ここでのトピック
このドキュメントの最新バージョンは次のWebサイトからダウンロードできます。
http://www.oracle.com/pls/topic/lookup?ctx=avdf121
他のOracle製品のマニュアルは次のWebサイトにあります。
ここでのトピック
Oracle Audit Vault and Database Firewall (AVDF)は、データベースとサポート対象のオペレーティング・システムを2つの方法で保護します。
データベースに関しては、監査者が作成したファイアウォール・ポリシーに基づいてSQL文の監視またはブロック(あるいは両方)を行うデータベース・ファイアウォールを提供し、一連のファイアウォール・レポートを提供します。
データベースとサポート対象オペレーティング・システムに関しては、監査データを収集し、監査レポートとして提供します。Oracleのデータベースの場合は、Oracle AVDFで監査者が監査ポリシーを設定し、Audit Vault Serverコンソールからポリシーをプロビジョニングできます。
セキュア・ターゲットとは、Oracle AVDFを使用して監視および保護するすべてのデータベースまたは他のターゲット・タイプ(オペレーティング・システムなど)です。製品出荷時にサポートされるセキュア・ターゲット・タイプは次のとおりです。
Oracle Database
IBM DB2 for LUW
Microsoft SQL Server
MySQL
SQL Anywhere
Sybase
Solarisオペレーティング・システム
Oracle ACSF
Windowsオペレーティング・システム
Windows Active Directory
Linuxオペレーティング・システム
セキュア・ターゲットのタイプやバージョンそれぞれでサポートされる特定のOracle AVDF機能は、
『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
Oracleまたはサード・パーティから提供されるカスタム・プラグインをデプロイすると、他のタイプのセキュア・ターゲットを監視できます。また、独自のカスタム・プラグインを作成するために、『Oracle Audit Vault and Database Firewall開発者ガイド』も提供されています。
追加プラットフォーム情報
現在のリリースのプラットフォーム・サポートの詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。
さらに、以前のリリースのプラットフォーム情報は、次のWebサイトの記事1536380.1を参照してください。
Oracle AVDFの監査機能を使用して、監査者が構成および管理できる項目は次のとおりです。
ファイアウォール・ポリシー
Oracle Databaseの監査ポリシー
レポートおよびレポート・スケジュール
Oracle Databaseの権限監査データのフェッチ
ストアド・プロシージャ監査
アラートおよび電子メール通知
セキュア・ターゲットおよびセキュア・グループのアクセス権限(スーパー監査者のみ)
Oracle AVDFの管理機能を使用して、管理者が構成および管理できる項目は次のとおりです。
セキュア・ターゲット、ホスト・コンピュータおよび監査証跡コレクション
Audit Vault Agentデプロイメント
データベース・ネットワークでのDatabase Firewall
監査データのライフサイクル、アーカイブおよびパージ
高可用性
サード・パーティの統合
セキュア・ターゲットおよびセキュア・グループのアクセス権限(スーパー管理者のみ)
管理機能の詳細は、『Oracle Audit Vault and Database Firewall開発者ガイド』を参照してください。
Oracle AVDFは次のサード・パーティ製品と統合できます。
BIG-IP Application Security Manager(ASM): F5 Networks社のこの製品は高度なWebアプリケーション・ファイアウォール(WAF)で、Webベースの様々な攻撃に対してネットワークのエッジで包括的な保護を実現します。これによって、各HTTPおよびHTTPSリクエストが分析され、攻撃がWebアプリケーション・サーバーに達する前に潜在的な攻撃をブロックします。
ArcSight Security Information Event Management(SIEM): この製品は、様々なソースからのsyslogメッセージをログに記録し、分析および管理するための集中管理システムです。
このような統合の構成の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
ここでのトピック
Oracle AVDFには、Audit Vault Server、Database FirewallおよびAudit Vault Agentが含まれます。図1-1は、これらの構成要素がどのように連携しているかを概要レベルで示しています。
Oracle AVDF構成要素のプロセス・フローは次のとおりです。
セキュア・ターゲットごとに、Audit Vault Agentがデプロイされ、そのターゲットを保護するようにDatabase Firewallがネットワークに配置および構成されます(または、いずれか一方が行われます)。
エージェントがデプロイされると、セキュア・ターゲットから適切な監査証跡を収集するようにOracle AVDFが構成されます。Database Firewallがターゲットを保護する場合、ファイアウォール・ポリシーがそのターゲットに適用されています。
同じAudit Vault Serverを使用して、様々なデータベース製品ファミリおよびデータベース以外の製品からのセキュア・ターゲットを複数構成できます。
Audit Vault Agentは監査データをセキュア・ターゲットから取得し、そのデータをAudit Vault Serverに送信します。
Database Firewallは、データベース・セキュア・ターゲットへのSQLトラフィックを監視し、そのデータをAudit Vault Serverに送信します。ファイアウォールの構成は、監視とアラート生成のみ、またはSQLトラフィックのブロックを行うように構成できます。さらに、ポリシーに基づいて文を置き換えることもできます。
Audit Vault Serverは、Audit Vault AgentとDatabase Firewallからデータを収集して、内部データ・ウェアハウスに格納します。
データ・ウェアハウスは、このデータを内部ディメンション表のセットに編成します。Audit Vault Serverは、監査者および管理者用に他の情報も格納します。
監査データがデータ・ウェアハウスのディメンション表に格納されたら、監査者は、レポートを生成およびカスタマイズし、電子メール通知を構成できます。
作成するセキュリティ設定などのすべての設定は、このサーバーに格納されます。
Audit Vault Serverには、セキュア・ターゲットでの監査データの収集やファイアウォール・ポリシーの適用を行うようにOracle AVDFを構成するために必要なツールが含まれます。Audit Vault ServerにはOracleデータベースも含まれ、データ・ウェアハウスを介してレポート・ツールでデータベースを利用できます。
Audit Vault Serverでは次のサービスが提供されます。
監査データの収集およびライフサイクルの管理
Audit Vault Agentの管理
Database Firewallの管理
監査ポリシーおよびファイアウォール・ポリシーの管理
レポート
アラートおよび通知の管理
ユーザー権限の監査
ストアド・プロシージャ監査
アーカイブおよびバックアップ
高可用性モード
Oracle Business Intelligence Publisherなどのレポート作成ツールとともに使用して、カスタマイズされたレポートを作成できる公開データ・ウェアハウス
ユーザー・アクセスの管理
サード・パーティの統合
Database Firewallは、Database Firewallソフトウェアを実行する専用サーバーです。各Database Firewallは、セキュア・ターゲット・データベースからSQLデータを収集した後、レポートで分析するためにこのデータをAudit Vault Serverに送信します。
Oracle AVDFの監査では、データベース・セキュア・ターゲットへのSQLトラフィックをDatabase Firewallで処理する方法についてルールを定義するファイアウォール・ポリシーを作成できます。ファイアウォール・ポリシーによって、特定のタイプのSQL文に対して生成するアラートのタイプを指定します。また、SQL文をいつブロックするか、潜在的に有害なSQLを無害なSQL文でいつ置き換えるかを指定します。このために、Database Firewallを次の2つのモードのいずれかで実行できます。
DPEモード: データベース・ポリシー強制。このモードでは、Database Firewallがファイアウォール・ポリシーのルールを適用して、セキュア・ターゲット・データベースへのSQLトラフィックの監視、トラフィックのブロック、または潜在的に有害なSQL文の無害なSQL文での置換を行います。
DAMモード: データベース・アクティビティ・モニタリング。このモードでは、Database Firewallがファイアウォール・ポリシーのルールを適用して、セキュア・ターゲット・データベースへの潜在的に有害なSQLトラフィックの監視とアラートの生成を行います。ただし、SQL文のブロックまたは置換は行いません。
Database Firewallでのデータベース・セキュア・ターゲットの保護方法を制御するために、管理者はセキュア・ターゲットごとに強制ポイントを構成します。強制ポイントは、ファイアウォールをDPEモードとDAMモードのどちらで実行するか、セキュア・ターゲットに適用するファイアウォール・ポリシー、および他の設定を指定します。
Agentは監査証跡データをセキュア・ターゲット・データベースから取得し、Audit Vault Serverに送信します。Agentは、Oracle Call Interface(OCI)およびJDBCのパスワードベースの認証を使用して、有効および無効な監査レコードの送信、構成情報の取得、エラー・レコードの送信を行います。Agentが停止しても、セキュア・ターゲット・データベースでは監査証跡が引き続き作成されます(監査が有効化されている場合)。次にAgentを再起動したときに、Oracle AVDFにより、Agentの停止以降に累積されていた監査データが取得されます。
Audit Vault Agentには、ネットワークを経由するデータベースへのSQLトラフィックを監視し、この情報をDatabase Firewallに送信するホスト監視ソフトウェアも含まれています。ホスト監視の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
Oracle AVDFの管理者は、ホストごとに1つのAudit Vault Agentを構成し、個別のセキュア・ターゲット・データベースごとに1つ以上の監査証跡を構成します。すべての管理機能の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
監査者は、Audit Vault Serverコンソールを使用して、Oracle AVDFを使用して監視しているデータベースまたはデータベース以外について次の項目を構成します。
セキュア・ターゲット - 監査者が監視するターゲットごとに、Oracle AVDF管理者がAudit Vault Serverでセキュア・ターゲットを構成する必要がかります。監査者は、その後でセキュア・ターゲットの監査ポリシーまたはファイアウォール・ポリシー(あるいは両方)と他の要件を指定できます。「セキュア・ターゲットの理解」を参照してください。
ファイアウォール・ポリシー - サポート対象のすべてのデータベースについて、Database Firewallを使用し、セキュア・ターゲットで分析されたSQL文に基づいてファイアウォール・ポリシーを設計できます。詳細は、「Database Firewallポリシーの作成」を参照してください。
監査ポリシー - Oracleデータベースについて、Oracle AVDFを使用して監査ポリシーを設計し、データベースにプロビジョニングすることができます。詳細は、「Oracleデータベースの監査ポリシーの作成」を参照してください。
アラートおよび通知 - 監視するセキュア・ターゲットに対して指定する条件に基づいて単純なアラートまたは複雑なアラートを作成できます。電子メール・テンプレートを使用してアラート通知を指定することもできます。詳細は、「アラートの作成」を参照してください。
監査証跡 - すべてのセキュア・ターゲット・タイプについて、監査証跡のステータスを監視し、監査レポートを表示することができます。「監査証跡リストの表示」を参照してください。
レポート - Oracle AVDFでは多様な監査レポートとファイアウォール・レポートをスケジュールおよび生成し、レポート通知を作成できます。独自のカスタマイズ・レポートを追加することもできます。詳細は、「レポートの生成」を参照してください。
Oracle AVDFの監査者ロール
Oracle AVDFには2つの監査者ロールがあり、アクセス・レベルが異なります。
スーパー監査者 - このロールは、すべてのセキュア・ターゲットのアクセス権を持ち、特定のセキュア・ターゲットとグループのアクセス権を監査者に付与できます。スーパー監査者は、スーパー監査者ロールを他のユーザーに割り当てることもできます。
監査者 - このロールは、スーパー監査者からアクセス権を付与されたセキュア・ターゲットのデータしか見ることができません。
「アクセスおよび他の設定の管理」を参照してください。
セキュア・ターゲットとは、Oracle AVDFで監視する、すべてのサポート対象データベースまたはデータベース以外の製品です。セキュア・ターゲットは、Audit Vault AgentまたはDatabase Firewall (あるいは両方)で監視できます。
Oracle AVDFの管理者が、ホスト・アドレス、ユーザー名、パスワードおよび他の必要な情報を指定して、セキュア・ターゲットを作成および構成します。
セキュア・ターゲットがDatabase Firewallによって監視される場合、Oracle AVDF管理者はDatabase Firewallを構成します。また、各セキュア・ターゲットの強制ポイントも構成します。
セキュア・ターゲットが構成されると、監査者は各ターゲットで次のことを実行できます。
監査データの収集
ストアド・プロシージャ監査(SPA)の有効化
ターゲットがDatabase Firewallで保護されるデータベースの場合:
ファイアウォール・ポリシーの設計と適用
構成された強制ポイントのステータスの表示
セキュア・ターゲットがOracleデータベースの場合:
監査ポリシーの定義とプロビジョニング
ユーザー権限情報の取得
データ保存ポリシーの設定
様々なレポートの生成
監査証跡ステータスの監視
スーパー監査者は、アクセスを制御するためにセキュア・ターゲット・グループを作成できます。スーパー監査者は、個々のセキュア・ターゲットまたはターゲット・グループへのアクセス権を監査者に付与します。
セキュア・ターゲットの詳細は、「セキュア・ターゲットの管理」を参照してください。
Oracle AVDFでは、データベース・ファイアウォールを使用してデータベース・セキュア・ターゲットを保護できます。ファイアウォールは、データベースへのSQLトラフィックを監視し、アクティビティをロギングし、アラートを送信します。また、特定のタイプのSQL文をブロックし、構成した代替文で置き換えることもできます。
ファイアウォール・ポリシーは、セキュア・ターゲット・データベースへのSQLトラフィックをデータベース・ファイアウォールがどのように処理するかを決定します。Oracle AVDFには、ファイアウォール・ポリシーを設計できるファイアウォール・ポリシー・エディタが含まれます。ポリシーを設計するには、現在のSQL文トラフィックを分析してから、それらの文に基づいてファイアウォール・ポリシーの設定を構成します。
Audit Vault Serverポリシー・エディタでポリシーを設計したら、監査コンソールでセキュア・ターゲットにポリシーをアンロードできます。様々なセキュア・ターゲットに様々なポリシーを割り当てることができます。
詳細は、「Database Firewallポリシーの作成」を参照してください。
動作上のニーズに応じて、Database Firewallは次のいずれかのモードで動作できます。
データベース・アクティビティ・モニタリング(DAM): 異常なアクティビティを検出してログに記録し、警告を発行しますが、潜在的な脅威をブロックしません。これは、デプロイメントの初期段階においてポリシーの開発および調整中に役立ちます。モニタリング・モードとも呼ばれます。
データベース・ポリシー強制(DPE): データベース・アクティビティ・モニタリングのすべてのアクションを実行し、潜在的な攻撃をブロックします。ブロッキング・モードとも呼ばれます。
これらのモードは独立して作動します。たとえば、1つのDatabase Firewallで、あるセキュア・ターゲットを監視すると同時に、別の保護対象データベースをブロックできます。
Database Firewallで実行する処理について考えてみます。次の処理が必要かどうかを考えます。
アクセス・ロギング
潜在的な攻撃の警告
潜在的な攻撃のブロック
通常、監査ロギングのみの実装の場合、十分なポリシーの作成に必要な事前の開発時間は最小限で済みます。SQL文のブロッキングの場合、開発時間は最も長くなりますが、最も優れた保護が提供されます。
デプロイメントの1つの方法は、監査ロギングのみで開始し、潜在的な攻撃からデータベースを保護できるポリシー・ファイルを後日デプロイすることです。これは、ユーザーがデプロイメントを理解するのに役立ちます。
最終的にSQL文をブロックする場合は、データベース・アクティビティ・モニタリング(DAM)を使用すると、システムを完全にデプロイする前に信頼性を確立できます。
DAMモードを設定すると、ポリシーにブロック・アクション・レベルを組み込むことができますが、指定したアクション・レベルを含む文はそのまま通過します。Syslogイベントおよびレポートには、文がブロックされたと表示されますが、実際には文は通常どおり通過しています。この結果、文のブロッキングをオンにする前に、実際の環境でシステムを評価できます。この評価段階で、ポリシーを変更してシステム・レスポンスを変更できます。
ここでのトピック
Oracle AVDFの管理者は、Oracle Databaseおよび他のタイプのセキュア・ターゲット(データベースおよびデータベース以外)を構成します。監査者は、その後でそれらのセキュア・ターゲットから監査データを取得し、様々なレポートを生成できます。
セキュア・ターゲットがOracle Databaseの場合、Oracle AVDFで、そのデータベースの監査ポリシーを構成してプロビジョニングすることもできます。その後、次の項目に関して、現在の監査設定をOracle Databaseから取得して変更するか、新しい監査ポリシーを追加することができます。
SQL文
データベース・オブジェクト
ファイングレイン監査
取得ルール(REDOログ・アクティビティの場合)
Oracle Databaseの監査ポリシーを構成したら、データベースにプロビジョニングすることができます。その後、Audit Vault Serverコンソールで、それらのポリシーがデータベースでデータベース管理者によって変更されるかどうかを確認できます。
詳細は、「Oracleデータベースの監査ポリシーの作成」を参照してください。
ここでのトピック
ここでのトピック
Oracle AVDFでセキュア・ターゲット・データベースから監査データを収集するには、それらのデータベースで監査を事前に有効にする必要があります。データベース管理者は、SQL*Plusにログインして適切なコマンドを実行すると、データベースで使用される監査のタイプをチェックできます。
たとえば、標準監査が有効かどうかを確認するには、次のコマンドを使用します。
SQL> SHOW PARAMETER AUDIT_TRAIL NAME TYPE VALUE ---------------------- ----------- ----------- audit_trail string DB
この出力では、標準監査が有効になっており、監査レコードがデータベース監査証跡に書き込まれることが示されます。
ファイングレイン監査の場合は、DBA_AUDIT_POLICIES
データ・ディクショナリ・ビューのAUDIT_TRAIL
列を問い合せて、データベースでファイングレイン監査ポリシーに対して設定されている監査証跡のタイプを確認できます。
監査が有効であることをデータベース管理者が確認した後、データベースの次の部分で監査を有効にしておくことをお薦めします。
データベース・スキーマまたは構造の変更。次のAUDIT
SQL文の設定を使用します。
AUDIT ALTER ANY PROCEDURE BY ACCESS;
AUDIT ALTER ANY TABLE BY ACCESS;
AUDIT ALTER DATABASE BY ACCESS;
AUDIT ALTER SYSTEM BY ACCESS;
AUDIT CREATE ANY JOB BY ACCESS;
AUDIT CREATE ANY LIBRARY BY ACCESS;
AUDIT CREATE ANY PROCEDURE BY ACCESS;
AUDIT CREATE ANY TABLE BY ACCESS;
AUDIT CREATE EXTERNAL JOB BY ACCESS;
AUDIT DROP ANY PROCEDURE BY ACCESS;
AUDIT DROP ANY TABLE BY ACCESS;
データベースへのアクセスと権限。次のAUDIT
SQL文を使用します。
AUDIT ALTER PROFILE BY ACCESS;
AUDIT ALTER USER BY ACCESS;
AUDIT AUDIT SYSTEM BY ACCESS;
AUDIT CREATE PUBLIC DATABASE LINK BY ACCESS;
AUDIT CREATE SESSION BY ACCESS;
AUDIT CREATE USER BY ACCESS;
AUDIT DROP PROFILE BY ACCESS;
AUDIT DROP USER BY ACCESS;
AUDIT EXEMPT ACCESS POLICY BY ACCESS;
AUDIT GRANT ANY OBJECT PRIVILEGE BY ACCESS;
AUDIT GRANT ANY PRIVILEGE BY ACCESS;
AUDIT GRANT ANY ROLE BY ACCESS;
AUDIT ROLE BY ACCESS;
Oracle AVDFでは、監査レコードに対してルールベースのアラートを定義し、それらのアラートに通知アクションを指定できます。監査イベントが、アラート定義のルールまたは条件と一致すると、指定どおりにアラートが生成され、通知が送信されます。アラートは、セキュア・ターゲットのタイプやイベントの発生回数に応じて定義できます。また、監査レコードに含まれるフィールドを使用して、一致する必要があるブール条件を定義できます。アラートの通知に使用する電子メール・テンプレートを構成することもできます。
アラートの監視と対応は、Audit Vault Serverコンソールまたはアラート・レポートを使用して行います。
詳細は、「アラートの作成」を参照してください。
Oracle AVDFの監査者として、アクセス権を持つセキュア・ターゲットの様々な監査レポートを生成できます。レポートのスケジューリング、印刷および電子メール送信(PDFまたはXLS形式)を行うことができます。レポートには監査データ、権限およびストアド・プロシージャの情報が含まれます。クレジット・カード、金融、データ保護および医療のデータに関連する規制を順守するように、コンプライアンス・レポートも生成できます。
Oracle AVDFでは、レポート・データを対話的にブラウズおよびカスタマイズしたり、サード・パーティ・ツールで作成した独自のカスタム・レポートをアップロードしたりすることもできます。
詳細は次を参照してください。
スーパー監査者は、監査者アカウントを作成し、セキュア・ターゲットおよびセキュア・ターゲット・グループに対する監査者のアクセス権を管理します。これらの機能の詳細は、「アクセスおよび他の設定の管理」を参照してください。
ここでのトピック
Audit Vault Serverコンソールにログインするには、次のようにします。
ブラウザに、次のURLを入力します。
https://host/console
host
は、Audit Vault Serverをインストールしたサーバーです。
次に例を示します。
https://192.0.2.1/console
「ログイン」ページでユーザー名とパスワードを入力し、「ログイン」をクリックします。
「ホーム」ページが表示されます。
監査者またはスーパー監査者としてAudit Vault Serverコンソールにログインすると、「ホーム」ページに監査者用のダッシュボードが表示され、監査者ロールが使用できる機能が示されます。
「ホーム」タブを選択して、次の操作を実行できます。
イベント・データを表示する日付範囲を選択します。
指定した時間帯に発生したアラート・アクティビティおよびイベント・アクティビティを、5種類のグラフィカルなサマリー(円グラフと棒グラフ)で表示する。次のグラフィカル・サマリーがあります。
最近発生したアラート
この領域には、選択した期間に生成されたアラートが表示されます。特定のアラート・レベルを表示するには、「すべての警告アラートを表示」または「すべてのクリティカル・アラートを表示」をクリックします。
アテステーション・アクション
選択した期間内に行う必要があるレポートのアテステーション・アクションが表示されます。
アラート数別の上位5の監査ソース
この棒グラフの中の棒をクリックして、特定ソースの重大度レベルを示すより詳細なクリティカルおよび警告アラート情報を探します。
失敗したログイン
選択した期間に失敗したログインが表示されます。
他のタブには次の機能が含まれます。
セキュア・ターゲット - 各セキュア・ターゲットのファイアウォール、監査、データ保存ポリシーの使用、権限スナップショットの管理、セキュア・ターゲット・グループの保存、監査証跡および強制ポイントの表示を行うことができます。
レポート - デフォルト・レポートの生成、レポートのスケジュール、レポートのオンライン・カスタマイズ、およびカスタム・レポートのアップロードを行うことができます。
設定 - パスワードの変更、電子メール配信リストの作成と管理、アラートとレポートの電子メール通知テンプレートの構成、監査証跡と強制ポイント・ステータスの表示、ユーザー・アカウントとアクセスの管理、およびジョブ・ステータスの表示を行うことができます。
すべてのタブには次のクイック・リンクがあります。
強制ポイント - 強制ポイントの詳細とステータスを確認できます。
監査証跡 - 監査証跡の詳細とステータスを確認できます。
Audit Vault ServerのUIには様々なところに、レポート、ユーザー、セキュア・ターゲット、ファイアウォール・ポリシーなどのオブジェクトのリストが含まれています。これらのオブジェクト・リストは、Oracle AVDFレポートと同じ方法でフィルタ処理およびカスタマイズすることができます。この項では、オブジェクト・リストのフィルタ処理方法および表示のカスタマイズ方法の概要を説明します。詳細は、「レポートのデータ表示のフィルタ処理および制御」を参照してください。
Audit Vault Server UIのオブジェクト・リストの表示をフィルタ処理して制御するには、次のようにします。
リストの項目を検索するには、検索ボックスに名前を入力し、「実行」をクリックします。
リストをカスタマイズするには、「アクション」メニューで次のいずれかを選択します。
行/ページ: 1ページに表示する行数を選択します。
列の選択: 表示する列を選択します。
フィルタ: 正規表現と使用可能な演算子を利用して、列または行ごとにリストをフィルタ処理します。完了したら、「適用」をクリックします。
フォーマット: 次のオプションから選択してリストのフォーマットを設定します。
ソート
コントロール・ブレーク
強調表示
グラフ
グループ化基準
必要に応じて各オプションの条件を入力し、「適用」をクリックします。
レポートの保存: リストの現在の表示を保存します。名前と説明を入力して、「適用」をクリックします。
ダウンロード: リストをダウンロードします。ダウンロード形式(CSVまたはHTML)を選択し、「適用」をクリックします。