| Oracle® Audit Vault and Database Firewall監査者ガイド リリース12.1.2 B71712-09 |
|
 前 |
 次 |
ここでのトピック
ここでのトピック
Database Firewallの適切なデプロイメントは、効率的なポリシーに依存しています。Audit Vault Serverコンソールの「ポリシー」タブの「ファイアウォール・ポリシー」ページに説明されているとおり、Oracle AVDFには事前構成済のファイアウォール・ポリシーが含まれています。たとえば、すべてのSQL文を記録するポリシーや、固有のSQL文のみを記録するポリシーなどがあります。また、Database Firewallポリシー・エディタを使用すると、効率的な独自のポリシーを手早く設計できます。
ポリシーの各ルールは、SQL文のタイプ、データベース・ユーザーの名前、データベース・クライアントのIPアドレス、オペレーティング・システム・ユーザー名、クライアント・プログラム名、または指定した例外の任意の組合せによって異なる場合があります。
ポリシーの開発は、新しいデータを使用してポリシーの改善と調整を続行する反復的なプロセスです。
Audit Vault Serverでファイアウォール・ポリシーを作成します。「新しいファイアウォール・ポリシーの作成」を参照してください。
ポリシーのアクションとルールを設定して、ポリシーを設計します。「ファイアウォール・ポリシーの定義」を参照してください。
ポリシーを公開し、セキュア・ターゲットに適用できるようにします。「ファイアウォール・ポリシーの公開」を参照してください。
選択したセキュア・ターゲットにポリシーを割り当てます。「セキュア・ターゲットへのファイアウォール・ポリシーのデプロイ」。
ここでのトピック
新規のファイアウォール・ポリシーを作成したり、既存のポリシーをコピーして編集できます。「ファイアウォール・ポリシーのコピー」も参照してください。
新しいファイアウォール・ポリシーを作成するには、次のようにします。
Audit Vault Serverコンソールに監査者としてログインし、「ポリシー」タブをクリックします。
「ポリシー」メニューで「ファイアウォール・ポリシー」をクリックします。
「ポリシーの作成」をクリックします。
「ポリシーの作成」ダイアログ・ボックスが表示されます。
ドロップダウン・リストから「データベース・タイプ」を選択します。
「ポリシー名」を入力します。
必要に応じて、「説明」を入力します。
「作成」をクリックします。
新しいポリシーが作成され、ポリシーの「概要」ページが表示されます。次の項を参照してください。
既存のファイアウォール・ポリシーをコピーおよび編集して、新しいポリシーを作成できます。「ファイアウォール・ポリシーの編集」も参照してください。
ファイアウォール・ポリシーをコピーするには、次のようにします。
Audit Vault Serverコンソールに監査者としてログインし、「ポリシー」タブをクリックします。
「ポリシー」メニューで「ファイアウォール・ポリシー」をクリックします。
コピーするポリシーの名前をクリックします。
「ポリシー概要」ページが表示されます。
「コピー」をクリックします。
「ポリシー名」をクリックし、「コピー」をクリックします。
編集できるのは、自分で作成またはコピーしたファイアウォール・ポリシーのみです。
ファイアウォール・ポリシーを編集するには、次のようにします。
Audit Vault Serverコンソールに監査者としてログインし、「ポリシー」タブをクリックします。
「ポリシー」メニューで「ファイアウォール・ポリシー」をクリックします。
編集するポリシーの名前をクリックします。
「ポリシー概要」ページが表示されます。
編集を加えます。詳細は、次のトピックを参照してください。
「保存」をクリックします。
新しいポリシーを作成するか、「ファイアウォール・ポリシー」ページで既存のポリシー名をクリックすると、そのポリシーの「概要」ページが表示されます。このページには、Database Firewallで監視している文タイプ(クラスタ)に適用されるポリシー・ルールが、適用可能な例外およびその他のルールとともに表示されます。
ポリシーの「概要」ページは、次のサブセクションに分かれています。
例外ルール - 作成した例外が表示されます。SQL文クラスタに割り当てたルールは、これらの例外には適用されません。リストでルールを上下に移動できます。ルールはリストされている順序で評価されます。「例外の作成」を参照してください。
分析されたSQL - ポリシー・ルールとポリシー・アクション(「警告」または「ブロック」など)を定義したSQL文クラスタの数が表示されます。「分析済SQLのポリシー・ルールの定義」を参照してください。
ノベルティ・ポリシー(任意) - セキュア・ターゲット・データベースの特定の文クラスまたは特定の表(あるいはその両方)に対して作成した特別なポリシーがリストされます。このセクションでポリシーに特定の表を指定した場合、ポリシー・ルールが適用されるのは表のいずれかと一致する場合です。「ノベルティ・ポリシーの作成」を参照してください。
ノベルティ・ポリシー(すべて) - セキュア・ターゲット・データベースの特定の文クラスまたは特定の表(あるいはその両方)に対して作成した特別なポリシーがリストされます。このセクションでポリシーに特定の表を指定した場合、ポリシー・ルールが適用されるのは表のすべてと一致する場合です。「ノベルティ・ポリシーの作成」を参照してください。
デフォルト・ルール - 分析済SQLクラスタ、例外またはノベルティ・ポリシーのルール・セットと一致しない文のデフォルト・ルールが表示されます。「デフォルト・ルールの定義」を参照してください。
ポリシー制御 - ファイアウォール・ポリシー設定を構成し、ポリシー・プロファイルを作成して、プロファイルおよび例外ルールの定義に使用するフィルタのセットを作成できます。「プロファイルおよび例外で使用するセッション・フィルタの定義」を参照してください。
ここでのトピック
Database Firewallを適切にデプロイするためには、効率的なポリシーを開発する必要があります。ファイアウォール・ポリシー・エディタを使用し、セキュア・ターゲットへのトラフィックの分析済SQLに基づいてポリシーを定義および調整できます。Oracle AVDFは、監査者がアクセスできるすべてのセキュア・ターゲットへのSQLトラフィックを調べて、SQLを分析します。その後、SQLを似ている文のクラスタにグループ化し、それらのクラスタをAudit Vault Serverコンソールのファイアウォール・ポリシーに表示します。
次に、これらのクラスタに基づいてファイアウォール・ポリシーのルールを定義できます。ファイアウォール・ポリシーのルールの定義は次のように行います。
分析済SQLの各クラスタに対して、次の設定を指定します。
アクション: Database Firewallでクラスタに一致する文が検出された場合の対応(許可、ブロックまたは警告の生成)。
ロギング・レベル: Database Firewallでのロギング(ログに記録しない、すべての文をログに記録する、またはクラスタ、ソースIPアドレス、データベース・ユーザー名、オペレーティング・システム・ユーザー名およびクライアント・プログラム名の一意の組合せの文をログに記録する)。ロギングは、データベース・アクティビティの独立した記録として使用でき、たとえば、将来の監査または法廷対応などに使用できます。
ログに直接記録されるデータが増加すると、必要なディスク領域に影響を与えるため、ロギングの量は慎重に考慮してください。サンプル・ロギングの頻度は、クラスタに対して10文ごとになります。
保証されるポリシーはタイプごとに1つであるため、初期ポリシーのポリシーでは「一意」ロギング・レベルを使用することをお薦めします。すべての文をログに記録するのではなく、トラフィックが効率的にサンプリングされます。
脅威の重大度: クラスタの文で予想される脅威。「マイナー」から「致命的」(または「未割当て」)まで、脅威の重大度設定が5段階あります。Database Firewallで文がログに記録されると、その文の脅威の重大度も記録されます。サードパーティのレポート・ツールやsyslogを使用すると、ログに記録された脅威の重大度に基づいてSQL文を表示できます。
分析済SQLのデフォルト・ポリシー設定に対する例外を作成します。
特定の文タイプが検出された場合または選択した表がコールされた場合(あるいはその両方の場合)にトリガーされるノベルティ・ポリシー(またはルール)を追加します。
他のすべてのポリシー・ルールと一致しないSQLを処理するデフォルト・ルールを定義します。
特定の基準(クライアントIPアドレスなど)に基づいて、通常のポリシーとは異なるポリシー・ルール・セットを適用するためのプロファイルを作成します。
ポリシー制御では、セッション情報に基づいて一連のフィルタを作成できます。これらは、ポリシー・プロファイルと例外のルールを定義するときに使用します。たとえば、例外ルールを定義するのは、一連のデータベース・ユーザーをルールから除外するとき、またはSQLが特定のIPアドレスから発行された場合のみルールを適用するときです。
セッション情報のフィルタには次の4種類があります。
IPアドレス・セット: データベース・クライアントのIPアドレスが指定されているリスト(IPv4形式)。
データベース・ユーザー・セット: データベース・ユーザー・ログイン名が指定されているリスト。
データベース・クライアント・セット: クライアント・プログラム(SQL*Plusなど)が指定されているリスト。
OSユーザー・セット: オペレーティング・システム・ユーザー名が指定されているリスト。
ポリシー・プロファイルおよび例外を定義する前に、まずこれらのセッション・フィルタのセットを定義する必要があります。その後、そのセッション・フィルタのセットをプロファイルまたは例外ルールに含めたり、除外できます。次を参照してください。
セッション・フィルタを定義するには、次のようにします。
Audit Vault Serverコンソールに監査者としてログインし、「ポリシー」タブを選択します。
「ファイアウォール・ポリシー」ページで、必要なポリシーの名前をクリックします。
ポリシーの「概要」ページで「ポリシー制御」セクションまで下にスクロールし、次のいずれか1つをクリックします。
選択したポリシー制御のページが表示されます。たとえば、
Policy_Name - IPアドレス・セットです。このページには、このポリシー制御にすでに定義されているセットが表示されます。
「新規セットの作成」をクリックします。
表示されるダイアログで、「新規セット名」とそのセットの最初のメンバーを入力します。
IPアドレス・セットとデータベース・クライアント・セットの場合は、IPアドレスを入力します。
データベース・クライアント・セットの場合は、クライアント・プログラム名を入力します。
データベース・ユーザー・セットとOSユーザー・セットの場合は、ユーザー名を入力します。
「セットの作成」をクリックします。
新しいセットが、このポリシー制御のページに表示されます。
このセットの適切な追加ボタン(DBクライアントの追加など)をクリックして、セットにメンバーを追加します。
ここでのトピック
特定のセッション・データが検出されたときに使用するアクション、ロギング・レベルおよび脅威の重大度は、例外によって決まります。たとえば、例外では、選択したクライアントIPアドレスまたはデータベース・ユーザー名によって生じる(または生じない)文に対してルールを指定できます。
例外は、他のすべてのポリシー・ルールに優先します。たとえば、SQL文が管理者から発生した場合、または特定のIPアドレス以外から生じた場合は、通常のポリシー・ルールに優先することが必要になる場合があります。
多数の例外を定義し、その評価順序を制御できます。例外ごとに、アクション、ロギングおよび脅威の重大度が設定されます。
例外を作成するためには、例外の定義に使用するセッション要因のセットを最初に定義する必要があります。「プロファイルおよび例外で使用するセッション・フィルタの定義」を参照してください。
例外を作成する手順は、次のとおりです。
Audit Vault Serverコンソールで「ポリシー」タブを選択します。
「ポリシー」メニューで「ファイアウォール・ポリシー」をクリックします。
「ファイアウォール・ポリシー」ページで、必要なポリシーの名前をクリックします。
「例外ルール」セクションで「例外の追加」を選択します。
「例外ルール」ページの一番上で、この例外のフィルタ基準を選択します。
IPアドレス・セット: 「包含」または「除外」を選択してから、IPアドレス・セットを選択します。
DBユーザー・セット: 「包含」または「除外」を選択してから、DBユーザー・セットを選択します。
OSユーザー・セット: 「包含」または「除外」を選択してから、OSユーザー・セットを選択します。
DBクライアント・セット: 「包含」または「除外」を選択してから、DBクライアント・セットを選択します。
たとえば、IPアドレス・セットの「包含」とDBユーザー・セットの「除外」を選択すると、この例外ルールは、選択したIPアドレス・セットが発行したSQLのみに適用され、選択したDBユーザー・セットのデータベース・ユーザーが発行したSQLには適用されません。
「例外ルール」ページの下のセクションで、このルールのフィルタ基準を満たすSQLに適用する「アクション」、「ロギング・レベル」および「脅威の重大度」を割り当てます。
(オプション)SQLがこのルールと何回も一致したときに別のアクションを適用するには、「一定数のインスタンス後のエスカレート・アクションですか。」を選択します。次の項目を入力します。
しきい値: エスカレーション・アクションを実行するために、SQLがこのルールと一致する必要がある回数を入力します。
しきい値アクション: しきい値に到達した後で実行するアクションとして「警告」または「ブロック」を選択します。
代替文: (オプション)「しきい値アクション」で「ブロック」を選択した場合、このルールと一致するSQLの代替文を入力します。手順は、「SQLのブロックおよび代替文の作成」を参照してください。
(オプション)「ノート」を入力します。
「作成」をクリックします。
ここでのトピック
すべてのファイアウォール・ポリシーにおいて、監査者としてアクセス権を持つ任意のセキュア・ターゲットへのトラフィックのSQLを見ることができます。Database Firewallはトラフィックから選択したセキュア・ターゲットへのSQL文を分析し、この文を類似したクラスタにグループ化します。ファイアウォール・ポリシーの「ポリシー概要」ページの「分析されたSQL」セクションにある一意のクラスタごとにサンプル文を見ることができます。
次に、任意のサンプル文を選択して、そのタイプの文のポリシー・ルールを設定できます。ルールには、Database Firewallが実行する必要があるアクション(「警告」または「ブロック」など)、ロギング・レベル、および脅威の重大度を指定します。
分析済SQLのファイアウォール・ポリシーを定義するには、次のようにします。
Audit Vault Serverコンソールで「ポリシー」タブをクリックします。
「ポリシー」メニューで「ファイアウォール・ポリシー」をクリックし、次にポリシー名をクリックします。
「分析されたSQL」セクションで「SQLの変更」をクリックします。
「SQLの変更」ページが表示されます(データは表示されません)。
「変更」をクリックし、次のオプションを選択して「適用」をクリックします。
プロファイル: (オプション)プロファイルを選択します。
セキュア・ターゲット: そのターゲットの分析済SQLを表示するセキュア・ターゲットを選択します。
イベント時間: SQLをフィルタ処理するために、使用可能なフィールドで時間オプションを選択します。
SQLクラスタ、クラスタの詳細およびポリシー・ステータスのリストが表示されます。「SQL文」列には、各クラスタのサンプル文が表示されます。
「アクション」メニューを使用してリストをフィルタ処理することができます。「UIでのオブジェクト・リストの使用」を参照してください。
(オプション)「レポート」ドロップダウン・リストで次のいずれか1つを選択します。
プライマリ・レポート: セキュア・ターゲットへのトラフィックのすべてのSQLクラスタが表示されます。クラスタに定義されたルールがある場合、「ポリシーに含まれる」列に「はい」と表示されます。
ポリシーのSQL文: このポリシーにルールを定義したSQLクラスタのみが表示されます。
1つ以上のクラスタを選択し、「ポリシーの設定」をクリックします。
「ポリシー制御の設定」ダイアログで、このクラスタ・タイプのSQL文に適用する「アクション」、「ロギング・レベル」および「脅威の重大度」を選択します。
(オプション)文がこのクラスタと何回も一致したときに別のアクションを適用するには、「一定数のインスタンス後のエスカレート・アクションですか。」を選択します。次の項目を入力します。
しきい値: エスカレーション・アクションを実行するために、SQL文がこのクラスタと一致する必要がある回数を入力します。
しきい値アクション: しきい値に到達した後で実行するアクションとして「警告」または「ブロック」を選択します。
代替文: (オプション)「しきい値アクション」で「ブロック」を選択した場合、このクラスタと一致するSQLの代替文を入力します。手順は、「SQLのブロックおよび代替文の作成」を参照してください。
(オプション)「ノート」を入力します。
「保存」をクリックします。
このルールを定義した文の「ポリシーに含まれる」列に「はい」と表示されます。「ポリシー概要」ページの「分析されたSQL」セクションには、ポリシー・ルールが定義され、アクションが関連付けられているクラスタの合計数が保持されます。
ここでのトピック
ノベルティ・ポリシーは、特定タイプの文または選択した表で機能する文(あるいはその両方)に使用するアクション、ロギング・レベルおよび脅威の重大度を指定します。ノベルティ・ポリシーを使用すると、特定の文が検出された場合に通常のポリシー・ルールを緩和または強化できます。
たとえば、特定の文タイプに対する通常のポリシー・アクションが「警告」であるときに、情報公開を含む表に対してこの文タイプが作用する場合は「成功」アクションを適用するようにノベルティ・ポリシーを設定することが必要になる場合があります。あるいは、機密情報が記載されている表に対して作用するすべての文をブロックするノベルティ・ポリシーの設定が必要な場合もあります。
Audit Vault Serverコンソールで「ポリシー」タブを選択します。
「ポリシー」メニューで「ファイアウォール・ポリシー」をクリックします。
「ファイアウォール・ポリシー」ページで、必要なポリシーの名前をクリックします。
「ポリシー概要」ページが表示されます。
次のいずれかのセクションで「ノベルティ・ルールの追加」をクリックします。
ノベルティ・ポリシー(任意) - このセクションにノベルティ・ルールを追加し、ルールで特定の表を選択すると、選択した表のいずれかが文に含まれる場合に、ノベルティ・ルールが適用されます。
ノベルティ・ポリシー(すべて) - このセクションにノベルティ・ルールを追加し、ルールで特定の表を選択すると、文のすべての表がルールで選択された場合に、ノベルティ・ルールが適用されます。(文に含まれる表よりも多くの表を選択できます。)
「ノベルティ・ポリシー(任意)」ルールは「ノベルティ・ポリシー(すべて)」ルールよりも先に評価されます。詳細は、「ノベルティ・ポリシー適用の順序」を参照してください。
「ノベルティ・ポリシー詳細」ダイアログで次の項目を定義します。
ノベルティ・ルール: このルールの名前を入力します。
文クラス: (オプション)このルールを適用するためにSQL文が一致する必要がある文のタイプを1つ以上選択します。
ポリシー制御: 対応するドロップダウン・リストからこのルールの「アクション」、「ロギング・レベル」および「脅威の重大度」を選択します。
置換: (オプション)このフィールドが表示されるのは、「アクション」として「ブロック」を選択した場合のみです。ブロックされたSQL文を置換する文を入力します。「SQLのブロックおよび代替文の作成」を参照してください。
影響を受けた表: (オプション)文をこのポリシーと照合するために使用する表を選択します。手順4で選択したノベルティ・ポリシー・セクションに基づいて表が照合されます。
「作成」をクリックします。
新しいノベルティ・ポリシーは、「ノベルティ・ポリシー(任意)」または「ノベルティ・ポリシー(すべて)」の該当するセクションに表示されます。
Database Firewallは、最初にノベルティ・ポリシー・ルールのいずれかの表と一致グループと文を比較します。いずれかの表と一致ルールでは、文がルールと一致するために文内の表の少なくとも1つが選択した表と一致する必要があります。文が複数のいずれかの表と一致ルールと一致する場合は、より厳格なポリシーが使用されます。たとえば、ブロックするポリシーは、警告を発するポリシーより優先されます。
文がいずれかの表と一致グループの下のルールと一致しない場合、Database Firewallはすべての表と一致グループ内のルールと文を比較します。いずれかの表と一致ルールでは、文内の表のすべてが選択した表に含まれる必要があります。同様に、文がこのグループ内の複数のルールと一致する場合、より厳格なアクションが適用されます。
文クラスのみが一致し、表が一致しないノベルティ・ポリシーを作成した場合、ノベルティ・ポリシーはポリシーの定義時にどちらを選択したかに応じていずれかの表と一致またはすべての表と一致グループで評価されます。
ファイアウォール・ポリシーのノベルティ・ポリシーには2つのグループがあります。これらは、「ポリシー概要」ページの「ノベルティ・ポリシー(任意)」セクションと「ノベルティ・ポリシー(すべて)」セクションに表示され、この順に評価されます。「ノベルティ・ポリシー適用の順序」を参照してください。
次に、ノベルティ・ポリシー・ルールの使用例を示します。
ノベルティ・ポリシーを「ノベルティ・ポリシー(任意)」セクションで作成します。このセクションのノベルティ・ポリシー・ルールが最初に評価されます。
「文クラス」では「トランザクションを含むコンポジット」を選択します。また、表AVG_COST、BOOKSおよびBUSINESS_CONTACTSを選択します。
このルールと一致する文は、「トランザクションを含むコンポジット」クラスであり、選択した表のいずれかを含む必要があります。このルールは、このセクションのノベルティ・ポリシー・ルールのグループと一緒に評価されます。このグループのルールが最初に評価されます。
ノベルティ・ポリシーを「ノベルティ・ポリシー(すべて)」セクションで作成します。このセクションのノベルティ・ポリシー・ルールが2番目に評価されます。
「文クラス」では、「プロシージャ型」と「コンポジット」を選択します。また、表AVG_COST、BOOKSおよびBUSINESS_CONTACTSを選択します。
一致する文が「プロシージャ型」クラスまたは「コンポジット」クラスで、文のすべての表が、AVG_COST、BOOKSまたはBUSINESS_CONTACTSのうち少なくとも1つの表と一致する必要があります。つまり、文はこれらの表の1つ、または2つあるいは3つすべてを含むことができます。ただし、異なる表が文に含まれる場合、その文はこのルールと一致しません。
ここでのトピック
デフォルト・ルールには、他のポリシー・ルールに該当しないすべての文のアクション、ロギング・レベルおよび脅威の重大度を指定できます。Database Firewallでそのような文が検出されると、デフォルト・ルールが適用されます。
デフォルト・ルールのオプションで、1分当たりに類似したいくつかの文が表示された後に異なるアクションを適用するか、代替文を提供できます(あるいはその両方)。
デフォルト・ルールのアクションでブロックするように設定しても、ノベルティ・ポリシー、例外または無効な文ポリシーのアクションがパスまたは警告に設定されると、デフォルト・ルールのブロック・アクションが弱体化し、ファイアウォール・ポリシー全体のセキュリティも弱くなります。
Audit Vault Serverコンソールで「ポリシー」タブを選択します。
「ポリシー」メニューで「ファイアウォール・ポリシー」をクリックします。
「ファイアウォール・ポリシー」ページで、必要なポリシーの名前をクリックします。
「ポリシー概要」ページが表示されます。
「デフォルト・ルール」セクションまで下にスクロールし、「デフォルト・ルール」リンクをクリックします。
デフォルト・ルールの編集ページで、「アクション」、「ロギング・レベル」および「脅威の重大度」を割り当てます。
(オプション)文がデフォルト・ルールに何回も一致したときに別のアクションを適用するには、「一定数のインスタンス後のエスカレート・アクションですか。」を選択します。次の項目を入力します。
しきい値: エスカレーション・アクションを実行するために、SQLがデフォルト・ルールと一致する必要がある回数を入力します。
しきい値アクション: しきい値に到達した後で実行するアクションとして「警告」または「ブロック」を選択します。
置換: (オプション)「しきい値アクション」で「ブロック」を選択した場合、このルールと一致するSQLの代替文を入力します。手順は、「SQLのブロックおよび代替文の作成」を参照してください。
「変更の適用」をクリックします。
Database FirewallがDPE (つまりブロック)モードの場合は、特定のSQL文をブロックするようにファイアウォール・ポリシーを構成できます。
SQL文をブロックするとき、ブロックされる文を別のSQL文で置き換えることもできます。文がブロックされるときにデータベース・クライアントが適切なエラー・メッセージまたは応答を受け取るには、代替文が必要になる場合があります。
文をブロックしたり代替文を作成したりするときは、次の点に注意してください。
文が指定した回数発生した場合のブロックまたは警告: 選択したクラスタに一致する文が1分間当たりの指定回数(しきい値)発生した場合は、SQL文をブロックするか、警告を生成するように選択できます。ブロックされた文のロギングは常に有効にする必要があります。
代替SQL文の作成: 代替文の結果をクライアント・アプリケーションで処理できることを確認する必要があります。
次の例は、Oracle Databaseセキュア・ターゲットで使用できる適切な代替文です。この文は無害であり、値を返したり、パフォーマンスに影響を与えたりすることはありません。
SELECT 100 FROM DUAL
ここでのトピック
データベース・ユーザーのログインおよびログアウト・ポリシーを指定できます。ログインとログアウトに設定したルールが違反されると、これらのポリシーによってアラートが送信されます。データベースに対する自動化された攻撃に対処する場合に役立ちます。データベース・ユーザーのログインまたはログアウト時にアラートを生成したり、指定した回数のログイン試行に失敗したデータベース・ユーザーをブロックするようにシステムを構成することもできます。
|
注意: セキュア・ターゲット・データベースに対してログイン/ログアウト・ポリシーを使用するために、そのデータベースを監視している強制ポイントの設定にあるデータベース・レスポンス・モニタリングをアクティブにする必要があります。手順は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。 |
ログインおよびログアウト・ポリシーを構成する手順は、次のとおりです。
Audit Vault Serverコンソールで「ポリシー」タブを選択します。
「ポリシー」メニューで「ファイアウォール・ポリシー」をクリックします。
「ファイアウォール・ポリシー」ページで、必要なポリシーの名前をクリックします。
「ポリシー概要」ページが表示されます。
「ポリシー制御」セクションまで下にスクロールし、「設定」をクリックします。
ログイン/ログアウト・ポリシー・セクションで次のように構成します。
ログイン・ポリシー: データベース・ユーザーのログイン成功またはログイン失敗で使用する「アクション」レベルおよび「脅威の重大度」と、ログインの「ロギングの有効化」を実行するかどうかを指定します。
失敗ログイン・ポリシー: (オプション)「失敗したログイン・ポリシーのエスカレーションの有効化」を選択します。失敗ログインが続いて指定した回数になったときに、アラートの生成またはクライアントのブロックを行うことができます。トリガーされると、指定したリセット期間の間はログインのブロックが継続します。この期間が終了すると、データベース・クライアントはログインを再試行できます。
ログアウト・ポリシー: データベース・ユーザーのログアウト成功またはログアウト失敗で使用する「アクション」レベルおよび「脅威の重大度」と、ログアウトの「ロギングの有効化」を実行するかどうかを指定します。
ログイン/ログアウト・ポリシー・セクションで「保存」をクリックします。
Database Firewallはすべてのパスワードを不明瞭化します。他の機密データをマスキングするためのルールを設定することもできます。機密データのマスキングによって、クレジット・カード番号などの機密データがログ・ファイルに表示されないようにします。ログに記録された文が、データ・マスキング・ポリシーと一致している場合は、その文のすべてのユーザー・データ(リテラル、整数定数、16進定数、浮動小数定数など)が代替の文字で自動的に置換されます。使用される文字はデータ型によって異なります。
|
注意: 機密データがマスクされた後は、マスク解除することはできません。 |
機密データのマスキングのルールを設定するには、次のようにします。
Audit Vault Serverコンソールで「ポリシー」タブを選択します。
「ポリシー」メニューで「ファイアウォール・ポリシー」をクリックします。
「ファイアウォール・ポリシー」ページで、必要なポリシーの名前をクリックします。
「ポリシー概要」ページが表示されます。
「ポリシー制御」セクションまで下にスクロールし、「設定」をクリックします。
「機密データのマスキング」セクションで次のように構成します。
「機密データのマスク」を選択または選択解除します。
すべての文または基準と一致する文のみを選択します。
基準に基づいたマスクを選択した場合は、基準を入力します。
列を含む: データベースの列を入力します。
プロシージャを含む: 「いずれか」を選択するかプロシージャを入力します。
無効な文を含むかどうかを選択します。
「機密データのマスキング」セクションで「保存」をクリックします。
認識されないSQL文(SQL構文に準拠していない文など)のためのポリシー・ルールを設定できます。
無効なSQLのポリシー・ルールを設定するには、次のようにします。
Audit Vault Serverコンソールで「ポリシー」タブを選択します。
「ポリシー」メニューで「ファイアウォール・ポリシー」をクリックします。
「ファイアウォール・ポリシー」ページで、必要なポリシーの名前をクリックします。
「ポリシー概要」ページが表示されます。
「ポリシー制御」セクションまで下にスクロールし、「設定」をクリックします。
「無効な文ポリシー」セクションで、「アクション」、「ロギング・レベル」および「脅威の重大度」を割り当てます。
(オプション)無効なSQL文が何回も出現したときに別のアクションを適用するには、「一定数のインスタンス後のエスカレート・アクションですか。」を選択します。次の項目を入力します。
しきい値: エスカレーション・アクションを実行するために、無効なSQLが出現する必要がある回数を入力します。
しきい値アクション: しきい値に到達した後で実行するアクションとして「警告」または「ブロック」を選択します。
置換: (オプション)「しきい値アクション」で「ブロック」を選択した場合、無効なSQLの代替文を入力します。手順は、「SQLのブロックおよび代替文の作成」を参照してください。
ファイアウォール・ポリシーのグローバル設定を構成するには、次のようにします。
Audit Vault Serverコンソールで「ポリシー」タブを選択します。
「ポリシー」メニューで「ファイアウォール・ポリシー」をクリックします。
「ファイアウォール・ポリシー」ページで、必要なポリシーの名前をクリックします。
「ポリシー概要」ページが表示されます。
「ポリシー制御」セクションまで下にスクロールし、「設定」をクリックします。
「グローバル設定」セクションで次のように構成します。
「ロギング」で、「ログ・ファイルからのバイナリ・オブジェクトおよびコメントの削除」を行うかどうかを選択します。
「ポリシー」の「しきい値アクションのリセット時間(分)」フィールドに分数を入力します。ポリシー・ルールのいずれかに「しきい値」を設定した場合、そのルールの「しきい値アクション」が実行されると、ここに指定した時間内はそのアクションが繰り返されません。これによって、同一のルールに関するブロック・アクションまたは警告アクションの数が制限されます。
「ポリシー」の「置換なしの場合は次のブロック・アクションに設定」フィールドでは、ポリシー・ルールの1つが「ブロック」に設定されているが、そのルールには代替文が指定されていない場合に実行するアクション(「応答なし」または「接続の削除」)を選択します。
「構文」で、「二重引用符で囲まれた文字列を識別子として扱う」かどうかを選択します。これにより、SQL文に含まれる二重引用符で囲まれた文字列を識別子とリテラルのどちらとして扱うかが決まります。このチェック・ボックスの選択を解除すると、機密データ・マスキング(使用している場合)は二重引用符で囲まれたテキストをマスクします。
「大文字と小文字の区別」で、このファイアウォール・ポリシーが、クライアント・プログラム名、データベースまたはOSユーザー名の「大文字/小文字を区別した一致」を行うかどうかを選択します。
「グローバル設定」セクションで「保存」をクリックします。
ここでのトピック
ファイアウォール・ポリシー内で、プロファイルを使用すると、SQL文に関連付けられたセッション・データに基づいて様々なポリシー・ルール・セットを定義できます。
プロファイルを定義するには、ファイアウォール・ポリシーの「ポリシー制御」セクションで定義したセッション・フィルタを使用します。「プロファイルおよび例外で使用するセッション・フィルタの定義」を参照してください。
このようなセッション・フィルタは、次の値に基づいてSQL文をフィルタ処理します。
プロファイルは例外とは異なりますが、どちらも前述のセッション要因を使用して定義されます。例外を使用すると、通常のポリシーの分析済SQLのすべてのルールを回避できますが、プロファイルを使用すると、分析済SQLの任意のクラスタに対してセッション要因に基づいてルールを定義できます。
たとえば、特定のデータベース・ユーザー・セットから発行された分析済SQLのためにまったく異なるルール・セットを定義する場合には、プロファイルを作成できます。このデータベース・ユーザー・セットのユーザーがデータベースにアクセスすると、通常のポリシー・ルールのかわりにこのプロファイルのポリシー・ルールが使用されます。
1つのSQL文が、複数のプロファイルと一致する可能性があります。この場合、Database Firewallでは、一致するすべてのプロファイルの中で最も深刻なアクション、ロギング・レベルおよび脅威の重大度が使用されます。
プロファイルを作成するためには、フィルタ処理目的で使用するように定義された要因のセットが必要です。「プロファイルおよび例外で使用するセッション・フィルタの定義」を参照してください。
プロファイルを作成するには:
Audit Vault Serverコンソールに監査者としてログインし、「ポリシー」タブを選択します。
「ファイアウォール・ポリシー」ページで、必要なポリシーの名前をクリックします。
このページの「ポリシー制御」セクションで「プロファイル」をクリックします。
「ポリシー・プロファイル」ページが表示され、既存のプロファイルが示されます。プロファイル名をクリックすると編集できます。
新規プロファイルの作成をクリックします。
「プロファイルの作成」ダイアログで次の項目を入力します。
プロファイル名: プロファイルの名前を入力します。
DBユーザー・セット: リストから、使用可能なデータベース・ユーザー・セットを選択するか、選択せずそのままにしておきます。
OSユーザー・セット: リストから、使用可能なオペレーティング・システム・ユーザー・セットを選択するか、選択せずそのままにしておきます。
DBクライアント・セット: リストから、使用可能なクライアント・プログラム・セットを選択するか、選択せずそのままにしておきます。
|
注意: クライアント・プログラム名とOSユーザー名はクライアントによって提供されているため、環境によっては信頼できない場合があります。 |
「プロファイルの作成」をクリックします。
プロファイルは、「ポリシー概要」ページの「分析されたSQL」セクションに表示されます。ここで、このプロファイルを選択して、分析済SQLのポリシー・ルールを設定できます。これらのルールは、このプロファイルが一致すると通常のルールよりも優先されます。「分析済SQLのポリシー・ルールの定義」を参照してください。
ここでのトピック
ファイアウォール・ポリシーは公開する前に、必要に応じて十分に編集してください。ポリシーを公開すると、セキュア・ターゲットに割り当てることができます。
一度セキュア・ターゲットに割り当てたファイアウォール・ポリシーは編集できません。ただし、ポリシーをコピーしてから、別の名前を付けて変更することはできます。ポリシーの新たな変更内容に問題がなければ、そのポリシーを公開してセキュア・ターゲットに割り当てることができます。
ファイアウォール・ポリシーを公開するには、次のようにします。
Audit Vault Serverコンソールで「ポリシー」タブをクリックします。
「ポリシー」メニューで「ファイアウォール・ポリシー」をクリックし、次に公開するポリシーの名前をクリックします。
「公開」をクリックします。
ファイアウォール・ポリシーの公開ジョブが開始されます。「設定」タブの「ジョブ」をクリックして、公開ジョブのステータスを確認できます。
ポリシーが公開されると、セキュア・ターゲットのページで選択できるようになります。「セキュア・ターゲットへのファイアウォール・ポリシーのデプロイ」を参照してください。
