この章では、時々実行が必要になるルーチン・タスクについて説明しています。管理コンソールから使用可能なオプションすべてについては説明していません。
この章の内容は、次のとおりです。
システム管理タスクでは、Oracleのセキュリティ推奨事項を考慮する必要があります。データの保護と、ネットワークおよび特殊構成におけるDatabase Firewallのデプロイに関する一般的な推奨事項については、『Oracle Database Firewallセキュリティ・ガイド』を参照してください。
管理コンソールの「Dashboard」ページには、脅威ステータス、スループット、上位10件の脅威など、保護対象のデータベースに関する高レベルの重要情報が表示されます。キー・インジケータはグラフで表示され、このグラフは、システムを毎日監視するITマネージャおよびセキュリティ・マネージャを使用対象者としています。
ダッシュボードの使用方法の詳細は、『Oracle Database Firewallセキュリティ・ガイド』を参照してください。
図13-1に、Management Serverの管理コンソールにある「Dashboard」ページの例を示します。
注意1: 「Dashboard」には、F5 Networks社のWebアプリケーション・ファイアウォール製品であるBIG-IP Application Security Managerからの統計を表示できます。詳細は、第11章を参照してください。 |
注意2
大量のトラフィック・ログ・データの削除など、長時間実行される特定の操作は、Management Server管理コンソールに干渉する可能性があります。管理タスクを実行する前に、これらの操作が完了するまで待機してください。 |
「Appliances」タブを使用して、Database Firewall Management Serverで管理するOracle Database Firewallを構成できます。「Appliances」タブは、Oracle Database Firewall Management Server管理コンソールでのみ使用可能になります。
図13-2に、Management Server管理コンソールの「Appliances」タブを示します。
図13-2 Oracle Database Firewallを構成するための「Appliances」タブ
「Add」ボタンを使用して、Oracle Database Firewallを追加します。「ステップ3B: Management Serverへの各Oracle Database Firewallの追加」を参照してください。
「Create Resilient Pair」ボタンを使用して、Oracle Database Firewallのレジリエント・ペアを作成します。「ステップ3C: Oracle Database Firewallのレジリエント・ペアの定義」を参照してください。レジリエント・ペアを作成すると、「Unpair」および「Swap」ボタンが表示されます。「Swap」を使用すると、プライマリをセカンダリに(その逆も可能)変更できます。
各Oracle Database Firewallには、次のボタンが表示されます。
Manage: Oracle Database Firewallの再起動や電源オフ、ソフトウェア更新のインストール、アプライアンス・リストからのDatabase Firewallデバイスの削除、Oracle Database Firewall Management Serverとの間での構成データのバックアップ/リストア、ファイル・システム・チェックの実行などの操作を実行できます。Oracle Database Firewallのレジリエント・ペアを更新する必要がある場合は、第4章「高可用性のためのOracle Database Firewallの構成」を参照してください。
Status: Oracle Database Firewall(スタンドアロンまたは管理対象)の詳細なステータス情報を表示できます。
Edit: Oracle Database Firewall Management ServerでOracle Database Firewallに対して入力したIPアドレスの名前を編集できます。このページではアプライアンスに対する入力を編集できますが、Oracle Database Firewallの実際のIPアドレスは変更されません(これは、Database Firewallの管理コンソールからのみ設定できます)。
保護対象データベースの詳細は、「Monitoring」タブの「Protected Databases」メニューのオプションを使用して設定できます。
図13-3に、管理コンソールの「Protected Databases」ページを示します。
「Protected Databases」メニューの「List」をクリックすると、構成済のすべての保護対象データベースがリストされます。前述の図に例を示します。
「Protected Databases」メニューの「Create」をクリックすると、新しい保護対象データベースを作成できます。
データベース名をクリックすると、保護対象データベースの設定を変更できます。図13-4に、使用可能な設定を示します。
チェック・ボックスを使用して、生成できるコンプライアンス・レポートのタイプを選択します。(これらのレポート・タイプの詳細は、『Oracle Database Firewallセキュリティ・ガイド』を参照してください。)データベースの「Sarbanes-Oxley」(SOX)、「Payment Card Industry」(PCI)、「Data Protection Act」(DPA)、「Gramm-Leach-Bliley Act」(GLBA)または「Health Insurance Portability and Accountability Act」(HIPAA)レポートを生成する必要がある場合は、該当するチェック・ボックスを選択します。これらのレポートには、ここでレポートを有効にした時点で始まるデータが含まれます。ここで設定するより前の履歴データを生成することはできません。
「Maximum SQL Processors」フィールドでは、保護対象のこのデータベースに関連付けられている強制ポイントで使用できるDatabase Firewallのプロセス数を定義できます。この設定は、スループットの高い保護対象データベースでロード・バランシングのために使用されます。各プロセスは、関連付けられた量のRAMをDatabase Firewall上で使用するため、この設定を定義する際には現在監視されている保護対象データベースのすべてにわたって割り当てられるプロセスの合計数と、使用可能な総メモリー量を考慮する必要があります。
ページの下部で、保護対象データベースのアドレスとポート番号を入力し、「Add」をクリックします。
終了したら、「保存」をクリックします。
保護対象データベースに対してユーザー設定を構成する手順は、次のとおりです。
「Monitoring」タブを選択します。
「Protected Databases」の下にある「List」を選択します。
「Protected Databases」ページで、「users」リンクを選択します。
保護対象データベース・リストで「users」をクリックすると、データベースにアクセスしたユーザーの名前を表示できます(これは、データベース・トラフィックから特定されます)。ユーザーの名前をクリックすると、ユーザーの接続元のIPアドレス、ユーザーのデータベースへのアクセスを不可にするかどうか(「Access terminated since」)など、ユーザーのプロファイルを構成できます。
「protected database」ページの「Users」で、構成するユーザー名を選択します。
「Edit Database User」ページで、適切なユーザー設定を入力します。
「Save Settings」ボタンをクリックします。
これらの設定は、予想されるデータベース使用率からの偏差を表示するためにレポートで使用されます。
強制ポイントを利用すると、特定の保護対象データベースとネットワーク・トラフィック・ソースにポリシーを関連付けることができます。
「Monitoring」ページの「Enforcement Points」メニューを使用すると、既存の強制ポイントのリスト作成、新しい強制ポイントの作成(「Enforcement Point Wizard」を使用)、および強制ポイントに関する未処理のタスクの表示を実行できます。「Enforcement Point Wizard」では有効になっていない設定を構成できます。詳細は、「ステップ5: スタンドアロンDatabase Firewallの強制ポイントの構成」を参照してください。
図13-5に、管理コンソールの「Enforcement Points」ページを示します。
「List」をクリックすると、前述の図に示すように、既存の強制ポイントがすべて表示されます。リストされた各強制ポイントには、「Manage」、「Status」、「Settings」および「Advanced」の4つのボタンが表示されます(各ボタンについては後続の各項を参照)。
「Manage」ボタンを使用すると、次の操作を実行できます。
強制ポイントの一時停止、再開または削除
選択した強制ポイントに対するストアド・プロシージャ監査またはユーザー・ロール監査の実行、一時停止または再開
「Monitoring」タブをクリックし、「Enforcement Points」メニューから「List」を選択します。「Status」ボタンを使用して、強制ポイントの詳細とステータス、および保護対象のデータベースを表示します。強制ポイントが管理対象Database Firewall内にある場合は、Management Serverの「Appliances」タブに強制ポイントを含むOracle Database Firewallデバイスが表示されます。
「Settings」ボタンを使用すると、保護対象のデータベース、使用されるポリシー、保護モードなど、強制ポイントの設定を変更できます。
図13-6に、強制ポイントの設定の変更例を示します。
次のオプションを使用できます。
Protected Database: 保護対象のデータベースを変更する場合に使用できます。
Traffic Sources: 強制ポイントに使用されるネットワーク・ポートを指定できます。
Database Response: データベース・レスポンス・モニタリングを有効にする場合は、このチェック・ボックスを選択します(第10章「データベース・レスポンス・モニタリングの構成および使用」を参照)。
Database Interrogation: このオプションを選択すると、監視対象データベースを問い合せて、データベース・ユーザーの名前、オペレーティング・システム、およびSQL文が作成されたクライアント・プログラムを取得する機能がOracle Database Firewallで有効になります(これらの情報を文自体から取得できない場合)。「直接データベース問合せの有効化」を参照してください。
Remote Monitor: 「Activate Remote Monitor」を選択すると、リモート・モニタリング・ソフトウェアで検出されたSQLトラフィックを強制ポイントで受け入れて処理することができます。「リモート・モニタリングのインストールおよび有効化」を参照してください。
Local Monitor: 「Activate Local Monitor」を選択すると、ローカル・モニタリング・ソフトウェアで検出されたSQLトラフィックを強制ポイントで監視できます。「ローカル・モニタリングの有効化」を参照してください。
SPA: ストアド・プロシージャ監査を有効にする場合は、このオプションを選択します。付録5「ストアド・プロシージャ監査の構成」を参照してください。
URA: ユーザー・ロール監査を有効にする場合は、このオプションを選択します。付録6「ロール監査の構成および使用」を参照してください。
Appliance Mode: 次のいずれかのモードを選択します。
強制ポイントによって潜在的な攻撃をブロックする必要がある場合は、「Database Policy Enforcement (DPE)」を選択します。現在は文をブロックしていない場合でも、このページの「Traffic Sources」セクションでネットワーク・インタフェースとしてプロキシを選択した場合には、同じくDPEモードを選択する必要があります。
文をログに記録し、潜在的な攻撃の警告を発行するためのみに強制ポイントを使用する場合は、「Database Activity Monitoring (DAM)」を選択します。Oracle Database Firewallがレジリエント・ペアに含まれている場合、DPEは有効になりません。
Policy: 強制ポイントで使用するベースラインを選択できます。
「Advanced」ボタンをクリックして、BIG-IP Application Security Managerの設定を構成します。詳細は、第11章を参照してください。
Oracle Database Firewall Management Server管理コンソールを使用しているときは、「Resilience」メニューが使用可能になります。「Create Pair」オプションを使用すると、強制ポイントのペアを設定できます。詳細は、「強制ポイントのペアの作成」を参照してください。
Oracle Database Firewallの管理コンソールを使用すると、「Traffic Sources」を設定できます。詳細は、次の2つの項を参照してください。
ネットワーク構成によっては、Oracle Database FirewallをDPEモードで使用する際に、ネットワーク・トラフィックに対するブリッジではなくOracle Database Firewallのトラフィック・プロキシを構成するほうが望ましい場合があります。この場合、強制ポイントにプロキシを関連付けることができます。異なる強制ポイントとして使用するために、プロキシに複数のポートを指定することも可能です。
次の手順は、プロキシとして機能するDatabase Firewall上で直接実行してください。
トラフィック・プロキシを構成する手順は、次のとおりです。
プロキシとして機能するOracle Database Firewallの管理コンソールで、「System」をクリックします。
「Network」をクリックし、「Change」ボタンをクリックします。
ページの「Unallocated Network Interfaces」領域で、使用可能なネットワーク・インタフェースを検索し、「Traffic Source」ドロップダウン・リストで「Traffic Proxy」を選択します。
追加のネットワーク・インタフェースを解放するために、まず適切なインタフェースの「Remove」ボタンをクリックして、既存のトラフィック・ソースまたはトラフィック・プロキシから削除する必要があります。
「Add」をクリックします。
新しいトラフィック・プロキシが、ページの「Traffic Proxies」領域に表示されます。
注意 :トラフィック・プロキシを管理インタフェースに追加するには、「Management Interface」領域で「Add Traffic Proxy」をクリックし、プロキシのポート番号を入力します。
新しいプロキシの領域で「Enabled」を選択し、「Port」番号を入力してから「Add」をクリックします。
ポート番号の隣の「Enabled」も選択します。Database Firewallによって使用されるポートの詳細は、『Oracle Database Firewallセキュリティ・ガイド』を参照してください。
1つのプロキシに複数のポートを指定することもでき、その場合は追加のポート番号を入力して「Add」をクリックします。
「Save」ボタンをクリックします。
これで、トラフィック・プロキシを強制ポイントに割り当てられるようになりました。「ステップ5: スタンドアロンDatabase Firewallの強制ポイントの構成」と「ステップ4: Management Serverの強制ポイントの構成」を参照してください。
ネットワーク設定は、「System」メニューの「Network」ページで変更できます。それらの変更は、Management Server、スタンドアロンDatabase Firewall、管理対象Database Firewallのいずれでも個々のサーバーごとに行う必要があります。
ネットワーク設定を変更する手順は、次のとおりです。
Oracle Database FirewallまたはManagement Serverの管理コンソールで「System」をクリックし、左側の「System」メニューで「Network」をクリックします。
「変更」ボタンをクリックします。
ページの次のセクションで、必要に応じて設定を編集します。
Management Interface:
IPアドレス、ネットワーク・マスク、ゲートウェイまたは名前を変更する、あるいは管理インタフェースのプロキシ・ポートを追加または変更するには、該当するフィールドを編集します。
Traffic Sources:
トラフィック・ソースのIPアドレスまたはネットワーク・マスクを変更するには、該当するフィールドを編集します。
トラフィック・ソースでブリッジを有効化または無効化するには、「Bridge Enable」ボックスを選択または解除します(トラフィック・ソースに2つのネットワーク・インタフェースが関連付けられている場合のみ)。
トラフィック・ソースを削除するには、左側にある「Remove」ボタンをクリックします。
トラフィック・ソースからネットワーク・インタフェース(ネットワーク・カード)を削除するには、各デバイスの右にある「Remove」ボタンをクリックします。
Traffic Proxies:
トラフィック・プロキシのIPアドレス、ポートまたはネットワーク・マスクを変更するには、該当するフィールドを編集します。
ポートを追加または有効化するには、所定のフィールドにポート番号を入力して「Enabled」をクリックし、「Add」をクリックします。追加のポートに対して手順を繰り返します。
トラフィック・プロキシを有効化または無効化するには、左側の「Enabled」ボックスを選択または解除します。
トラフィック・プロキシを削除するには、該当するプロキシの「Remove」ボタンをクリックします。
「トラフィック・プロキシとしてのDatabase Firewallの構成」も参照してください。
Unallocated Network Interfaces:
このセクションは、未割当てのネットワーク・カードがある場合にのみ表示されます。カードが現在ネットワークに物理的に接続されている場合には、「Link」列に緑色のアイコンが表示されます(このインジケータが表示されるのは、ネットワーク・カードがこの機能をサポートしている場合に限られます)。
ネットワーク・インタフェースをトラフィック・ソースまたはプロキシに割り当てるには、トラフィック・ソースまたはプロキシをドロップダウン・メニューから選択して、「Add」をクリックします。
ネットワーク・インタフェースを新しいトラフィック・ソースに割り当てるには、ドロップダウン・メニューから「New」を選択して、「Add」をクリックします。ネットワーク・インタフェースが新しいトラフィック・ソースに割り当てられ、新しいトラフィック・ソースが「Traffic Sources」セクションに表示されます。
Link Properties:
なんらかの理由で、ネットワークが自動ネゴシエーションを使用しない場合は、ネットワークのリンク・プロパティを設定し、使用可能なラジオ・ボタンのいずれかを選択します。
「Save」ボタンをクリックします。
「System」ページの「System」メニューにあるオプションを使用すると、Oracle Database Firewallのシステム設定を構成できます。これらのオプションは、Oracle Database Firewallの最初のデプロイメント時に使用されます。
特に注記がないかぎり、次のオプションは、Management ServerまたはスタンドアロンDatabase Firewallの「System」メニューから使用できます。「Manage」および「Email Configuration」オプションは、管理対象Database Firewallでは使用できません。
Manage: 次の操作を実行するオプションがあります。
システム操作を一時停止して再開します。
システムをテスト・モードで動作するように変更します(本番システムでは非推奨)。
診断ファイル・システム・チェックを実行します。
ログに記録されたトラフィックを削除します。
システムを再起動したり電源をオフにします。
Network: IPアドレス、ネットワーク・マスク、デフォルト・ゲートウェイなどのネットワーク設定の変更、トラフィック・ソースの構成、ネットワーク・インタフェース(ネットワーク・カード)の割当て、プロパティのリンクが可能です。
Services: オプションとしてDNSサーバー・アドレス、制御Web、ターミナル、SNMP、セキュア・ログ、トラフィック・ログ・アクセスを設定できます。
High Availability: (Management Serverのみ)高可用性ペアで使用するパートナManagement Serverを指定し、そのペアでのプライマリ・サーバーを選択することができます。(「ステップ3A: Management Serverのパートナ設定の指定(レジリエント・ペアのみ)」を参照してください)。
Status: 詳細なステータス情報、ソフトウェア・ライセンス詳細、帰属表記および免責条項が表示されます。
Email Configuration: スケジュールされたレポートに対するSMTP電子メール設定(『Oracle Database Firewallセキュリティ・ガイド』を参照)と、電子メール・アラート(「電子メール・アラートの構成」を参照)を構成します。
Date and Time: 日付、時刻、タイム・オフセット、NTPサーバーとの時刻同期を構成します。詳細は、「ステップ1: Database Firewallの日時の設定」を参照してください。
Keyboard: Oracle Database Firewall Management ServerまたはOracle Database Firewallに接続したキーボードで使用する言語を指定します。選択内容に応じて、キーボードのキーを押したときに画面に表示される文字が決定します。
Public Key: 詳細情報のアーカイブに必要な公開鍵が表示されます(ページに表示される注意を参照)。
Management Server: これは、Oracle Database Firewallの場合のみ表示されます。このオプションを使用すると、Management ServerのIPアドレスと証明書を入力することによって、管理対象Database Firewallに変更できます(「ステップ2B: Database Firewall Management Serverの証明書とIPアドレスの入力」を参照)。Oracle Database Firewall Management Serverのレジリエント・ペアが使用されている場合は、「Add Second Management Server」オプションが使用可能になります。
Certificate: これは、Management Serverの場合のみ表示されます。このオプションを使用するとManagement Serverの証明書が表示され、その証明書をOracle Database Firewallにコピーして管理対象Database Firewallに変更できます(「ステップ2: 各Oracle Database Firewallに対するタスクの実行」を参照)。
この項の内容は、次のとおりです。
管理コンソールの「Archiving」ページには、万一ディスク・エラーやシステム・エラーが発生した場合にデータの消失を防ぐために、重要データをアーカイブするためのオプションが表示されます。アーカイブは、「Tasks」メニューの「Manage」を使用し、コーポレート・ポリシーに従って定期的に(たとえば、毎日)実行することをお薦めします。必要な場合は、保護対象データベースごとに異なるアーカイブを作成できます。
図13-7に、管理コンソールの「Archiving Jobs」ページを示します。
「Archive Data」および「Manage」を使用すると、ストアド・プロシージャ監査およびユーザー・ロール監査のトラフィック・ログまたは監査履歴がアーカイブされます。「Archive Configuration」を使用すると、ベースライン・ポリシーを含むシステム構成データがアーカイブされます。
アーカイブを開始するには、その前に、次のように1つ以上のアーカイブ先を定義する必要があります。アーカイブ先の定義では、アーカイブ格納場所、およびその他の構成設定を指定します。
スタンドアロンDatabase FirewallまたはManagement Server管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
「Archiving」タブをクリックします。
「Destinations」メニューの「Create」をクリックします。次が表示されます。
次のフィールドを指定します。
Transfer Method: データをアーカイブするマシンにOracle Database Firewall Management Serverからデータを転送する方法。通常、Linuxマシンでデータをアーカイブする場合は「Secure Copy (scp)」を選択し、Windowsマシンでデータをアーカイブする場合は「Windows File Sharing (smb)」を選択します。
Name: アーカイブ先の名前。この名前は、アーカイブを開始するときに、アーカイブ先を選択するために使用します。
Username: アーカイブ・データが転送されるマシンでのアカウント・ユーザー名。
Address: データをアーカイブするマシンの名前またはIPアドレス。「Windows File Sharing」を選択した場合は、IPアドレスを指定します。
Port: これは、データをアーカイブするマシン上のセキュア・コピーまたはWindowsファイル共有サービスで使用されるポート番号です。通常は、デフォルトのポート番号を使用できます。
「Transfer Method」で「Windows File Sharing」を選択した場合は、ポート445を使用することをお薦めします。
Path: アーカイブ格納場所へのパス。セキュア・コピー(scp)を使用してデータをアーカイブする場合、先頭にスラッシュ文字がないと、パスはユーザーのホーム・ディレクトリへの相対パスになります。先頭にスラッシュがあると、パスはルート・ディレクトリへの相対パスになります。Windowsマシンの場合は、共有名を入力し、その後にスラッシュとフォルダ名を入力します(例: /sharename/myfolder
)。
Authentication Method: Windowsファイル共有(smb)を使用してデータをアーカイブする場合は、「Password」を選択してログイン・パスワードを入力します。Linuxマシンを使用している場合は、「Key Authentication」を選択できます。「Key Authentication」を選択した後に表示される指示に従ってください。
Password、Confirm Password: データをアーカイブするマシンにログインするためのパスワード。
「Save」をクリックします。
トラフィック・ログまたは監査ファイルを指定日の午前0時に自動的にアーカイブするように、スケジュールを作成できます。次の手順を実行します。
スタンドアロンDatabase FirewallまたはManagement Server管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
「Archiving」タブをクリックします。
「Jobs」の下にある「Schedule」を選択します。
「Archiving」ページで、「Add」ボタンをクリックします。
トラフィック・ログをアーカイブするスケジュールを作成する場合は「Log Files」を選択し、ストアド・プロシージャ監査およびユーザー・ロール監査の履歴をアーカイブするスケジュールを作成する場合は「Db Audit」を選択します。
指定した間隔でアーカイブを自動的に実行する場合は、「Recurring」を選択します。
このチェック・ボックスが選択されていない場合、アーカイブは1回のみ実行されます。
「Date」、「Month」および「Weekday」を使用して、間隔を指定します。
たとえば、「Mon」のみを選択すると、毎週月曜日の午前0時にアーカイブが実行されます。「1」および「Jan」を選択すると、毎年1月1日にアーカイブが実行されます(アーカイブは頻繁に実行する必要があるため、これはお薦めできません)。
「Host」を使用して、アーカイブ先を選択します。
保護対象データベースを選択するか、「All」を選択します。
「Save」をクリックします。
アーカイブのスケジュールを設定しない場合は、次の手順に従って、トラフィック・ログまたは監査ファイルを手動でアーカイブします。
スタンドアロンDatabase FirewallまたはManagement Server管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
「Archiving」タブをクリックします。
既存のアーカイブ・ジョブまたはリストア・ジョブが「Archiving Jobs」ページにリストされます。
最初にアーカイブ先が作成されていることを確認します。
「Destinations」メニューで「Create」を選択して、アーカイブ先を作成します。
「Jobs」メニューで、「Archive Data」を選択します。
次の画面が表示されます。
次のフィールドを指定します。
Job Name: 各アーカイブに名前を指定します。
Archive Destination: アーカイブ先を選択します。
Archive class: アーカイブ対象として、「Log Files」(トラフィック・ログ)または「Audit Files」(ストアド・プロシージャ監査およびユーザー・ロール監査の履歴のアーカイブ)を選択します。「Log Files」を選択した場合は、次のオプションも表示されます。
Include files that have already been archived: すでにアーカイブされたファイルを再度アーカイブする場合は、このチェック・ボックスを選択します。
Protected Database: 「All」または特定のデータベースを選択します。
Log Files: アーカイブする期間を選択します。
「Archive」をクリックします。
「Archiving Jobs」ページ(「Archiving」タブをクリックします)で、アーカイブ・ジョブの進行状況を表示できます。
「Archiving Jobs」ページでジョブ番号をクリックすると、ジョブの一時停止または削除を選択できるページが表示されます。
Oracle Database Firewall Management Serverから構成データをアーカイブする前に、「Appliances」ページを表示して、管理対象のOracle Database Firewallデバイスごとに「Manage」をクリックし、「Backup」オプションを選択します。
ベースライン・ポリシーを含む構成データをアーカイブする手順は、次のとおりです。
スタンドアロンDatabase FirewallまたはManagement Server管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
「Archiving」タブをクリックします。
「Jobs」メニューで、「Archive Configuration」を選択します。
「Create Archive Job」ページで、「Job Name」および「Archive Destination」フィールドを指定します。
「Archive」ボタンをクリックします。
「Archive」をクリックした後に、「Archiving Jobs」ページの「Configuration Archive Jobs」リストにアーカイブ・ジョブが表示されます。
アーカイブからデータをリストアするには、「Jobs」メニューで「Restore Data」または「Restore Configuration」をクリックします。表示されるページを使用して、リストアするアーカイブ先を選択できます。アーカイブ先に格納されているすべてのデータがリストアされます。
構成をリストアすると、既存の構成は上書きされます。これにより、トラフィック・ログが削除される可能性があります。古い構成を現在のトラフィック・ログとマージする場合は、まずデータをアーカイブし、構成をリストアしてから、データをリストアしてください。
リストア機能を使用して、以前アーカイブしたトラフィック・ログ・データをシステムにリストアする場合は、これらのログ・ファイルを監視ポイントに関連付ける必要があるかどうかを指定します。これは「System」メニューの「Repair」メニュー・オプションから実行できます。
Oracle Database Firewall Management Serverで構成データをリストアした後に、「Appliances」ページを表示して、管理対象のOracle Database Firewallデバイスごとに「Manage」をクリックし、「Restore」オプションを選択します。
Database Firewallのログ・ファイルに取得されるのはSQL文のみです。ログに記録された情報を表示するには、「System」タブの「Logs」メニューにあるオプションを使用します。
図13-8に、管理コンソールの「Manage Logs」ページを示します。
「Logs」メニューには、次のオプションがあります。
Manage: ログ・ファイルを削除してディスク領域を解放します。ファイルを削除する際は必ずこのユーティリティを使用してください。ログ・ファイルをオペレーティング・システムのレベルでは削除しないでください。
注意: ログ・ファイルを削除する前に、ログに記録されたすべてのデータを将来の分析に使用できるように、データをアーカイブして長期保存用メディアに保存することをお薦めします。 |
System Events: Oracle Database Firewallソフトウェアに直接関連のないシステム・イベント(オペレーティング・システムの警告など)が保存されたイベント・ログの内容が表示されます。
Traffic Log Files: トラフィック・ログ・ファイルが表示され、ファイルをダウンロードできます。
注意: 「Reporting」ページの「Traffic Log」のオプションを使用すると、よりわかりやすい方法でトラフィック・ログのデータを表示できます(トラフィック・ログへのアクセス方法の詳細は、『Oracle Database Firewallセキュリティ・ガイド』を参照)。 |
「System」タブの「Connectors」メニューから「Syslog」を選択して、サード・パーティ・システムへの接続を構成できます。
図13-9に、管理コンソールの「Syslog Settings」ページを示します。
「Connectors」メニューには、次のオプションがあります。
Syslog: 送信するsyslogメッセージのタイプを構成し、syslog宛先を指定できます。「ステップ1D: Management Serverのsyslog宛先の構成」(Oracle Database Firewall Management Serverベースのシステムの場合)または「ステップ4: スタンドアロンDatabase Firewallのsyslog宛先の構成」(スタンドアロン・システムの場合)を参照してください。
ArcSight SIEM: ArcSight Security Information Event Management(SIEM)システムとの通信を構成できます。ArcSight SIEMの詳細(Oracle Database FirewallとArcSight SIEM間のsyslogメッセージのマッピング詳細を含む)は、第12章「Oracle Database FirewallとArcSight SIEMの併用」を参照してください。
Email alerts: 電子メール・アラートを1つ以上のユーザー(電子メールの別名を含む)に送信できます。指定した電子メール・アドレスにアラートを送信できます。電子メール・アラートを有効にすると、すべてのsyslogアラート・メッセージ・タイプ(DBFW:9、DBFW:10、DBFW:11およびDBFW:12)が指定の電子メール・アドレスに転送されます。「電子メール・アラートの構成」を参照してください。syslogメッセージ・タイプの意味については、付録B「syslogメッセージ形式」を参照してください。
ユーザー向けの電子メール・アラート通知を構成できます。この項の内容は、次のとおりです。
SMTPプロトコルはインターネット・メール・サーバーで広く使用され認識されています。
SMTPサーバーを構成する手順は、次のとおりです。
「System」タブの「System」メニューで、「Email Configuration」を選択します。
次の設定を入力します。
SMTP Server Address: IPアドレスまたはホスト名を使用して、SMTPサーバー・アドレスを入力します。次に例を示します。
auth.smtp.example.com mail.example.com 192.0.2.20
Port: ポート番号を入力します(通常は25
)。
Username: (オプション)ユーザー名を入力します。
Password and Password Confirmation: (オプション)パスワードを入力します。
From Address: 電子メールに送信者として表示される適切な電子メール・アドレスを入力します。
Reply-to Address: 返信先アドレスとして使用される適切な電子メール・アドレスを入力します。
「Save」ボタンをクリックします。
電子メール構成をテストするには、「Email Address」フィールドに有効な電子メール・アドレスを入力し、「Test」をクリックします。電子メール・アドレスで使用される電子メール・ツールには、電子メールがすぐに表示される必要があります。
SMTPサーバーを構成した後は、電子メール・アラートを受信するユーザーの電子メール・アドレスを1つ以上構成できます。
電子メール・アラート転送を構成する手順は、次のとおりです。
「System」タブの「Connectors」メニューから、「Email Alerts」を選択します。
「Email Alerts」ページが表示されます。
「Enable email alert forwarding」チェック・ボックスを選択します。
1つ以上の電子メール受信者アドレスを、空白または改行で区切って入力します。
「Apply」ボタンをクリックします。
例13-1に、電子メール通知の例を示します。件名ヘッダーは、「Alert from device 192.0.2.82 for database 192.0.2.81 - Statement Alert」です。
例13-1 電子メール・アラート通知の内容
Details of the alert: Alert name: Statement Alert Device: 192.0.2.82 Alert severity: Undefined Action: Warn Action Type: Unknown Alerted Message timestamp: 2010-11-12 13:45:05.746 Cluster ID: 2362095612 Logging level: Always Client address: 192.0.2.237:4743 Server address: 192.0.2.81:1433 Database username: unknown_username SQL statement ID: 4cdd44e129500000 Database response: Not collected Response code 0 Response text Response detail SQL: select * from creditcard where 0=0
この項の内容は、次のとおりです。
「System」ページの「Users」メニューを使用すると、管理コンソール・ユーザー・アカウントの作成、リストおよび編集を実行できます。管理コンソールを起動するとき、またはAnalyzerソフトウェアのユーザーが「Train on Log Data」や「Test with Log Data」を使用して接続するときは、有効なユーザー名とパスワードを入力する必要があります。
ユーザーは、Database Firewall(スタンドアロンおよび管理対象の両方)、およびManagement Serverで作成できます。これらのユーザー・アカウントは、Database FirewallをManagement Serverに接続するように構成した後も、各システムに対してはローカルです。スタンドアロンDatabase Firewallでは、Database FirewallとManagement Serverが同じLinuxサーバー上にある場合、システム管理者ユーザーはすべての機能を実行できます。ただし、Database FirewallとManagement Serverが別々のサーバー上にある場合は、Management ServerをこのDatabase Firewallに接続した後にシステム管理者が実行できる機能は異なります。次に例を示します。
Database Firewall管理者: ネットワーク設定の変更、ネットワーク・トラフィックの表示、Management ServerからのDatabase Firewallの削除、現在のDatabase Firewallに固有のタスクのみを実行できます。
Management Server管理者: 強制ポイントの作成と管理、ポリシーの構成、レポートの実行、アーカイブなどを実行できます。
これらの2つのアカウントに関連付けられている権限の完全リストは、「使用する管理コンソールの選択」を参照してください。
デフォルトの管理者ユーザー名はadmin
(小文字のみ)です。セキュリティの向上と業務の分離のために、admin
ユーザー・アカウントはバックアップ・アカウントとして保持し、日常的な業務を行う既存の各ユーザー用には別の管理アカウントを作成することをお薦めします。これらのアカウントは共有しないでください。このようにすると、管理業務の監査が向上し、管理ユーザーが業務を行えない場合や退職した場合に、このユーザーのかわりにバックアップの管理ユーザー・アカウントを使用できます。すべての種類のユーザー・アカウントは、現場で必要な数だけ作成できます。
システム変更を完全にトレースできるように、管理ログには、管理コンソールから変更を行ったユーザーのログインIDが格納されます。別の管理コンソール・アカウントを作成する理由の1つは、このログを使用して、Database Firewallシステムに変更を加えたユーザーを簡単に追跡できることです。「ログの表示」を参照してください。
図13-10に、管理コンソールの「Users」ページを示します。
新しいユーザー・アカウントを作成するには、次のステップを実行します。
管理コンソールにログインします。
Database Firewall(スタンドアロンまたは管理対象)、またはManagement Serverにログインできます。ログインの詳細は、「管理コンソールへのログイン」を参照してください。
「System」タブを選択します。
「System Settings」ページが表示されます。
「Users」メニューで、「Add New」を選択します。
Add Userページが表示されます。
次の情報を入力します。
User name: アカウントのログイン・ユーザー名を入力します(例: psmith
、lbernstein
)。この名前は大/小文字が区別されることに注意してください。たとえば、lbernstein
と作成した場合、LBERNSTEIN
でログインしようとすると失敗します。
First Name: ユーザーの名を入力します。
Last Name: ユーザーの姓を入力します。
Email: ユーザーの電子メール・アドレスを入力します。
Role: 次のロールから選択します。
System Administrator: ユーザーは、管理コンソール内のすべてのオプションにアクセスでき、Analyzerから接続できます。
View-only User: ユーザーは、ログ・データの表示、ユーザー自身のパスワードの変更、およびAnalyzerからの接続を実行できます。このロールを持つユーザーは、Analyzerで文の詳細を表示できます。このユーザーは、ポリシー・ファイルを作成できますが、それをアップロードすることはできません。
Log Administrator: 管理コンソールのユーザーは、ログ・データの表示、ユーザー自身のパスワードの変更、ロギングの構成、アーカイブやリストア・ジョブの実行、およびAnalyzerからの接続を実行できます。
Suspended: ユーザー・アカウントを一時停止する場合に、このチェック・ボックスを選択します。
Force Password Change on Next Login: ユーザーが最初にログインするときにプライベート・パスワードの作成を許可する場合は、このチェック・ボックスを選択します。デフォルトでは、このチェック・ボックスは選択されています。
Password: セキュアなパスワードを入力します。次のガイドラインに従ってください。
パスワードは8から30文字の英数字にします。
パスワードには、数値、大文字および小文字を少なくとも1文字ずつ含めます。
意味のある単語のみで構成されるパスワードを使用しないでください。
welcomeとbinky1
のように、解読可能な2つのパスワードを組み合せてWelBinky1Come
とします。
Confirm Password: パスワードを再入力します。
「Signup」ボタンをクリックします。
後でユーザー・アカウントの変更が必要になった場合は、「Users」メニューから「List」を選択し、変更するユーザー・アカウントの名前をクリックします。「Edit User」ページが表示されます。
セキュリティを強化するために、パスワード・ポリシーを作成して、ユーザーに安全なパスワードを使用するように指示できます。パスワード・ポリシーは、Database Firewallで管理されているすべてのユーザーに適用されます。
パスワード・ポリシーを作成する手順は、次のとおりです。
管理コンソールにログインします。
Database Firewall(スタンドアロンまたは管理対象)、またはManagement Serverにログインできます。ログインの詳細は、「管理コンソールへのログイン」を参照してください。
「System」タブを選択します。
「System Settings」ページが表示されます。
「Users」メニューで、「Security」を選択します。
「User Security Settings」ページが表示されます。
次の設定を指定します。
Enforce Strong Passwords: 次の基準を強制する場合は、このチェック・ボックスを選択します。
大文字と小文字が含まれていること
アルファベット以外の文字が最低1文字含まれていること
体系的または単純でないこと(例: abcde
、12345
)
ほとんど同じ文字で構成されていないこと(例: aaaaaa11111
)
このオプションを無効にすると、Oracle Database Firewallではユーザーに対してパスワードの安全性についてアドバイスしますが、これらのガイドラインは強制されません。
Minimum Password Length: 数値を入力します。デフォルトは6です。
Enforce Novel Passwords: ユーザーが過去に使用したパスワードを指定するのを防ぐ場合は、このチェック・ボックスを選択します。
Expire Passwords: 指定した日数が経過した後にユーザーにパスワード変更を強制する場合は、数値(日数)を入力します。パスワードの期限切れを無効にする場合は、0
を入力します。
「Save」ボタンをクリックします。
この項の内容は、次のとおりです。
デバッグの目的でネットワーク・トラフィックを表示したい場合があります。Database Firewall(スタンドアロンまたは管理対象)のネットワーク・トラフィックを表示できます。ネットワーク・トラフィックを画面にリアルタイムで表示するには、「System」タブの「Network Traffic」メニューから「Show」をクリックします。Management Serverではこのオプションを使用できません。
図13-11に、Database Firewallの管理コンソールの「Network Traffic」ページを示します。
ネットワーク・トラフィックをファイル(.pcap
ファイル・タイプ)に取得すると、後でダウンロードして分析できます。
ネットワーク・トラフィックをファイルに取得する手順は、次のとおりです。
Database Firewall(スタンドアロンまたは管理対象)管理コンソールにログインします。
ログインの詳細は、「管理コンソールへのログイン」を参照してください。
「System」タブを選択します。
「Network Traffic」メニューから「Capture to File」を選択します。
直後に、「Network Traffic」ページにトラフィック・ファイルがリストされます。
「Network traffic files」領域で「download」ボタンをクリックします。
「File Download」ダイアログ・ボックスで「Save」をクリックします。
「Save As」ダイアログ・ボックスで、ファイルを保存するディレクトリにナビゲートし、「Save」ボタンをクリックします。
Oracle Enterprise Managerを使用して、Database Firewallに埋め込まれたOracleデータベースを監視することができます。スタンドアロンのDatabase FirewallまたはManagement Serverに埋め込まれたOracleデータベースの監視を設定するには、この項の構成手順に従ってください。Oracle Enterprise Managerの使用方法の詳細は、http://download.oracle.com/docs
で公開されている製品ドキュメントを参照してください。
埋込みOracleデータベースの監視を構成する手順は、次のとおりです。
Database FirewallまたはManagement Serverを実行しているコンピュータ上で、support
としてログインしてからroot
に切り替えます。
次のコマンドを実行します。
/usr/local/dbfw/bin/dbfwdbctrl-cfg configure
パスワードを求められたら、Database FirewallまたはManagement Serverのインストール時に指定したOracleデータベースのsys
パスワードを入力します。
埋込みOracleデータベースの監視を開始および停止する手順は、次のとおりです。
Database FirewallまたはManagement Serverを実行しているコンピュータ上で、root
としてログインします。
次の2つのコマンドを実行して監視を開始します。
/etc/init.d/dbfwdbctrl autostart on
/etc/init.d/dbfwdbctrl start
次の再起動時に、この2つのコマンドが自動的に実行され、次の手順で監視を停止するまで監視が継続的に有効になります。
(オプション)監視を停止して自動起動を無効にするには、次のコマンドを実行します。
監視を停止する場合のコマンド: /etc/init.d/dbfwdbctrl stop
自動起動を無効にする場合のコマンド: /etc/init.d/dbfwdbctrl autostart off
注意: 自動起動を無効にした場合は、監視を開始するときステップ2で両方のコマンドを実行する必要があります。埋込みデータベースを継続的に監視しない場合は、ステップ2と3を実行して監視セッションを開始および停止してください。 |
埋込みOracleデータベースの監視ステータスを確認する手順は、次のとおりです。
Database FirewallまたはManagement Serverを実行しているコンピュータ上で、root
としてログインします。
次のコマンドを実行します: /etc/init.d/dbfwdbctrl status