ヘッダーをスキップ
Oracle® Audit Vault and Database Firewall管理者ガイド
リリース12.1.1
B71711-02
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

6 セキュア・ターゲット、監査証跡および強制ポイントの構成

この章の内容は、次のとおりです。

セキュア・ターゲットの構成の概要

セキュア・ターゲットは、Audit Vault and Database Firewallが監視するサポート対象のデータベースまたはオペレーティング・システムです。すべてのセキュア・ターゲットをOracle AVDFに登録する必要があります。

セキュア・ターゲットから監査証跡を収集するには、ターゲットごとに監査証跡を構成し、収集を手動で開始する必要があります。

Database Firewallでセキュア・ターゲットを監視するには、そのセキュア・ターゲットの強制ポイントを作成する必要があります。

Database Firewallで監視するセキュア・ターゲット・データベースによっては、データベースに問い合せて特定のデータを収集するようにOracle AVDFを構成できます。そのためには、セキュア・ターゲット・コンピュータでスクリプトを実行し、データベース問合せに必要な権限を構成する必要があります。

Database Firewallを使用している場合は、受信SQLトラフィックに対するセキュア・ターゲット・データベースのレスポンスを監視することもできます。

この項では、上述の構成について詳しく説明します。ホスト接続の構成の詳細は、「ホストの登録とエージェントのデプロイ」を参照してください。

Oracle AVDFシステムの構成に関するワークフローの概要を確認するには、「Oracle AVDF構成ワークフローについて」を参照してください。

セキュア・ターゲットおよびグループの構成

この項の内容は、次のとおりです。

Audit Vault Serverでのセキュア・ターゲットの登録または削除

この項の内容は、次のとおりです。

セキュア・ターゲットの登録

Oracle AVDFスーパー管理者は、セキュア・ターゲットを作成し、そのセキュア・ターゲットへのアクセス権を他の管理者に付与できます。Oracle AVDF管理者もセキュア・ターゲットを作成できますが、作成したセキュア・ターゲットにアクセスできるのはその管理者とスーパー管理者のみです。

Oracle Database 12cリリース1セキュア・ターゲットの登録

Oracle Database 12cでマルチテナント・コンテナ・データベース(CDB)を使用しない場合は、以前のバージョンのOracle Databaseと同じように、データベースのセキュア・ターゲットを登録します。CDBを使用する場合は、CDBのセキュア・ターゲットに加え、各プラガブル・データベース(PDB)のセキュア・ターゲットも登録する必要があります。

Audit Vault Serverでセキュア・ターゲットを登録する手順は、次のとおりです。

  1. セキュア・ターゲットから監査データを収集する場合は、ストアド・プロシージャ監査(SPA)、権限監査を実行するか、データベース問合せを有効にして、セキュア・ターゲットでユーザー・アカウントを作成します。このユーザー・アカウントには適切な権限を付与し、Oracle AVDFが必要なデータにアクセスできるようにします。

    設定スクリプト: スクリプトを使用して、次のセキュア・ターゲット・タイプ用のユーザー・アカウント権限を構成できます。

    Linuxセキュア・ターゲット: Linuxの/etc/audit/auditd.conf構成ファイルで、log_groupパラメータに、Oracle AVDFユーザーを割り当てます。このユーザーには、audit.logファイルが格納されているフォルダ(デフォルト・フォルダは/var/log/audit)に対するexecute権限が必要です。

    その他のタイプのセキュア・ターゲット: ユーザーを作成し、必要な監査証跡にアクセスするための適切な権限を付与する必要があります。たとえばWindowsセキュア・ターゲットの場合、セキュリティ・ログを読み取れるようにするため、このユーザーには管理権限が必要です。


    注意:

    Oracle AVDFでは、引用符付きのユーザー名を使用できません。たとえば、セキュア・ターゲットのAudit Vault and Database Firewallユーザー・アカウントに対して"JSmith"は有効なユーザー名ではありません。

  2. Audit Vault Serverコンソールに管理者としてログインします。

  3. 「セキュア・ターゲット」タブをクリックします。

    「セキュア・ターゲット」ページに、アクセス可能な構成済のセキュア・ターゲットがリスト表示されます。ターゲットのリストはソートまたはフィルタ処理できます。「UIでのオブジェクト・リストの操作」を参照してください。

  4. 「登録」をクリックし、「セキュア・ターゲットの登録」ページで新しいターゲットの名前および説明を入力します。

  5. 「セキュア・ターゲットの場所」フィールドに、セキュア・ターゲットの接続文字列を入力します。

    各セキュア・ターゲット・タイプの接続文字列の形式については、「接続文字列」を参照してください。たとえば、Oracle Databaseの場合、文字列は次のようになります。

    jdbc:oracle:thin:@//203.0.113.0:1521/hrdb

  6. 「セキュア・ターゲット・タイプ」フィールドで、「Oracle Database」などのセキュア・ターゲット・タイプを選択します。

  7. 「ユーザー名」「パスワード」および「パスワードの再入力」の各フィールドに、手順1で作成したセキュア・ターゲット・ユーザー・アカウントの資格証明を入力します。

  8. このセキュア・ターゲットをDatabase Firewallを使用して監視する場合は、「セキュア・ターゲットのアドレスの追加」領域でこのデータベースで使用できる各接続について次の情報を入力し、「追加」をクリックします。

    • IPアドレス(またはホスト名)

    • ポート番号

    • サービス名(Oracle Databaseのみ)

  9. 必要に応じて、ページ下部にある「属性名」および「属性値」の値を入力し、「追加」をクリックします。

    セキュア・ターゲットのタイプによっては、Audit Vault Agentでコレクション属性が必要になります。特定のセキュア・ターゲット・タイプに関する要件を調べるには、「コレクション属性」を参照してください。

  10. このセキュア・ターゲットをDatabase Firewallを使用して監視する場合は、次のコレクション属性を追加して、このセキュア・ターゲットに割り当てる処理リソースを増やすことができます。

    属性名: MAXIMUM_ENFORCEMENT_POINT_THREADS

    属性名: 1~16の数字(デフォルトは1)

    これは、このセキュア・ターゲットに関連付けられた強制ポイントに使用できるDatabase Firewallプロセスの最大数(1~16)を定義します。Database Firewallを実行するシステムで利用できる処理コアの数よりも、監視するセキュア・ターゲットの数の方が少ない場合は、これを定義することを検討してください。不必要に値を設定すると、リソースを浪費することになります。

  11. 「保存」をクリックします。

セキュア・ターゲットの削除

Oracle AVDFに登録されているセキュア・ターゲットが不要になった場合、コンソールまたはコマンドライン・ユーティリティを使用してそのセキュア・ターゲットを削除できます。セキュア・ターゲットをOracle AVDFから削除しても、その監査データは、保存期間内はデータ・ウェアハウスに存在し続けます(アーカイブ・ポリシー)。アーカイブ(保存)ポリシーの詳細は、「アーカイブ・ポリシーの作成」を参照してください。

セキュア・ターゲットを削除しても、その識別データはOracle AVDFに残存するため、削除されたセキュア・ターゲットのレコードは存在します。セキュア・ターゲットを削除するのは、データを収集する必要がなくなった場合または新しいホスト・コンピュータに移動した場合のみです。

セキュア・ターゲットを削除する手順は、次のとおりです。

  1. Audit Vault Serverコンソールに管理者としてログインします。

  2. 「セキュア・ターゲット」タブをクリックし、削除するセキュア・ターゲットを選択します。

  3. 「削除」をクリックします。

セキュア・ターゲット・グループの作成および変更

スーパー管理者は、個別ではなくグループとしてセキュア・ターゲットへのアクセス権を他の管理者に付与するために、セキュア・ターゲット・グループを作成できます。

セキュア・ターゲット・グループを作成する手順は、次のとおりです。

  1. Oracle Audit Vault and Database Firewallコンソールにスーパー管理者としてログインし、「セキュア・ターゲット」タブをクリックします。

  2. 左側の「グループ」メニューから。

    事前構成済のグループが上部ペインに表示され、ユーザー定義のグループが下部ペインにリスト表示されます。

    下部ペインのリストの表示方法は、「アクション」メニューから調整できます。「UIでのオブジェクト・リストの操作」を参照してください。

  3. 「作成」をクリックし、グループの名前と、オプションで説明を入力します。

  4. セキュア・ターゲットをグループに追加するには、そのセキュア・ターゲットを選択して「メンバーの追加」をクリックします。

  5. 「保存」をクリックします。

    グループ・ページの下部ペインに新しいグループが表示されます。

セキュア・ターゲット・グループを変更する手順は、次のとおりです。

  1. Oracle Audit Vault and Database Firewallコンソールにスーパー管理者としてログインし、「セキュア・ターゲット」タブをクリックします。

  2. 左側の「グループ」メニューから。

    事前構成済のグループが上部ペインに表示され、ユーザー定義のグループが下部ペインにリスト表示されます。

    下部ペインのリストの表示方法は、「アクション」メニューから調整できます。「UIでのオブジェクト・リストの操作」を参照してください。

  3. グループ名をクリックします。

  4. 「セキュア・ターゲットの変更」ページで、追加または削除するセキュア・ターゲットを選択した後、「メンバーの追加」または「メンバーの削除」をクリックします。

  5. オプションで、グループの名前または説明を変更できます。

  6. 「保存」をクリックします。

セキュア・ターゲットおよびセキュア・ターゲット・グループへのアクセスの制御

Oracle AVDFスーパー管理者は、セキュア・ターゲットまたはセキュア・ターゲット・グループにアクセスできる管理者を制御できます。制御できるのは、個々のユーザーに対するアクセス権、または個々のセキュア・ターゲットまたはセキュア・ターゲット・グループに対するアクセス権です。詳細は、「セキュア・ターゲットまたはセキュア・ターゲット・グループへのユーザー・アクセスの管理」を参照してください。

監査証跡収集の構成

この項の内容は、次のとおりです。

Audit Vault Serverでの監査証跡の構成

監査データの収集を開始するには、Audit Vault Serverでセキュア・ターゲットごとに監査証跡を構成した後、監査証跡収集を手動で開始する必要があります。セキュア・ターゲットの監査証跡を構成する前に、次のことを実行する必要があります。

この手順では、Audit Vault Agentがセキュア・ターゲットと同じコンピュータにインストールされていることを前提としています。

セキュア・ターゲットの監査証跡を構成する手順は、次のとおりです。

  1. Audit Vault Serverコンソールに管理者としてログインします。

  2. 「セキュア・ターゲット」タブをクリックします。

  3. 「監視」「監査証跡」をクリックします。

    「監査証跡」ページが表示され、構成済の監査証跡とそのステータスがリスト表示されます。

  4. 「監査証跡」ページで、「追加」をクリックします。

  5. 「収集ホスト」ドロップダウン・リストから、セキュア・ターゲットのホスト・コンピュータを選択します。

  6. 「セキュア・ターゲット名」ドロップダウン・リストから、セキュア・ターゲットの名前を選択します。

  7. 「監査証跡のタイプ」ドロップダウン・リストから、次のいずれかを選択します。

    • CUSTOM

    • DIRECTORY

    • EVENT LOG

    • NETWORK

    • SYSLOG

    • TABLE

    • TRANSACTION LOG

    特定のセキュア・ターゲット・タイプに対して収集できる監査証跡のタイプの詳細は、表B-7を参照してください。また、セキュア・ターゲット・タイプに対して収集されるデータの詳細は、「監査証跡構成」を参照してください。

  8. 「証跡の場所」フィールドに、セキュア・ターゲット・コンピュータ上の監査証跡の場所(sys.aud$など)を入力します。

    証跡の場所は、セキュア・ターゲットのタイプによって異なります。サポートされている証跡の場所については、「監査証跡の場所」を参照してください。

    注意: 「監査証跡のタイプ」で「DIRECTORY」を選択した場合、証跡の場所はディレクトリ・マスクにする必要があります。

  9. このタイプのセキュア・ターゲットのプラグインをデプロイした場合、「収集プラグイン」ドロップダウン・リストでプラグインを選択します。

    プラグインの詳細は、「エージェント・プラグインの概要」を参照してください。

  10. 「保存」をクリックします。

Audit Vault Serverでの監査証跡の開始および停止

セキュア・ターゲットの監査証跡収集を開始または停止する手順は、次のとおりです。

  1. Audit Vault Serverコンソールに管理者としてログインします。

  2. 「セキュア・ターゲット」タブをクリックします。

  3. 「監査証跡」をクリックします。

  4. 開始または停止する監査証跡を選択して、「開始」または「停止」をクリックします。

    Audit Vault Agentの更新中は監査証跡を開始できません。「Audit Vault Agentの更新」を参照してください。


    注意:

    100万以上の監査ファイルがある場合など、収集する監査ファイルが多い場合は監査証跡の開始までに数分かかることがあります。

Audit Vault Serverでの監査証跡のステータスの確認

監査証跡のステータスを確認する手順は、次のとおりです。

  1. Audit Vault Serverコンソールに管理者としてログインします。

  2. 「セキュア・ターゲット」タブをクリックします。

  3. 「監査証跡」をクリックします。

    「監査証跡」ページに監査証跡がリスト表示され、「収集のステータス」列にそのステータスが表示されます。緑の上向き矢印は、収集が実行中であることを示します。赤の下向き矢印は、収集が停止していることを示します。

    監査証跡リストはソートおよびフィルタ処理できます。「UIでのオブジェクト・リストの操作」を参照してください。

監査証跡の削除

関連付けられている監査データを一度も収集していない監査証跡のみ削除できます。

監査証跡を削除する手順は、次のとおりです。

  1. Audit Vault Serverコンソールに管理者としてログインします。

  2. 監査証跡が停止していることを確認します。「Audit Vault Serverでの監査証跡の開始および停止」を参照してください。

  3. 「セキュア・ターゲット」タブをクリックします。

  4. 「監査証跡」をクリックします。

  5. 削除する監査証跡を選択し、「削除」をクリックします。

強制ポイントの構成

この項の内容は、次のとおりです。

セキュア・ターゲットの強制ポイントの構成の概要

Database Firewallで監視するセキュア・ターゲット・データベースごとに、1つの強制ポイントを構成する必要があります。強制ポイントの構成では、Database Firewallの監視モード(監視のみまたはブロック)、監視対象のセキュア・ターゲット・データベース、そのデータベースに対するネットワーク・トラフィック・ソースおよび強制ポイントに使用するDatabase Firewallを指定できます。

強制ポイントを構成する前に、データベース・ファイアウォール構成の一環としてネットワーク・トラフィック・ソースを構成します。詳細は、「ステップ4: ネットワーク上のDatabase Firewallの構成」を参照してください。

強制ポイントの構成

Audit Vault Serverコンソールで各強制ポイントを構成します。Audit Vault Serverの回復可能なペアを構成している場合は、プライマリ・サーバーで強制ポイントを構成する必要があります。

サーバーの回復可能なペアの構成の詳細は、「高可用性の構成」を参照してください。

強制ポイントを構成する手順は、次のとおりです。

  1. Audit Vault Serverコンソールに管理者としてログインします。

  2. 「セキュア・ターゲット」タブをクリックし、「監視」メニューから「強制ポイント」をクリックします。

    「強制ポイント」ページに、構成済の強制ポイントとそのステータスのリストが表示されます。

  3. 「作成」をクリックします。

  4. この強制ポイントの名前を入力します。

  5. 監視モードを選択します。

    • データベース・ポリシー強制(DPE): SQL文をブロックまたは置換する場合に選択します。

    • データベース・アクティビティ監視(DAM): SQL文のログへの記録およびアラートの発生のみを実行する場合に選択します。

    これらのモードの詳細は、「Database Firewall」を参照してください。

  6. 「監視するセキュア・ターゲットの選択」セクションで、セキュア・ターゲットを選択します。

    ここには、指定したファイアウォールを保有するセキュア・ターゲットがリスト表示されます。指定したポリシーにSQLブロック・ルールが含まれているのにDAMモード(監視のみ)を選択した場合、SQL文はブロックされません。そのため、ポリシー・ルールによってSQL文をブロックする場合は、セキュア・ターゲットの"ブロック"・ポリシーと強制ポイントのDPE監視モードの両方を設定する必要があります。

  7. 「ファイアウォールの選択」セクションで、この強制ポイントを処理するDatabase Firewallを選択します。

    「ファイアウォールの選択」セクションの下に、「トラフィック・ソースの選択」が表示されます。

  8. 「ブリッジ・インタフェース」または「プロキシ・インタフェース」領域のいずれかで、トラフィック・ソースを選択します。

    トラフィック・ソースの詳細は、次のトピックを参照してください。

    注意: プロキシ・トラフィック・ソースを選択した場合、他のトラフィック・ソースは選択できません。また、プロキシを選択すると、監視モードはDPEになります。「トラフィック・プロキシとしてのDatabase Firewallの構成」を参照してください。

  9. 「保存」をクリックします。

    新しい強制ポイントが「強制ポイント」リストに表示され、自動的に開始します。

  10. 強制ポイントを停止または再開するには、「強制ポイント」リストからその強制ポイントを選択して「停止」または「開始」をクリックします。


注意:

DPEモードでDatabase Firewallを使用する場合、IPアドレスまたはMACアドレスのスプーフィング検出ルールを使用する外部デバイスを正しく構成し、それらのデバイスがDatabase Firewallによって行われたデータベースのIPアドレスまたはMACアドレスの変更を無視するように設定する必要があります。

強制ポイントの変更

作成した強制ポイントは、その設定を変更したり、データベース・レスポンス監視、データベース問合せ、ホスト監視のいずれか(あるいはすべて)を有効にするために変更できます。

強制ポイントにおける詳細設定により、BIG-IP Application Security Manager (ASM)と連携して機能するように、Oracle AVDFを構成できます。詳細は、「F5と連携して機能するためのOracle AVDFの構成」を参照してください。

強制ポイントを変更する手順は、次のとおりです。

  1. Audit Vault Serverコンソールに管理者としてログインし、「セキュア・ターゲット」タブをクリックします。

  2. 「監視」メニューから「強制ポイント」をクリックした後、変更する強制ポイントの名前をクリックします。

  3. 「強制ポイントの変更」ページで、次の設定を変更できます。

    • セキュア・ターゲット: 監視する別のセキュア・ターゲットを選択します。

    • 監視モード: 代替監視モードを選択します。

      注意: DAMモードからDPEモードに切り替える場合、クライアントからセキュア・ターゲット・データベースへの既存の接続を維持するかどうかを選択します。このオプションを選択した場合、既存の接続は中断されませんが、DPEモードで監視するには、セキュア・ターゲット・データベースに再接続する必要があります。

    • トラフィック・ソース: 別のトラフィック・ソースを有効にします。

    • データベース・レスポンス: データベース・レスポンス・モニタリングを有効にする場合に選択します。「データベース・レスポンス・モニタリングの構成および使用」を参照してください。

    • データベース問合せ: データベース問合せを有効にする場合に選択します。「データベース問合せの構成および使用」を参照してください。

  4. 「保存」をクリックします。

強制ポイントの管理

強制ポイントを管理する手順は、次のとおりです。

  1. Audit Vault Serverコンソールに管理者としてログインします。

  2. 「セキュア・ターゲット」タブをクリックし、「監視」「強制ポイント」をクリックします。

  3. 目的の強制ポイントを選択し、次のボタンのいずれかをクリックします。

    • 開始: 強制ポイントを開始する場合

    • 停止: 強制ポイントを停止する場合

    • 削除: 強制ポイントを削除する場合

強制ポイントによって使用されるポート番号の確認方法

強制ポイントによって使用されるポート番号を確認する手順は、次のとおりです。

  1. Audit Vault Serverコンソールに管理者としてログインします。

  2. 「セキュア・ターゲット」タブをクリックし、「監視」「強制ポイント」をクリックします。

  3. 目的の強制ポイントを選択し、「強制ポイントの変更」ページで「詳細」をクリックします。

    「DBFW TCPポート」の横にポート番号が表示されます。

ストアド・プロシージャ監査(SPA)の構成

ストアド・プロシージャ監査(SPA)を使用すると、Oracle AVDF監査者は、セキュア・ターゲット・データベースのストアド・プロシージャに対する変更を監査できます。Oracle AVDFは、スケジュールされた間隔でデータベース・サーバーに接続し、ストアド・プロシージャに対して行われた変更または追加があればそれを検出します。SPAは、Oracle AVDFでサポートされるすべてのデータベース・セキュア・ターゲットに対してサポートされます。「サポートされるセキュア・ターゲット」を参照してください。

SPAを有効にするには、Oracle AVDFがストアド・プロシージャ監査をセキュア・ターゲットで実行するの必要なユーザー・アカウント権限を構成するだけです。Oracle AVDFには、これらの権限を設定するスクリプトが用意されています。スクリプトの詳細は、「セキュア・ターゲットに対するOracle AVDFアカウント権限用のスクリプト」を参照してください。セキュア・ターゲット・タイプに固有のスクリプトを実行します。

Oracle AVDF監査者は、セキュア・ターゲット構成でストアド・プロシージャ監査を有効にすると、ストアド・プロシージャに対する変更をレポートで確認できます。詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。

データベース問合せの構成および使用

この章の内容は、次のとおりです。

データベース問合せの概要

データベース問合せを使用すると、サポートされるデータベース・セキュア・ターゲットにDatabase Firewallが特定の情報を問い合せることができます。収集される情報は、データベースのタイプによって異なります。この項では、データベース問合せを使用する、次の2つの方法について説明します。

SQL ServerデータベースおよびSQL Anywhereデータベースでのデータベース問合せの使用

データベース問合せを使用すると、SQL文を作成したデータベース・ユーザーの名前、オペレーティング・システムおよびクライアント・プログラムの情報をネットワーク・トラフィックから取得できない場合に、Microsoft SQL ServerとSybase SQL Anywhereの監視対象データベースに問い合せて取得できます。この情報は、Audit Vault and Database Firewallのレポートで使用できます。

これら2つのデータベース用にデータベース問合せを構成するには、次のことを実行する必要があります。

Oracle Advanced Securityを使用するOracle Databaseでのデータベース問合せの使用

Oracle Advanced Security暗号化を使用するOracle Databaseセキュア・ターゲットを監視している場合、そのデータベースに対する送信文および受信レスポンスを復号化して分析できるようにするためにデータベース問合せを使用する必要があります。

Oracle Advanced Securityを使用するOracle Database用にデータベース問合せを構成するには、次のことを実行する必要があります。

Oracleデータベースの文の復号化に関する制限

Oracle Advanced Securityを使用してトラフィックを復号化するようにAudit Vault and Database Firewallを構成する際には、次の制限があります。

  • サポートされるOracle Databaseのバージョンは、10.x、11.1、11.2および12cです。

  • Oracle Advanced Securityのチェックサムを使用する場合、Audit Vault and Database Firewallで文の置換は行われません。

  • Oracle Advanced SecurityのRC4暗号はサポートされません。

SQL ServerおよびSQL Anywhere用のデータベース問合せの構成

この項の内容は、次のとおりです。

Microsoft SQL Serverデータベースでのデータベース問合せ権限の設定

Microsoft SQL Server (バージョン2005、2008または2012)データベースのユーザー・アカウントを設定する手順は、次のとおりです。

  1. Oracle AVDFユーティリティ・ファイルavdf-utility.zip (Oracle AVDFソフトウェアを使用してダウンロード)からdatabaseディレクトリを抽出します。

  2. スクリプトを実行する予定のサーバーにdatabaseディレクトリをコピーします。

  3. スクリプトを実行するコンピュータにsqlcmd.exeユーティリティがインストールされていることを確認します。

  4. このサーバーで、database/ddiディレクトリに移動し、sqlserver圧縮ファイルをsqlserverというディレクトリ(推奨)に解凍します。このディレクトリには、ddi_add_user.sqlという解凍されたファイルが格納されます。

  5. ユーザーの作成およびユーザー権限の設定を行う権限が付与されたユーザーとして、SQL Serverデータベースに対してddi_add_user.sqlスクリプトを実行します。

    構文は、次のとおりです。

    sqlcmd -S server_name -U sa -P sa_password -i ddi_add_user.sql 
    -v username="username" password="password"
    

    詳細は、次のとおりです。

    • server_name: セキュア・ターゲットが存在するデータベース・サーバーの名前またはIPアドレスを入力します。この引数を使用するのは、リモート・サーバーからスクリプトを実行する場合のみです。このスクリプトをローカルで実行する場合は、この引数を省略できます。

    • sa: システム管理者のユーザー名を入力します。

    • sa_password: システム管理者のパスワードを入力します。

    • username: データベース問合せ用に作成するユーザー・アカウント名を入力します。このユーザー名は二重引用符で囲みます。このユーザー名は、強制ポイントでデータベース問合せを有効にするときに入力します。原則として、これは、データベース問合せにおいて一意のユーザー名(di_auditorなど)である必要があります。

    • password: ddi_add_user.sqlスクリプトに$(password)で指定された、データベース問合せユーザー・アカウントのパスワードを入力します。このパスワードは二重引用符で囲みます。

    次に例を示します。

    sqlcmd -U sa -P sa_password -i ddi_add_user.sql  -v username="ddi_auditor" password="abcd1234"
    
    sqlcmd -S my_server -U sa -P sa_password -i ddi_add_user.sql 
    -v username="ddi_auditor" password="abcd1234"
    

ddi_add_user.sqlスクリプトでは、データベース問合せユーザー・アカウントに次の権限が付与されます。

  • VIEW ANY DEFINITIONおよびVIEW SERVER STATE(SQL Server 2005以降)

  • master.dbo.sysdatabases表に対するSELECT

Sybase SQL Anywhereデータベースでのデータベース問合せ権限の設定

注意: Sybase SQL Anywhereを使用するには、Linux用のSQL Anywhere ODBCドライバをダウンロードしてインストールする必要があります。

Sybase SQL Anywhereデータベースのデータベース問合せのユーザー権限を設定する手順は、次のとおりです。

  1. Oracle AVDFユーティリティ・ファイルavdf-utility.zip (Oracle AVDFソフトウェアを使用してダウンロード)からdatabaseディレクトリを抽出します。

  2. スクリプトを実行する予定のサーバーにdatabaseディレクトリをコピーします。

  3. このサーバーで、database/ddiディレクトリに移動し、sqlanywhere圧縮ファイルをsqlanywhereというディレクトリ(推奨)に解凍します。このディレクトリには、解凍されたddi_add_user.sqlというファイルが含まれます。

  4. ユーザーの作成およびユーザー権限の設定を行う権限が付与されたユーザーとして、SQL Anywhereデータベースに対してddi_add_user.sqlスクリプトを実行します。

    構文は、次のとおりです。

    isql -S server_name -U sa -P sa_password -i ddi_add_user.sql
    -v username="username" password="password" database="protected_database"
    

    詳細は、次のとおりです。

    • server_name: この引数を使用するのは、データベースがリモートの場合のみです。サーバーまたはそのIPアドレスの名前を入力できます。スクリプトをローカルで実行する場合は、-S server_name引数を省略できます。

    • sa: システム管理者のユーザー名を入力します。

    • sa_password: システム管理者のパスワードを入力します。

    • username: データベース問合せ用のユーザー・アカウント名を入力します。このユーザー名は二重引用符で囲みます。このユーザー名は、強制ポイントでデータベース問合せを有効にするときに入力します。原則として、これは、データベース問合せにおいて一意のユーザー名(di_auditorなど)である必要があります。

    • password: ddi_add_user.sqlスクリプトに$(password)で指定された、データベース問合せユーザー・アカウントのパスワードを入力します。このパスワードは二重引用符で囲みます。

    • database="protected_database": ddi_add_user.sqlスクリプトに$(database)で指定された、このサーバー内の保護対象データベースの名前を入力します。このデータベース名は二重引用符で囲みます。

    次に例を示します。

    isql -U sa -P sa_password -i sddi_add_user.sql
    -v username="ddi_auditor" password="abcd1234" database="sales_db"
    
    isql -S my_server -U sa -P sa_password -i sddi_add_user.sql
    -v username="ddi_auditor" password="abcd1234" database="sales_db"
    

ddi_add_user.sqlスクリプトでは、データベース問合せユーザー・アカウントに次の権限が付与されます。

  • CONNECT

  • システム表に対するSELECT

    sys.sysuser
    sys.sysuserauthority
    sys.sysremoteuser
    sys.sysloginmap
    sys.sysgroup
    

SQL ServerデータベースまたはSQL Anywhereデータベースに対するデータベース問合せの有効化

「データベース問合せの有効化」の手順に従って、Microsoft SQL ServerまたはSybase SQL Anywhereのデータベースに対するデータベース問合せの設定を完了します。

Oracle Advanced Securityを使用するデータベース用のデータベース問合せの構成

この項の内容は、次のとおりです。

ステップ1: 指定されたパッチのOracle Databaseへの適用

Oracle Database 12cの場合、このステップは必要ありません。

Oracle Databaseのその他すべてのサポートされているバージョンでは、Oracle Advanced Securityを使用しているOracle Databaseに、このセクションで指定されているパッチを適用する必要があります。

パッチを適用する手順は、次のとおりです。

  1. Oracleデータベースを停止します。

  2. 次のコマンドを実行します。

    $ORACLE_HOME/OPatch/opatch apply path_to_patchfile.zip

    このパッチのIDは、バグ番号13051081です。したがって、パッチ・ファイルはp13051081_OracleVersion_Platform.zipという形式になります。

  3. Oracle Databaseを起動します。

ステップ2: Oracle Advance Security統合スクリプトの実行

Oracle Advanced Security統合スクリプトを実行する手順は、次のとおりです。

  1. Oracle AVDFユーティリティ・ファイルavdf-utility.zip (Oracle AVDFソフトウェアを使用してダウンロード)から、パッチを適用するOracle Databaseに接続できる場所にdatabaseディレクトリをコピーします。

  2. その場所で、database/ddiディレクトリに移動し、2つのoracle圧縮ファイル(どちらも同じ内容)のいずれかをoracleというディレクトリ(推奨)に解凍します。

    これで、このディレクトリには、解凍されたadvanced_security_integration.sqlというファイルが格納されます。

  3. ユーザーの作成および権限の付与を実行する権限を持つユーザーとして、次のコマンドを実行します。

    sqlplus / as sysdba @advanced_security_integration schema password

    schemaには、既存のスキーマの名前を使用するか、新しいスキーマの名前を選択します。SYSTEMまたはSYSをターゲット・スキーマとして使用することをお薦めしません。スキーマが存在しない場合、ユーザーおよびスキーマが作成されます。

    このコマンドにより、create session権限およびresource権限がスキーマ・ユーザーに付与されます。

    スキーマのパスワードは、passwordに設定されます。

    Oracle Advanced Security統合をサポートするパッケージがschemaにインストールされます。

ステップ3: Oracle DatabaseへのDatabase Firewall公開鍵の指定

データベース問合せを使用してデータベース・トラフィックを復号化するには、Oracle Advanced Securityを使用しているOracle DatabaseにDatabase Firewall公開鍵を指定する必要があります。

Oracle Databaseに公開鍵を指定する手順は、次のとおりです。

  1. このOracle Databaseを監視するDatabase Firewallの管理コンソールで、「システム」メニューの「公開鍵」をクリックします。

    public_key_aso.gifの説明が続きます
    図版public_key_aso.gifの説明

  2. 「Oracle Advanced Security復号化」に表示される公開鍵をコピーし、dbfw_public_key.txtなどのテキスト・ファイルに貼り付けます。

    Database Firewallはそれぞれ独自の公開鍵を保持しています。Database Firewallの高可用性または強制ポイントの回復性を設定している場合、複数のDatabase Firewallがこのセキュア・ターゲットを監視しているとき、それぞれのDatabase Firewall公開鍵をコピーしてdbfw_public_key.txtファイルに追加する必要があります。

    注意: セキュリティのため、dbfw_public_key.txtファイルにはOracle Databaseサーバー上のsqlnet.oraファイルと同じアクセス権限が必要です。

  3. Oracle Databaseのsqlnet.oraファイルを変更して、公開鍵を挿入し、Oracle Advanced Securityのネイティブ・トラフィック暗号化を必須にします。

    1. 手順2で作成したファイルをOracle Databaseサーバーのsqlnet.oraファイルと同じディレクトリ(推奨)に配置します。

    2. sqlnet.oraファイルを開き、次のパラメータを追加します(この例では、公開鍵ファイルはdbfw_public_key.txtです)。

      SQLNET.ENCRYPTION_TYPES_SERVER=AES256
      SQLNET.DBFW_PUBLIC_KEY="/path_to_file/dbfw_public_key.txt"
      
    3. sqlnet.oraファイルを保存して閉じます。

ステップ4: Oracle Databaseのデータベース問合せの有効化

「データベース問合せの有効化」の手順に従って、Oracle Advanced Securityを使用するOracleデータベースに対するデータベース問合せの設定を完了します。

データベース問合せの有効化

強制ポイントでデータベース問合せを有効にする手順は、次のとおりです。

  1. Audit Vault Serverコンソールに管理者としてログインします。

  2. 「セキュア・ターゲット」タブをクリックした後、「監視」メニューから「強制ポイント」をクリックします。

  3. 問合せ対象のセキュア・ターゲットを監視する強制ポイントを探し、その強制ポイントの名前をクリックします。

    「強制ポイントの変更」ページが表示されます。

  4. ページの「データベース問合せ」セクションで、「データベース問合せの有効化」チェック・ボックスを選択します。

    追加の入力フィールドが表示されます。

    ep_ddi_enable.gifの説明が続きます
    図ep_ddi_enable.gifの説明

  5. 次の値を入力します。

    • データベース・アドレスおよびポート: 問合せ対象のセキュア・ターゲット・データベースのIPアドレスおよびポート番号を入力します。

    • データベース名: データベースまたはデータベース・インスタンスの名前を入力します。

    • ユーザー名: このセキュア・ターゲットに設定されたOracle AVDFユーザー名を入力します。

    • パスワードおよびパスワードの再入力: このセキュア・ターゲット用のOracle AVDFユーザー・アカウントのパスワードを入力します。

  6. 「保存」をクリックします。

データベース問合せの無効化

データベース問合せを一時的に無効にできます。Audit Vault and Database Firewallでは、作成した構成情報が、次回データベース問合せを有効にするときのために保存されます。データベース問合せの構成およびソフトウェアを削除する場合は、Oracle Database Firewallインストレーション・ガイドを参照してください。

データベース問合せを無効にする手順は、次のとおりです。

  1. Audit Vault Serverコンソールに管理者としてログインします。

  2. 「セキュア・ターゲット」タブをクリックした後、「監視」メニューから「強制ポイント」をクリックします。

    「強制ポイント」ページが表示され、強制ポイントとそのステータスがリスト表示されます。このリストはソートまたはフィルタ処理できます。「UIでのオブジェクト・リストの操作」を参照してください。

  3. データベース問合せを無効にする強制ポイントを探し、その強制ポイントの名前をクリックします。

    「強制ポイントの変更」ページが表示されます。

  4. ページの「データベース問合せ」セクションで、「データベース問合せの有効化」チェック・ボックスを選択解除します。

  5. 「保存」をクリックします。

データベース・レスポンス・モニタリングの構成および使用

この章の内容は、次のとおりです。

データベース・レスポンス・モニタリングの概要

データベース・レスポンス・モニタリング機能を有効にすると、図6-1に示すように、データベース・クライアントから送信されたログイン・リクエスト、ログアウト・リクエストおよびSQL文に対するセキュア・ターゲット・データベースのレスポンスをOracle AVDFで記録できます。この機能を使用すると、データベースでログイン、ログアウトおよび文が正常に実行されたかどうかを判別でき、監査およびフォレンジック目的の有用な情報を提供できます。

図6-1は、データベース・レスポンス・モニタリングのプロセス・フローを示しています。

図6-1 データベース・レスポンス・モニタリング

図6-1の説明が続きます
「図6-1 データベース・レスポンス・モニタリング」の説明

Oracle AVDF監査者は、データベース・レスポンスを監査レポートで確認できます。

データベース・レスポンス・モニタリングでは、Database Firewallポリシーによってログに記録されたすべてのSQL文、ログインおよびログアウトに対するデータベース・レスポンスが記録されます。

記録される情報には、Oracle AVDFで解析されるレスポンス(「文の失敗」など)、データベースからの詳細なステータス情報、およびデータベース・レスポンス・テキスト(データベース・クライアントで表示可能)が含まれます。

データベース・レスポンス・モニタリングの構成

この項の内容は、次のとおりです。

データベース・レスポンス・モニタリングの有効化

セキュア・ターゲットに対してデータベース・レスポンス・モニタリングを有効にする手順は、次のとおりです。

  1. Audit Vault Serverコンソールに管理者としてログインします。

  2. 「セキュア・ターゲット」タブをクリックした後、「監視」メニューから「強制ポイント」をクリックします。

    「強制ポイント」ページが表示され、強制ポイントとそのステータスがリスト表示されます。このリストはソートまたはフィルタ処理できます。「UIでのオブジェクト・リストの操作」を参照してください。

  3. セキュア・ターゲットを監視する強制ポイントを探し、その強制ポイントの名前をクリックします。

    「強制ポイントの変更」ページが表示されます。

  4. ページの「データベース・レスポンス」セクションで、「データベース・レスポンスの有効化」チェック・ボックスを選択します。

    また、フル・エラー・メッセージ注釈を選択すると、データベースで生成された詳細なエラー・メッセージ・テキストがエラー・コードとともにログに記録されます。

  5. 「保存」をクリックします。

ファイアウォール・ポリシーでのログインおよびログアウト・ポリシーの設定

ログインおよびログアウトのポリシーは、Audit Vault and Database Firewallに格納され、ファイアウォール・ポリシーで構成する必要があります。詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。