rownum < 000 order by ordered desc, title |
DBFW:10Webアプリケーション・ファイアウォール(WAF)の文メッセージ・アラートは、Database FirewallがWebアプリケーション・ファイアウォールとともに動作している場合に生成されます。データベース・レスポンス・モニタリングが有効な場合は、レスポンス情報がアラートに含まれます。データベース・レスポンス・モニタリングを有効にする方法については、第10章「データベース・レスポンス・モニタリングの構成および使用」を参照してください。
表12-10に、DBFW:10 CEFヘッダー・フィールドを示します。
表12-10 DBFW:7(文アラート(WAF))CEFヘッダー・フィールド
| ヘッダー名 | 内容 | 例 |
|---|---|---|
|
Version |
固定整数: |
なし |
|
Device Vendor |
固定文字列: |
なし |
|
Device Product |
固定文字列: |
なし |
|
Device Version |
Database Firewallのバージョン |
|
|
SignatureID |
固定文字列: |
なし |
|
Name |
固定文字列: |
なし |
|
Severity |
0から10の値 |
|
表12-11に、DBFW:10拡張フィールドを示します。
表12-11 DBFW:7(文アラート(WAF))拡張フィールド
| Database Firewallフィールド | 説明 | ArcSightキー名 | 例 |
|---|---|---|---|
|
Monitoring point IP |
監視元ポイントのIPアドレス |
dvc |
|
|
アクション |
実行されたアクション。syslog仕様ドキュメントの語に変換する必要があります。 |
act |
|
|
db_client |
データベース・クライアントIPアドレス |
src |
|
|
db_server |
データベース・サーバーIPアドレス |
dst |
|
|
user_name |
データベース・ユーザー名。空白の場合は、 |
duser |
|
|
web user name |
Webアプリケーションで使用されるユーザー名 |
suser |
|
|
HTTP request |
完全なHTTPリクエスト |
request |
|
|
Http Method |
HTTPメソッド |
requestMethod |
|
|
Http Protocol |
プロトコル |
app |
|
|
Policy Name |
Policy Name |
cs1 |
|
|
なし |
固定文字列: |
cs1Label |
なし |
|
Session Cookies |
セッションCookie |
requestCookies |
|
|
Http Referer |
参照URL |
requestContext |
|
|
Http User Agent |
ブラウザ・タイプ |
requestClientApplication |
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1) |
|
Cardinal IP Address |
送信元WebクライアントのIPアドレス |
sourceTranslatedAddress |
|
|
statement |
SQL文 |
msg |
SELECT * FROM \"A_updates\" WHERE id = '10' |
DBFW:11ログイン・メッセージ・アラートは、ユーザーがデータベースへのログインを試みた場合に表示されます。データベース・レスポンス・モニタリングが有効な場合は、ログイン試行の結果(成功または失敗)がイベントに含まれます。データベース・レスポンス・モニタリングを有効にする方法については、第10章「データベース・レスポンス・モニタリングの構成および使用」を参照してください。
表12-12に、DBFW:11 CEFヘッダー・フィールドを示します。
表12-12 DBFW:11(ログイン・アラート)CEFヘッダー・フィールド
| ヘッダー名 | 内容 | 例 |
|---|---|---|
|
Version |
固定整数: |
なし |
|
Device Vendor |
固定文字列: |
なし |
|
Device Product |
固定文字列: |
なし |
|
Device Version |
Database Firewallのバージョン |
|
|
SignatureID |
固定文字列: |
なし |
|
Name |
固定文字列: |
なし |
|
Severity |
0から10の値 |
|
表12-13に、DBFW:11拡張フィールドを示します。
表12-13 DBFW:11(ログイン・アラート)拡張フィールド
| Database Firewallフィールド | 説明 | ArcSightキー名 | 例 |
|---|---|---|---|
|
Enforcement point IP |
強制元ポイントのIPアドレス |
dvc |
|
|
アクション |
アクション |
act |
|
|
timestamp |
イベントのタイムスタンプ。ミリ秒に変換する必要があります。 |
rt |
|
|
db_client |
データベース・クライアントIP |
src |
|
|
db_server |
データベース・サーバーIP |
dst |
|
|
user_name |
データベース・ユーザー名。空白の場合は、 |
duser |
|
|
db_resp |
Database Firewallのデータベース・レスポンスの解析を表す文字列 |
cs2 |
|
|
なし |
固定文字列: |
cs2Label |
なし |
|
db_resp_code |
データベースから返された符号付き整数コード |
cn1 |
4002 |
|
なし |
固定文字列: |
cn1Label |
なし |
|
db_resp_text |
データベースから返されたレスポンス・テキスト |
cs5 |
|
|
なし |
固定文字列: |
cs5Label |
なし |
|
db_resp_detail |
データベースから返された詳細なレスポンス・テキスト |
cs6 |
|
|
なし |
固定文字列: |
cs6Label |
なし |
DBFW:12ログアウト・メッセージ・アラートは、ユーザーがデータベースから明示的にログアウトした場合、またはユーザーのTCPセッションが閉じられた場合に表示されます。
表12-14に、DBFW:12 CEFヘッダー・フィールドを示します。
表12-14 DBFW:12(ログアウト・アラート)CEFヘッダー・フィールド
| ヘッダー名 | 内容 | 例 |
|---|---|---|
|
Version |
固定整数: |
なし |
|
Device Vendor |
固定文字列: |
なし |
|
Device Product |
固定文字列: |
なし |
|
Device Version |
Database Firewallのバージョン |
|
|
SignatureID |
固定文字列: |
なし |
|
Name |
固定文字列: |
なし |
|
Severity |
固定整数: |
なし |
表12-15に、DBFW:12拡張フィールドを示します。
表12-15 DBFW:12(ログアウト・アラート)拡張フィールド
| Database Firewallフィールド | 説明 | ArcSightキー名 | 例 |
|---|---|---|---|
|
Enforcement point IP |
強制元ポイントのIPアドレス |
dvc |
|
|
timestamp |
イベントのタイムスタンプ。ミリ秒に変換する必要があります。 |
rt |
|
|
db_client |
データベース・クライアントIP |
src |
|
|
db_server |
データベース・サーバーIP |
dst |
|
|
user_name |
データベース・ユーザー名。ユーザー名が定義されていない場合、文字列は |
duser |
|
DBFW:systemメッセージ・アラートは、Database Firewallがインストールされているオペレーティング・システムによって、オペレーティング・システムのファイル形式で生成されます。このタイプのアラートの例には、ハードウェア障害通知があります。
表12-16に、DBFW:system CEFヘッダー・フィールドを示します。
表12-16 DBFW:system(システム・メッセージ)CEFヘッダー・フィールド
| ヘッダー名 | 内容 | 例 |
|---|---|---|
|
Version |
固定整数: |
なし |
|
Device Vendor |
固定文字列: |
なし |
|
Device Product |
固定文字列: |
なし |
|
Device Version |
Database Firewallのバージョン |
|
|
SignatureID |
固定文字列: |
なし |
|
Name |
固定文字列: |
なし |
|
Severity |
固定整数: |
なし |
表12-17に、DBFW:system拡張フィールドを示します。
