ここでのトピック
Oracle Audit Vault and Database Firewallコンセプト・ガイドの第3章を読んで、Database Firewallポリシーがどのように機能するかについての概念を理解し、様々なDatabase Firewall保護モードおよびネットワーク配置オプションについて把握しておくことを強くお薦めします。
Database Firewallの適切なデプロイメントは、効率的なポリシーに依存しています。Oracle Audit Vault and Database Firewallには、事前構成済のファイアウォール・ポリシーが含まれます(Audit Vault Serverコンソールの「Database Firewallポリシー」ページの「使用可能なポリシー」にリストされています)。これには、すべてのSQL文を記録するポリシーや、固有のSQL文のみを記録するポリシーなどがあります。また、Database Firewallポリシー・エディタを使用すると、効率的な独自のポリシーを手早く設計できます。
ポリシーの各ルールは、SQL文のタイプ、データベース・ユーザーの名前、データベース・クライアントのIPアドレス、オペレーティング・システム・ユーザー名、クライアント・プログラム名、または指定した例外の任意の組合せによって異なる場合があります。
ポリシーの開発は、新しいデータを使用してポリシーの改善と調整を続行する反復的なプロセスです。
ここでのトピック
新しいポリシーを作成するか、「ファイアウォール・ポリシー」ページで既存のポリシー名をクリックすると、そのポリシーの「概要」ページが表示されます。このページには、Database Firewallで監視している、(クラスタとして知られている)類似するSQL文のグループに適用されるポリシー・ルールが、適用可能な例外およびその他のルールとともに表示されます。
ポリシーの「概要」ページは、次のサブセクションに分かれています。
例外ルール - 作成した例外が表示されます。SQL文クラスタに割り当てたルールは、これらの例外には適用されません。リストでルールを上下に移動できます。ルールはリストされている順序で評価されます。
分析されたSQL - ポリシー・ルールとポリシー・アクション(「警告」または「ブロック」など)を定義したSQL文クラスタの数が表示されます。
ノベルティ・ポリシー(任意)- セキュア・ターゲット・データベースの特定の文クラスまたは特定の表(あるいはその両方)に対して作成した特別なポリシーがリストされます。このセクションでポリシーに特定の表を指定した場合、ポリシー・ルールが適用されるのは表のいずれかと一致する場合です。
ノベルティ・ポリシー(すべて)- セキュア・ターゲット・データベースの特定の文クラスまたは特定の表(あるいはその両方)に対して作成した特別なポリシーがリストされます。このセクションでポリシーに特定の表を指定した場合、ポリシー・ルールが適用されるのは表のすべてと一致する場合です。
デフォルト・ルール - 分析済SQLクラスタ、例外またはノベルティ・ポリシーのルール・セットと一致しない文のデフォルト・ルールが表示されます。
ポリシー制御 - ファイアウォール・ポリシー設定を構成し、ポリシー・プロファイルを作成して、プロファイルおよび例外ルールの定義に使用するフィルタのセットを作成できます。
ノート:
ポリシー・ルールは、上から下に評価されます。最初のルールのカテゴリは「例外ルール」で、最後のルールのカテゴリは「デフォルト・ルール」です。受信トラフィックがいずれかのルールに一致する場合、それ以降のルールは評価されません。
ここでのトピック
Database Firewallを適切にデプロイするためには、効率的なポリシーを開発する必要があります。ファイアウォール・ポリシー・エディタを使用し、セキュア・ターゲットへの実際のトラフィックの分析済SQLに基づいてポリシーを定義および調整できます。Oracle AVDFは、監査者がアクセスできる選択したセキュア・ターゲットへのSQLトラフィックを調べて、SQLを分析します。その後、クラスタとして知られている類似する文のグループにSQLをまとめて、それらのクラスタをAudit Vault Serverコンソールのファイアウォール・ポリシーに表示します。
次に、SQLクラスタのタイプごとに、ファイアウォール・ポリシーのルールを定義できます。これにより、様々な条件に基づいて、許可されるSQLのallowlistと許可されない文のblocklistを作成できます。ファイアウォール・ポリシーのルールの定義は次のように行います。
分析済SQLの各クラスタに対して、次の設定を指定します。
アクション: Database Firewallでクラスタに一致する文が検出された場合の対応(許可、ブロックまたは警告の生成)。
ロギング・レベル: Database Firewallでのロギング(ログに記録しない、すべての文をログに記録する、またはクラスタ、ソースIPアドレス、データベース・ユーザー名、オペレーティング・システム・ユーザー名およびクライアント・プログラム名の一意の組合せの文をログに記録する)。ロギングは、データベース・アクティビティの独立した記録として使用でき、たとえば、将来の監査または法廷対応などに使用できます。
ログに直接記録されるデータが増加すると、必要なディスク領域に影響を与えるため、ロギングの量は慎重に考慮してください。サンプル・ロギングの頻度は、クラスタに対して10文ごとになります。
保証されるポリシーはタイプごとに1つであるため、初期ポリシーのポリシーでは「一意」ロギング・レベルを使用することをお薦めします。すべての文をログに記録するのではなく、トラフィックが効率的にサンプリングされます。
Threat Severity: クラスタの文で予想される脅威。「マイナー」から「致命的」(または「未割当て」)まで、脅威の重大度設定が5段階あります。Database Firewallで文がログに記録されると、その文の脅威の重大度も記録されます。サードパーティのレポート・ツールやsyslogを使用すると、ログに記録された脅威の重大度に基づいてSQL文を表示できます。
分析済SQLのポリシー設定に対する例外を作成します
特定の文タイプが検出された場合または選択した表がコールされた場合(あるいはその両方の場合)にトリガーされるノベルティ・ポリシー(またはルール)を追加します。
他のすべてのポリシー・ルールと一致しないSQLを処理するデフォルト・ルールを定義します。
特定のセッション基準(クライアントIPアドレスやユーザー名など)に基づいて、通常のポリシーとは異なるポリシー・ルール・セットを適用するためのプロファイルを作成します
ポリシー制御では、セッション情報に基づいて一連のフィルタを作成できます。これらは、ポリシー・プロファイルと例外のルールを定義するときに使用します。たとえば、例外ルールを定義するのは、一連のデータベース・ユーザーをルールから除外するとき、またはSQLが特定のIPアドレスから発行された場合のみルールを適用するときです。
セッション情報のフィルタには次の4種類があります。
IPアドレス・セット: データベース・クライアントのIPアドレスが指定されているリスト(IPv4形式)。
データベース・ユーザー・セット: データベース・ユーザー・ログイン名が指定されているリスト。
データベース・クライアント・セット: クライアント・プログラム(SQL*Plusなど)が指定されているリスト。
OSユーザー・セット: オペレーティング・システム・ユーザー名が指定されているリスト。
ポリシー・プロファイルおよび例外を定義する前に、まずこれらのセッション・フィルタのセットを定義する必要があります。その後、そのセッション・フィルタのセットをプロファイルまたは例外ルールに含めたり、除外できます。
セッション・フィルタを定義するには:
Audit Vault Serverコンソールに監査者としてログインします。
「ポリシー」タブを選択します。
「ポリシー」で「Database Firewallポリシー」を選択します。
「ファイアウォール・ポリシー」ページで、必要なポリシーの名前をクリックします。
「概要」ページが表示されます。
「ポリシー制御」セクションで次のいずれかをクリックします。
選択したポリシー制御のページが表示されます。たとえば、Policy_Name - IPアドレス・セットです。このページには、このポリシー制御にすでに定義されているセットが表示されます。
「新規セットの作成」をクリックします。
表示されるダイアログで、「新規セット名」とそのセットの最初のメンバーを入力します。
IPアドレスの場合は、データベース・クライアントのIPアドレスを入力します。
データベース・クライアント・セットの場合は、クライアント・プログラム名を入力します。
データベース・ユーザー・セットとOSユーザー・セットの場合は、ユーザー名を入力します。
「セットの作成」をクリックします。
新しいセットが、このポリシー制御のページに表示されます。
このセットの適切な追加ボタン(IPアドレスの追加など)をクリックして、セットにメンバーを追加します。
特定のセッション・データが検出されたときに使用するアクション、ロギング・レベルおよび脅威の重大度は、例外によって決まります。たとえば、例外では、選択したクライアントIPアドレスまたはデータベース・ユーザー名によって生じる(または生じない)文に対してルールを指定できます。
例外は、他のすべてのポリシー・ルールに優先します。たとえば、SQL文が管理者から発生した場合、または特定のIPアドレス以外から生じた場合は、通常のポリシー・ルールに優先することが必要になる場合があります。
多数の例外を定義し、その評価順序を制御できます。例外ごとに、アクション、ロギングおよび脅威の重大度が設定されます。
例外を作成するためには、例外の定義に使用するセッション要因のセットを最初に定義する必要があります。
例外を作成するには:
Audit Vault Serverコンソールに監査者としてログインします。
「ポリシー」タブを選択します。
「ポリシー」メニューで「Database Firewallポリシー」を選択します。
「ファイアウォール・ポリシー」ページで、必要なポリシーの名前をクリックします。
「例外ルール」セクションで「例外の追加」を選択します。
「例外ルール」ページの一番上で、この例外のフィルタ基準を選択します。
IPアドレス・セット: 「包含」または「除外」を選択してから、IPアドレス・セットを選択します。
DBユーザー・セット: 「包含」または「除外」を選択してから、DBユーザー・セットを選択します。
OSユーザー・セット: 「包含」または「除外」を選択してから、OSユーザー・セットを選択します。
DBクライアント・セット: 「包含」または「除外」を選択してから、DBクライアント・セットを選択します。
ノート:
これらのセットに含めることができる項目数に制限はありません。
「IPアドレス・セット」以外のすべてのセットに対するワイルドカードとして*
(アスタリスク)を使用できます。
すべてのセットに、大/小文字を区別するかどうかのオプションがあります。これは、ポリシー設定でチェック・ボックスを選択または選択を解除することによって設定できます。
たとえば、IPアドレス・セットの「包含」とDBユーザー・セットの「除外」を選択すると、この例外ルールは、選択したIPアドレス・セットが発行したSQLのみに適用され、選択したDBユーザー・セットのデータベース・ユーザーが発行したSQLには適用されません。
「例外ルール」ページの下のセクションで、このルールのフィルタ基準を満たすSQLに適用する「アクション」、「ロギング・レベル」および「脅威の重大度」を割り当てます。
(オプション)SQLがこのルールと何回も一致したときに別のアクションを適用するには、「一定数のインスタンス後のエスカレート・アクションですか。」を選択します。次の項目を入力します。
しきい値: エスカレーション・アクションを実行するために、SQLがこのルールと一致する必要がある回数を入力します。
しきい値アクション: しきい値に到達した後で実行するアクションとして「警告」または「ブロック」を選択します。
代替文: (オプション)「しきい値アクション」で「ブロック」を選択した場合、このルールと一致するSQLの代替文を入力します。
「作成」をクリックします。
すべてのファイアウォール・ポリシーにおいて、監査者としてアクセス権を持つ任意のセキュア・ターゲットへのトラフィックのSQLを見ることができます。Database Firewallはトラフィックから選択したセキュア・ターゲットへのSQL文を分析し、類似するSQL文をクラスタとして知られているにグループに入れます。ファイアウォール・ポリシーの「ポリシー概要」ページの「分析されたSQL」セクションにある一意のクラスタごとにサンプル文を見ることができます。
次に、任意のサンプル文を選択して、そのタイプの文のポリシー・ルールを設定できます。ルールには、Database Firewallが実行する必要があるアクション(「警告」または「ブロック」など)、ロギング・レベル、および脅威の重大度を指定します。
Audit Vault Serverコンソールに監査者としてログインします。
「ポリシー」タブを選択します。
「ポリシー」メニューで「Database Firewallポリシー」、ポリシー名の順にクリックします。
「ファイアウォール・ポリシー」ページで、必要なポリシーの名前をクリックします。
「分析されたSQL」セクションで「SQLの変更」をクリックします。
「SQLの変更」ページが表示されます(データは表示されません)。
「変更」をクリックし、次のオプションを選択して「適用」をクリックします。
プロファイル: (オプション)プロファイルを選択します。
セキュア・ターゲット: そのターゲットの分析済SQLを表示するセキュア・ターゲットを選択します。
イベント時間: SQLをフィルタ処理するために、使用可能なフィールドで時間オプションを選択します。
SQLクラスタ、クラスタの詳細およびポリシー・ステータスのリストが表示されます。「SQL文」列には、各クラスタのサンプル文が表示されます。
「アクション」メニューを使用してリストをフィルタ処理することができます。
1つ以上のクラスタを選択し、「ポリシーの設定」をクリックします。
これにより、選択したSQLクラスタのポリシーを設定できます。選択したSQLクラスタのポリシー・ルールを削除するには、「ポリシーから削除」をクリックします。
「ポリシー制御の設定」ダイアログで、このクラスタ・タイプのSQL文に適用する「アクション」、「ロギング・レベル」および「脅威の重大度」を選択します。
(オプション)文がこのクラスタと何回も一致したときに別のアクションを適用するには、「一定数のインスタンス後のエスカレート・アクションですか。」を選択します。次の項目を入力します。
しきい値: エスカレーション・アクションを実行するために、SQL文がこのクラスタと一致する必要がある回数を入力します。
しきい値アクション: しきい値に到達した後で実行するアクションとして「警告」または「ブロック」を選択します。
代替文: (オプション)「しきい値アクション」で「ブロック」を選択した場合、このクラスタと一致するSQLの代替文を入力します。
(オプション)「ノート」を入力します。
「保存」をクリックします。
このルールを定義した文の「ポリシーに含まれる」列に「はい」と表示されます。「ポリシー概要」ページの「分析されたSQL」セクションには、ポリシー・ルールが定義され、アクションが関連付けられているクラスタの合計数が保持されます。
ノベルティ・ポリシーは、特定タイプの文または選択した表で機能する文(あるいはその両方)に使用するアクション、ロギング・レベルおよび脅威の重大度を指定します。ノベルティ・ポリシーを使用すると、特定の文が検出された場合に通常のポリシー・ルールを緩和または強化できます。
たとえば、特定の文タイプに対する通常のポリシー・アクションが「警告」であるときに、情報公開を含む表に対してこの文タイプが作用する場合は「成功」アクションを適用するようにノベルティ・ポリシーを設定することが必要になる場合があります。あるいは、機密情報が記載されている表に対して作用するすべての文をブロックするノベルティ・ポリシーの設定が必要な場合もあります。
Audit Vault Serverコンソールに監査者としてログインします。
「ポリシー」タブを選択します。
「ポリシー」メニューで「Database Firewallポリシー」をクリックします。
「Database Firewallポリシー」ページで、必要なポリシーの名前をクリックします。
「ポリシー概要」ページが表示されます。
次のいずれかのセクションで「ノベルティ・ルールの追加」をクリックします。
ノベルティ・ポリシー(任意) - このセクションにノベルティ・ルールを追加し、ルールで特定の表を選択すると、選択した表のいずれかが文に含まれる場合に、ノベルティ・ルールが適用されます。
ノベルティ・ポリシー(すべて) - このセクションにノベルティ・ルールを追加し、ルールで特定の表を選択すると、文のすべての表がルールで選択された場合に、ノベルティ・ルールが適用されます。(文に含まれる表よりも多くの表を選択できます。)
「ノベルティ・ポリシー(任意)」 ルールは「ノベルティ・ポリシー(すべて)」ルールよりも先に評価されます。
「ノベルティ・ポリシー詳細」ダイアログで次の項目を定義します。
ノベルティ・ルール: このルールの名前を入力します。
文クラス: (オプション)このルールを適用するためにSQL文が一致する必要がある文のタイプを1つ以上選択します。
ポリシー制御: 対応するドロップダウン・リストからこのルールの「アクション」、「ロギング・レベル」および「脅威の重大度」を選択します。
置換: (オプション)このフィールドが表示されるのは、「アクション」として「ブロック」を選択した場合のみです。ブロックされたSQL文を置換する文を入力します。
影響を受けた表: (オプション)文をこのポリシーと照合するために使用する表を選択します。ステップ5で選択したノベルティ・ポリシー・セクションに基づいて表が照合されます。
「作成」をクリックします。
新しいノベルティ・ポリシーは、「ノベルティ・ポリシー(任意)」または「ノベルティ・ポリシー(すべて)」の該当するセクションに表示されます。
Database Firewallは、最初にノベルティ・ポリシー・ルールのいずれかの表と一致グループと文を比較します。いずれかの表と一致ルールでは、文がルールと一致するために文内の表の少なくとも1つが選択した表と一致する必要があります。文が複数のいずれかの表と一致ルールと一致する場合は、より厳格なポリシーが使用されます。たとえば、ブロックするポリシーは、警告を発するポリシーより優先されます。
文がいずれかの表と一致グループの下のルールと一致しない場合、Database Firewallはすべての表と一致グループ内のルールと文を比較します。いずれかの表と一致ルールでは、文内の表のすべてが選択した表に含まれる必要があります。同様に、文がこのグループ内の複数のルールと一致する場合、より厳格なアクションが適用されます。
文クラスのみが一致し、表が一致しないノベルティ・ポリシーを作成した場合、ノベルティ・ポリシーはポリシーの定義時にどちらを選択したかに応じていずれかの表と一致またはすべての表と一致グループで評価されます。
ファイアウォール・ポリシーのノベルティ・ポリシーには2つのグループがあります。これらは、「ポリシー概要」ページの「ノベルティ・ポリシー(任意)」セクションと「ノベルティ・ポリシー(すべて)」セクションに表示され、この順に評価されます。
次に、ノベルティ・ポリシー・ルールの使用例を示します。
ノベルティ・ポリシーを「ノベルティ・ポリシー(任意)」セクションで作成します。このセクションのノベルティ・ポリシー・ルールが最初に評価されます。
「文クラス」では「トランザクションを含むコンポジット」を選択します。また、表AVG_COST
、BOOKS
およびBUSINESS_CONTACTS
を選択します。
このルールと一致する文は、「トランザクションを含むコンポジット」クラスであり、選択した表のいずれかを含む必要があります。このルールは、このセクションのノベルティ・ポリシー・ルールのグループと一緒に評価されます。このグループのルールが最初に評価されます。
ノベルティ・ポリシーを「ノベルティ・ポリシー(すべて)」セクションで作成します。このセクションのノベルティ・ポリシー・ルールが2番目に評価されます。
「文クラス」では、「プロシージャ型」と「コンポジット」を選択します。また、表AVG_COST
、BOOKS
およびBUSINESS_CONTACTS
を選択します。
一致する文が「プロシージャ型」クラスまたは「コンポジット」クラスで、文のすべての表が、AVG_COST
、BOOKS
またはBUSINESS_CONTACTS
のうち少なくとも1つの表と一致する必要があります。つまり、文はこれらの表の1つ、または2つあるいは3つすべてを含むことができます。ただし、異なる表が文に含まれる場合、その文はこのルールと一致しません。
関連項目:
Audit Vault Serverコンソールに監査者としてログインします。
「ポリシー」タブを選択します。
「ポリシー」メニューで「Database Firewallポリシー」をクリックします。
「Database Firewallポリシー」ページで、必要なポリシーの名前をクリックします。
「ポリシー概要」ページが表示されます。
「デフォルト・ルール」セクションまで下にスクロールし、「デフォルト・ルール」リンクをクリックします。
デフォルト・ルールの編集ページで、「アクション」、「ロギング・レベル」および「脅威の重大度」を割り当てます。
(オプション)文がデフォルト・ルールに何回も一致したときに別のアクションを適用するには、「一定数のインスタンス後のエスカレート・アクションですか。」を選択します。次の項目を入力します。
しきい値: エスカレーション・アクションを実行するために、SQLがデフォルト・ルールと一致する必要がある回数を入力します。
しきい値アクション: しきい値に到達した後で実行するアクションとして「警告」または「ブロック」を選択します。
置換: (オプション)「しきい値アクション」で「ブロック」を選択した場合、このルールと一致するSQLの代替文を入力します。
「変更の適用」をクリックします。
Database FirewallがDPE (つまりブロック)モードの場合は、特定のSQL文をブロックするようにファイアウォール・ポリシーを構成できます。
SQL文をブロックするとき、ブロックされる文を別のSQL文で置き換えることもできます。文がブロックされるときにデータベース・クライアントが適切なエラー・メッセージまたは応答を受け取るには、代替文が必要になる場合があります。
文をブロックしたり代替文を作成したりするときは、次の点に注意してください。
文が指定した回数発生した場合のブロックまたは警告: 選択したクラスタに一致する文が1分間当たりの指定回数(しきい値)発生した場合は、SQL文をブロックするか、警告を生成するように選択できます。ブロックされた文のロギングは常に有効にする必要があります。
LOGIN USERNAME
EXECUTE CURSOR
ENCRYPTED
SHUTDOWN
DESCRIBE
ORADEBUG
TRANSACTION
LOB
INVALID OPERATION
COMMENT
COMPRESSED
これらに対してSQLを置き換えることはできませんが、これらのTNSプロトコル文に他のポリシー・ルールを作成することはできます。
代替SQL文の作成: 代替文の結果をクライアント・アプリケーションで処理できることを確認する必要があります。
次の例は、Oracle Databaseセキュア・ターゲットで使用できる適切な代替文です。この文は無害であり、値を返したり、パフォーマンスに影響を与えたりすることはありません。
SELECT
100 FROM DUAL
ここでのトピック
データベース・ユーザーのログインおよびログアウト・ポリシーを指定できます。ログインとログアウトに設定したルールが違反されると、これらのポリシーによってアラートが送信されます。データベースに対する自動化された攻撃に対処する場合に役立ちます。データベース・ユーザーのログインまたはログアウト時にアラートを生成したり、指定した回数のログイン試行に失敗したデータベース・ユーザーをブロックするようにシステムを構成することもできます。
ノート:
セキュア・ターゲット・データベースに対してログイン/ログアウト・ポリシーを使用するために、そのデータベースを監視している強制ポイントの設定にあるデータベース・レスポンス・モニタリングをアクティブにする必要があります。手順は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
Audit Vault Serverコンソールに監査者としてログインします。詳細は、「Audit Vault Serverコンソールへのログイン」を参照してください。
ログインおよびログアウト・ポリシーを構成するには:
Database Firewallは常にパスワードを不明瞭化します。他の機密データをマスキングするためのルールを設定することもできます。データのマスキングは、クレジット・カード番号などの機密性の高いデータがログ・ファイル、レポート、およびファイアウォール・ポリシーの「分析されたSQL」に表示されないようにします。ログに記録された文がデータ・マスキング・ポリシーと一致する場合は、ポリシーによってその文内のすべてのユーザー・データが自動的に置換されます。
使用される文字はデータ型によって異なります。区切り文字列は、「#
」としてマスクされます。浮動小数、16進数、10進数、整数およびバイナリ定数などのすべての数値定数は、「0
」(ゼロ)としてマスキングされます。
ノート:
データがマスクされた後は、マスク解除できません。
データのマスキングのルールを設定するには:
Audit Vault Serverコンソールに監査者としてログインします。
「ポリシー」タブを選択します。
「ポリシー」メニューで「Database Firewallポリシー」をクリックします。
「Database Firewallポリシー」ページで、必要なポリシーの名前をクリックします。
「ポリシー概要」ページが表示されます。
「ポリシー制御」セクションまで下にスクロールし、「設定」をクリックします。
「機密データのマスキング」セクションで、「入力データのマスク」チェック・ボックスを選択または選択解除します。
すべての文または基準と一致する文のみを選択します。
基準に基づいたマスクを選択した場合は、次のように基準を入力します。
含まれる列:
含まれるプロシージャ:
無効な文を含むかどうかを選択します。このチェック・ボックスを選択した場合は、無効なSQL文がマスクされます。
「機密データのマスキング」セクションで「保存」をクリックします。
認識されないSQL文(SQL構文に準拠していない文など)のためのポリシー・ルールを設定できます。
無効なSQLのポリシー・ルールを設定するには:
Audit Vault Serverコンソールに監査者としてログインします。
「ポリシー」タブを選択します。
「ポリシー」メニューで「Database Firewallポリシー」をクリックします。
「Database Firewallポリシー」ページで、必要なポリシーの名前をクリックします。
「ポリシー概要」ページが表示されます。
「ポリシー制御」セクションまで下にスクロールし、「設定」をクリックします。
「無効な文ポリシー」セクションで、「アクション」、「ロギング・レベル」および「脅威の重大度」を割り当てます。
(オプション)無効なSQL文が何回も出現したときに別のアクションを適用するには、「一定数のインスタンス後のエスカレート・アクションですか。」を選択します。次の項目を入力します。
しきい値: エスカレーション・アクションを実行するために、無効なSQLが出現する必要がある回数を入力します。
しきい値アクション: しきい値に到達した後で実行するアクションとして「警告」または「ブロック」を選択します。
置換: (オプション)「しきい値アクション」で「ブロック」を選択した場合、無効なSQLの代替文を入力します。
Audit Vault Serverコンソールに監査者としてログインします。
「ポリシー」タブを選択します。
「ポリシー」メニューで「Database Firewallポリシー」をクリックします。
「Database Firewallポリシー」ページで、必要なポリシーの名前をクリックします。
「ポリシー概要」ページが表示されます。
「ポリシー制御」セクションまで下にスクロールし、「設定」をクリックします。
「グローバル設定」セクションで次のように構成します。
「ロギング」で、「ログ・ファイルからのバイナリ・オブジェクトおよびコメントの削除」を行うかどうかを選択します。
「ポリシー」の「しきい値アクションのリセット時間(分)」フィールドに分数を入力します。ポリシー・ルールのいずれかに「しきい値」を設定した場合、そのルールの「しきい値アクション」が実行されると、ここに指定した時間内はそのアクションが繰り返されません。これによって、同一のルールに関するブロック・アクションまたは警告アクションの数が制限されます。
「ポリシー」にしきい値アクションのリセット時間(分)を入力します。「置換なしの場合は次のブロック・アクションに設定」フィールドでは、ポリシー・ルールの1つが「ブロック」に設定されているが、そのルールには代替文が指定されていない場合に実行するアクション(「応答なし」または「接続の削除」)を選択します。
「構文」で、「二重引用符で囲まれた文字列を識別子として扱う」かどうかを選択します。これにより、SQL文に含まれる二重引用符で囲まれた文字列を識別子とリテラルのどちらとして扱うかが決まります。このチェック・ボックスの選択を解除すると、機密データ・マスキング(使用している場合)は二重引用符で囲まれたテキストをマスクします。
「大文字と小文字の区別」で、このファイアウォール・ポリシーが、クライアント・プログラム名、データベースまたはOSユーザー名の「大文字/小文字を区別した一致」を行うかどうかを選択します。
「グローバル設定」セクションで「保存」をクリックします。
ここでのトピック
ファイアウォール・ポリシー内で、プロファイルを使用すると、SQL文に関連付けられたセッション・データに基づいて様々なポリシー・ルール・セットを定義できます。
プロファイルを定義するには、ファイアウォール・ポリシーの「ポリシー制御」セクションで定義したセッション・フィルタを使用します。
このようなセッション・フィルタは、次の値に基づいてSQL文をフィルタ処理します。
プロファイルは例外とは異なりますが、どちらも前述のセッション要因を使用して定義されます。例外を使用すると、通常のポリシーの分析済SQLのすべてのルールを回避できますが、プロファイルを使用すると、分析済SQLの任意のクラスタに対してセッション要因に基づいてルールを定義できます。
たとえば、特定のデータベース・ユーザー・セットから発行された分析済SQLのためにまったく異なるルール・セットを定義する場合には、プロファイルを作成できます。このデータベース・ユーザー・セットのユーザーがデータベースにアクセスすると、通常のポリシー・ルールのかわりにこのプロファイルのポリシー・ルールが使用されます。
1つのSQL文が、複数のプロファイルと一致する可能性があります。この場合、Database Firewallでは、一致するすべてのプロファイルの中で最も深刻なアクション、ロギング・レベルおよび脅威の重大度が使用されます。