| Oracle® Audit Vault and Database Firewall管理者ガイド リリース12.1.2 B71711-11 |
|
 前 |
 次 |
ここでのトピック
セキュア・ターゲットは、Audit Vault and Database Firewallが監視するサポート対象のデータベースまたはオペレーティング・システムです。Audit Vault Agent、Database Firewall、これらの両方のいずれをデプロイするかにかかわらず、Audit Vault Serverですべてのセキュア・ターゲットを登録する必要があります。
セキュア・ターゲットから監査証跡を収集するには、ターゲットごとに監査証跡を構成し、収集を手動で開始する必要があります。
Database Firewallでセキュア・ターゲットを監視するには、そのセキュア・ターゲットの強制ポイントを作成する必要があります。
Database Firewallで監視するセキュア・ターゲット・データベースによっては、データベースに問い合せて特定のデータを収集するようにOracle AVDFを構成できます。そのためには、セキュア・ターゲット・コンピュータでスクリプトを実行し、データベース問合せに必要な権限を構成する必要があります。
Database Firewallを使用している場合は、受信SQLトラフィックに対するセキュア・ターゲット・データベースのレスポンスを監視することもできます。
この項では、上述の構成について詳しく説明します。
Oracle AVDFシステムの構成に関するワークフローの概要を確認するには、次を参照してください。
ここでのトピック
ここでのトピック
Oracle AVDFスーパー管理者は、セキュア・ターゲットを作成し、そのセキュア・ターゲットへのアクセス権を他の管理者に付与できます。Oracle AVDF管理者もセキュア・ターゲットを作成できますが、作成したセキュア・ターゲットにアクセスできるのはその管理者とスーパー管理者のみです。
Oracle Database 12cリリース1セキュア・ターゲットの登録
Oracle Database 12cでマルチテナント・コンテナ・データベース(CDB)を使用しない場合は、以前のバージョンのOracle Databaseと同じように、データベースのセキュア・ターゲットを登録します。CDBを使用する場合は、CDBのセキュア・ターゲットに加え、各プラガブル・データベース(PDB)のセキュア・ターゲットも登録する必要があります。
Audit Vault Serverでセキュア・ターゲットを登録する手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「セキュア・ターゲット」タブをクリックします。
「セキュア・ターゲット」ページに、アクセス可能な構成済のセキュア・ターゲットがリスト表示されます。ターゲットのリストはソートまたはフィルタ処理できます。「UIでのオブジェクト・リストの使用」を参照してください。
「登録」をクリックし、「セキュア・ターゲットの登録」ページで新しいターゲットの「新規セキュア・ターゲット名」およびオプションの「説明」を入力します。
「セキュア・ターゲット・タイプ」フィールドで、「Oracle Database」などのセキュア・ターゲット・タイプを選択します。
(オプション)「セキュア・ターゲットの場所」を入力します。これは、Database Firewallのみのデプロイでは必要ありません。
このセクションはOracle AVDFのリリースによって若干異なります。
AVDFリリース12.1.2:
「セキュア・ターゲットの場所の追加」セクションで、「ホスト名」または「IPアドレス」、「ポート」、およびOracle Databaseの場合は「サービス名」(または「SID」)を入力します。
正確な接続文字列がわかる場合は、かわりに「詳細」ラジオ・ボタンをクリックして、そこに文字列を入力できます。「セキュア・ターゲットの場所(接続文字列)」を参照してください。
AVDFリリース12.1.1:
セキュア・ターゲットの接続文字列を入力します。各セキュア・ターゲット・タイプの接続文字列の形式については、「セキュア・ターゲットの場所(接続文字列)」を参照してください。たとえば、Oracle Databaseの場合、文字列は次のようになります。
jdbc:oracle:thin:@//203.0.113.0:1521/hrdb
このタイプのセキュア・ターゲットで必要である場合は、「ユーザー名」、「パスワード」、「パスワードの再入力」の各フィールドに、Oracle AVDF用に作成したセキュア・ターゲット・ユーザー・アカウントの資格証明を入力します。
詳細は、「セキュア・ターゲットに対するユーザー・アカウント権限の設定」を参照してください。
このセキュア・ターゲットをDatabase Firewallを使用して監視する場合は、「セキュア・ターゲットのアドレスの追加」領域でこのデータベースで使用できる各接続について次の情報を入力し、「追加」をクリックします。
IPアドレス(またはホスト名)
ポート番号
サービス名(オプション、Oracle Databaseの場合のみ)
このフィールドで「SID」を使用することもできます。複数のサービス名またはSID (あるいはその両方)を入力するには、サービス名またはSIDごとに改行を入力し、「追加」をクリックします。
重要: サービス名またはSIDを指定する場合、Database Firewallはリストされているサービス名またはSIDへのトラフィックのみ取得します。この場合、データベース・クライアントがリストされているものとは異なるサービス名またはSIDを使用して接続すると、そのトラフィックはDatabase Firewallによって監視されません。同じデータベース上の異なるサービス名またはSIDに対して異なるDatabase Firewallポリシーを強制する場合、サービス名またはSIDごとに個別のセキュア・ターゲットを作成する必要があります。
必要に応じて、ページ下部にある「属性名」および「属性値」の値を入力し、「追加」をクリックします。
セキュア・ターゲットのタイプによっては、Audit Vault Agentでコレクション属性が必要になります。特定のセキュア・ターゲット・タイプに関する要件を調べるには、「コレクション属性」を参照してください。
このセキュア・ターゲットをDatabase Firewallを使用して監視する場合は、次のコレクション属性を追加して、このセキュア・ターゲットに割り当てる処理リソースを増やすことができます。
属性名: MAXIMUM_ENFORCEMENT_POINT_THREADS
属性名: 1~16の数字(デフォルトは1)
これは、このセキュア・ターゲットに関連付けられた強制ポイントに使用できるDatabase Firewallプロセスの最大数(1~16)を定義します。Database Firewallを実行するシステムで利用できる処理コアの数よりも、監視するセキュア・ターゲットの数の方が少ない場合は、これを定義することを検討してください。不必要に値を設定すると、リソースを浪費することになります。
「保存」をクリックします。
セキュア・ターゲットを変更する手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「セキュア・ターゲット」タブをクリックします。
「セキュア・ターゲット」ページに、アクセス可能な構成済のセキュア・ターゲットがリスト表示されます。ターゲットのリストはソートまたはフィルタ処理できます。「UIでのオブジェクト・リストの使用」を参照してください。
変更する対象のセキュア・ターゲットの名前をクリックします。
「セキュア・ターゲットの変更」ページで変更内容を確認し、「保存」をクリックします。
フィールドの説明は、「セキュア・ターゲットの登録.」を参照してください。
Oracle AVDFに登録されているセキュア・ターゲットが不要になった場合、コンソールまたはコマンドライン・ユーティリティを使用してそのセキュア・ターゲットを削除できます。セキュア・ターゲットをOracle AVDFから削除しても、その監査データは、保存期間内はデータ・ウェアハウスに存在し続けます(アーカイブ・ポリシー)。アーカイブ(保存)ポリシーの詳細は、「アーカイブ・ポリシーの作成または削除」を参照してください。
セキュア・ターゲットを削除しても、その識別データはOracle AVDFに残存するため、削除されたセキュア・ターゲットのレコードは存在します。セキュア・ターゲットを削除するのは、データを収集する必要がなくなった場合または新しいホスト・コンピュータに移動した場合のみです。
セキュア・ターゲットを削除する手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「セキュア・ターゲット」タブをクリックし、削除するセキュア・ターゲットを選択します。
「削除」をクリックします。
スーパー管理者は、個別ではなくグループとしてセキュア・ターゲットへのアクセス権を他の管理者に付与するために、セキュア・ターゲット・グループを作成できます。
セキュア・ターゲット・グループを作成する手順は、次のとおりです。
Oracle Audit Vault and Database Firewallコンソールにスーパー管理者としてログインし、「セキュア・ターゲット」タブをクリックします。
左側の「グループ」メニューから。
事前構成済のグループが上部ペインに表示され、ユーザー定義のグループが下部ペインにリスト表示されます。
下部ペインのリストの表示方法は、「アクション」メニューから調整できます。「UIでのオブジェクト・リストの使用」を参照してください。
「作成」をクリックし、グループの名前と、オプションで説明を入力します。
セキュア・ターゲットをグループに追加するには、そのセキュア・ターゲットを選択して「メンバーの追加」をクリックします。
「保存」をクリックします。
グループ・ページの下部ペインに新しいグループが表示されます。
セキュア・ターゲット・グループを変更する手順は、次のとおりです。
Oracle Audit Vault and Database Firewallコンソールにスーパー管理者としてログインし、「セキュア・ターゲット」タブをクリックします。
左側の「グループ」メニューから。
事前構成済のグループが上部ペインに表示され、ユーザー定義のグループが下部ペインにリスト表示されます。
下部ペインのリストの表示方法は、「アクション」メニューから調整できます。「UIでのオブジェクト・リストの使用」を参照してください。
グループ名をクリックします。
「セキュア・ターゲットの変更」ページで、追加または削除するセキュア・ターゲットを選択した後、「メンバーの追加」または「メンバーの削除」をクリックします。
オプションで、グループの名前または説明を変更できます。
「保存」をクリックします。
Oracle AVDFスーパー管理者は、セキュア・ターゲットまたはセキュア・ターゲット・グループにアクセスできる管理者を制御できます。制御できるのは、個々のユーザーに対するアクセス権、または個々のセキュア・ターゲットまたはセキュア・ターゲット・グループに対するアクセス権です。詳細は、「セキュア・ターゲットまたはセキュア・ターゲット・グループへのユーザー・アクセスの管理」を参照してください。
ここでのトピック
セキュア・ターゲットとAudit Vault Serverの両方でNTPサービスを使用することもお薦めします。これは、Audit Vault Serverによって生成されるアラートに関するタイムスタンプの混乱を避けるのに役立ちます。
NTPサーバーを使用したAudit Vault Serverの時刻設定手順は、「サーバーの日付、時刻およびキーボード設定の指定」を参照してください。
セキュア・ターゲットから監査データを収集するために、そのセキュア・ターゲットで監査が有効になっていることを確認し、該当する場合はセキュア・ターゲットが使用している監査のタイプをメモする必要があります。セキュア・ターゲット・タイプの詳細は、製品のドキュメントを参照してください。
Oracle Databaseセキュア・ターゲットで監査が有効であることの確認
Oracle Databaseセキュア・ターゲットで監査が有効になっているかどうかを確認する手順は、次のとおりです。
Oracleデータベースに管理権限を持つユーザーとしてログインします。次に例を示します。
sqlplus trbokuksa
Enter password: password
Connected.
次のコマンドを実行します。
SHOW PARAMETER AUDIT_TRAIL NAME TYPE VALUE ------------------------------------ ----------- ------- audit_trail string DB
SHOW PARAMETERコマンドの出力がNONEである場合、または変更対象の監査値である場合は、次のようにして設定を変更できます。
たとえば、XMLに変更する場合、サーバー・パラメータ・ファイルを使用しているとき、次のように入力します。
CONNECT SYS/AS SYSDBA
Enter password: password
ALTER SYSTEM SET AUDIT_TRAIL=XML SCOPE=SPFILE;
System altered.
SHUTDOWN
Database closed.
Database dismounted.
ORACLE instance shut down.
STARTUP
ORACLE instance started.
監査証跡設定を書き留めます。
この情報は、Oracle AVDFで監査証跡を構成するときに必要になります。
一部のセキュア・ターゲット・タイプでは、Oracle AVDFによってアクセスするために資格証明が必要です。セキュア・ターゲットから監査データを収集する場合は、ストアド・プロシージャ監査(SPA)、権限監査を実行するか、データベース問合せを有効にして、セキュア・ターゲットでユーザー・アカウントを作成する必要があります。このユーザー・アカウントには適切な権限を付与し、Oracle AVDFが必要なデータにアクセスできるようにします。
データベース・セキュア・ターゲット用の設定スクリプト: Oracle AVDFで提供されているスクリプトを使用して、データベース・セキュア・ターゲット・タイプ用のユーザー・アカウント権限を構成できます。「セキュア・ターゲットに対するOracle AVDFアカウント権限用のスクリプト」を参照してください。
非データベース・セキュア・ターゲット: 必要な監査証跡にアクセスできる適切な権限を付与されたユーザーを作成する必要があります。たとえばWindowsセキュア・ターゲットの場合、セキュリティ・ログを読み取れるようにするため、このユーザーには管理権限が必要です。
Oracle AVDFでは、Oracle Database、Microsoft SQL ServerおよびMySQLの監査証跡クリーンアップがサポートされています。手順は、「監査証跡のクリーンアップ」を参照してください。
ここでのトピック
監査データの収集を開始するには、Audit Vault Serverでセキュア・ターゲットごとに監査証跡を構成した後、監査証跡収集を手動で開始する必要があります。
この手順では、Audit Vault Agentがセキュア・ターゲットと同じホスト・コンピュータにインストールされていることを前提としています。
前提条件
セキュア・ターゲットの監査証跡を構成する前に、次のことを実行する必要があります。
Audit Vault Serverでセキュア・ターゲットを追加します。詳細は、「Audit Vault Serverでのセキュア・ターゲットの登録または削除」を参照してください。
ホスト・マシンを登録します。これは通常、セキュア・ターゲットが存在し、かつAudit Vault Agentがデプロイされているマシンです。「ホストの登録とエージェントのデプロイ」を参照してください。
ホスト・マシンでAudit Vault Agentをデプロイしてアクティブ化します。「ホスト・コンピュータでのAudit Vault Agentのデプロイおよびアクティブ化」を参照してください。
MySQLセキュア・ターゲットの場合は、XML変換ユーティリティを実行します。「(MySQLで必要)XML変換ユーティリティの実行」を参照してください。
IBM DB2セキュア・ターゲットの場合、監査証跡を開始する前に、バイナリ監査ファイルがASCII形式に変換されていることを確認します。「(IBM DB2で必要)バイナリDB2監査ファイルのASCII形式への変換」を参照してください。
セキュア・ターゲットの監査証跡を構成する手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「セキュア・ターゲット」タブをクリックします。
「監視」で「監査証跡」をクリックします。
「監査証跡」ページが表示され、構成済の監査証跡とそのステータスがリスト表示されます。
「監査証跡」ページで、「追加」をクリックします。
「収集ホスト」フィールドで、上向き矢印アイコンをクリックして検索ボックスを表示し、Audit Vault Agentがデプロイされているホスト・コンピュータを検索して選択します。
「セキュア・ターゲット名」フィールドで、上向き矢印アイコンをクリックして検索ボックスを表示し、セキュア・ターゲットを検索して選択します。
「監査証跡のタイプ」ドロップダウン・リストから、次のいずれかを選択します。
CUSTOM
DIRECTORY
EVENT LOG
NETWORK
SYSLOG
TABLE
TRANSACTION LOG
この監査証跡タイプの場合、セキュア・ターゲット・データベースに完全修飾データベース名があることを確認します。表C-1のGLOBAL_NAMESの設定を参照してください。
特定のセキュア・ターゲット・タイプに対して収集できる監査証跡のタイプの詳細は、表B-13を参照してください。また、収集されるデータの詳細は、「各監査証跡タイプに対して収集されるデータの概要」を参照してください。
「証跡の場所」フィールドに、セキュア・ターゲット・コンピュータ上の監査証跡の場所(sys.aud$など)を入力します。
証跡の場所は、セキュア・ターゲットのタイプによって異なります。サポートされている証跡の場所については、「監査証跡の場所」を参照してください。
注意: 「監査証跡のタイプ」で「DIRECTORY」を選択した場合、証跡の場所はディレクトリ・マスクにする必要があります。
このタイプのセキュア・ターゲットのプラグインをデプロイした場合、「収集プラグイン」ドロップダウン・リストでプラグインを選択します。
プラグインの詳細は、「プラグインの概要」を参照してください。
「保存」をクリックします。
監査証跡は「監査証跡」ページのリストに追加されます。収集のステータスに、初期状態で赤の下向き矢印(停止)が表示されます。監査証跡は、追加直後に自動的に開始されます。
監査証跡は、追加直後に自動的に開始されます。監査証跡を開始するためには、ホスト・コンピュータでAudit Vault Agentが実行されている必要があります。詳細は、「ホスト・コンピュータでのAudit Vault Agentのデプロイおよびアクティブ化」を参照してください。
セキュア・ターゲットの監査証跡収集を開始または停止する手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「セキュア・ターゲット」タブをクリックします。
「監査証跡」をクリックします。
開始または停止する監査証跡を選択して、「停止」または「開始」をクリックします。
Audit Vault Agentの更新中は監査証跡を開始できません。「Audit Vault Agentの更新」を参照してください。
|
注意: 100万以上の監査ファイルがある場合など、収集する監査ファイルが多い場合は監査証跡の開始までに数分かかることがあります。 |
Audit Vault Serverコンソールに管理者としてログインします。
「セキュア・ターゲット」タブをクリックします。
「監査証跡」をクリックします。
「監査証跡」ページに監査証跡がリスト表示され、「収集のステータス」列にそのステータスが表示されます。緑の上向き矢印は、収集が実行中であることを示します。赤の下向き矢印は、収集が停止していることを示します。マウスで上向きまたは下向き矢印アイコンをポイントすると、次の各ステータス値を表示できます。
監査証跡リストはソートおよびフィルタ処理できます。「UIでのオブジェクト・リストの使用」を参照してください。
関連付けられている監査データを一度も収集していない監査証跡のみ削除できます。
監査証跡を削除する手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
監査証跡が停止していることを確認します。「Audit Vault Serverでの監査証跡の停止および開始」を参照してください。
「セキュア・ターゲット」タブをクリックします。
「監査証跡」をクリックします。
削除する監査証跡を選択し、「削除」をクリックします。
MySQLセキュア・ターゲットの場合、Oracle AVDFに含まれている変換ユーティリティで、MySQLのXML監査ログ・ファイルを監査データの収集で利用できる形式に変換します。監査証跡を追加する前に、このユーティリティをMySQLホスト・マシンで実行する必要があります。
前提条件
Audit Vault ServerでMySqlセキュア・ターゲットを登録します。「Audit Vault Serverでのセキュア・ターゲットの登録または削除」を参照してください。
MySqlホスト・マシンにAudit Vault Agentをデプロイします。「ホスト・コンピュータでのAudit Vault Agentのデプロイ」を参照してください。
XML変換ユーティリティを実行する手順は、次のとおりです。
MySQLホスト・コンピュータで、AGENT_HOME/av/plugins/ com.oracle.av.plugin.mysql/bin/ディレクトリに移動します。
次のコマンドを実行します。
MySQLTransformationUtility.bat inputPath=path_to_log_folder
outputPath=path_to_converted_xml agentHome=path_to_AGENT_HOME
interval=interval_in_minutes xslPath=XSL_file_path securedTargetName=registered_secured_target_name
このコマンドには次の変数が含まれています。
path_to_log_folder - my.iniにリストされているMySQLログ・フォルダへのパス。
path_to_converted_xml - 変換後のXMLファイルが格納されるフォルダへのパス。このパスは、このMySQLセキュア・ターゲットの監査証跡をAudit Vault Serverで作成する際またはAVCLIコマンドラインを使用して監査証跡収集を開始する際に、証跡の場所として使用します。
path_to_AGENT_HOME - Audit Vault Agentのインストール・ディレクトリへのパス。
interval_in_minutes - (オプション) 次の変換処理までの待ち時間(分)。指定しなかった場合のデフォルトは60分です。変換ユーティリティを1回実行するには、この引数に-veを指定します。
XSL_file_path - (オプション) 変換に使用するXSLファイルへのパス。
registered_secured_target_name - Audit Vault Serverに登録するMySQLセキュア・ターゲットの名前。
例:
MySQLTransformationUtility.bat inputPath=D:\MySQLLog outputPath=D:\ConvertedXML agentHome=E:\MySQLCollector interval=1 securedTargetName=MYSQL_DEV
IBM DB2では、監査ログ・ファイルがDB2データベースとは別のバイナリ・ファイル形式で作成されます。IBM DB2セキュア・ターゲットの場合、DB2データベースの監査データを収集する(監査証跡を開始する)たびに、この項で説明するスクリプトを使用して、事前にバイナリ・ファイルをASCIIファイルに変換する必要があります。
原則として、このスクリプトを定期的に実行するようにスケジュールします。DB2監査証跡によってすでに収集されている古いテキスト・ファイルがスクリプトによって検出されると、それらのファイルは削除されます。スクリプトを実行するたびに、タイムスタンプが設定されたASCIIテキスト・ファイルが新しく作成されます。オプションで、出力監査ファイルをパージするスクリプトを設定できます。
|
注意: 別のディレクトリで各データベースおよび各インスタンスの監査ログ・ファイルを抽出することをお薦めします。Oracle AVDFでは、各データベースおよび各インスタンスに対して別の監査証跡を構成する必要があります。 |
バイナリのDB2監査ファイルをASCIIファイルに変換する手順は、次のとおりです。
db2auditコマンドを実行する権限を持つユーザーを識別します。
このユーザーはバイナリ・ファイルをテキスト・ファイルに抽出します。
手順1で識別したユーザーに、Oracle AVDFディレクトリから変換スクリプトを実行する権限を付与します。スクリプト名は、次のとおりです。
DB2リリース8.2データベース: DB282ExtractionUtil(Microsoft Windowsでは、このファイルはDB282ExtractionUtil.batになります。)
DB2 9.5リリース・データベース: DB295ExtractionUtil (Microsoft Windowsでは、このファイルはDB295ExtractionUtil.batになります。)
手順1で識別したユーザーに、$AGENT_HOME/av/atcディレクトリおよびその内容の読取り権限を付与します。
IBM DB2データベースをインストールしたサーバーで、SYSADM DB2ユーザーとしてシェルを開きます。
次の変数を設定します。
AGENT_HOME (これは、Audit Vault Agentインストール・ディレクトリです。)
DB2AUDIT_HOME(このディレクトリは、db2auditコマンドを含むメイン・ディレクトリを示します。)
エージェント・プロセスのOracle AVDF所有者が、抽出ユーティリティで生成される監査テキスト・ファイルの読取り権限を持っていることを確認します。
「IBM DB2 for LUWの設定スクリプト」で指定したDB2ユーザーとしてログインします。
インストールしたDB2のバージョンに応じて、次のいずれかのスクリプトを実行します。
DB2リリース8.2データベースの場合:
DB282ExtractionUtil -extractionpath default_DB2_audit_directory -audittrailcleanup yes/no
default_DB2_audit_directory: DB2監査ディレクトリの場所へのフル・ディレクトリ・パスを入力します。通常、このディレクトリは次の場所にあります。
UNIX: DB2_HOME/sqlib/security/auditdata
Microsoft Windows: DB2HOME\instance\security\auditdata
yes/no: yesまたはnoを入力し、監査証跡クリーンアップを有効または無効にします。yesを入力すると、Oracle AVDF DB2監査証跡によって収集された最新の監査レコードまで、IBM DB2監査ファイルが削除されます。この値を省略した場合、デフォルトはnoです。
たとえば、監査ファイルを抽出し、監査証跡クリーンアップを有効にするには、次のように実行します。
DB282ExtractionUtil -extractionpath /home/extract_dir -audittrailcleanup yes
このスクリプトにより、ファイルの作成日時を示す次の書式を使用して、auditdataディレクトリにASCIIテキスト・ファイルが作成されます。
db2audit.instance.log.0.YYYYDDMMHHMMSS.out
DB2リリース9.5データベースの場合:
DB295ExtractionUtil -archivepath archive_path -extractionpath extraction_path -audittrailcleanup yes/no -databasename database_name
詳細は、次のとおりです。
archive_path: db2auditユーティリティを使用して構成されるDB2アーカイブ・パスです。
extraction_path: DB2抽出ユーティリティが変換済のASCIIテキスト・ファイルを配置するディレクトリです。このファイルはdb2audit.instance.log.0.YYYYDDMMHHMMSS.outまたはdb2audit.db.database_name.log.0.20111104015353.outの形式で作成されます。
yes/no: yesまたはnoを入力し、監査証跡クリーンアップを有効または無効にします。yesを入力すると、Oracle AVDF DB2監査証跡によって収集されたアーカイブ済のIBM DB2監査ファイルが削除されます。この値を省略した場合、デフォルトはnoです。
database_name: (オプション)監査レコードが格納されているデータベースの名前(複数の場合はスペース区切りの名前)です。
このユーティリティでは、コマンドに名前が指定されたデータベースごとに個別のASCIIファイルが作成されます。このパラメータを省略すると、インスタンスのバイナリがASCIIファイルに変換されます。このパラメータを使用すると、表の作成や削除を取得するオブジェクト・メンテナンス(objmaint)レコードなど、監査レコードのカテゴリを収集できます。
重要: このコマンドに複数のデータベース名を入力した場合は、コマンドを実行した後に、各データベースのASCIIファイルを必ず個別のディレクトリに入れてください。
例1: 次のコマンドでは、TOOLSDBデータベースのASCIIファイルが作成され、/home/extract_dirディレクトリにファイルが置かれて、監査データを収集した後にアーカイブ・ファイルが削除されます。
DB295ExtractionUtil -archivepath /home/archive_dir -extractionpath /home/extract_dir -audittrailcleanup yes -databasename TOOLSDB
例2: 次のコマンドでは、データベース・インスタンスのASCIIファイルが作成され、/home/extract_dirディレクトリにファイルが置かれて、監査データを収集した後にアーカイブ・ファイルが削除されます。
DB295ExtractionUtil -archivepath /home/archive_dir -extractionpath /home/extract_dir -audittrailcleanup yes
スクリプトを自動的に実行するようにスケジュールする場合、次のガイドラインに従ってください。
UNIX: crontab UNIXユーティリティを使用します。スクリプトを通常どおりに実行するときに前述のパラメータを使用して指定したのと同じ情報を指定します。
Microsoft Windows: Windows Schedulerを使用します。アーカイブ・ディレクトリ・パス(リリース9.5データベースの場合のみ)、抽出パスおよびセキュア・ターゲット・データベース名をスケジュールしたタスクに指定します。
ここでのトピック
1つのDatabase Firewallで各データベースを監視している場合は、ファイアウォールで監視するすべてのセキュア・ターゲット・データベースに対して1つの強制ポイントを構成する必要があります。強制ポイントの構成では、ファイアウォールの監視モード(監視のみまたはブロック)、監視対象のセキュア・ターゲット・データベース、そのデータベースに対するネットワーク・トラフィック・ソースおよび強制ポイントに使用するDatabase Firewallを指定できます。
強制ポイントを構成する前に、データベース・ファイアウォール構成の一環としてネットワーク・トラフィック・ソースを構成します。詳細は、「ネットワーク上のDatabase Firewallの構成」を参照してください。
Audit Vault Serverコンソールで各強制ポイントを構成します。Audit Vault Serverの回復可能なペアを構成している場合は、プライマリ・サーバーで強制ポイントを構成する必要があります。
サーバーの回復可能なペアの構成の詳細は、「高可用性の構成」を参照してください。
この強制ポイントに使用する予定のDatabase Firewallにトラフィック・ソースが構成されていることを確認します。
「ネットワーク上のDatabase Firewallの構成」を参照してください。
Audit Vault Serverコンソールに管理者としてログインします。
「セキュア・ターゲット」タブをクリックし、「監視」メニューから「強制ポイント」をクリックします。
「作成」をクリックします。
この強制ポイントの名前を入力します。
データベース・ポリシー強制(DPE): SQL文をブロックまたは置換する場合に選択します。
データベース・アクティビティ監視(DAM): SQL文のログへの記録およびアラートの発生のみを実行する場合に選択します。
これらのモードの詳細は、「Database Firewall」を参照してください。
「監視するセキュア・ターゲットの選択」セクションで、セキュア・ターゲットを選択します。
ここには、指定したファイアウォールを保有するセキュア・ターゲットがリスト表示されます。指定したポリシーにSQLブロック・ルールが含まれているのにDAMモード(監視のみ)を選択した場合、SQL文はブロックされません。そのため、ポリシー・ルールによってSQL文をブロックする場合は、セキュア・ターゲットの"ブロック"・ポリシーと強制ポイントのDPE監視モードの両方を設定する必要があります。
「ファイアウォールの選択」セクションで、この強制ポイントを処理するDatabase Firewallを選択します。
「ファイアウォールの選択」セクションの下に、「トラフィック・ソースの選択」が表示されます。
「ブリッジ・インタフェース」または「プロキシ・インタフェース」領域のいずれかで、トラフィック・ソースを選択します。
トラフィック・ソースの詳細は、次のトピックを参照してください。
注意: プロキシ・トラフィック・ソースを選択した場合、他のトラフィック・ソースは選択できません。また、プロキシを選択すると、監視モードはDPEになります。「トラフィック・プロキシとしてのDatabase Firewallの構成」を参照してください。
「保存」をクリックします。
新しい強制ポイントが「強制ポイント」リストに表示され、自動的に開始します。
強制ポイントを停止または再開するには、「強制ポイント」リストからその強制ポイントを選択して「停止」または「開始」をクリックします。
作成した強制ポイントは、その設定を変更したり、データベース・レスポンス監視、データベース問合せ、ホスト監視のいずれか(あるいはすべて)を有効にするために変更できます。
強制ポイントにおける詳細設定により、BIG-IP Application Security Manager (ASM)と連携して機能するように、Oracle AVDFを構成できます。詳細は、「F5と連携して機能するためのOracle AVDFの構成」を参照してください。
強制ポイントを変更する手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインし、「セキュア・ターゲット」タブをクリックします。
「監視」メニューから「強制ポイント」をクリックした後、変更する強制ポイントの名前をクリックします。
「強制ポイントの変更」ページで、次の設定を変更できます。
セキュア・ターゲット: 監視する別のセキュア・ターゲットを選択します。
監視モード: 代替監視モードを選択します。
注意: DAMモードからDPEモードに切り替える場合、クライアントからセキュア・ターゲット・データベースへの
既存の接続を維持するかどうかを選択します。このオプションを選択した場合、既存の接続は中断されませんが、DPEモードで監視するには、セキュア・ターゲット・データベースに再接続する必要があります。
データベース・レスポンス: データベース・レスポンス・モニタリングを有効にする場合に選択します。「データベース・レスポンス・モニタリングの構成および使用」を参照してください。
データベース問合せ: データベース問合せを有効にする場合に選択します。「データベース問合せの構成および使用」を参照してください。
「保存」をクリックします。
強制ポイントを管理する手順は、次のとおりです。
ストアド・プロシージャ監査(SPA)を使用すると、Oracle AVDF監査者は、セキュア・ターゲット・データベースのストアド・プロシージャに対する変更を監査できます。Oracle AVDFは、スケジュールされた間隔でデータベース・サーバーに接続し、ストアド・プロシージャに対して行われた変更または追加があればそれを検出します。SPAは、Oracle AVDFでサポートされるすべてのデータベース・セキュア・ターゲットに対してサポートされます。「サポートされるセキュア・ターゲット」を参照してください。
SPAを有効にするには、Oracle AVDFがストアド・プロシージャ監査をセキュア・ターゲットで実行するの必要なユーザー・アカウント権限を構成するだけです。Oracle AVDFには、これらの権限を設定するスクリプトが用意されています。スクリプトの詳細は、「セキュア・ターゲットに対するOracle AVDFアカウント権限用のスクリプト」を参照してください。セキュア・ターゲット・タイプに固有のスクリプトを実行します。
Oracle AVDF監査者は、セキュア・ターゲット構成でストアド・プロシージャ監査を有効にすると、ストアド・プロシージャに対する変更をレポートで確認できます。詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
ここでのトピック
データベース問合せを使用すると、サポートされるデータベース・セキュア・ターゲットにDatabase Firewallが特定の情報を問い合せることができます。収集される情報は、データベースのタイプによって異なります。この項では、データベース問合せを使用する、次の2つの方法について説明します。
データベース問合せを使用すると、SQL文を作成したデータベース・ユーザーの名前、オペレーティング・システムおよびクライアント・プログラムの情報をネットワーク・トラフィックから取得できない場合に、Microsoft SQL ServerとSybase SQL Anywhereの監視対象データベースに問い合せて取得できます。この情報は、Audit Vault and Database Firewallのレポートで使用できます。
これら2つのデータベース用にデータベース問合せを構成するには、次のことを実行する必要があります。
データベースでAVDFデータベース問合せ用のユーザー・アカウントを作成し、そのユーザー・アカウントに特定の権限を付与します。「SQL ServerおよびSQL Anywhere用のデータベース問合せの構成」を参照してください。
AVDFで、セキュア・ターゲット・データベースを監視する強制ポイントでデータベース問合せを有効にします。「データベース問合せの有効化」を参照してください。
Database Firewallを使用して、ネットワーク暗号化を使用するOracle Databaseセキュア・ターゲットを監視している場合、そのデータベースに対する送信文および受信レスポンスを復号化して分析できるようにするためにデータベース問合せを使用する必要があります。
構成ステップの詳細は、「ネットワーク暗号化を使用するデータベース用のデータベース問合せの構成」を参照してください。
Oracleデータベースの文の復号化に関する制限
ネットワーク暗号化を使用してトラフィックを復号化するようにAudit Vault and Database Firewallを構成する際には、次の制限があります。
サポートされるOracle Databaseのバージョンは、10.x、11.1、11.2および12cです。
ネットワーク暗号化のチェックサムを使用する場合、Audit Vault and Database Firewallで文の置換は行われません。
ネットワーク暗号化のRC4暗号はサポートされません。
ここでのトピック
Microsoft SQL Server (バージョン2005、2008または2012)データベースのユーザー・アカウントを設定する手順は、次のとおりです。
問い合せるデータベースでAVDFデータベース問合せ用のユーザー・アカウントを作成します(このデータベースはAVDF内でセキュア・ターゲットである必要があります)。
このアカウントのユーザー名およびパスワードをメモします。
ステップ1で作成したユーザー・アカウントに次の権限を付与します。
VIEW ANY DEFINITIONおよびVIEW SERVER STATE(SQL Server 2005以降)
master.dbo.sysdatabases表に対するSELECT
ステップ1で作成した資格証明を使用して、このセキュア・ターゲット・データベースを監視する強制ポイントでデータベース問合せを有効にします。
「データベース問合せの有効化」を参照してください。
注意: Sybase SQL Anywhereを使用するには、Linux用のSQL Anywhere ODBCドライバをダウンロードしてインストールする必要があります。
Sybase SQL Anywhereデータベースのデータベース問合せのユーザー権限を設定する手順は、次のとおりです。
問い合せるデータベースでAVDFデータベース問合せ用のユーザー・アカウントを作成します(このデータベースはAVDF内でセキュア・ターゲットである必要があります)。
このアカウントのユーザー名およびパスワードをメモします。
ステップ1で作成したユーザー・アカウントに次の権限を付与します。
CONNECT
システム表に対するSELECT
sys.sysuser sys.sysuserauthority sys.sysremoteuser sys.sysloginmap sys.sysgroup
ステップ1で作成した資格証明を使用して、このセキュア・ターゲット・データベースを監視する強制ポイントでデータベース問合せを有効にします。
「データベース問合せの有効化」を参照してください。
ネットワーク暗号化を使用するOracle Database用にデータベース問合せを構成するには、この項のステップに従います。
重要: このステップは、Oracle Databaseリリース11.2.0.4または12cでは必要ありません。これらのリリースをご使用の場合は、このステップを実行しないでください。
サポートされている他のすべてのOracle Databaseリリースでは、ネットワーク暗号化を使用しているOracle Databaseに、この項で示されたパッチを適用する必要があります。
パッチを適用する手順は、次のとおりです。
Oracleデータベースを停止します。
バグ番号13051081のパッチを取得します。
パッチ・ファイルはp13051081_OracleVersion_Platform.zipという形式になります。例: p13051081_112030_Linux-x86-64.zip
任意のディレクトリ(以下、Patch_Directory)に、パッチの.zipファイルを解凍します。
ディレクトリPatch_Directory/13051081に移動します。
次のコマンドを実行します。
$ opatch apply
Oracle Databaseを起動します。
ネットワーク暗号化統合スクリプトを実行する手順は、次のとおりです。
Oracle AVDFユーティリティ・ファイルavdf-utility.zip (Oracle AVDFソフトウェアを使用してダウンロード)から、パッチを適用するOracle Databaseに接続できる場所にdatabaseディレクトリをコピーします。
その場所で、database/ddiディレクトリに移動し、2つのoracle圧縮ファイル(どちらも同じ内容)のいずれかをoracleというディレクトリ(推奨)に解凍します。
これで、このディレクトリには、解凍された
advanced_security_integration.sql
ユーザーの作成および権限の付与を実行する権限を持つユーザーとして、次のコマンドを実行します。
sqlplus / as sysdba @advanced_security_integration schema password
schemaには、既存のスキーマの名前を使用するか、新しいスキーマの名前を選択します。SYSTEMまたはSYSをターゲット・スキーマとして使用することをお薦めしません。スキーマが存在しない場合、ユーザーおよびスキーマが作成されます。
このコマンドにより、create session権限およびresource権限がスキーマ・ユーザーに付与されます。
スキーマのパスワードは、passwordに設定されます。
ネットワーク暗号化統合をサポートするパッケージがschemaにインストールされます。
データベース問合せを使用してデータベース・トラフィックを復号化するには、ネットワーク暗号化を使用しているOracle DatabaseにDatabase Firewall公開鍵を指定する必要があります。
Oracle Databaseに公開鍵を指定する手順は、次のとおりです。
このOracle Databaseを監視するDatabase Firewallの管理コンソールで、「システム」メニューの「公開鍵」をクリックします。
「Oracle Advanced Security復号化」に表示される公開鍵をコピーし、dbfw_public_key.txtなどのテキスト・ファイルに貼り付けます。
Database Firewallはそれぞれ独自の公開鍵を保持しています。Database Firewallの高可用性または強制ポイントの回復性を設定している場合、複数のDatabase Firewallがこのセキュア・ターゲットを監視しているとき、それぞれのDatabase Firewall公開鍵をコピーしてdbfw_public_key.txtファイルに追加する必要があります。
注意: セキュリティのため、dbfw_public_key.txtファイルにはOracle Databaseサーバー上のsqlnet.oraファイルと同じアクセス権限が必要です。
Oracle Databaseのsqlnet.oraファイルを変更して、公開鍵を挿入し、ネットワーク暗号化のネイティブ・トラフィック暗号化を必須にします。
手順2で作成したファイルをOracle Databaseサーバーのsqlnet.oraファイルと同じディレクトリ(推奨)に配置します。
sqlnet.oraファイルを開き、次のパラメータを追加します(この例では、公開鍵ファイルはdbfw_public_key.txtです)。
SQLNET.ENCRYPTION_TYPES_SERVER=AES256SQLNET.DBFW_PUBLIC_KEY="/path_to_file/dbfw_public_key.txt"SQLNET.EXCRYPTION_SERVER=REQUIRED
注意: sqlntet.oraファイルにオプション・パラメータSQLNET.ENCRYPTION_CLIENTが含まれている場合、その値をREJECTEDにすることはできません。そうしないと、エラーが発生します。
sqlnet.oraファイルを保存して閉じます。
ネットワーク暗号化の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。
「データベース問合せの有効化」の手順に従って、ネットワーク暗号化を使用するOracle Databaseに対するデータベース問合せの設定を完了します。
強制ポイントでデータベース問合せを有効にする手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「セキュア・ターゲット」タブをクリックした後、「監視」メニューから「強制ポイント」をクリックします。
問合せ対象のセキュア・ターゲットを監視する強制ポイントを探し、その強制ポイントの名前をクリックします。
「強制ポイントの変更」ページが表示されます。
ページの「データベース問合せ」セクションで、「データベース問合せの有効化」チェック・ボックスを選択します。
追加の入力フィールドが表示されます。
次の値を入力します。
データベース・アドレスおよびポート: 問合せ対象のセキュア・ターゲット・データベースのIPアドレスおよびポート番号を入力します。
データベース名: データベースまたはデータベース・インスタンスの名前を入力します。
ユーザー名: このセキュア・ターゲット用に設定したデータベース問合せユーザー名を入力します(「SQL ServerおよびSQL Anywhere用のデータベース問合せの構成」を参照してください)。
パスワードおよびパスワードの再入力: データベース問合せユーザー名のパスワードを入力します。
「保存」をクリックします。
データベース問合せを一時的に無効にできます。Audit Vault and Database Firewallでは、作成した構成情報が、次回データベース問合せを有効にするときのために保存されます。
データベース問合せを無効にする手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「セキュア・ターゲット」タブをクリックした後、「監視」メニューから「強制ポイント」をクリックします。
「強制ポイント」ページが表示され、強制ポイントとそのステータスがリスト表示されます。このリストはソートまたはフィルタ処理できます。「UIでのオブジェクト・リストの使用」を参照してください。
データベース問合せを無効にする強制ポイントを探し、その強制ポイントの名前をクリックします。
「強制ポイントの変更」ページが表示されます。
ページの「データベース問合せ」セクションで、「データベース問合せの有効化」チェック・ボックスを選択解除します。
「保存」をクリックします。
ここでのトピック
データベース・レスポンス・モニタリング機能を有効にすると、図6-1に示すように、データベース・クライアントから送信されたログイン・リクエスト、ログアウト・リクエストおよびSQL文に対するセキュア・ターゲット・データベースのレスポンスをDatabase Firewallで記録できます。この機能を使用すると、データベースでログイン、ログアウトおよび文が正常に実行されたかどうかを判別でき、監査およびフォレンジック目的の有用な情報を提供できます。
図6-1は、データベース・レスポンス・モニタリングのプロセス・フローを示しています。
Oracle AVDF監査者は、データベース・レスポンスを監査レポートで確認できます。
データベース・レスポンス・モニタリングでは、Database Firewallポリシーによってログに記録されたすべてのSQL文、ログインおよびログアウトに対するデータベース・レスポンスが記録されます。
記録される情報には、Oracle AVDFで解析されるレスポンス(「文の失敗」など)、データベースからの詳細なステータス情報、およびデータベース・レスポンス・テキスト(データベース・クライアントで表示可能)が含まれます。
ここでのトピック
セキュア・ターゲットに対してデータベース・レスポンス・モニタリングを有効にする手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「セキュア・ターゲット」タブをクリックした後、「監視」メニューから「強制ポイント」をクリックします。
「強制ポイント」ページが表示され、強制ポイントとそのステータスがリスト表示されます。このリストはソートまたはフィルタ処理できます。「UIでのオブジェクト・リストの使用」を参照してください。
セキュア・ターゲットを監視する強制ポイントを探し、その強制ポイントの名前をクリックします。
「強制ポイントの変更」ページが表示されます。
ページの「データベース・レスポンス」セクションで、「データベース・レスポンスの有効化」チェック・ボックスを選択します。
また、フル・エラー・メッセージ注釈を選択すると、データベースで生成された詳細なエラー・メッセージ・テキストがエラー・コードとともにログに記録されます。
「保存」をクリックします。
