| Oracle® Audit Vault and Database Firewall監査者ガイド リリース12.1.2 B71712-09 |
|
 前 |
 次 |
ここでのトピック
セキュア・ターゲットや、Oracle AVDF SDKを使用して開発されたサード・パーティ・プラグインについて、イベントのアラートを作成および構成できます。このようなイベントは、Audit Vault AgentまたはDatabase Firewallで収集できます。アラートは、監査ポリシーまたはファイアウォール・ポリシーとは無関係です。
アラートはルールに基づいて設定します。つまり、ルール定義(たとえば、ユーザーAが3回試行した後にクライアント・ホストBのログインに失敗)が一致すると、アラートが生成されます。1つのアラートを複数のセキュア・ターゲット(4つのOracleデータベースなど)に適用できます。このケースでは、ルールは、様々なセキュア・ターゲットの複数のイベントを含むことができます。たとえば、ユーザーAがセキュア・ターゲットXでログイン失敗し、ユーザーAがセキュア・ターゲットYでもログイン失敗するなどです。
アラートの重大度を指定し、アラートと監査イベント(付録Cから付録Gを参照)を関連付けることができます。また、セキュア・ターゲットがDatabase Firewallによって監視される場合、ファイアウォール・ポリシーに指定されるアラートに加えて、ファイアウォールによって送信される監査レコードに基づいてアラートを構成できます(「Database Firewallポリシーの作成」を参照してください)。
アラートを構成すると、電子メールをユーザー(セキュリティ担当者など)または配信リストに自動的に送信するように設定できます。電子メールのアラート通知に使用するテンプレートを構成することもできます。
アラートが生成されるのは、監査データがAudit Vault Serverデータベースに到達したときであり、アラートを生成させるアクションが発生したときではありません。イベントの発生からアラートの生成までの時間差は、監査証跡の取得頻度などの様々な要因で変化します。アラート・イベントのタイムスタンプは、イベントが発生した時刻(例: ユーザーAがログインしようとした時刻)を示します。アラートのタイムスタンプは、アラートが生成された時刻を示します。
ここでのトピック
アラートの存続中に、アラート・ステータス値を作成してアラートに割り当てることができます。Oracle AVDFでは、NewとClosedという2つのステータス値が提供されます。必要に応じて、Pendingなど追加の値を作成できます。
アラート・ステータス値を作成するには、次のようにします。
Audit Vault Serverコンソールに監査者としてログインし、「ポリシー」タブをクリックします。
左側のメニューで「アラート」をクリックし、「アラート・ステータス値の管理」をクリックします。
「アラート・ステータス値」ページが表示されます。ここで、既存のユーザー定義ステータス値を編集または削除できます。
新しいアラート・ステータスを作成するには、「作成」をクリックします。
「アラート・ステータス値の作成」ページで、次の設定を入力します。
ステータス値: ステータス値の名前(例: Pending)を入力します。
説明: 必要に応じて、ステータス値の説明を入力します。
「保存」をクリックします。
新しいアラート・ステータスが「アラート・ステータス値」ページに表示されます。
Oracle AVDFでアラートを作成するときは、アラートをトリガーする条件を定義し、送信する通知のタイプと送信先を指定します。たとえば、ユーザーXが表Yを変更しようとするたびに生成されるアラートを作成し、そのアラートを特定の電子メール通知テンプレートを使用して管理者Zに通知できます。
Oracle AVDFには、Database Firewallポリシーのアラート設定に基づいてトリガーされる事前構成済アラートがあります。作成するアラートは、Database Firewallと関連付けられていない監査および他のイベントのものです。
アラートを作成するには、次のようにします。
Audit Vault Serverコンソールに監査者としてログインし、「ポリシー」タブをクリックします。
左側のメニューで「アラート」をクリックします。
「アラート」ページに、既存アラートがリスト表示されます。既存のアラートの定義を表示または変更するには、「アラート名」フィールドで名前をクリックします。
リスト表示は「アクション」メニューで調整できます。「UIでのオブジェクト・リストの使用」を参照してください。
新しいアラートの場合は、「作成」をクリックします。それ以外の場合は、変更するアラートの名前をクリックします。
「アラートの作成」または「アラートの変更」ページが表示されます。
アラートの名前を「名前」フィールド、説明(オプション)を「説明」フィールドに入力します。
次の情報を指定します。
アラート重大度: 「警告」または「クリティカル」を選択します。
セキュア・ターゲット・タイプ: セキュア・ターゲット・タイプ(例: Oracle Database)を選択します。
しきい値: アラートを生成するために、アラート条件が一致する必要がある回数を入力します。
期間: しきい値として1よりも大きい値を入力した場合は期間(分)を入力します。この期間中に、このアラート条件がしきい値と一致していると評価される必要があります。たとえば、しきい値として3、期間として5を入力した場合、5分以内に条件が3回満たされるとアラートが生成されます。
グループ化基準: リストからフィールドを選択し、このアラート・ルールではこの列によってイベントをグループ化します。
条件: このアラートがトリガーされるためのブール条件を入力します。右側の「条件 - 使用可能なフィールド」領域に、次の形式での条件の作成に使用できるフィールドが表示されます。
:condition_field operator expression
使用可能なフィールドに対して、有効なSQL WHERE句を使用できます。たとえば、次のような条件を作成できます。
upper(:EVENT_STATUS) = 'FAILURE'
詳細は、「アラート条件の定義」を参照してください。
必要であれば、「通知」領域で次の操作を実行します。
次の情報を指定します。
テンプレート: このアラートで使用する通知テンプレートを選択します。
配信リスト: このアラートについて通知される電子メール配信リストを選択します。
宛先: 通知を受信する電子メール・アドレスをカンマで区切って入力します。
CC: 通知の複製を送信する電子メール・アドレスをカンマで区切って入力します。
「リストに追加」をクリックし、「宛先」フィールドと「CC」フィールドに入力した電子メール受信者を記録します。
「電子メール通知のテンプレートおよび配信リストの作成」も参照してください。
「保存」をクリックします。
新しいアラートが「アラート」ページに表示されます。
Audit Vault Serverコンソールの「ホーム」ページで、ダッシュボードからアラート・アクティビティを監視できます。詳細は、「アラートの監視」を参照してください。
ここでのトピック
監査アラート・ルールの作成ページの「条件」フィールドで、監査イベントを評価するブール条件を作成できます。このブール条件がTRUEと評価されると、Oracle AVDFがアラートを生成し、指定されたユーザーに通知します。一般的なガイドラインとして、アラート条件は単純にすることをお薦めします。条件が複雑すぎるとAudit Vault Serverデータベースのパフォーマンスが低下することがあります。
アラート条件の構文は次のとおりです。
:condition_field operator expression
監査アラート・ルールの作成ページには、Oracle AVDF監査レコードの使用可能なフィールドが含まれます。アラート条件を作成するために、これらを切り取って貼り付けることができます。表8-1に、アラート条件に使用できるフィールドを示します。
| 条件フィールド | 説明 |
|---|---|
|
ACTION_TAKEN |
(ファイアウォール・アラート)Database Firewallによって実行されたアクション(例: |
|
AV_TIME |
Oracle AVDFがアラートを生成した時刻 |
|
CLIENT_HOST_NAME |
アラートを引き起こしたイベントのソースであるクライアント・アプリケーションのホスト名 |
|
CLIENT_IP |
アラートを引き起こしたイベントのソースであるクライアント・アプリケーションのIPアドレス |
|
CLUSTER_TYPE |
(ファイアウォール・アラート)アラートを引き起こしたSQL文のクラスタ・タイプ。次の値を使用できます。 Data Manipulation Data Definition Data Control Procedural Transaction Composite Composite with Transaction |
|
COMMAND_CLASS |
|
|
ERROR_CODE |
セキュア・ターゲットのエラー・コード |
|
ERROR_MESSAGE |
セキュア・ターゲットのエラー・メッセージ |
|
EVENT_NAME |
|
|
EVENT_STATUS |
イベントのステータス: |
|
EVENT_TIME |
HAイベントが発生した時刻 |
|
NETWORK_CONNECTION |
セキュア・ターゲット・データベースとデータベース・クライアントの間の接続の説明。形式は次のとおりです。
次に例を示します。
|
|
OSUSER_NAME |
セキュア・ターゲットのOSユーザーの名前 |
|
SECURED_TARGET_NAME |
Oracle AVDFでのセキュア・ターゲットの名前 |
|
TARGET_OBJECT |
セキュア・ターゲットでのオブジェクトの名前(例: 表名、ファイル名またはディレクトリ名)。大文字にする必要があります( |
|
TARGET_OWNER |
セキュア・ターゲットでのオブジェクトの所有者 |
|
TARGET_TYPE |
セキュア・ターゲットでのオブジェクトのタイプ(例: |
|
THREAT_SEVERITY |
(ファイアウォール・アラート)Database Firewallポリシーで定義されている、アラートをトリガーするSQL文の脅威の重大度。 |
|
USER_NAME |
セキュア・ターゲット・ユーザーのユーザー名 |
これらのフィールドを条件で使用する場合は、前にコロンを付ける必要があります(:USER_NAMEなど)。これらのフィールドを使用して作成できる条件を次に説明します。
有効なSQL関数の使用
ユーザー定義関数を含め、すべての有効なSQL関数を使用できます。ただし、副問合せ文は使用できません。次に例を示します。
upper()
lower()
to_char()
有効なSQL演算子の使用
たとえば、次のコマンドを使用して変更できます。
not
like
<
>
in
and
null
演算子は次のガイドラインに従って使用します。
Oracle AVDFは受信する監査レコードごとにアラート条件を評価することに注意してください。
条件で問合せをネストすることはできません(例: not in SELECT...)。
ワイルドカードの使用
次のワイルドカードを使用できます。
% (0または1つ以上の文字に相当)
_ (1つの文字に相当)
条件の構成要素のグループ化
丸カッコを使用して条件の構成要素をグループ化することができます。次に例を示します。
(((A > B) and (B > C)) or C > D)
アラート条件の例
データベースの外部で使用されているアプリケーション共有スキーマ・アカウントを監視する場合について考えます。このシナリオの例では、データベース・ユーザーはAPPS、クライアントIDはNULLに設定されています。
このアラートの条件を作成するには、EVENT_NAMEフィールドとUSER_NAMEフィールドを使用可能なフィールド・リストからコピーできます。これらのフィールドを使用して次のような条件を作成します。
:EVENT_NAME='LOGON' and :USER_NAME='apps' and :CLIENT_IP=NULL
この条件では、元従業員がデータベースにログインしようとするとアラートが生成されます。
この機能は、Oracle AVDFバージョン12.1.2以上で使用できます。
レポートにアラートを表示し、アラート構成に示されている通知でアラートを受信する以外に、すべてのアラート・メッセージをsyslogに転送することもできます。
アラートをsyslogに転送する前提条件として、Oracle AVDF管理者はAudit Vault Serverでsyslog送信先を構成し、syslogカテゴリとして「アラート」を選択する必要があります。手順は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
すべてのアラートをsyslogに転送するには、次のようにします。
Audit Vault Serverコンソールにスーパー監査者としてログインします。
「ポリシー」タブをクリックします。
左側のメニューから「アラート」をクリックし、「Syslogへのアラートの転送」をクリックします。
定義済のすべてのアラートがsyslogに転送されます。
AVDFアラートは次の形式でsyslogに表示されます。
[AVDFAlert@111 name="alert_name" severity="alert_severity" url="auditor_console_URL_for_alert" time="alert_generated_time" target="secured_target" user="username" desc="alert_description"]
userおよびtargetパラメータは、このアラートに関連するユーザーまたはターゲットを0または1つ以上リストします。
例:
Apr 16 23:22:31 avs08002707d652 logger: [AVDFAlert@111 name="w_1" severity="Warning" url="https://192.0.2.10/console/f?p=7700..." time="2014-04-16T22:55:30.462332Z" target="cpc_itself" user="JDOE" desc=" "]
1つの監査レコードのデータがアラート・ルール条件に一致すると、Oracle AVDFによりアラートが生成されます。監査者は、Audit Vault Serverコンソールの「ホーム」ページのダッシュボードで最近生成されたアラートを確認できます。アラートは、生成された時刻およびアラートの重大度レベル(警告またはクリティカル)によってグループ化されます。ここで、レポートにドリルダウンできます。
Audit Vault Serverの「レポート」タブからアラート・レポートをスケジュールすることもできます。詳細は次を参照してください。
アラートを無効にする場合に、そのアラートを将来再び有効にできるようにアラート定義を保存しておくことができます。
アラートを無効化または有効化するには、次のようにします。
Audit Vault Serverコンソールに監査者としてログインし、「ポリシー」タブをクリックします。
左側のメニューで「アラート」をクリックします。
アラート・リストが表示されます。リスト表示は「アクション」メニューで調整できます。「UIでのオブジェクト・リストの使用」を参照してください。
目的のアラートを選択し、「無効」、「有効」または「削除」をクリックします。
アラートを作成した後は、アラートが生成されたときに監査者がアラートに対応します。アラートのステータスを変更したり(クローズにするなど)、他のユーザーにアラートを通知したりすることができます。
アラートに対応するには、次のステップを実行します。
Audit Vault Serverコンソールに監査者としてログインします。
次の方法のいずれかを使用して、アラートにアクセスします。
「ダッシュボード」ページで、「最近発生したアラート」リストからアラートを選択します。
「レポート」タブで、「アラート・レポート」セクションを展開し、「すべてのアラート」、「クリティカル・アラート」または「警告アラート」を選択します。レポートのデータを調整するには、「レポートのデータ表示のフィルタ処理および制御」を参照してください。
「アラート」ページのいずれかで、対応するアラートのチェック・ボックスを選択します。
次のいずれかのアクションを実行します。
他の監査者にアラートを通知します。「通知」ボタンをクリックします。「手動アラート通知」ページで、通知テンプレートを選択します。次に、配信リストを選択するか、「宛先」または「Cc」フィールドに電子メール・アドレスを入力する必要があります(両方を設定することもできます)。複数の電子メール・アドレスはカンマで区切ります。「リストに追加」ボタンをクリックしてリストをまとめ、「通知」ボタンをクリックして通知を送信します。
詳細。レポートの「詳細」列を選択して、「ノート」領域の下にアラートのステータスを更新するためのノートを入力します。
アラート・ステータスを設定します。「ステータスの設定」リストで「新規」または「クローズ」、あるいはユーザー定義ステータス値(ある場合)を選択し、「適用」ボタンをクリックします。アラートが最初に生成されたときは、「新規」に設定されます。
