| Oracle® Audit Vault and Database Firewall管理者ガイド リリース12.2 E70392-19 |
|
 前 |
 次 |
ここでのトピック
セキュア・ターゲットは、Audit Vault and Database Firewallが監視するサポート対象のデータベースまたはオペレーティング・システムです。Audit Vault Agent、Database Firewall、これらの両方のいずれをデプロイするかにかかわらず、Audit Vault Serverですべてのセキュア・ターゲットを登録する必要があります。
セキュア・ターゲットから監査証跡を収集するには、ターゲットごとに監査証跡を構成し、収集を手動で開始する必要があります。
Database Firewallでセキュア・ターゲットを監視するには、そのセキュア・ターゲットの強制ポイントを作成する必要があります。
Database Firewallで監視するセキュア・ターゲット・データベースによっては、データベースに問い合せて特定のデータを収集するようにOracle Audit Vault and Database Firewallを構成できます。そのためには、セキュア・ターゲット・コンピュータでスクリプトを実行し、データベース問合せに必要な権限を構成する必要があります。
Database Firewallを使用している場合は、受信SQLトラフィックに対するセキュア・ターゲット・データベースのレスポンスを監視することもできます。次の各項では、Oracle Audit Vault and Database Firewallシステムを構成するワークフローの概要について説明します。
ここでのトピック
Oracle AVDFスーパー管理者は、セキュア・ターゲットを作成し、そのセキュア・ターゲットへのアクセス権を他の管理者に付与できます。Oracle AVDF管理者もセキュア・ターゲットを作成できますが、作成したセキュア・ターゲットにアクセスできるのはその管理者とスーパー管理者のみです。
重要: 次の手順では、サービス名またはSIDを指定すると、Database Firewallはリストされているサービス名またはSIDへのトラフィックのみ取得します。この場合、データベース・クライアントがリストされているものとは異なるサービス名またはSIDを使用して接続すると、Database Firewallはそのトラフィックを監視しません。この問題を回避するためのベスト・プラクティスとして次のガイドラインに従います。
保護されているOracleセキュア・ターゲットで実行するすべてのサービスでOracleサービス名を使用するように構成とポリシーを定義します。これにいより、構成で正しいOracleサービス名に各ポリシーを適用できるようになります。
常に、すべてを捕捉するセキュア・ターゲット(および関連する強制ポイント)を定義して、以前のセキュア・ターゲットに明示的に構成されていたOracleサービス名と一致しないデータベース・トラフィックを処理します。この新しいセキュア・ターゲットには同じIPアドレスとTCPポート番号を指定する必要がありますが、Oracleサービス名は空にしておいてください。また、すべてをロギングするポリシーを適用する必要があります。このようにすると、Oracleサービス名が明示的に定義されたセキュア・ターゲットでは捕捉されないトラフィックがロギングされ、調べることができます。この結果に基づいて、Oracleサービス名に届くすべてのトラフィックを明示的に捕捉できるように構成とポリシーを絞り込むことができます。
Oracle Database 12cでマルチテナント・コンテナ・データベース(CDB)を使用しない場合は、以前のバージョンのOracle Databaseと同じように、データベースのセキュア・ターゲットを登録します。CDBを使用する場合は、CDBのセキュア・ターゲットに加え、各プラガブル・データベース(PDB)のセキュア・ターゲットも登録する必要があります。
「セキュア・ターゲットの場所(監査用)」セクションで、「基本」オプションを選択します。「ホスト名」、「IPアドレス」または「ポート」に入力し、Oracle Databaseの場合は「サービス名」(または「SID」)を入力します。
正確な接続文字列がわかる場合は、かわりに「詳細」ラジオ・ボタンをクリックして、そこに文字列を入力できます。
たとえば、Oracle Databaseの場合、文字列は次のようになります。
jdbc:oracle:thin:@//203.0.113.0:1521/hrdb
エージェント・データ収集のためにOracle RACセキュア・ターゲットを構成するときは、SCANホスト名を入力します。保護のためにOracle Database Firewallを使用してOracle RACセキュア・ターゲットを構成できます。
セキュア・ターゲットを変更するには:
ノート:
セキュア・ターゲットの名前を変更すると、新しい名前はAudit Vault Agentを再起動するまでOracle Audit Vault and Database Firewallレポートに表示されません。
関連項目:
「セキュア・ターゲットの変更」ページのフィールドの説明は、「セキュア・ターゲットの登録」を参照してください。
セキュア・ターゲットのリストをソートまたはフィルタ処理するには、「UIでのオブジェクト・リストの使用」を参照してください。
Oracle AVDFに登録されているセキュア・ターゲットが不要になった場合、コンソールまたはコマンドライン・ユーティリティを使用してそのセキュア・ターゲットを削除できます。セキュア・ターゲットをOracle AVDFから削除しても、その監査データは、保存期間内はデータ・ウェアハウスに存在し続けます(アーカイブ・ポリシー)。
セキュア・ターゲットを削除しても、その識別データはOracle AVDFに残存するため、削除されたセキュア・ターゲットのレコードは存在します。セキュア・ターゲットを削除するのは、データを収集する必要がなくなった場合または新しいホスト・コンピュータに移動した場合のみです。
セキュア・ターゲットを削除するには:
スーパー管理者は、個別ではなくグループとしてセキュア・ターゲットへのアクセス権を他の管理者に付与するために、セキュア・ターゲット・グループを作成できます。
セキュア・ターゲット・グループを作成するには:
Oracle Audit Vault and Database Firewallコンソールにスーパー管理者としてログインし、「セキュア・ターゲット」タブをクリックします。
左側の「グループ」メニューをクリックします。
事前構成済のグループが上部ペインに表示され、ユーザー定義のグループが下部ペインにリスト表示されます。
下部ペインのリストの表示方法は、「アクション」メニューから調整できます。
「作成」をクリックし、グループの名前と、オプションで説明を入力します。
セキュア・ターゲットをグループに追加するには、そのセキュア・ターゲットを選択して「メンバーの追加」をクリックします。
「保存」をクリックします。
グループ・ページの下部ペインに新しいグループが表示されます。
セキュア・ターゲット・グループを変更するには:
Oracle Audit Vault and Database Firewallコンソールにスーパー管理者としてログインし、「セキュア・ターゲット」タブをクリックします。
左側の「グループ」メニューをクリックします。
事前構成済のグループが上部ペインに表示され、ユーザー定義のグループが下部ペインにリスト表示されます。
下部ペインのリストの表示方法は、「アクション」メニューから調整できます。
グループ名をクリックします。
「セキュア・ターゲットの変更」ページで、追加または削除するセキュア・ターゲットを選択した後、「メンバーの追加」または「メンバーの削除」をクリックします。
オプションで、グループの名前または説明を変更できます。
「保存」をクリックします。
関連項目:
「アクション」メニューから下部ペインのリストの表示を調整するには、「UIでのオブジェクト・リストの使用」を参照してください。
ここでのトピック
セキュア・ターゲットとAudit Vault Serverの両方でNTPサービスを使用することもお薦めします。これは、Audit Vault Serverによって生成されるアラートに関するタイムスタンプの混乱を避けるのに役立ちます。
関連項目:
NTPサーバーを使用したAudit Vault Serverの時刻の設定の詳細は、「サーバーの日付、時刻およびキーボード設定の指定」を参照してください。
一部のセキュア・ターゲット・タイプでは、Oracle Audit Vault and Database Firewallがアクセスするための資格証明が必要です。セキュア・ターゲットから監査データを収集する場合は、ストアド・プロシージャ監査(SPA)または権限監査を実行するか、データベース問合せを有効にして、セキュア・ターゲットでユーザー・アカウントを作成する必要があります。このユーザー・アカウントには適切な権限を付与し、Oracle Audit Vault and Database Firewallが必要なデータにアクセスできるようにします。
データベース・セキュア・ターゲット用の設定スクリプト: Oracle Audit Vault and Database Firewallで提供されているスクリプトを使用して、データベース・セキュア・ターゲット・タイプ用のユーザー・アカウント権限を構成できます。
非データベース・セキュア・ターゲット: 必要な監査証跡にアクセスできる適切な権限を付与されたユーザーを作成する必要があります。たとえばWindowsセキュア・ターゲットの場合、セキュリティ・ログを読み取れるようにするため、このユーザーには管理権限が必要です。
ノート:
Oracle Audit Vault and Database Firewallでは、引用符付きのユーザー名を使用できません。たとえば、セキュア・ターゲットのAudit Vault and Database Firewallユーザー・アカウントに対して"JSmith"は有効なユーザー名ではありません。
関連項目:
データベース・セキュア・ターゲット・タイプ用のユーザー・アカウント権限を構成するスクリプトの詳細は、「セキュア・ターゲットに対するOracle AVDFアカウント権限用のスクリプト」を参照してください。
監査証跡収集の構成および管理について学習します。
監査データの収集を開始するには、Audit Vault Serverでセキュア・ターゲットごとに監査証跡を構成した後、監査証跡収集を手動で開始する必要があります。
この手順では、Audit Vault Agentがセキュア・ターゲットと同じホスト・コンピュータにインストールされていることを前提としています。
前提条件
セキュア・ターゲットの監査証跡を構成する前に、次のことを実行する必要があります。
Audit Vault Serverでセキュア・ターゲットを追加します。詳細は、「Audit Vault Serverでのセキュア・ターゲットの登録または削除」を参照してください。
ホスト・マシンを登録します。これは通常、セキュア・ターゲットが存在し、かつAudit Vault Agentがデプロイされているマシンです。「ホストの登録とエージェントのデプロイ」を参照してください。
ホスト・マシンでAudit Vault Agentをデプロイしてアクティブ化します。「ホスト・コンピュータでのAudit Vault Agentのデプロイおよびアクティブ化」を参照してください。
MySQLセキュア・ターゲットの場合は、XML変換ユーティリティを実行します。IBM DB2セキュア・ターゲットの場合、監査証跡を開始する前に、バイナリ監査ファイルがASCII形式に変換されていることを確認します。収集のための監査レコード・フォーマットの変換を参照してください。
Audit Vault Serverコンソールに管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。
セキュア・ターゲットの監査証跡を構成するには:
「セキュア・ターゲット」タブをクリックします。
「監視」で「監査証跡」をクリックします。
「監査証跡」ページが表示され、構成済の監査証跡とそのステータスがリスト表示されます。
「監査証跡」ページで、「追加」をクリックします。
「監査証跡のタイプ」ドロップダウン・リストから、次のいずれかを選択します。
CUSTOM
DIRECTORY
EVENT LOG
NETWORK
SYSLOG
この証跡タイプは、syslogまたはrsyslogファイルから収集できます。両方が存在する場合、rsyslogファイルから監査データを収集するには、正確な「証跡の場所」を指定する必要があります(ステップ7で)。詳細は、表B-23を参照してください。
重要: rsyslogによって生成されるレコードに、「収集ホスト」で実行されているAudit Vault Agentと同じタイムゾーン情報が存在することを確認します。
TABLE
TRANSACTION LOG
この監査証跡タイプの場合、セキュア・ターゲット・データベースに完全修飾データベース名があることを確認します。表C-1のGLOBAL_NAMESの設定を参照してください。
特定のセキュア・ターゲット・タイプに対して収集できる監査証跡のタイプの詳細は、表B-17を参照してください。
「収集ホスト」フィールドで、上向き矢印アイコンをクリックして検索ボックスを表示し、Audit Vault Agentがデプロイされているホスト・コンピュータを検索して選択します。
「セキュア・ターゲット」フィールドで、上向き矢印アイコンをクリックして検索ボックスを表示し、セキュア・ターゲットを検索して選択します。
「証跡の場所」フィールドに、セキュア・ターゲット・コンピュータ上の監査証跡の場所(sys.aud$など)を入力します。
証跡の場所は、セキュア・ターゲットのタイプによって異なります。
ノート1: 「監査証跡のタイプ」で「DIRECTORY」を選択した場合、証跡の場所はディレクトリ・マスクにする必要があります。
ノート2: 「監査証跡のタイプ」にSYSLOGを選択し、syslogおよびrsyslogの両方のタイプのファイルが存在する場合は、syslogまたはrsyslogのいずれかのファイルの正確なディレクトリの場所を入力します。詳細(重要)は、表B-23を参照してください。
このタイプのセキュア・ターゲットのプラグインをデプロイした場合、「収集プラグイン」ドロップダウン・リストからプラグインを選択します。
「保存」をクリックします。
監査証跡は「監査証跡」ページのリストに追加されます。収集のステータスに、初期状態で赤の下向き矢印(停止)が表示されます。監査証跡は、追加直後に自動的に開始されます。
関連項目:
収集されるデータの詳細は、「各監査証跡タイプに対して収集されるデータの概要」を参照してください。
サポートされている証跡の場所については、「監査証跡の場所」を参照してください。
監査証跡は、追加直後に自動的に開始されます。監査証跡を開始するためには、ホスト・コンピュータでAudit Vault Agentが実行されている必要があります。
Audit Vault Agentが再起動されるか、またはAudit Vault Serverの更新によって更新された場合は、開始されていた監査証跡は自動的に再開されます。
セキュア・ターゲットが一時的に停止されたときなどに、監査証跡が停止することがあります。自動起動では、監査証跡が停止した場合に、システムが自動的に再起動を試みます。自動起動は、手動で証跡を停止している場合を除き、通常は有効になっています。AVCLIユーティリティを使用して、いつ、何回、システムが自動起動を試行するかのパラメータを設定できます。
Audit Vault Serverコンソールに管理者としてログインします。
「セキュア・ターゲット」タブをクリックします。
「監査証跡」をクリックします。
「監査証跡」ページに監査証跡がリストされ、その他の詳細とともに、「収集のステータス」列にそのステータスが表示されます。ステータスは、次のいずれかです。
アイドル: 証跡は稼働中で、収集する新しい監査データはありません。この状態では、証跡はセキュア・ターゲットによって新しい監査データが生成されるのを待機しています。
開始中: 収集処理を開始しています。
停止中: 収集処理を停止しています。
リカバリ中: 証跡は監査データのバッチを収集した後、Audit Vault Serverでチェックポイントを設定しています。サーバーの負荷によっては、この処理にしばらく時間がかかることがあります。
到達不能: ハートビート・タイムアウトが発生しました。直前の2分間、証跡からハートビート・メッセージを受信しなかったことを意味します。証跡がクラッシュしていなければ、このステータスは一時的です。
アーカイブ・データ・ファイルが必要(リンク): このリンクが表示される場合は、新規の監査証跡にはアーカイブする必要のある期限切れの監査レコードが含まれており、それに必要なアーカイブ・データ・ファイルが使用できないことを意味しています。
「証跡自動起動詳細」列は、証跡の自動起動が有効になっているかどうか、障害が発生した監査証跡(たとえば、セキュア・ターゲットが一時的に停止した場合)の再起動が試行されているかどうかを示します。
ヒント: 監査証跡リストはソートおよびフィルタ処理できます。
ノート:
特定のエージェント・ホストの監査証跡のステータスを表示するには、「ホスト」タブをクリックし、そのホストの「エージェントの詳細」列で「監査証跡の表示」をクリックします。
ノート:
監査証跡の開始に失敗した場合、「エラー・メッセージ」列を表示することで、さらに多くの情報を得ることができます。
「監査証跡」ページで、「アクション」ボタンをクリックして「列の選択」をクリックします。
左にある「エラー・メッセージ」をダブルクリックし、「レポート」ボックスにある「表示」に移動して、「適用」をクリックします。
関連項目:
監査証跡リストをソートおよびフィルタ処理するには、「UIでのオブジェクト・リストの使用」を参照してください。
監査証跡の収集が確立すると、監査データは、保存(アーカイブ)ポリシーの「オンラインだった月数」の期間、Audit Vault Serverで保持されます。この期間の後、データ・ファイルはアーカイブ可能となります。その後データは、保存ポリシーの「アーカイブされていた月数」の間、アーカイブ内に保存され、その期間中、Audit Vault Serverへの取得に使用できます。
ただし、既存のセキュア・ターゲットに新規の監査証跡を追加した場合、収集された監査データに、このセキュア・ターゲットに割り当てられている保存ポリシー内の「アーカイブされていた月数」期間に該当するレコードが含まれることがあります。つまり、これらの監査レコードのオンライン期間は期限切れのため、保存ポリシーに従ってアーカイブする必要があります。
この場合、Oracle Audit Vault and Database Firewallでは、新規の監査証跡の収集中に自動的にこれらの期限切れレコードのアーカイブが試行されます。場合によっては、監査証跡が収集を完了できるように、アーカイブ・データ・ファイルを使用可能にする必要があります。
既存のセキュア・ターゲットの新規の監査証跡を収集するときに、監査証跡の「収集のステータス」に「アーカイブ・データ・ファイルが必要」リンクが表示された場合は、次の手順に従います。
アーカイブ・データ・ファイルにアクセスできるようにするには:
関連項目:
アーカイブの場所で、必要なデータ・ファイルが使用可能であり、その場所への接続が確立されていることを確認するには、「アーカイブ場所の定義」を参照してください。
「Oracle Audit Vault And Database Firewallでのデータのアーカイブおよび取得について」
一部のデータベースの監査レコードは、Oracle Audit Vault and Database Firewallコレクタによって直接読み取ることができない形式です。このような監査レコードは、まず読取り可能な形式に変換されてから収集されます。
MySQL監査用XML変換ユーティリティの実行
MySQLセキュア・ターゲットの場合、Oracle Audit Vault and Database Firewallに含まれている変換ユーティリティで、MySQLのXML監査フォーマット・ログ・ファイルを監査データの収集で利用できる形式に変換します。監査証跡を追加する前に、このユーティリティをMySQLホスト・マシンで実行する必要があります。
ノート:
この手順は古い監査フォーマットでのみ利用できます。MySQL 5.5および5.6のデフォルト監査フォーマットは古いです。MySQL 5.7のデフォルト監査フォーマットは新しいです。監査フォーマットはMySQL Serverで構成を変更することで変更できます。
前提条件
Audit Vault ServerでMySQLセキュア・ターゲットを登録します。「Audit Vault Serverでのセキュア・ターゲットの登録または削除」を参照してください。
MySQLホスト・マシンにAudit Vault Agentをデプロイします。「ホスト・コンピュータでのAudit Vault Agentのデプロイ」を参照してください。
XML変換ユーティリティを実行するには:
IBM DB2監査のためのバイナリ監査ファイルのASCII形式への変換
IBM DB2では、監査ログ・ファイルがDB2データベースとは別のバイナリ・ファイル形式で作成されます。IBM DB2セキュア・ターゲットの場合、DB2データベースの監査データを収集する(監査証跡を開始する)たびに、この項で説明するスクリプトを使用して、事前にバイナリ・ファイルをASCIIファイルに変換する必要があります。
原則として、このスクリプトを定期的に実行するようにスケジュールします。DB2監査証跡によってすでに収集されている古いテキスト・ファイルがスクリプトによって検出されると、それらのファイルは削除されます。スクリプトを実行するたびに、タイムスタンプが設定されたASCIIテキスト・ファイルが新しく作成されます。オプションで、出力監査ファイルをパージするスクリプトを設定できます。
ノート:
別のディレクトリで各データベースおよび各インスタンスの監査ログ・ファイルを抽出することをお薦めします。Oracle AVDFでは、各データベースおよび各インスタンスに対して別の監査証跡を構成する必要があります。
バイナリのDB2監査ファイルをASCIIファイルに変換するには:
スクリプトを自動的に実行するようにスケジュールする場合、次のガイドラインに従ってください。
UNIX: crontab UNIXユーティリティを使用します。スクリプトを通常どおりに実行するときに前述のパラメータを使用して指定したのと同じ情報を指定します。
Microsoft Windows: Windows Schedulerを使用します。アーカイブ・ディレクトリ・パス(リリース9.5データベースの場合のみ)、抽出パスおよびセキュア・ターゲット・データベース名をスケジュールしたタスクに指定します。
Oracle Real Application Clusters (Oracle RAC)用に監査証跡収集を構成できます。
RAC用にSCANリスナーを構成し、ターゲット登録時にSCANリスナーIPを単一IPとして使用します。
Oracle Real Application Clusters (RAC)用に監査証跡収集を構成するには、次のガイドラインに従います。
| 監査証跡のタイプ | 監査証跡の数 |
|---|---|
|
Oracle RAC環境からの表証跡監査データ収集を構成するには、1つの監査証跡で十分です。 |
|
Oracle RAC環境からのディレクトリ監査データ収集を構成するには、別の監査証跡が必要です。証跡の場所は、Oracle RAC環境の共有記憶域内の別のディレクトリである必要があります。 |
|
Oracle RAC環境からのトランザクション・ログ(REDO)監査データ収集を構成するには、1つの監査証跡で十分です。 |
関連項目:
監査証跡を構成するには、「Audit Vault Serverでの監査証跡の追加」を参照してください。
Oracle Databaseは、コンテナ・データベース(CDB)またはプラガブル・データベース(PDB)として動作できます。PDBは、Oracle Netクライアントに非CDBとして表示されるスキーマ、スキーマ・オブジェクトおよび非スキーマ・オブジェクトのポータブル・コレクションです。Oracle Database 12cより前のすべてのOracleデータベースは非CDBです。
PDBおよびCDBは、セキュア・ターゲットとして登録することもできます。Oracle Audit Vault and Database Firewallは、CDBおよびPDBレベルの監査収集をサポートしています。CDB内の複数のPDBインスタンスから監査データを収集するには、PDBインスタンスごとに個別のセキュア・ターゲットを作成する必要があります。
CDB_UNIFIED_AUDIT_TRAILからは、マルチテナント環境におけるすべてのPDBインスタンスからの監査レコードが提供されます。CDB_UNIFIED_AUDIT_TRAILからの監査収集のパフォーマンスは、各PDBインスタンスのUNIFIED_AUDIT_TRAILからの監査収集よりも低くなります。CDB_UNIFIED_AUDIT_TRAILの1日当たりに生成される監査レコードの数が800万より多い場合は、すべてのPDBインスタンスのUNIFIED_AUDIT_TRAILからの監査収集を構成します。
CDBまたはPDBの監査証跡収集を構成するには、次のガイドラインに従います。
| 監査証跡のタイプ | ガイドライン |
|---|---|
|
ノート: CDB_UNIFIED_AUDIT_TRAILからの監査収集はサポートされていません。 |
|
ノート: Oracle Database 12cでマルチテナント・コンテナ・データベース(CDB)を使用している場合、CDBに対して、CDBおよびすべてのPDBに対するターゲットを登録する必要があります。 |
|
トランザクション・ログ収集は、PDBまたはCDBに対してサポートされていません。 |
|
すべてのPDBを独立したセキュア・ターゲットとして処理することにより、監査ポリシーをプロビジョニングまたは取得できます。 |
関連項目:
監査証跡を構成するには、「Audit Vault Serverでの監査証跡の追加」を参照してください。
強制ポイントの構成について学習します。
ノート:
透過的アプリケーション・フェイルオーバー(TAF)、高速アプリケーション通知(FAN)またはOracle Notification Service (ONS)を使用している場合、SQLコマンドはこのチャネルを介して送信されません。Oracle Database Firewallを介してルーティングする必要はありません。ONS通信では、Database FirewallをバイパスしてONSリスナーに直接接続します。宛先ホストおよびポートを含むONS通信は、ONSサーバーにあるons.configプロパティ・ファイルで構成されます。
Audit Vault Serverコンソールで各強制ポイントを構成します。Audit Vault Serverの回復可能なペアを構成している場合は、プライマリ・サーバーで強制ポイントを構成する必要があります。
前提条件
この強制ポイントに使用する予定のDatabase Firewallにトラフィック・ソースが構成されていることを確認します。詳細は、「ネットワーク上のDatabase Firewallおよびそのトラフィック・ソースの構成」を参照してください。
Audit Vault Serverコンソールに管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。
ノート:
DPEモードでDatabase Firewallを使用する場合、IPアドレスまたはMACアドレスのスプーフィング検出ルールを使用する外部デバイスを正しく構成し、それらのデバイスがDatabase Firewallによって行われたデータベースのIPアドレスまたはMACアドレスの変更を無視するように設定する必要があります。
関連項目:
サーバーの回復可能なペアの構成の詳細は、「高可用性の構成」を参照してください。
各種モードの詳細は、『Oracle Audit Vault and Database Firewall概要ガイド』を参照してください。
トラフィック・ソースの詳細は、「トラフィック・ソースの構成」を参照してください。
ストアド・プロシージャ監査(SPA)を使用すると、Oracle Audit Vault and Database Firewall監査者は、セキュア・ターゲット・データベースのストアド・プロシージャに対する変更を監査できます。Oracle Audit Vault and Database Firewallは、スケジュールされた間隔でデータベース・サーバーに接続し、ストアド・プロシージャに対して行われた変更または追加があればそれを検出します。SPAは、Oracle Audit Vault and Database Firewallでサポートされるすべてのデータベース・セキュア・ターゲットに対してサポートされます。
SPAを有効にするには、Oracle Audit Vault and Database Firewallがストアド・プロシージャ監査をセキュア・ターゲットで実行するのに必要なユーザー・アカウント権限を構成するだけです。Oracle Audit Vault and Database Firewallには、これらの権限を設定するスクリプトが用意されています。セキュア・ターゲット・タイプに固有のスクリプトを実行します。
Oracle Audit Vault and Database Firewall監査者は、セキュア・ターゲット構成でストアド・プロシージャ監査を有効にすると、ストアド・プロシージャに対する変更をレポートで確認できます。
関連項目:
『Oracle Audit Vault and Database Firewall監査者ガイド』
データベース問合せの構成および使用について学習します。
データベース問合せを使用すると、サポートされるデータベース・セキュア・ターゲットにDatabase Firewallが特定の情報を問い合せることができます。収集される情報は、データベースのタイプによって異なります。この項では、データベース問合せを使用する、次の2つの方法について説明します。
データベース問合せを使用すると、SQL文を作成したデータベース・ユーザーの名前、オペレーティング・システムおよびクライアント・プログラムの情報をネットワーク・トラフィックから取得できない場合に、Microsoft SQL ServerとSybase SQL Anywhereの監視対象データベースに問い合せて取得できます。この情報は、Audit Vault and Database Firewallのレポートで使用できます。
これら2つのデータベース用にデータベース問合せを構成するには、次のことを実行する必要があります。
データベースでAudit Vault and Database Firewallデータベース問合せ用のユーザー・アカウントを作成します。このユーザー・アカウントに特定の権限を付与します。
Audit Vault and Database Firewallで、セキュア・ターゲット・データベースを監視する強制ポイントでデータベース問合せを有効にします。
Database Firewallを使用して、ネットワーク暗号化を使用するOracle Databaseセキュア・ターゲットを監視している場合、そのデータベースに対する送信文および受信レスポンスを復号化して分析できるようにするためにデータベース問合せを使用する必要があります。
Oracleデータベースの文の復号化に関する制限
データベース問合せを有効にするには、この手順を使用します。
前提条件
Audit Vault Serverコンソールに管理者としてログインします。詳細は、「Audit Vault ServerコンソールUIへのログイン」を参照してください。
追加の入力フィールドが表示されます。
ネットワーク暗号化を使用するデータベースでのOracle Database Firewallの構成について学習します。
ネットワーク暗号化を使用するOracle Database用にデータベース問合せを構成するには、この項のステップに従います。
Oracle Databaseにパッチを適用する方法について学習します
ノート:
Oracle Databaseバージョン11.2.0.4以降の場合、このステップは必要ありません。11.2.0.4より前のすべてのバージョンについては、ネットワーク暗号化を使用しているOracle Databaseに、この項で示されたパッチを適用します。パッチを適用するには:
データベース問合せを使用してデータベース・トラフィックを復号化するには、ネットワーク暗号化を使用しているOracle DatabaseにDatabase Firewall公開キーを指定する必要があります。
Oracle Databaseに公開キーを指定するには:
このOracle Databaseを監視するDatabase Firewallの管理コンソールで、「システム」メニューの「公開キー」をクリックします。
「Oracle Advanced Security復号化」に表示される公開キーをコピーし、dbfw_public_key.txtなどのテキスト・ファイルに貼り付けます。
Database Firewallはそれぞれ独自の公開キーを保持しています。Database Firewallの高可用性または強制ポイントの回復性を設定している場合、複数のDatabase Firewallがこのセキュア・ターゲットを監視しているとき、それぞれのDatabase Firewall公開キーをコピーしてdbfw_public_key.txtファイルに追加する必要があります。
ノート: セキュリティのため、dbfw_public_key.txtファイルにはOracle Databaseサーバー上のsqlnet.oraファイルと同じアクセス権限が必要です。
Oracle Databaseのsqlnet.oraファイルを変更して、公開キーを挿入し、ネットワーク暗号化のネイティブ・トラフィック暗号化を必須にします。
ステップ2で作成したファイルをOracle Databaseサーバーのsqlnet.oraファイルと同じディレクトリ(推奨)に配置します。
sqlnet.oraファイルを開き、次のパラメータを追加します(この例では、公開キー・ファイルはdbfw_public_key.txtです)。
SQLNET.ENCRYPTION_TYPES_SERVER=AES256SQLNET.DBFW_PUBLIC_KEY="/path_to_file/dbfw_public_key.txt"SQLNET.ENCRYPTION_SERVER=REQUIRED
ノート: sqlntet.oraファイルにオプション・パラメータSQLNET.ENCRYPTION_CLIENTが含まれている場合、その値をREJECTEDにすることはできません。そうしないと、エラーが発生します。
sqlnet.oraファイルを保存して閉じます。
関連項目:
ネットワーク暗号化の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。
「データベース問合せの有効化」の手順に従って、ネットワーク暗号化を使用するOracle Databaseに対するデータベース問合せの設定を完了します。
データベース・レスポンス・モニタリング機能を有効にすると、図6-1に示すように、データベース・クライアントから送信されたログイン・リクエスト、ログアウト・リクエストおよびSQL文に対するセキュア・ターゲット・データベースのレスポンスをDatabase Firewallで記録できます。この機能を使用すると、データベースでログイン、ログアウトおよび文が正常に実行されたかどうかを判別でき、監査およびフォレンジック目的の有用な情報を提供できます。
図6-1は、データベース・レスポンス・モニタリングのプロセス・フローを示しています。
Oracle AVDF監査者は、データベース・レスポンスを監査レポートで確認できます。
データベース・レスポンス・モニタリングでは、Database Firewallポリシーによってログに記録されたすべてのSQL文、ログインおよびログアウトに対するデータベース・レスポンスが記録されます。
記録される情報には、Oracle AVDFで解析されるレスポンス(「文の失敗」など)、データベースからの詳細なステータス情報、およびデータベース・レスポンス・テキスト(データベース・クライアントで表示可能)が含まれます。
デフォルトでは、AVDFエージェントとOracle Databaseセキュア・ターゲット間のデータ・セキュリティは、TCP接続を介したネットワーク暗号化によって達成されます。データ・セキュリティは、TCPS/SSL接続を使用することでも達成できます。
セキュア・ターゲットがTCPS/SSL接続を受け入れるように設定されている場合は、次のステップを実行してエージェントを構成します。
セキュア・ターゲットのsqlnet.oraファイルで、次のパラメータが設定されていることを確認します。
SQLNET.ENCRYPTION_SERVER = REQUESTED、REJECTED、またはデフォルトのACCEPTED。
SQLNET.CRYPTO_CHECKSUM_SERVER = REJECTEDまたはデフォルトのACCEPTED
Audit Vault Serverコンソールに管理者としてログインします。
「セキュア・ターゲット」タブをクリックします。
変更する対象のセキュア・ターゲットの名前を選択します。
「セキュア・ターゲットの変更」ページで、次の手順を実行します。
「セキュア・ターゲットの場所(監査用)」領域で、「ホスト名 / IPアドレス」に詳細を入力し、「TCPS」プロトコル、「サーバーDN」を選択し、ウォレット・ファイルをアップロードします。
または、「詳細」オプションを選択し、「TCPS」プロトコルを選択し、ウォレット・ファイルをアップロードしてから、「セキュア・ターゲットの場所」フィールドにTCPS接続文字列を指定します。
次に例を示します。
jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=host_ip)(PORT=port_number))(CONNECT_DATA=(SERVICE_NAME=service_name)(SERVER=DEDICATED))(SECURITY= (SSL_SERVER_CERT_DN="dn")))
「保存」をクリックします。
関連項目:
パラメータの詳細は、『Oracle Database Net Servicesリファレンス』を参照してください。
