10 サード・パーティSIEMおよびログ・データ分析ツールとの統合
Oracle Audit Vault and Database Firewallは、サード・パーティのSIEM (Security Information and Event Management)およびログ・データ分析ツールとの統合をサポートします。
Oracle Audit Vault and Database Firewallでは、SYSLOGを使用して外部システムにアラートをプッシュできます。サード・パーティ・ツールをデータベースに直接接続し、SIEMが提供するコレクタを使用してイベント・ログ表からデータを抽出(プル)することもできます。
SIEMツールとの統合は、次の2つの方法のいずれかで実現されます。
-
Oracle AVDFでは、SYSLOGを使用してアラートをSIEMにプッシュします。Oracle Audit Vault and Database FirewallがSYSLOGを使用してSIEMにアラートを送信するプッシュ方法の詳細は、Audit Vault Serverのsyslog宛先の構成を参照してください。
-
Oracle AVDFのAVSYS.EVENT_LOG表からイベントをプルするようにSIEMを構成します。この機能を構成するには、SIEMのデータベース表コネクタを使用します。プルのための方法では、SIEMによって提供されるコレクタを使用して、AVSYS.EVENT_LOG表からすべてのデータを表示および抽出するようにSIEMを構成します。このためには、Oracle Audit Vault and Database Firewallで監査者ロールを持つユーザーを作成する必要があります。データをSIEMに送信する必要があるターゲットへのアクセス権がこのユーザーにあることを確認します。これはSIEMがデータベースへの接続に使用するデータベース・ユーザーです。残りの構成はSIEMで完了する必要があります。Oracle Audit Vault and Database FirewallのスキーマおよびAVSYS.EVENT_LOG表でのSIEMへの特定のマッピングは、SIEMによって異なります。EVENT_LOG表の説明については、付録Oracle Audit Vault and Database Firewallのデータベース・スキーマを参照してください。
ノート:
高可用性用に構成されたDatabase Firewallの場合、すべてのDatabase Firewallインスタンスの設定が同じである必要があります。フェイルオーバーが発生した場合、スタンバイDatabase Firewallインスタンスがプライマリになります。スタンバイDatabase FirewallインスタンスのSYSLOG設定が有効になります。このために、一部のSYSLOG設定およびロギングはオフになっています。これは、両方のインスタンスによって送信される重複ログを回避するために実行されます。
前のプライマリが再びアクティブになると、Database Firewallインスタンス間の設定の転送または共有は行われません。変更によって次のフェイルオーバー中に設定が消去されるため、rsyslog.confの手動による変更は回避する必要があります。SYSLOG設定で実際に保存された値は、フェイルオーバー時に変更しないでください。