アクション・レベル
クラスタと一致する文の評価時に実行するアクションを記述した標準のポリシー・ルール。
ベースラインが文に関して収集するデータのタイプ、データの収集頻度、およびログに記録する文の数を記述した標準のベースライン・ルール。
管理コンソール
システムを構成、管理および監視するためのブラウザベースのアプリケーション。管理コンソールを表示するには、Internet ExplorerなどのWebブラウザから、管理コンソールあるいはスタンドアロンDatabase Firewallまたは管理対象Database Firewallにログインします。詳細は、「使用する管理コンソールの選択」を参照してください。
管理ログ
ログイン、停止、再起動、ベースラインのアップロードなどのシステム・アクションが格納されるログ・タイプ。システム変更を完全にトレースできるように、管理ログには、管理コンソールから変更を行ったユーザーのログインIDが格納されます。
バックグラウンド・ビュー
2つの「View」メニュー・オプションの1つ。「View」メニューの最初のオプションでは、「Background」と「Profile」が切り替わります。「Background」オプションを使用できるのは、プロファイル・モードが表示されている場合のみです。選択の結果は、使用しているタブが「Analysis」、「Clusters」または「Details」のいずれであるかによって異なります。
ベースライン
Oracle Database Firewallで、検出した各SQL文に対して使用する脅威の重大度、アクション・レベルおよびロギング・レベルを決定するために使用する構成ファイル。ベースラインはOracle Database Firewall Analyzerで作成します。ベースラインにより、個別のアクションとロギング・レベルの設定をモデル内の各クラスタに結び付けることができます。また、ベースラインでは、まだログに記録されていないためにモデルに存在しないクラスタに対して、デフォルトのアクションとロギング・レベルを指定します。ベースライン・ファイルのファイル拡張子は.dna
です。
プロファイル
IPアドレス・セット、DBユーザー・セット、クライアント・プログラム・セット、OSユーザー・セットおよび時間スライスの任意の組合せ。プロファイルは、文を分析し、指定した時刻に選択したデータベース・ユーザー、IPアドレス、クライアント・プログラムおよびオペレーティング・システム・ユーザーから発生した文に対してベースライン・ルールを設定するために使用されます。プロファイルは、「Tools」メニューの「Profiles」オプションを使用して作成できます。
クライアント・プログラム・セット
1つ以上のデータベース・クライアント・プログラム名のセット。クライアント・プログラム・セットは、選択したプログラムから発生したデータを分析したり、選択したプログラムに対してベースライン・ルールを設定するためにプロファイルで使用されます。クライアント・プログラムは、1つのセットにのみ属することができます。クライアント・プログラム・セットは、「Tools」メニューの「Client Program Sets」オプションを使用して作成できます。
「Baseline Options」ダイアログを使用すると、ベースラインによるクライアント・プログラム名のチェック時に、大/小文字の一致を使用するかどうかを指定できます。
クラスタ
ログ記録されたSQL文をAnalyzerが読み込んだときに作成される、意味的に類似した複数のSQL文のセットで、モデルを作成したり新しくログ記録されたSQLデータを照合テストするために使用されます。Analyzerは、SQL構文の組込みの情報を使用して、SQL文を意味によるクラスタに分類します。ベースラインの設計時には、各クラスタのアクションとロギング・レベルを指定できます。
「Clusters」タブ
ユーザー・インタフェースのコンポーネントで、各クラスタに対してアクション、ロギング・レベルおよび脅威の重大度を指定してベースラインを開発できます。「Clusters」タブは、Analyzerで生成されたクラスタを表形式で表示し、「Details」タブのかわりに使用されます。
共通イベント・フォーマット(CEF)
異なるソースからデータを収集するときにArcSightで使用されるオープン・ログ管理標準。この共通イベント・ログ・フォーマットを使用すると、Database FirewallとArcSightの統合で、分析用のデータを簡単に収集して集計できます。
「Create Policy」オプション
モデル用のベースライン・ファイルを作成するために使用する「File」メニュー・オプション。このオプションでは、作成するベースライン・ファイルの名前を指定するように求められます。ベースライン・ファイルの拡張子は.dnaです。
データベース・アクティビティ・モニタリング・モード
Oracle Database Firewallのモニタリング・モードの1つ。データベース・アクティビティ・モニタリング(DAM)モードでは、文がログに記録されるため、潜在的な攻撃の警告が提供されます。潜在的な攻撃はブロックされません。
データベース・ポリシー強制モード
Oracle Database Firewallが動作するモードの1つ。このモードでは、データベース・アクティビティ・モニタリングのすべてのアクションが実行され、潜在的な攻撃と思われるSQL文がブロックされます。
データベース・レスポンス・モニタリング
データベース・レスポンス・モニタリングでは、ベースラインによってログに記録されたすべてのSQL文、ログインおよびログアウトに対するデータベース・レスポンスが記録されます。この管理コンソールの機能を使用すると、データベースでログイン、ログアウトおよび文が正常に実行されたかどうかを判別でき、監査およびフォレンジック目的の有用な情報を提供できます。
データベース・ユーザー・セット
1つ以上のデータベース・ユーザー・ログイン名のセット。データベース・ユーザー・セットは、選択したログイン名から発生したデータを分析したり、選択したデータベース・ユーザーに対してベースライン・ルールを設定するためにプロファイルで使用されます。データベース・ユーザー・セットは、「Tools」メニューの「DB User Sets」オプションを使用して作成できます。
「Baseline Options」ダイアログを使用すると、ベースラインによるデータベース・ユーザー名のチェック時に、大/小文字の一致を使用するかどうかを指定できます。
「Details」タブ
ユーザー・インタフェースのコンポーネントで、各クラスタに対してアクション、ロギング・レベルおよび脅威の重大度を指定してベースラインを開発できます。「Details」タブではクラスタをクラスタ・グループに編成し、「Clusters」タブのかわりに使用されます。
直接データベース問合せ
SQL文を作成したデータベース・ユーザー名、オペレーティング・システムおよびクライアント・プログラムの情報を文自体から入手できない場合に、監視対象データベースへの問合せを実行してこの情報を取得する機能。
強制ポイント
Oracle Database Firewallの論理構成で、作成したDatabase Firewallポリシーを特定の保護対象データベースおよびネットワーク・トラフィック・ソースに関連付けます。つまり、強制ポイントによって、保護対象データベースとポリシーの間の関連が定義されます。
複数のデータベースで1つの強制ポイントを使用するように構成できます。強制ポイントに関連付けられるポリシーはプラットフォーム固有であるため、ポリシーに関連付けられるデータベースは、同じデータベース製品ラインのデータベース(たとえば、すべてがOracleデータベース)である必要があります。
例外
特定の場合に標準のベースライン・ルールに優先できる機能。たとえば、管理者から発生したSQL文に対して、標準のベースライン・ルール(アクション・レベル、ロギング・レベルおよび脅威の重大度)に優先する例外を設定する場合があります。
「Export as HTML」オプション
「File」メニュー・オプションの1つで、選択したウィンドウに現在表示されているモデルのプロパティとベースライン情報をエクスポートするためのHTMLファイルを作成できます。このオプションは、レポート作成の目的、またはモデル・データを他のアプリケーションで使用するために使用します。
16進形式
選択した文の文字を検査できるようにするために、「Analysis」タブの「Inspect」オプションで使用されるBase 16表記。16進形式での文の表示は、文に印刷できない文字が含まれている場合に便利です。
Invalid Statement policy
無効なSQLに対するアクション、ロギング・レベルおよび脅威の重大度を定義するために使用する「Tools」メニュー・オプション。無効な文ポリシーを使用すると、Oracle Database Firewallで無効なSQL文が発生した場合にベースラインで適用する必要があるポリシーを指定できます。
IPアドレス・セット
データベース・クライアントの1つ以上のIPアドレスのセット。IPアドレス・セットは、選択したIPアドレスから発生したデータを分析したり、選択したIPアドレスに対してベースライン・ルールを設定するためにプロファイルで使用されます。IPアドレスは、1つのセットにのみ属することができます。IPアドレス・セットは、「Tools」メニューの「IP Address Sets」オプションを使用して作成できます。
「Load Policy」オプション
「Create Policy」オプションを使用して作成されたベースラインからモデルを作成するために使用する「File」メニュー・オプション。このオプションでは、ロードするベースライン・ファイルの名前を指定するように求められます。このオプションは、万一当初のモデル・データが失われた場合にベースラインからモデルをリカバリできるように用意されています。
ローカル・モニター
Oracle Database Firewallコンポーネントの1つで、コンソール・ユーザーまたはデータベース・サーバーで実行されているバッチ・ジョブなど、保護対象のデータベースに直接アクセスするソースから発生したSQLトラフィックを監視します。ローカル・モニターは、パッシブ・ロギング・デバイスです。つまり、これを使用してSQL文をブロックすることはできません。
login and logout policy
データベース・クライアントがデータベースにログインまたはログアウトしたときに、ベースラインで適用する必要があるポリシーを指定できる「Tools」メニュー・オプション。ログイン・ポリシーを使用して、成功または失敗したデータベース・ユーザーのログインのログイン・アクション・レベルと脅威の重大度を指定し、ログインをログに記録するかどうかを指定します。ログアウト・ポリシーを使用して、データベース・ユーザーのログアウトのログアウト・アクション・レベルと脅威の重大度を指定し、ログアウトをログに記録するかどうかを指定します。
モデル
プロパティや分析データなど、ベースラインの開発に使用したすべてのデータ、およびすべてのベースライン情報が格納されるコンポーネント。各モデルは、ファイル拡張子が.smdlと.smdl_dataのファイルのペアに格納されます。
ノベルティ・ポリシー
ベースラインに対して作用する一連のルール。ノベルティ・ポリシーは、文、表または両方の特定のクラスに対して、デフォルトの認知されていない文ポリシーを緩和または強化するために使用されます。これらは、文または表の指定したクラスに作用する認知されていない文に使用するアクション・レベル、ロギング・レベルおよび脅威の重大度を指定します。
たとえば、デフォルトのアクション・レベルが「Warn」の場合、公開情報を含む表に作用する認知されていない文には「Pass」アクション・レベルを適用し、機密情報が記載されている表に作用するすべての認知されていない文には「Block」アクションを適用するノベルティ・ポリシーを設定することが必要になる場合があります。
Oracle Database Firewall
次のタスクを実行するOracle Database Firewallコンポーネント:
1つ以上のOracle、Microsoft SQL Server、Sybase、Sybase SQL AnywhereおよびIBM DB2 SQLデータベースで送受信されるSQLトランザクション・リクエストとレスポンスに関するリアルタイムの記録と分析を処理します。
SQLトランザクションを分類します。
データ・ポリシーを強制します。
リアルタイムのアラートおよびイベント伝播を可能にします。
複数のDatabase Firewallを1つのManagement Serverに接続できます。
「Oracle Database Firewall Analyzer」、「Oracle Database Firewall Management Server」も参照。
Oracle Database Firewall管理コンソール
Oracle Database Firewallを構成するために使用する管理コンソール。このコンソールは、各Database FirewallおよびManagement Serverで使用できます。
Oracle Database Firewall Analyzer
Oracle Database Firewallのコンポーネントで、ユーザーは、ベースラインを開発し、セキュリティの脆弱性と使用パターンの分析対象となるSQL文をログに記録できます。SQLの知識がほとんどないユーザーは、Analyzerを使用してベースラインを開発でき、SQLの詳細な知識があるユーザーは、Analyzerを使用してベースラインをカスタマイズできます。
「ベースライン」も参照。
Oracle Database Firewall Management Server
次のタスクを実行するOracle Database Firewallコンポーネント:
1つ以上のDatabase FirewallからSQLデータを集計します。
ビジネス・レポートのレポート作成プラットフォームとして機能します。
データ・コントロール・ポリシーの配布を集中化します(ただし、特定のデータベースに異なるポリシーを適用できます)。
ログ・ファイルのアーカイブおよびリストアも含め、ログ・ファイルを格納して管理します。
接続しているすべてのDatabase Firewallをリモートで管理します。
ArcSight SIEMなどのサード・パーティ・アプリケーションと統合します。
「Oracle Database Firewall Analyzer」および「Oracle Database Firewall」も参照。
Oracle Database Firewallネットワーク
SQLデータベースのデータの安全性を保証して保護するためのシステム。Oracle Database Firewallは、試行された攻撃をブロックして警告を発行し、アクティビティをログに記録し、脆弱性を評価するためのインテリジェント・ツールを提供します。Oracle Database Firewallは、フィールドの暗号化やユーザー認証など、既存のデータベース・セキュリティ機能を強化します。
OSユーザー・セット
1つ以上のオペレーティング・システム・ユーザー名のセット。OSユーザー・セットは、選択したOSユーザーから発生したデータを分析したり、選択したOSユーザーに対してベースライン・ルールを設定するためにプロファイルで使用されます。OSユーザー・セットは、「Tools」メニューの「OS User Sets」オプションを使用して作成できます。
「Baseline Options」ダイアログを使用すると、ベースラインによるオペレーティング・システム・ユーザー名のチェック時に、大/小文字の一致を使用するかどうかを指定できます。
「Profile」ビュー
「View」メニューの2つのオプションの1つ。「View」メニューの最初のオプションでは、「Background」と「Profile」が切り替わります。「Profile」オプションを使用できるのは、バックグラウンド・モードが表示されている場合のみです。選択の結果は、使用しているタブが「Analysis」、「Clusters」または「Details」のいずれであるかによって異なります。
リモート・モニター
保護するデータベースへのアクセス権があるLinuxサーバーにインストールするソフトウェア。リモート・モニタリングを使用すると、強制ポイントでデータベース内のSQLトラフィックを直接監視できます。リモート・モニターは、SQLトラフィックを取得し、ネットワーク経由でOracle Database Firewallに送信します。その後、このSQLデータは、このDatabase Firewallによって生成されるレポートに使用できます。
レジリエント・ペア
Oracle Database Firewallの機能で、Oracle Database FirewallとOracle Database Firewall Serverのペア構成を可能にして、高可用性システム・アーキテクチャを提供します。システム構成時に、1つのデバイスがプライマリ・デバイスとして指定され、もう1つのデバイスがセカンダリ・デバイスとして指定されます。プライマリ・デバイスはすべての通常の操作を実行し、セカンダリ・デバイスはトラフィックを監視します。セカンダリ・デバイスは、プライマリ・デバイスに障害が発生した場合のみアラートを生成します。
セカンダリ・デバイス
レジリエント・ペアにおいて、トラフィックを監視し、プライマリに障害が発生した場合にアラートを生成するもう1つのDatabase FirewallまたはManagement Serverです。
セキュリティ指数
割合で表される脅威の尺度。セキュリティ指数が高くなるほど、脅威が大きくなります。セキュリティ指数は、次の場合に、クラスタIDの脅威の重大度レベルにそのクラスタIDの頻度を乗算した積の合計として計算されます。
脅威の重大度はクラスタIDの脅威の重大度で、Analyzerで設定します(範囲は0から5)。
cidはクラスタIDです。指定した期間内に発生するすべてのクラスタが計算に含まれます。
頻度は、指定した期間内に記録されたすべての文に対する、クラスタに一致した文の割合です。
セキュリティ指数は、次の式を使用して計算します。
セキュリティ指数 = Σ (脅威の重大度(cid) x 頻度 (cid) ) / 5
機密データのマスキング
ベースラインで使用されるプロセスで、文のすべてのユーザー・データ(リテラル、整数定数、16進定数、浮動小数定数など)が代替の文字で自動的に置換されます。使用される置換文字はデータ型によって異なります。マスキング・プロセスによって、機密データがログ・ファイルに表示されないようにします。
セッション
Analyzerバージョン1.2以前の機能。1つのセッション(ファイル拡張子.sshn)に複数のモデルを含めることができます。セッション・ファイルを開くには、「Welcome」ダイアログ、または「File」メニューの「Open」を使用します。セッション内の各モデルは、別々のウィンドウに表示されます。Analyzerバージョン2.0以上でセッションを作成することはできません。
スパニング・ポート
管理スイッチ内の特別なポートで、同じスイッチ内の別のポートのトラフィックをミラー化できます。スパニング・ポートは、多くの場合ネットワーク・トラフィックの監視に使用されます。スパニング・ポートによって、SQL文のブロックが有効になることはありません。
「Summary」タブ
フィルタ処理が追加されたポリシー。ベースラインでは、現在ベースラインにある文タイプ、脅威の重大度およびアクション・レベルが表示されます。「Baseline」タブからは、ベースラインの自動生成、ノベルティ・ポリシーおよび認知されていない文ポリシーの設定、「Details」タブの内容のフィルタ処理を実行できます。「Baseline」タブは、ベースラインとの対話の主な手段です。
テスト
ベースラインの開発の反復的なプロセス。システムの動作中に、新しいSQL文のセットをログに記録し、現在のベースラインの作成に以前使用した文と照合して分析するために、Analyzerにインポートできます。このプロセス(モデルのテストと呼ばれます)によって、考えられるセキュリティの脆弱性を識別して、ベースラインをさらに改善できます。このプロセスは、必要に応じて何回でも繰り返すことが可能です。
トラフィック・ログ、トレース・ファイル、トレーニング・ファイルのデータを使用したり、「Test」メニューから使用可能な単一の文を入力して、モデルをテストできます。
Analyzerは、テスト・データの各文を読み取り、「Analysis」タブで分析するためにその文をクラスタに割り当てます。テスト・データ内のいくつかの文によって、追加のクラスタが生成される場合があります。
脅威の重大度
ポリシー項目(クラスタ、ノベルティ・ポリシーなど)のセキュリティ・リスクの尺度。各クラスタには、脅威の重大度をオプションで割り当てることができます。「Unassigned」から「Catastrophic」(脅威の重大度5)の範囲で6種類の脅威の重大度レベルがあります。Oracle Database Firewallで文がログに記録されると、その文の脅威の重大度も記録されます。サード・パーティのレポートやsyslogを使用すると、ログに記録された脅威の重大度に基づいて文を表示できます。
時間スライス
1週間のうちの1時間以上のセット(例: 月曜から金曜の午前9時から午後5時)。時間スライスをプロファイルで使用して、1週間の中でプロファイルを適用する時間を定義できます。時間スライスは、「Tools」メニューの「Timeslices」オプションを使用して作成できます。同じ時間スライスを任意の数のプロファイルで使用できます。
トラフィック・ログ
ログに記録され、Oracle Database Firewall ServerまたはOracle Database Firewallに格納されたSQL文が含まれているファイル。判明している場合、トラフィック・ログには、各文のオリジネータに関する次の情報が格納されるため、IPアドレス・セットを作成できます。
クライアントのIPアドレス
データベース・ユーザー・ログイン名
データベース・クライアント・プログラム名
オペレーティング・システムのユーザー名
トレーニング・ファイル
SQL文のリストが含まれているテキスト・ファイル。トレーニング・ファイルの各行には、空白行またはSQL文の組合せを含めることができます。ただし、文は複数行に分割しないでください。トレーニング・ファイルのファイル拡張子は.trainです。