| Oracle® Audit Vault and Database Firewall監査者ガイド リリース12.1.2 B71712-09 |
|
 前 |
 次 |
ここでのトピック
Oracle AVDFでは、一連のデフォルト権限レポートが提供され、Oracle Databaseセキュア・ターゲットから権限データを取得することができます。また、特定の時点の権限データのスナップショットを作成できます。ラベルを指定してグループ分けしておくと、レポート内で比較することができます。
レポートをフィルタ処理して、以前のスナップショット(ラベル)のデータを表示したり、2つのスナップショット(2つのラベル)の権限データを比較したりすることができます。たとえば、2つのスナップショットまたはラベルの間でユーザー権限がどのよに変更されたかを確認できます。
|
注意: Oracle Database 12cセキュア・ターゲットでは、マルチテナント・コンテナ・データベース(CDB)を使用しない場合、以前のバージョンのOracle Databaseの場合と同じように権限データが表示されます。CDBを使用している場合、各プラガブル・データベース(PDB)またはCDBは個別のセキュア・ターゲットとしてAudit Vault Serverで構成され、権限データはそれに応じてスナップショットおよびレポートに表示されます。 |
セキュア・ターゲットから権限データを取得し、その時点のデータのスナップショットを作成します。次を参照してください。
必要に応じて、権限スナップショットをわかりやすくグループ分けするためのラベルを作成し、ラベルをスナップショットに割り当てます。次を参照してください。
権限レポートを表示します。スナップショットとラベルを使用して、データをフィルタ処理および比較します。次を参照してください。
ここでのトピック
Oracle Databaseセキュア・ターゲットから権限データを取得すると、そのデータのスナップショットが作成され、「セキュア・ターゲット」タブの「ユーザー権限スナップショット」ページのリストに追加されます。「Oracle Databaseセキュア・ターゲットのユーザー権限データの取得」を参照してください。
権限スナップショットは、特定の時点のユーザー権限情報の状態を取得します。スナップショットには、ユーザーのメタデータと、ユーザーがそのOracle Databaseに対して持っているロール(システムおよび他のSQL権限、オブジェクト権限、ロール権限およびユーザー・プロファイル)のメタデータが含まれます。表示および管理できるのは、アクセス権を持っているセキュア・ターゲットのスナップショットだけです。
各スナップショットはセキュア・ターゲットに対して一意です。スナップショットの名前は、権限データが取得されたときに割り当てられたタイム・スタンプです(例: 9/22/2009 07:56:17 AM)。この時刻にすべてのセキュア・ターゲットの権限データを取得した場合、各セキュア・ターゲットに対してそれぞれの9/22/2012 07:56:17 AMスナップショットが生成されます。
ラベルを使用して、スナップショットをわかりやすく分類することができ、スナップショットのグループをまとめて表示したり比較したりできます。たとえば、セキュア・ターゲットpayroll、salesおよびhrそれぞれに9/22/2012 07:56:17 AMというスナップショットがあるとします。ラベルを作成して、これら3つのスナップショットをそのラベルに割り当てることができます。こうすると、3つのセキュア・ターゲットのその時点の権限データを同じレポートで一緒に比較できます。
Audit Vault Serverコンソールに監査者としてログインし、「セキュア・ターゲット」タブをクリックします。
左側の「権限スナップショット」メニューで「ラベルの管理」をクリックします。
このページから次の処理を実行します。
ラベルを作成するには、「作成」をクリックし、名前と説明(オプション)を入力して、「保存」をクリックします。
ラベルを削除するには、ラベルを選択して、「削除」をクリックします。
ラベルの名前または説明を編集するには、ラベルの名前をクリックし、変更を加えて「保存」をクリックします。
スナップショットにラベルを割り当てる前に、Oracle Databaseセキュア・ターゲットから権限データを取得する必要があります。そのたびにスナップショットが作成されます。手順については、「Oracle Databaseセキュア・ターゲットのユーザー権限データの取得」を参照してください。
権限スナップショットにラベルを割り当てるには、次のようにします。
Audit Vault Serverコンソールに監査者としてログインし、「セキュア・ターゲット」タブをクリックします。
左側の「権限スナップショット」メニューで「ラベルの管理」をクリックします。
ユーザー権限データのスナップショット・リストが表示されます。データが収集されたタイムスタンプとスナップショットに割り当てられたラベル(ある場合)も含まれます。
リスト表示は「アクション」メニューで調整できます。「UIでのオブジェクト・リストの使用」を参照してください。
スナップショットにラベルを割り当てるには、次のようにします。
スナップショットを選択し、「ラベルの割当て」をクリックします。
ドロップダウン・リストから「ラベル」を選択します。
必要に応じて説明も入力します。
「保存」をクリックします。
スナップショットを削除するには、スナップショットを選択して、「削除」をクリックします。
ここでのトピック
スナップショットおよびラベルを使用すると、レポートの権限データをフィルタ処理して比較できます。スナップショットが作成されてから、必要に応じてラベルを作成して割り当てると、権限レポートを確認するための準備が整います。
権限レポートのタイプによって、スナップショットごとの権限データまたはラベルごとの権限データを表示できます。セキュア・ターゲットごとにデータを表示するレポート(たとえば、「セキュア・ターゲット別のユーザー・アカウント」)では、特定のセキュア・ターゲットのスナップショットを表示して比較できます。他の権限レポート(ユーザー・アカウント)では、すべてのセキュア・ターゲットの権限データをラベルごとに表示して比較できます。
個々のスナップショットまたはラベルの権限レポートを確認するには、次のようにします。
Audit Vault Serverコンソールに監査者としてログインします。
「レポート」タブをクリックし、「監査レポート」ページで「権限レポート」を展開します。
目的の権限レポートのレポート・データの参照アイコンをクリックします。
権限レポートで次の操作を実行します。
レポートがセキュア・ターゲット別の場合は、セキュア・ターゲットを選択します。
「スナップショット」または「ラベル」リストでスナップショットまたはラベルを選択します。
「実行」をクリックします。
権限レポート・データが表示されます。生成されたレポートには、「スナップショット」または「ラベル」という列が含まれます。これは、このレポートでスナップショットとラベルのどちらが使用されたかを示します。ここで、「スナップショット」または「ラベル」列を展開して、その内容をフィルタ処理することができます。「レポートでのデータのフィルタ処理」を参照してください。
必要に応じて、レポートを保存できます。「カスタマイズ・レポートの保存」を参照してください。
2つのスナップショットまたはラベルの権限データを比較するには、次のようにします。
Audit Vault Serverコンソールに監査者としてログインします。
「レポート」タブをクリックし、「監査レポート」ページで「権限レポート」を展開します。
目的の権限レポートのレポート・データの参照アイコンをクリックします。
レポートで次の操作を実行します。
レポートがセキュア・ターゲット別の場合は、セキュア・ターゲットを選択します。
「スナップショット」または「ラベル」リストで、1つ目のスナップショットまたはラベルを選択します。
「比較」チェック・ボックスをクリックします。
比較のために2つ目のドロップダウン・リストからもう1つのスナップショットまたはラベルを選択します。
「実行」をクリックします。
権限レポート・データが表示され、レポートの名前に「変更」が付加されます。「カテゴリの変更」列に、2つのスナップショットまたはラベル間でデータがどのように変更されたかが示されます。ここで、データをフィルタ処理して、「変更済」、「新規」、「削除済」または「変更なし」のデータのみを表示できます。
ここでのトピック
権限レポートは、ユーザーがOracle Databaseセキュア・ターゲットに対して持っているアクセス権のタイプを示します。セキュア・ターゲットで使用される、ユーザー、ロール、プロファイルおよび権限の情報を提供します。
たとえば、権限レポートは、重要なデータのアクセス権限や特定のユーザーに割り当てられた権限などの情報を取得します。これらのレポートは、データへの不必要なアクセスの追跡、重複した権限の検出、および権限付与の簡易化に役立ちます。
デフォルト権限レポートを生成してから、ユーザー、ロール、プロファイルおよび権限情報を示すメタデータのスナップショットを表示できます。これによって、異なるスナップショット・ラベルを比較して、権限が時間とともにどのように変化したかを確認するといったタスクを実行できます。「権限レポートの生成」を参照してください。
|
関連項目:
|
「ユーザー・アカウント」レポートと「セキュア・ターゲット別のユーザー・アカウント」レポートは、ユーザー・アカウントの次の情報を表示します。ユーザー・アカウントが作成されたセキュア・ターゲット、ユーザー・アカウント名、アカウント・ステータス(LOCKEDまたはUNLOCKED)、パスワードの期限、初期ロック状態(アカウントがロックされる日付)、デフォルト表領域、一時表領域、初期リソース・コンシューマ・グループ、ユーザー・アカウントの作成日時、関連プロファイル、外部名(使用されている場合はOracle Enterprise User DN名)です。
Oracle AVDF 12.1.2の場合: Oracle 12cセキュア・ターゲットに関連する次の追加の列を選択できます。
エディション有効: このユーザーのエディションが有効かどうか。
認証タイプ: このユーザーの認証メカニズム。
プロキシのみ接続: このユーザーがプロキシを介してのみ接続できるかどうか。
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
最終ログイン時間: このユーザーの最終ログイン・タイムスタンプ。
Oracle管理: Oracle Databaseが提供するスクリプトによってユーザーが作成され、メンテナンスされているかどうか。Y値は、Oracle Databaseが提供するスクリプトを実行する以外の方法でこのユーザーを変更できないことを示します。
コンテナ: コンテナ名データベースがPDBでもCDBでもない場合、これはnullになります。
「ユーザー権限」レポートと「セキュア・ターゲット別のユーザー権限」レポートは、ユーザー権限の次の情報を表示します。権限が作成されたセキュア・ターゲット、ユーザー名、権限、スキーマ所有者、表名、列名、アクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、ユーザー権限がADMINオプションで作成されたかどうか、ユーザーが権限を他のユーザーに付与できるかどうか、および誰から権限を付与されたかです。
Oracle AVDF 12.1.2の場合: Oracle 12cセキュア・ターゲットに関連する次の追加の列を選択できます。
階層: 権限に階層オプションがあります。
タイプ: オブジェクト・タイプ(表、ビュー、順序など)。
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
コンテナ: コンテナ名データベースがPDBでもCDBでもない場合、これはnullになります。
「ユーザー・プロファイル」レポートと「セキュア・ターゲット別のユーザー・プロファイル」レポートは、ユーザー・プロファイルの次の情報を表示します。ユーザー・プロファイルが作成されたセキュア・ターゲット、プロファイル名、リソース名、リソース・タイプ(KERNEL、PASSWORDまたはINVALID)、およびプロファイル制限です。
Oracle AVDF 12.1.2の場合: Oracle 12cセキュア・ターゲットに関連する次の追加の列を選択できます。
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
コンテナ: コンテナ名データベースがPDBでもCDBでもない場合、これはnullになります。
「データベース・ロール」レポートと「セキュア・ターゲット別のデータベース・ロール」レポートは、データベース・ロールとアプリケーション・ロールの名前を表示します。ロールがセキュア・アプリケーション・ロールの場合、レポートの「スキーマ」列と「パッケージ」列に、ロールの有効化に使用された基本のPL/SQLパッケージが示されます。
Oracle AVDF 12.1.2の場合: Oracle 12cセキュア・ターゲットに関連する次の追加の列を選択できます。
Oracle管理: Oracle Databaseが提供するスクリプトによってユーザーが作成され、メンテナンスされているかどうか。Y値は、Oracle Databaseが提供するスクリプトを実行する以外の方法でこのユーザーを変更できないことを示します。
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
コンテナ: コンテナ名データベースがPDBでもCDBでもない場合、これはnullになります。
「システム権限」レポートと「セキュア・ターゲット別のシステム権限」レポートは、システム権限の次の情報を表示します。システム権限が作成されたセキュア・ターゲット、システム権限を付与したユーザー、権限名、アクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、およびADMINオプションで付与されたかどうかです。
Oracle AVDF 12.1.2の場合: Oracle 12cセキュア・ターゲットに関連する次の追加の列を選択できます。
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
コンテナ: コンテナ名データベースがPDBでもCDBでもない場合、これはnullになります。
「オブジェクト権限」レポートと「セキュア・ターゲット別のオブジェクト権限」レポートは、オブジェクト権限の次の情報を表示します。オブジェクト権限が作成されたセキュア・ターゲット、オブジェクト権限を付与したユーザー、スキーマ所有者、ターゲット名(表、パッケージ、プロシージャ、ファンクション、順序および他のオブジェクトのリスト)、列名(つまり、列レベルの権限)、権限(SELECTなど、オブジェク権限トまたはシステム権限)、オブジェクトに許可されたアクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、オブジェクト権限を付与できるかどうか、および誰が権限を付与したかです。
Oracle AVDF 12.1.2の場合: Oracle 12cセキュア・ターゲットに関連する次の追加の列を選択できます。
階層: 権限に階層オプションがあります。
タイプ: オブジェクト・タイプ(表、ビュー、順序など)。
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
コンテナ: コンテナ名データベースがPDBでもCDBでもない場合、これはnullになります。
「特権ユーザー」レポートと「セキュア・ターゲット別の特権ユーザー」レポートは、特権ユーザーの次の情報を表示します。特権ユーザー・アカウントが作成されたセキュア・ターゲット、ユーザー名、ユーザーに付与された権限、アクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、および特権ユーザーにADMINオプションが付与されたかどうかです。
12cより前のバージョンのOracle Databaseでは、特権ユーザーはこれらのロールで識別されます。
SYSDBA SYSOPER
Oracle Databaseバージョン12cの場合は、次のロール以外に、前述の2つのロールが権限ユーザーを識別します。
SYSASM SYSBACKUP SYSDG SYSKM
Oracle AVDF 12.1.2の場合: Oracle 12cセキュア・ターゲットに関連する次の追加の列を選択できます。
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
コンテナ: コンテナ名データベースがPDBでもCDBでもない場合、これはnullになります。
