プライマリ・コンテンツに移動
Oracle® Audit Vault and Database Firewall管理者ガイド
リリース12.2
E70392-19
索引
次
目次
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
新機能
Oracle AVDFリリース12.2.0の変更点
このドキュメントの変更点
リビジョン履歴
一般的なタスクのクイック・リファレンス
このマニュアルについて
Audit Vault Server
Database Firewall
ホスト
エージェント
ホスト監視
セキュア・ターゲット
登録および管理
監査
Database Firewallによる監視
BIG-IP ASM統合
Arcsight統合
その他の管理者タスク
参照情報
第I部 スタート・ガイド
1
Oracle Audit Vault and Database Firewallの概要
1.1
このマニュアルの最新バージョンのダウンロード
1.2
Oracle AVDFについて学ぶ
1.3
Oracle Audit Vault and Database Firewallでサポートされているプラットフォーム
1.4
システム機能
1.4.1
Audit Vault and Database Firewallについて
1.4.2
Oracle Audit Vault and Database Firewallのセキュリティ技術導入ガイドおよび実装
1.4.3
Oracle Audit Vault and Database Firewallのシステム要件
1.4.4
サポートされるセキュア・ターゲット
1.4.5
管理機能
1.4.6
Oracle Audit Vault and Database Firewallの監査機能
1.4.7
Oracle Audit Vault and Database Firewallとサード・パーティ製品の統合
1.4.8
Oracle Audit Vault and Database FirewallとOracle Key Vaultの統合
1.5
管理者のロールについて
1.6
構成ステップの概要
1.6.1
Oracle AVDFの構成とAudit Vault Agentのデプロイ
1.6.2
Oracle AVDFの構成とDatabase Firewallのデプロイ
1.7
システム構成の計画
1.7.1
Oracle Audit Vault and Database Firewallの構成を計画するためのガイダンス
1.7.2
ステップ1: Oracle Audit Vault Server構成の計画
1.7.3
ステップ2: Database Firewall構成の計画
1.7.4
ステップ3: Audit Vault Agentデプロイメントの計画
1.7.5
ステップ4: 監査証跡構成の計画
1.7.6
ステップ5: 統合オプションの計画
1.7.7
ステップ6: 高可用性の計画
1.7.8
ステップ7: ユーザー・アカウントおよびアクセス権限の計画
1.8
Audit Vault ServerコンソールUIへのログイン
1.8.1
Oracle Audit Vault Serverコンソールへのログイン
1.8.2
Audit Vault Serverコンソールにおけるタブおよびメニューについて
1.8.3
UIでのオブジェクト・リストの使用
1.9
Database FirewallコンソールUIへのログイン
1.9.1
Database FirewallコンソールUIへのログイン
1.9.2
Oracle Database Firewall UIの使用
1.10
Audit Vaultコマンドライン・インタフェースの使用
1.11
Audit Vault and Database Firewall Enterprise Managerプラグインの使用方法
2
一般的なセキュリティ・ガイドライン
2.1
安全なインストールとデータの保護
2.1.1
Oracle Audit Vault and Database Firewallの安全なインストール
2.1.2
データの保護
2.2
セキュリティに関する一般的な推奨事項
2.3
外部ネットワークの依存関係
2.4
ネットワークベース・ソリューションのデプロイに関する考慮事項
2.4.1
Database Firewallのネットワーク暗号化の管理
2.4.2
サーバー側のSQLとコンテキストの構成処理
2.5
様々なデータベース・アクセス・パスでのOracle AVDFの動作
2.6
特別な構成に関するセキュリティ上の考慮事項
2.6.1
共有サーバー・モードで構成されたOracle DatabaseターゲットのDatabase Firewall構成
2.6.2
クライアントのIPアドレスによるTCP許可ノードへの影響
2.6.3
注意が必要なその他の動作
2.6.4
カスタム・コレクタ開発
2.7
Transport Layer Securityレベルの設定について
3
Audit Vault Serverの構成
3.1
Oracle Audit Vault Serverの構成について
3.2
Oracle Audit Vault ServerのUI (コンソール)証明書の変更
3.3
初期システム設定およびオプションの指定(必須)
3.3.1
サーバーの日付、時刻およびキーボード設定の指定
3.3.2
Audit Vault Serverシステム設定の指定
3.3.2.1
Audit Vault Serverネットワーク構成の設定または変更
3.3.2.2
Oracle Audit Vault Serverサービスの構成または変更
3.3.2.3
アクティブな登録済ホストのIPアドレスの変更
3.3.3
Oracle Audit Vault Serverのsyslog宛先の構成
3.4
電子メール通知サービスの構成
3.4.1
Oracle Audit Vault and Database Firewallの電子メール通知について
3.4.2
Oracle Audit Vault and Database Firewallの電子メール通知の構成
3.5
アーカイブの場所および保存ポリシーの構成
3.5.1
Oracle Audit Vault And Database Firewallでのデータのアーカイブおよび取得について
3.5.2
アーカイブ場所の定義
3.5.3
アーカイブ・ポリシーの作成または削除
3.5.3.1
アーカイブ(保存)ポリシーの作成
3.5.3.2
アーカイブ・ポリシーの削除
3.5.4
アーカイブ・ジョブまたは取得ジョブの実行
3.6
高可用性環境でのアーカイブおよび取得の管理
3.7
高可用性のための回復可能なペアの定義
3.8
Audit Vault ServerでのDatabase Firewallの登録
3.9
Audit Vault Serverのシステム操作のテスト
3.10
Audit Vault Server用のファイバ・チャネル・ベース・ストレージの構成
3.11
Audit Vault Agentへのネットワーク・アドレス変換IPアドレスの追加
4
Database Firewallの構成
4.1
Database Firewallの構成について
4.2
Database Firewall用のUI(コンソール)証明書の変更
4.3
Database Firewallのネットワークおよびサービス構成の管理
4.3.1
Database Firewallのネットワーク設定の構成
4.3.2
Database Firewallのネットワーク・サービスの構成
4.4
Database Firewallでの日付と時刻の設定
4.5
Audit Vault Serverの証明書およびIPアドレスの指定
4.6
Database Firewallサーバーの単一インスタンスのIPアドレスの変更
4.7
ネットワーク上のDatabase Firewallおよびそのトラフィック・ソースの構成
4.7.1
ネットワーク上のDatabase Firewallおよびトラフィック・ソースの構成について
4.7.2
トラフィック・ソースの構成
4.7.3
Database Firewallでのブリッジの構成
4.7.4
トラフィック・プロキシとしてのOracle Database Firewallの構成
4.8
Interface Masters Niagaraサーバー・アダプタ・カードの構成
4.9
Database Firewallのステータスおよび診断レポートの表示
4.10
診断レポート・ファイルの構成およびダウンロード
5
ホストの登録とエージェントのデプロイ
5.1
Audit Vault Serverでのホストの登録
5.1.1
ホストの登録について
5.1.2
Audit Vault Serverでのホストの登録
5.1.3
ホスト名の変更
5.2
ホスト・コンピュータでのAudit Vault Agentのデプロイおよびアクティブ化
5.2.1
Audit Vault Agentのデプロイについて
5.2.2
Audit Vault Agentのデプロイおよびアクティブ化に必要なステップ
5.2.3
ホストの登録
5.2.4
ホスト・コンピュータでのAudit Vault Agentのデプロイ
5.2.5
Audit Vault Agentのアクティブ化および起動
5.2.6
Audit Vault AgentのWindowsサービスとしての登録および登録解除
5.2.6.1
Audit Vault AgentのWindowsサービスについて
5.2.6.2
Audit Vault AgentのWindowsサービスとしての登録
5.2.6.3
Audit Vault AgentのWindowsサービスとしての登録解除
5.3
エージェントの起動、停止およびその他の操作
5.3.1
Oracle Audit Vault Agentの停止および起動
5.3.1.1
Unixホスト上のエージェントの停止および起動
5.3.1.2
Windowsホスト上のエージェントの停止および起動
5.3.1.3
Windowsホスト上のエージェントの自動起動
5.3.2
Audit Vault Agentのロギング・レベルの変更
5.3.3
Audit Vault Agentのステータスおよび詳細の表示
5.3.4
Audit Vault Agentの非アクティブ化と削除
5.4
Oracle Audit Vault Agentの更新
5.5
プラグインのデプロイとプラグイン・ホストの登録
5.5.1
プラグインについて
5.5.2
セキュア・ターゲットで監査が有効であることの確認
5.5.3
Audit Vault Serverでのプラグイン・ホストの登録
5.5.4
プラグインのデプロイおよびアクティブ化
5.5.5
プラグインのアンデプロイ
5.6
Audit Vault Serverからのホストの削除
6
セキュア・ターゲット、監査証跡および強制ポイントの構成
6.1
セキュア・ターゲットの構成について
6.2
セキュア・ターゲットの登録とグループの作成
6.2.1
Audit Vault Serverでのセキュア・ターゲットの登録または削除
6.2.1.1
Audit Vault Serverでのセキュア・ターゲットについて
6.2.1.2
セキュア・ターゲットの登録
6.2.1.3
セキュア・ターゲットの変更
6.2.1.4
セキュア・ターゲットの削除
6.2.2
セキュア・ターゲット・グループの作成または変更
6.2.3
セキュア・ターゲットおよびセキュア・ターゲット・グループへのアクセスの制御
6.3
監査データ収集のためのセキュア・ターゲットの準備
6.3.1
セキュア・ターゲットでのNTPサービスを使用した時刻の設定
6.3.2
セキュア・ターゲットで監査が有効であることの確認
6.3.3
セキュア・ターゲットに対するユーザー・アカウント権限の設定
6.3.4
監査証跡のクリーンアップのスケジュール
6.4
監査証跡収集の構成および管理
6.4.1
Audit Vault Serverでの監査証跡の追加
6.4.2
Audit Vault Serverでの監査証跡の停止、開始および自動起動
6.4.3
Audit Vault Serverでの監査証跡のステータスの確認
6.4.4
新規の監査証跡と期限切れ監査レコードの処理
6.4.5
監査証跡の削除
6.4.6
収集のための監査レコード・フォーマットの変換
6.4.7
Oracle Real Application Clusters用の監査証跡収集の構成
6.4.8
CDBおよびPDBの監査証跡収集の構成
6.5
強制ポイントの構成
6.5.1
セキュア・ターゲットの強制ポイントの構成について
6.5.2
強制ポイントの作成および構成
6.5.3
強制ポイントの変更
6.5.4
強制ポイントの開始、停止または削除
6.5.5
強制ポイントのステータスの表示
6.5.6
強制ポイントによって使用されるポート番号の確認方法
6.6
ストアド・プロシージャ監査(SPA)の構成
6.7
データベース問合せの構成および使用
6.7.1
データベース問合せについて
6.7.1.1
SQL ServerデータベースおよびSQL Anywhereデータベースでのデータベース問合せの使用
6.7.1.2
ネットワーク暗号化を使用するOracle Databaseでのデータベース問合せの使用
6.7.2
SQL ServerおよびSQL Anywhere用のデータベース問合せの構成
6.7.2.1
Microsoft SQL Serverデータベースでのデータベース問合せ権限の設定
6.7.2.2
Sybase SQL Anywhereデータベースでのデータベース問合せ権限の設定
6.7.3
データベース問合せの有効化
6.7.4
データベース問合せの無効化
6.8
ネットワーク暗号化を使用するデータベース用のOracle Database Firewallの構成
6.8.1
ステップ1: 指定されたパッチのOracle Databaseへの適用
6.8.2
ステップ2: Oracle Advance Security統合スクリプトの実行
6.8.3
ステップ3: Oracle DatabaseへのDatabase Firewall公開キーの指定
6.8.4
ステップ4: Oracle Databaseのデータベース問合せの有効化
6.9
データベース・レスポンス・モニタリングの構成および使用
6.9.1
データベース・レスポンス・モニタリングについて
6.9.2
データベース・レスポンス・モニタリングの構成
6.9.2.1
データベース・レスポンス・モニタリングの有効化
6.9.2.2
Oracle Database Firewallでのログイン・ポリシーとログアウト・ポリシーの設定
6.10
エージェントとOracle Databaseセキュア・ターゲットの接続の保護
7
ホスト監視の有効化および使用
7.1
ホスト監視について
7.2
ホスト監視のインストールおよび有効化
7.2.1
ホスト監視要件
7.2.2
ホスト監視を実行するコンピュータの登録
7.2.3
Microsoft Windowsホストでのエージェントおよびホスト監視のデプロイ
7.2.4
UNIXホストでのエージェントおよびホスト監視のデプロイ
7.2.5
ホスト監視対象データベース用のセキュア・ターゲットの作成
7.2.6
ホスト監視の強制ポイントの作成
7.2.7
ネットワーク監査証跡の作成
7.3
ホスト監視の開始、停止およびその他の操作
7.3.1
ホスト監視の開始
7.3.2
ホスト監視の停止
7.3.3
ホスト監視のロギング・レベルの変更
7.3.4
ホスト監視のステータスおよび詳細の表示
7.3.5
ホスト監視監査証跡のステータスの確認
7.3.6
ホスト監視のアンインストール(UNIXホストのみ)
7.4
ホスト監視の更新(UNIXホストのみ)
7.5
ホスト監視における証明書ベース認証の使用
7.5.1
ファイアウォールへのホスト監視接続に署名済証明書を要求
7.5.2
Audit Vault Serverからの署名済証明書の取得
8
高可用性の構成
8.1
Oracle Audit Vault and Database Firewallの高可用性構成について
8.2
Audit Vault Serverの回復可能なペアの管理
8.2.1
Audit Vault Serverのペア作成について
8.2.2
Audit Vault Serverの回復可能なペアを構成するための前提条件
8.2.3
セカンダリAudit Vault Serverの構成
8.2.4
プライマリAudit Vault Serverの構成
8.2.5
Audit Vault Serverの高可用性ステータスの確認
8.2.6
Audit Vault Serverのペアリング後のAudit Vault Agentおよびホスト監視エージェントの更新
8.2.7
プライマリとスタンバイのAudit Vault Serverのロールの入替え
8.2.8
Audit Vault Serverペアのフェイルオーバーの処理
8.2.9
Audit Vault Serverのフェイルオーバーの無効化または有効化
8.2.10
Audit Vault Serverの手動フェイルオーバーの実行
8.3
Database Firewallの回復可能なペアの管理
8.3.1
Database Firewallの回復可能なペアの管理について
8.3.2
Database Firewallの回復可能なペアの構成
8.3.3
Database Firewallの回復可能なペアでのロールの切替え
8.3.4
Database Firewallの回復可能なペアの削除(ペア解除)
8.4
プロキシ・モードでのDatabase Firewallの高可用性
8.4.1
クライアント構成によるプロキシ・モードでのDatabase Firewallの高可用性の構成
8.4.2
DNS設定によるプロキシ・モードでのDatabase Firewallの高可用性の構成
9
BIG-IP ASMとの統合の構成
9.1
システム要件
9.2
Oracle Audit Vault and Database FirewallとF5 BIG-IP Application Security Manager (BIG-IP ASM)の統合について
9.3
統合による動作
9.4
Oracle AVDFとF5 BIG-IP Application Security Managerの統合のデプロイ
9.4.1
デプロイメントについて
9.4.2
F5 BIG-IP Application Security Managerと連携するOracle Audit Vault and Database Firewallの構成
9.4.3
F5 BIG-IP Application Security Managerの構成
9.4.3.1
ロギング・プロファイル
9.4.3.2
ポリシー設定
9.4.4
F5 BIG-IP Application Security ManagerのiRuleの開発
9.4.4.1
syslogメッセージの必要な形式
9.4.4.2
syslog-ng.confの構成
9.5
Oracle Audit Vault and Database FirewallレポートでのF5データの表示
10
サード・パーティSIEMおよびログ・データ分析ツールとの統合
10.1
Oracle Audit Vault and Database FirewallのHP ArcSight SIEMとの統合方法
10.2
HP ArcSight SIEM統合の有効化
11
Oracle RACでのOracle Database Firewallの使用
11.1
DPEモード用のOracle RACでのDatabase Firewallの構成
11.1.1
DPEプロキシ・モード用のOracle RACでのDatabase Firewallの構成について
11.1.2
ステップ1: 各Oracle RACノードのリスナーの構成
11.1.3
ステップ2: Oracle Database Firewallコンソールでのプロキシの設定
11.1.4
ステップ3: Oracle RACノードのデータを収集できることを確認するための監査レポートのテスト
11.2
DAMモード用のOracle RACでのDatabase Firewallの構成
12
Oracle Audit Vault And Database Firewall Hybrid Cloud Deployment
12.1
Oracle Audit Vault And Database Firewall Hybrid Cloud Deploymentと前提条件
12.2
DBCSでのポートのオープン
12.3
TCPを使用したHybrid Cloudセキュア・ターゲットの構成
12.3.1
ステップ1: Audit Vault Serverでのオンプレミス・ホストの登録
12.3.2
ステップ2: 登録されたオンプレミス・ホストでのAudit Vault Agentのインストール
12.3.3
ステップ3: DBCSターゲット・インスタンスでのユーザー・アカウントの作成
12.3.4
ステップ4: ターゲットのOracle Database Cloud Serviceインスタンスでの監査ポリシーの設定または確認
12.3.5
ステップ5: Audit Vault ServerでのDBCSインスタンス用のセキュア・ターゲットの作成
12.3.6
ステップ6: Audit Vault ServerでのDBCSインスタンス用の監査証跡の開始
12.4
DBCSインスタンス用のTCPS接続の構成
12.4.1
ステップ1: サーバー・ウォレットおよび証明書の作成
12.4.2
ステップ2: クライアント(エージェント)ウォレットおよび証明書の作成
12.4.3
ステップ3: クライアント(エージェント)証明書とサーバー証明書の交換
12.4.4
ステップ4: サーバー・ネットワークの構成
12.4.5
ステップ5: TCPSモードでのDBCSインスタンスへの接続
12.5
TCPSを使用したHybrid Cloudセキュア・ターゲットの構成
12.5.1
ステップ1: Oracle Audit Vault Serverでのオンプレミス・ホストの登録
12.5.2
ステップ2: 登録されたオンプレミス・ホストでのOracle Audit Vault AgentのインストールおよびTCPSの構成
12.5.3
ステップ3: Oracle Database Cloud Serviceターゲット・インスタンスでのユーザー・アカウントの作成
12.5.4
ステップ4: ターゲットのOracle Database Cloud Serviceインスタンスでの監査ポリシーの設定または確認
12.5.5
ステップ5: Audit Vault ServerでのDBCSインスタンス用のセキュア・ターゲットの作成
12.5.6
ステップ6: Audit Vault ServerでのDBCSインスタンス用の監査証跡の開始
12.6
TCPSを使用したOracle Database Exadata Express Cloud Serviceセキュア・ターゲットの構成
12.6.1
ステップ1: 登録されたオンプレミス・ホストでのAudit Vault AgentのインストールおよびTCPSの構成
12.6.2
ステップ2: Oracle Exadata Express Cloud Serviceインスタンスでのユーザー・アカウントの作成
12.6.3
ステップ3: Audit Vault ServerでのExadata Express Cloud Serviceインスタンス用のセキュア・ターゲットの作成
12.7
TCPを使用したOracle Database Exadata Express Cloud Serviceセキュア・ターゲットの構成
12.7.1
ステップ1: Audit Vault Serverでのオンプレミス・ホストの登録
12.7.2
ステップ2: 登録されたオンプレミス・ホストでのAudit Vault Agentのインストール
12.7.3
ステップ3: Oracle Exadata Express Cloudターゲット・インスタンスでのユーザー・アカウントの作成
12.7.4
ステップ4: ターゲットのOracle Exadata Express Cloudインスタンスでの監査ポリシーの設定または確認
12.7.5
ステップ5: Audit Vault ServerでのExadata Express Cloudインスタンス用のセキュア・ターゲットの作成
12.7.6
ステップ6: Audit Vault ServerでのExadata Express Cloudインスタンス用の監査証跡の開始
12.8
Autonomous Data WarehouseおよびAutonomous Transaction Processingの構成
12.8.1
ステップ1: 登録されたオンプレミス・ホストでのAudit Vault AgentのインストールおよびTCPSの構成
12.8.2
ステップ2: Oracle Cloudインスタンスでのユーザー・アカウントの作成
12.8.3
ステップ3: Audit Vault ServerでのCloudインスタンス用のセキュア・ターゲットの作成
第II部 一般的な管理タスク
13
ユーザー・アカウントおよびアクセス権の管理
13.1
Oracle Audit Vault and Database Firewall管理アカウントについて
13.2
ユーザー・アカウントに関するセキュリティ技術導入ガイドと実装
13.3
Audit Vault Serverの管理アカウントの構成
13.3.1
Oracle Audit Vault and Database Firewallユーザー・アカウントの保護に関するガイドライン
13.3.2
Audit Vault Serverの管理アカウントの作成
13.3.3
管理者ユーザー・アカウントのステータスの表示
13.3.4
Audit Vault Serverのユーザー・アカウント・タイプの変更
13.3.5
ユーザー・アカウントのロック解除
13.3.6
Audit Vault Server管理者アカウントの削除
13.4
ユーザーのsudoアクセスの構成
13.4.1
sudoアクセスの構成について
13.4.2
ユーザーのsudoアクセスの構成
13.5
セキュア・ターゲットまたはセキュア・ターゲット・グループへのユーザーのアクセス権限の管理
13.5.1
ユーザーのアクセス権限の管理について
13.5.2
ユーザーによるアクセス権限の制御
13.5.3
セキュア・ターゲットまたはセキュア・ターゲット・グループごとのアクセス権限の制御
13.6
Oracle Audit Vault and Database Firewallでのユーザー・パスワードの変更
13.6.1
パスワードの要件
13.6.2
Audit Vault Server管理者ユーザー・パスワードの変更
13.6.3
Database Firewall管理者パスワードの変更
14
Audit Vault ServerおよびDatabase Firewallの管理
14.1
Audit Vault Serverの設定、ステータスおよびメンテナンス操作の管理
14.1.1
サーバー・ステータスおよびシステム操作の確認
14.1.2
Audit Vault Serverの診断チェックの実行
14.1.3
Audit Vault Serverの詳細診断レポートのダウンロード
14.1.4
Audit Vault Serverの証明書および公開キーへのアクセス
14.1.4.1
サーバー証明書へのアクセス
14.1.4.2
サーバー公開キーへのアクセス
14.1.5
ログ・レベルの変更および診断ログのクリア
14.1.6
キーボード・レイアウトの変更
14.1.7
Audit Vault Serverの再起動および電源オフ
14.2
Audit Vault Serverのネットワーク構成またはサービス構成の変更
14.3
電子メール、syslogおよびArcSight SIEMのサーバー・コネクタの管理
14.4
監査データのアーカイブおよび取得
14.4.1
アーカイブ・ジョブの開始
14.4.2
Oracle Audit Vault and Database Firewall監査データの取得
14.5
リポジトリ暗号化の管理
14.5.1
Oracle Audit Vault Serverのリポジトリ暗号化について
14.5.2
リポジトリ暗号化のためのマスター・キーのローテーション
14.5.3
キーストア・パスワードの変更
14.5.4
TDEウォレットのバックアップ
14.5.5
アップグレードされたインスタンスでのデータ暗号化
14.6
Audit Vault Serverのバックアップおよびリストア
14.6.1
バックアップおよびリストアのユーティリティについて
14.6.2
バックアップ・ファイルに必要な領域の容量
14.6.3
Audit Vault Serverのバックアップ
14.6.3.1
ステップ1: バックアップ・ユーティリティの構成
14.6.3.2
ステップ2: Audit Vault Serverのバックアップ
14.6.3.3
ステップ3: バックアップの検証
14.6.4
Audit Vault Serverのリストア
14.6.4.1
Audit Vault Serverのリストアについて
14.6.4.2
Oracle Audit Vault Serverをリストアするための前提条件
14.6.4.3
ステップ1: 新規Audit Vault Serverのバックアップ・ユーティリティの構成
14.6.4.4
ステップ2: Oracle Audit Vault Serverのリストア
14.6.5
新規または異なるIPアドレスを持つ新しいシステムへのバックアップのリストア
14.7
Audit Vault ServerのOracle Database In-Memoryの有効化
14.7.1
Audit Vault ServerでのOracle Database In-Memoryの有効化について
14.7.2
Oracle Database In-Memoryの有効化およびメモリー割当て
14.7.3
Oracle Database In-Memoryオプションの設定
14.7.4
Oracle Database In-Memoryの無効化
14.7.5
Oracle Database In-Memoryの使用状況の監視
14.8
プラグインの管理
14.9
サーバーの表領域の領域使用量の監視
14.10
サーバーのアーカイブ・ログのディスク領域使用量の監視
14.11
サーバーのフラッシュ・リカバリ領域の監視
14.12
ジョブの監視
14.13
メンテナンス・ジョブのスケジューリング
14.14
AVCLIコマンドライン・インタフェースのダウンロードおよび使用
14.14.1
AVCLIコマンドライン・インタフェースについて
14.14.2
AVCLIコマンドライン・ユーティリティのダウンロードおよびJAVA_HOMEの設定
14.14.3
AVCLIの起動
14.14.3.1
対話モードでのAVCLIの起動
14.14.3.2
格納されている資格証明を使用したAVCLIの起動
14.14.4
AVCLIスクリプトの実行
14.14.5
AVCLIのログ・レベルの指定
14.14.6
AVCLIのヘルプおよびバージョン番号の表示
14.15
Oracle Audit Vault and Database Firewall SDKのダウンロード
14.16
Database Firewallの管理
14.16.1
Database Firewallのネットワーク構成またはサービス構成の変更
14.16.2
Database Firewallでのネットワーク・トラフィックの表示
14.16.3
Oracle Database Firewallでのネットワーク・トラフィックの取得
14.16.4
Oracle Database Firewallの再起動または電源オフ
14.16.5
Oracle Audit Vault ServerからのOracle Database Firewallの削除
14.16.6
Oracle Database Firewallからの更新済証明書のフェッチ
14.16.7
Oracle Database Firewallの診断の表示
14.16.8
Oracle Database Firewallのリセット
14.16.9
強制ポイントのリストア
15
SANリポジトリの構成
15.1
SANリポジトリの構成について
15.2
Oracle Audit Vault and Database Firewallと通信するためのSANサーバーの構成
15.3
Audit Vault ServerでのSANサーバーの登録または削除
15.3.1
SANサーバーの登録
15.3.2
SANサーバーの削除
15.4
SANサーバーでのターゲットの検出
15.4.1
SANのターゲットおよびディスクについて
15.4.2
SANサーバーでのターゲットの検出とディスクの有効化
15.4.3
SANサーバーでのターゲットからのログアウト
15.5
Audit Vault ServerリポジトリでのSANディスクの追加または削除
15.5.1
Audit Vault Serverリポジトリ内のディスク・グループについて
15.5.2
Audit Vault ServerリポジトリへのSANディスクの追加
15.5.3
Audit Vault ServerリポジトリからのSANディスクの削除
第III部 一般的なリファレンス
A
AVCLIコマンド・リファレンス
A.1
AVCLIコマンドについて
A.2
エージェント・ホストのAVCLIコマンド
A.2.1
REGISTER HOST
A.2.2
ALTER HOST
A.2.3
LIST HOST
A.2.4
DROP HOST
A.2.5
ACTIVATE HOST
A.2.6
DEACTIVATE HOST
A.3
Database FirewallのAVCLIコマンド
A.3.1
REGISTER FIREWALL
A.3.2
DROP FIREWALL
A.3.3
LIST FIREWALL
A.3.4
REBOOT FIREWALL
A.3.5
POWEROFF FIREWALL
A.3.6
CREATE RESILIENT PAIR
A.3.7
SWAP RESILIENT PAIR
A.3.8
DROP RESILIENT PAIR
A.3.9
ALTER FIREWALL
A.3.10
SHOW STATUS FOR FIREWALL
A.4
強制ポイントのAVCLIコマンド
A.4.1
CREATE ENFORCEMENT POINT
A.4.2
DROP ENFORCEMENT POINT
A.4.3
LIST ENFORCEMENT POINT
A.4.4
START ENFORCEMENT POINT
A.4.5
STOP ENFORCEMENT POINT
A.4.6
ALTER ENFORCEMENT POINT
A.5
セキュア・ターゲットのAVCLIコマンド
A.5.1
REGISTER SECURED TARGET
A.5.2
ALTER SECURED TARGET
A.5.3
UPLOAD OR DELETE WALLET FILE
A.5.4
LIST ADDRESS FOR SECURED TARGET
A.5.5
LIST SECURED TARGET
A.5.6
LIST SECURED TARGET TYPE
A.5.7
LIST ATTRIBUTE FOR SECURED TARGET
A.5.8
LIST METRICS
A.5.9
DROP SECURED TARGET
A.6
ターゲット・グループAVCLIコマンド
A.6.1
ADD TARGET
A.6.2
DELETE TARGET
A.7
監査証跡収集のAVCLIコマンド
A.7.1
START COLLECTION FOR SECURED TARGET
A.7.2
STOP COLLECTION FOR SECURED TARGET
A.7.3
LIST TRAIL FOR SECURED TARGET
A.7.4
DROP TRAIL FOR SECURED TARGET
A.8
SMTP接続のAVCLIコマンド
A.8.1
REGISTER SMTP SERVER
A.8.2
ALTER SMTP SERVER
A.8.3
ALTER SMTP SERVER ENABLE
A.8.4
ALTER SMTP SERVER DISABLE
A.8.5
ALTER SMTP SERVER SECURE MODE ON
A.8.6
ALTER SMTP SERVER SECURE MODE OFF
A.8.7
TEST SMTP SERVER
A.8.8
LIST ATTRIBUTE OF SMTP SERVER
A.8.9
DROP SMTP SERVER
A.9
セキュリティ管理のAVCLIコマンド
A.9.1
ALTER DATA ENCRYPTION
A.9.2
SHOW DATA ENCRYPTION STATUS
A.9.3
GRANT SUPERADMIN
A.9.4
REVOKE SUPERADMIN
A.9.5
GRANT ACCESS
A.9.6
REVOKE ACCESS
A.9.7
GRANT ADMIN
A.9.8
REVOKE ADMIN
A.9.9
ALTER USER
A.10
SANストレージのAVCLIコマンド
A.10.1
REGISTER SAN SERVER
A.10.2
ALTER SAN SERVER
A.10.3
LIST TARGET FOR SAN SERVER
A.10.4
DROP SAN SERVER
A.10.5
LIST DISK
A.10.6
ALTER DISKGROUP
A.10.7
LIST DISKGROUP
A.10.8
LIST SAN SERVER
A.10.9
SHOW iSCSI INITIATOR DETAILS FOR SERVER
A.11
リモート・ファイルシステムのAVCLIコマンド
A.11.1
REGISTER REMOTE FILESYSTEM
A.11.2
ALTER REMOTE FILESYSTEM
A.11.3
DROP REMOTE FILESYSTEM
A.11.4
LIST EXPORT
A.11.5
LIST REMOTE FILESYSTEM
A.11.6
SHOW STATUS OF REMOTE FILESYSTEM
A.12
サーバー管理のAVCLIコマンド
A.12.1
ALTER SYSTEM SET
A.12.2
SHOW CERTIFICATE
A.12.3
DOWNLOAD LOG FILE
A.13
AVCLI収集プラグイン・コマンド
A.13.1
DEPLOY PLUGIN
A.13.2
LIST PLUGIN FOR SECURED TARGET TYPE
A.13.3
UNDEPLOY PLUGIN
A.14
汎用のAVCLIコマンド
A.14.1
CONNECT
A.14.2
STORE CREDENTIALS
A.14.3
SHOW USER
A.14.4
CLEAR LOG
A.14.5
HELP
A.14.6
-HELP
A.14.7
-VERSION
A.14.8
QUIT
A.15
AVCLIユーザー・コマンド
A.15.1
CREATE AUDITOR
A.15.2
ALTER AUDITOR
A.15.3
DROP AUDITOR
A.15.4
CREATE ADMIN
A.15.5
ALTER ADMIN
A.15.6
DROP ADMIN
B
プラグイン・リファレンス
B.1
Oracle Audit Vault and Database Firewallプラグインについて
B.2
Oracle Audit Vault and Database Firewallに付属のプラグイン
B.2.1
すぐに使用できるプラグインの一覧
B.2.2
Oracle Database
B.2.3
Microsoft SQL Server
B.2.4
Sybase ASE
B.2.5
Sybase SQL Anywhere
B.2.6
IBM DB2
B.2.7
MySQL
B.2.8
Oracle Solaris
B.2.9
Linux
B.2.10
IBM AIX
B.2.11
Microsoft Windows
B.2.12
Microsoft Active Directory
B.2.13
Oracle ACFS
B.2.14
Oracle Big Data Appliance
B.2.15
各監査証跡タイプに対して収集されるデータの概要
B.3
セキュア・ターゲットに対するOracle AVDFアカウント権限用のスクリプト
B.3.1
Oracle Audit Vault and Database Firewallアカウント権限を設定するためのスクリプトについて
B.3.2
Oracle Databaseの設定スクリプト
B.3.3
Sybase ASEの設定スクリプト
B.3.3.1
Sybase ASEの設定スクリプトについて
B.3.3.2
Sybase ASEセキュア・ターゲットの監査データ収集権限の設定
B.3.3.3
Sybase ASEセキュア・ターゲットのストアド・プロシージャ監査権限の設定
B.3.4
Sybase SQL Anywhereの設定スクリプト
B.3.5
Microsoft SQL Serverの設定スクリプト
B.3.5.1
SQL Serverの設定スクリプトについて
B.3.5.2
SQL Serverセキュア・ターゲットの監査データ収集権限の設定
B.3.5.3
SQL Serverセキュア・ターゲットのストアド・プロシージャ監査権限の設定
B.3.6
IBM DB2 for LUWの設定スクリプト
B.3.6.1
IBM DB2 for LUWの設定スクリプトについて
B.3.6.2
IBM DB2 for LUWの監査データ収集権限の設定
B.3.6.3
IBM DB2 for LUWセキュア・ターゲットのSPA権限の設定
B.3.7
MySQLの設定スクリプト
B.4
監査収集の考慮事項
B.4.1
Oracle Active Data Guardからの監査収集のための追加情報
B.5
監査証跡のクリーン・アップ
B.5.1
Oracle Database監査証跡クリーン・アップ
B.5.1.1
Oracle Databaseセキュア・ターゲット監査証跡のパージについて
B.5.1.2
自動パージ・ジョブのスケジューリング
B.5.2
SQL Server監査証跡クリーン・アップ
B.5.3
MySQL監査証跡クリーン・アップ
B.6
手順に関する参照情報: 接続文字列、コレクション属性、監査証跡の場所
B.6.1
セキュア・ターゲットの場所(接続文字列)
B.6.2
コレクション属性
B.6.2.1
コレクション属性について
B.6.2.2
Oracle Databaseのコレクション属性
B.6.2.3
IBM DB2 for LUWのコレクション属性
B.6.2.4
MySQLのコレクション属性
B.6.2.5
Oracle ACFSのコレクション属性
B.6.3
監査証跡の場所
C
REDOログ監査データ収集リファレンス
C.1
REDOログから収集するための推奨設定について
C.2
Oracle Database 11
g
リリース2 (11.2)および12
c
のセキュア・ターゲット監査パラメータの推奨事項
C.3
Oracle Database 11
g
リリース1 (11.1)のセキュア・ターゲット監査パラメータの推奨事項
C.4
Oracle Database 10
g
リリース2 (10.2)のセキュア・ターゲット監査パラメータの推奨事項
C.5
REDOコレクタのレポートへのクライアントIDの移入
D
Audit Vault and Database Firewallで使用されるポート
D.1
Database Firewallをセキュア・ターゲット用にデプロイするときに必要となるポート
D.2
Oracle Audit Vault Serverによって提供されるサービス用のポート
D.3
Database Firewallによって提供されるサービス用のポート
D.4
Audit Vault Serverによる外部ネットワーク・アクセスのためのポート
D.5
Database Firewallによる外部ネットワーク・アクセスのためのポート
D.6
内部TCP通信用ポート
E
メッセージ・コード・ディクショナリ
E.1
Audit Vaultのメッセージ
E.2
Database Firewallのメッセージ
F
セキュリティ技術導入ガイド
F.1
セキュリティ技術導入ガイドについて
F.2
Oracle Audit Vault and Database FirewallでのSTIGルールの有効化および無効化
F.2.1
Oracle Audit Vault and Database FirewallでのSTIGルールの有効化
F.2.2
Oracle Audit Vault and Database FirewallでのSTIGルールの無効化
F.3
Oracle Audit Vault and Database FirewallでのSTIGルールの現在の実装
F.4
データベースのSTIGルールの現在の実装
F.5
その他のノート
F.5.1
DG0008-ORACLE11 STIGルール
F.5.2
DG0075-ORACLE11、DO0250-ORACLE11 STIGルール
F.5.3
DG0116-ORACLE11 STIGルール
F.6
オペレーティング・システムのSTIGルールの現在の実装
G
Oracle Audit Vault and Database Firewallのトラブルシューティング
G.1
Audit Vault Agentまたはホスト監視が最新のバンドル・パッチにアップグレードされない
G.2
BP11からそれ以降のリリースへのアップグレード後のアーカイブ機能の有効化
G.3
Database Firewallで監視しているOracle Databaseで、一部またはすべてのトラフィックを確認できない
G.4
RPMアップグレードに失敗する
G.5
エージェントのアクティブ化リクエストで「ホストが登録されていない」というエラーが返される
G.6
セカンダリAudit Vault Serverにエージェントをデプロイできない
G.7
ホスト監視の作成またはOracle Database証跡の収集に失敗する
G.8
Windowsマシンで'java -jar agent.jar'に失敗する
G.9
エージェントのインストールまたは
agent.jar
ファイルの生成ができない
G.10
Oracle Audit Vault AgentのWindowsサービスをアンインストールできない
G.11
エージェントをWindowsサービスとしてインストールしようとしたときにアクセス拒否エラーが発生する
G.12
「コントロール パネル」の「サービス」アプレットでエージェントを開始できない
G.13
エージェント開始時のエラー
G.14
ホスト監視の設定時のエラー
G.15
Oracle Databaseセキュア・ターゲットのアラートが長時間トリガーされない
G.16
監査ポリシー作成時のエラー
G.17
Database FirewallでDPEモードを使用する場合の接続の問題
G.18
監査証跡が開始されない
G.19
Audit Vault Server UIにアクセスできない
G.20
セキュア・ターゲットのデータを表示できない
G.21
Oracle Database FirewallとOracle Audit Vault Serverのペアリングの問題
G.22
Database Firewallのレポートにユーザー名が表示されない
G.23
アラートが生成されない
G.24
Oracleセキュア・ターゲットでの監査設定の取得またはプロビジョニングの問題
G.25
Oracle Audit Vault and Database Firewallポリシーを有効にしようとしたときに操作に失敗したことを示すメッセージが表示される
G.26
ディスク追加中の障害
G.27
リストア中のout of memoryエラーメッセージ
G.28
JAVA.IO.IOEXCEPTIONエラー
G.29
Failed to start ASM instanceエラー
G.30
/var/log/messagesファイルに表示されるInternal capacity exceededメッセージ
G.31
クライアントがセカンダリ・ネットワーク・インタフェース・カードとSSHを使用してAVSに接続できない
G.32
アップグレード後の1回目のアーカイブまたは取得ジョブ
G.33
HAペアリングまたは分離の後でAudit Vault Agentのインストールが失敗する
G.34
ファイルのリストア中のエラー
G.35
ソース・バージョンがNULLであるエラーが原因でDB2コレクタで障害が発生する
G.36
データベースからの接続または権限の問題が原因でDB2コレクタで障害が発生する
G.37
セキュア・ターゲットの登録中のORA-12660エラー
G.38
Oracle Audit Vault Serverの高可用性ペアリング中の障害
G.39
Audit Vault Serverのアップグレード後に監査証跡のパフォーマンスの問題が発生する
G.40
ユーザーの削除による障害
G.41
Agentの自動アップグレードの失敗
G.42
バックアップ後に一部のサービスが開始しない
G.43
Oracle Audit Vault UIでのデータ・オーバーフローの問題
G.44
Oracle Audit Vault Agentが到達不能でトランザクション・ログ監査証跡が「開始中」ステータスで停止する
G.45
スケジュールされた複数のPDFまたはXLSレポートがハング状態になる
G.46
スケジュール済ステータスのレポートが保留される
G.47
Audit VaultログでNpcapおよびOpenSSLのインストールを求めるメッセージが表示される
G.48
ホスト監視エージェントが起動に失敗する
G.49
Windowsのイベント・ログ・ファイルの再配置後に監査証跡が停止する
G.50
Unixプラットフォームでネットワーク監査証跡が開始されない
G.51
フェイルオーバー時の到達不能状態のAudit Vault Agent
G.52
ゲートウェイに到達できないエラー
H
複数のネットワーク・インタフェース・カード
H.1
Audit Vault Server用のセカンダリ・ネットワーク・インタフェースの有効化
H.2
Database Firewallの物理ネットワーク分離の構成
H.3
Audit Vault Server用のセカンダリ・ネットワーク・インタフェース・カードでのNFSの有効化
H.4
Audit Vault Server用のセカンダリ・ネットワーク・インタフェース・カードでのSPAの有効化
H.5
Audit Vault Server用のセカンダリ・ネットワーク・インタフェース・カードでのSSHの有効化
H.6
Audit Vault ServerおよびDatabase Firewallのネットワーク・インタフェースへの静的ルーティング・ルールの適用
H.7
Audit Vault ServerのセカンダリNICでのエージェント接続の有効化
H.8
Audit Vault Server用のセカンダリ・ネットワーク・インタフェース・カードを使用する高可用性環境でのエージェントの動作の有効化
H.9
Audit Vault Server用のセカンダリ・ネットワーク・インタフェースの無効化
H.10
Audit Vault Server用のセカンダリ・ネットワーク・インタフェース・カードのIPアドレスの変更
H.11
Audit Vault Server用のネットワーク・インタフェースの機能
I
システム構成ファイルへのユーザー・コンテンツの追加
索引