| Oracle® Audit Vault and Database Firewall概要ガイド リリース12.2 E70386-13 |
|
 前 |
 次 |
Oracle AVDFの監査者として、広範囲にわたる監査データを取得する組込み監査レポートを生成できます。
Oracle AVDFレポートでは、監査データを統合形式で調べることができます。つまり、レポートには様々なセキュア・ターゲットから収集された監査データと、デプロイ済のDatabase Firewallからのデータが表示されます。レポートは、対象のアクティビティの監視、規制要件への準拠、およびニーズに応じて追加アラートを設定するための基準として使用することができます。
組込みレポートは、アクティビティ・レポートやコンプライアンス・レポートなど、様々なカテゴリに分類されます。アラート・レポートでは、アラートを確認し、対処することができます。規制要件を満たすには、企業改革法(SOX)、クレジット・カード業界(PCI)、データ保護法(DPA)、グラム・リーチ・ブライリー法(GLBA)、医療保険の相互運用性と説明責任に関する法律(HIPAA)レポートなどの各種レポートを生成できます(図5-1を参照)。
レポート(PDFまたはExcel形式)は、保存またはスケジューリングすることができます。また、レポートをオンラインで表示したり、データのフィルタ処理、グループ分け、強調表示を行い、レポートに表示される列を選択して、レポート表示をオンラインで対話的に調整したりすることもできます。このような対話型のビューを保存して、後からオンラインで表示できます。アテステーションのために他の監査者にレポートを送信することもできます。
組込みレポートはすぐに実行することも、後からレポートを実行するスケジュールを作成することもできます。レポートの通知を受信するユーザー、またはレポートをアテストする必要があるユーザーのリストを指定できます。
レポートをオンラインで参照しながら、HTMLまたはCSV形式でダウンロードできます。また、レポートをスケジューリングしてPDFまたはXLS形式でダウンロードしたり、他のユーザーに送信したりすることもできます。レポート通知を指定すると、独自の通知テンプレートを使用して、レポートへのリンクを挿入するかレポートのPDF版を添付して、電子メールを他のユーザーに送信できます。
図5-2に、いくつかの組込み監査レポートを示します。
Oracle Audit Vault and Database Firewallを使用してシステムを監視するために使用できる組込みレポートが多数あります。
関連項目:
組込みレポートの完全なリストは、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
次の表に、使用可能な様々なタイプのレポートをまとめています。
表5-1 Oracle Audit Vault and Database Firewallで使用可能な組込みレポートのタイプ
| レポートのタイプ | 説明 |
|---|---|
アクティビティ |
一般的なデータベース・アクセス・アクティビティ(監査対象SQL文など)、アプリケーション・アクセス・アクティビティおよびユーザー・ログイン・アクティビティを追跡する一連のレポート。一般的なレポートを次に示します。
|
アラート |
アラート・レポートは、クリティカル・アラートと警告アラートを追跡し、ユーザーがオンラインでアラートに応答したり、他のユーザーに通知することも可能にします。 |
ストアド・プロシージャ監査 |
ストアド・プロシージャに対する変更の追跡を支援する一連のレポート。次に例を示します。
|
コンプライアンス |
次のコンプライアンス分野で定義された違反の可能性を追跡する一連のレポート。
|
Database Firewall |
この一連のレポートでは、Database Firewallで監視しているデータベース・セキュア・ターゲットについて、そのデータベースへのSQLトラフィックに関する詳細なイベント情報を提供します。情報の多くは、データベースに割り当てられているファイアウォール・ポリシーに依存します。たとえば、ポリシーに従って警告が生成された、またはブロックされた文の詳細を確認できます。また、対象のデータベースへのSQLトラフィックに関する一般的な情報(たとえば、データ定義やデータ操作などの文タイプ)も確認できます。 次にレポートの例を示します。
|
ユーザー・エンタイトルメント |
Oracle Databaseセキュア・ターゲットのユーザー・アクセスおよび権限について説明する一連のレポート。次に例を示します。
|
ユーザー相関 |
これらのレポートでは、Linux上で実行されているOracle Databaseセキュア・ターゲットについて、データベースでのイベントと実行元のLinux OSユーザーを関連付けることができます。これは、そのユーザーが |
Database Vaultアクティビティ |
Oracle Databaseセキュア・ターゲットでDatabase Vaultが有効な場合、Database Vaultアクティビティ・レポートには、ポリシー違反やルール違反、不正なアクセス試行などを取得するDatabase Vaultイベントが表示されます。 |
組込みレポートに基づいてカスタマイズ・レポートを作成し、新しいレポート形式を保存して、それらをオンラインで表示できます。Oracle AVDFで提供されるツールを使用して、データのフィルタ処理、グループ分け、強調表示を行い、レポートに表示される列を定義します。
図5-3に、組込みレポートのカスタマイズに使用できるフィルタ処理の例を示します。
次のトピックでは、組込みレポートのカスタマイズの例をいくつか示します。
ここでのトピック
ログイン失敗レポートでは、異常な回数の失敗したデータベース・アクセス試行があるかどうかを調べたり、それらを試行したユーザーまたはIPアドレスを調べることができます。図5-2に、失敗したログイン・レポートを示します。
失敗したログインの視覚的な内訳をIPアドレス別に表示する必要があるとします。図5-5に示すように、フォーマット・ツールを使用して、選択したグラフ・タイプを作成できます。
前述の図では、各棒が異なるクライアントIPアドレスを表す横棒グラフが選択されています。また、失敗したログイン試行の件数を示す単純な集計が選択されています。結果のグラフ(図5-6)を見ると、あるIPアドレスからの失敗したログインの多さがはっきりとわかります。
同様に、フォーマット・ツールを使用してレポートをフィルタ処理し(図5-7)、特定のユーザーによって試行された失敗したログインを表示できます。
データベース・スキーマ変更レポートには、監査されたDDLアクティビティ(DROP TABLE、CREATE PROCEDUREなど)が表示されます。これは、不正な変更の検出や、データベース・スキーマの変更を調査する必要がある場合に有用です。複数のユーザーがデータベースへの変更を実装できる場合などは、その変更に対して厳格な基準を維持することをお薦めします。そうしないと、アプリケーションが動作を停止する場合があり、データベースへの変更が原因かどうか調査する必要が生じます。図5-8に、データベース・スキーマ変更レポートを示します。
失敗したログイン・レポートと同じ手法を使用して、様々な方法でレポートをソートおよびグループ化し、必要な情報を取得できます。列は、追加または削除したり、ユーザー名、クライアント・プログラム名、IPアドレスなどの様々なフィールドでフィルタ処理できます。
たとえば、ユーザーSYSのSUPER USER DDLコマンドを調査するとします。レポート・データは、そのイベント名およびユーザー名でフィルタ処理できます。図5-9は、イベント名のフィルタを追加する例を示し、図5-10は、このイベント名とユーザー名SYSの両方でフィルタ処理された結果レポートを示しています。
このレポートをカスタマイズするもう1つの例として、図5-11に、スキーマ変更をユーザー名別に棒グラフで表示する方法を示します。
このグラフは、実行されたDDL変更の件数のユーザー別内訳を示しています。
このトピックでは、Oracle Audit Vault and Database Firewallのカスタマイズ・レポートを作成する方法について説明します。
Oracle Audit Vault and Database Firewallでカスタム・レポートを作成する方法は、2つあります。1つは、データをフィルタ処理して組込みレポートを対話的にカスタマイズし、このような対話型のビューを保存して、後からオンラインで再表示できるようにする方法です。
関連項目:
2つ目は、組込みレポートのテンプレートを基にして簡単なカスタマイズを行うか、ソフトウェア・パッケージ(Oracle BI Publisherなど)を使用して、独自のレポートを作成する方法です。この場合、独自のカスタム・レポートをOracle Audit Vault and Database Firewallにアップロードできます。この2つ目の方法については後述します。
Oracle BI Publisherまたはサードパーティの他のレポート作成ツールを使用して、独自のカスタム・レポートをOracle Audit Vault and Database Firewall (Oracle ADVF)にアップロードできます。
組込みレポートのフォーマットに簡単な変更を加える場合は、レポート作成ツールを使用せずにカスタマイズを行うこともできます。
Oracle Audit Vault and Database Firewallには、カスタム・レポートの作成を開始する際に役立つ2つのタイプのファイルがあります。1つ目は、リッチ・テキスト形式(RTF)のレポート・テンプレート・ファイルで、Microsoft Wordなどのツールで開くことができます。このテンプレートによってレポートの表示が指定されるため、レポートに独自のカスタム・ロゴを簡単に追加できます。2つ目は、XML形式のレポート定義ファイルで、テキスト・エディタまたはXMLエディタで開くことができます。レポート定義ファイルはレポート内のデータを定義します。
任意の組込みレポートに対応するレポート定義ファイルとテンプレート・ファイルをダウンロードし、そのファイルを独自のカスタム・レポート作成の開始点として使用できます。また、Oracle AVDFドキュメントには、異なるタイプのセキュア・ターゲットから収集されるイベント・データに関する付録がいくつか用意されており、独自のレポート作成に役立ちます。
次の図に、監査者がカスタム・レポートの作成を開始する場合に使用する様々なタイプのレポート定義ファイルとテンプレート・ファイルをダウンロードする方法を示します。
Oracle Audit Vault and Database Firewallでは、Audit Vault AgentまたはDatabase Firewallのどちらの監査レコードに対しても、ルールベースのアラートを定義できます。
また、ルールベースのアラートに通知を指定することもできます。たとえば、電子メールがセキュリティ担当者などのユーザーまたは配信リストに自動的に送信されるように設定できます。アラートをsyslogに転送することもできます。これは、別のシステムと統合する場合に有用です。
定義するアラートは、監査ポリシーまたはファイアウォール・ポリシーとは無関係です。たとえば、ファイアウォール・ポリシーでは、Database Firewallによって特定のSQL文タイプ(クラスタ)が検出された場合に、アラートを生成するように指定できます。しかし、ファイアウォール・ポリシーで指定された条件以外の要因に基づいてアラートを生成する特殊な条件の定義が必要になることもあります。この方法を使用すれば、その条件を満たしたときに特定のユーザーまたはグループへ簡単に通知できます。または、ファイアウォール・ポリシーが1つのセキュア・ターゲットにのみ割り当てられている場合でも、すべてのセキュア・ターゲットでこの条件を満たしたときに必ずアラートされるようにできます。
アラートはルールベースであるため、ルール定義が一致(たとえば、ユーザーAがデータベースBへのログインを3回試行した後で失敗するなど)した場合にアラートが生成されます。Oracle Audit Vault and Database Firewallでは、ルールは条件と呼ばれます。条件はブール文で、SELECT文のWHERE句と似ています。次に例を示します。
次のSELECT文のWHERE句に注意してください。
SELECT user_name, event_status, event_name from avsys.event_log WHERE event_status='FAILURE' and upper(event_name)='LOGON';
WHERE句は、次のアラート条件に変換できます。
:event_status='FAILURE' and upper(:event_name)='LOGON'
アラート条件は柔軟で、様々なセキュア・ターゲットの複数のイベントを含むことができます。たとえば、1つのアラートを4つのOracle Databaseに適用できます。アラート条件は、複雑な文にすることもできます。たとえば、ユーザーAがセキュア・ターゲットXでログイン失敗し、ユーザーAがセキュア・ターゲットYでもログイン失敗するなどです。
アラート条件を定義する場合は、取得したすべての監査イベントの詳細が表示されるOracle Audit Vault and Database Firewall All Activity Reportのすべてのアクティビティ・レポートを最初に確認することをお薦めします。このレポートでは、想定される対象のイベントを確認できます。これをアラート条件の開始点にすることができます。
