2 Oracle Audit Vault and Database Firewallの概要
Oracle Audit Vault and Database Firewall (Oracle AVDF)の使用を開始するには、このマニュアルの最新バージョンのダウンロードや基本的なOracle AVDFの概念の理解など、いくつかの予備タスクを実行します。
2.1 このマニュアルの最新バージョンのダウンロード
Oracle Audit Vault and Database Firewallの最新ドキュメントをダウンロードする方法を学習します。
次のWebサイトから、このマニュアルの最新バージョンをダウンロードします。
https://docs.oracle.com/en/database/oracle/audit-vault-database-firewall/20/sigad/index.html
その他のOracle製品に関するドキュメントは、次のWebサイトにあります。
2.2 Oracle Audit Vault and Database Firewallについて学ぶ
Oracle Audit Vault and Database Firewallの基本概念を理解することが、Oracle AVDFのデプロイメントを成功させるうえで重要です。
Oracle AVDFの機能、コンポーネント、ユーザーおよびデプロイメント手順を理解するため、『Oracle Audit Vault and Database Firewall概要ガイド』に目を通すことをお薦めします。
2.3 Oracle Audit Vault and Database Firewallでサポートされているプラットフォーム
Oracle Audit Vault and Database Firewallは、様々なプラットフォームで実行できます。
Oracle Audit Vault and Database Firewall (Oracle AVDF)は、OracleおよびOracle以外のデータベース、オペレーティング・システムおよびディレクトリからのアクティビティ監査データを統合します。正確なSQL文法ベースのエンジンを使用して、セキュリティおよびコンプライアンス・レポートを提供します。Database FirewallはSQLトラフィックを監視し、未認可のSQLをブロックします。
現在のリリースのプラットフォームのサポートの詳細は、Oracle Audit Vault and Database Firewallインストレーション・ガイドを参照してください。
2.4 Oracle Audit Vault and Database Firewallのシステム機能
Oracle Audit Vault and Database Firewallのシステム機能について学習します。
トピック
2.4.1 Oracle Audit Vault and Database Firewallについて
Oracle Audit Vault and Database Firewall (Oracle AVDF)では、アクティビティの監視、不正アクセスのブロック、監査データの収集、カスタマイズ可能なファイアウォール・ルールの制定、Oracleデータベース構成の評価によって、ITインフラストラクチャを保護します。
Oracle AVDFはデータベースやその他の重要なITインフラストラクチャ・コンポーネント(オペレーティング・システムなど)を、次のような方法で保護します。
- ファイアウォール・ポリシーに基づいてネットワーク上のアクティビティの監視およびSQL文のブロックを行うデータベース・ファイアウォールを提供します。
- 監査データを収集し、監査レポートでデータを提示します。
- アラートおよび通知を事前に構成できます。
この項では、Oracle AVDFの管理機能と監査機能について簡単に説明します。
Oracle AVDFの監査機能の詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
Oracle AVDFの機能、コンポーネント、ユーザーおよびデプロイメントの詳細情報を得るため、Oracle Audit Vault and Database Firewallコンセプト・ガイドに目を通すことを強くお薦めします。
2.4.2 Oracle Audit Vault and Database Firewallのセキュリティ技術導入ガイド
Oracle Audit Vault and Database Firewall (Oracle AVDF)は、セキュリティ技術導入ガイド(STIG)標準に準拠しています。
Oracle AVDFのSTIG標準への準拠について学習するには、セキュリティ技術導入ガイドを参照してください。
2.4.3 Oracle Audit Vault and Database Firewallのシステム要件
Oracle AVDFのハードウェアおよびソフトウェアの要件について確認します。
ハードウェアおよびソフトウェアの要件は、Oracle Audit Vault and Database Firewallインストレーション・ガイドを参照してください。
2.4.4 Oracle Audit Vault and Database Firewallでサポートされているターゲット
Oracle Audit Vault and Database Firewallのターゲットについて学習します。
ターゲットは、データベースまたはデータベース以外の製品で、Audit Vault AgentまたはDatabase Firewall(または両方)を使用して保護されます。データベースであるかどうかに関係なく、ターゲットがAudit Vault Agentでサポートされている場合は、そのターゲットのホスト・コンピュータにAgentをデプロイして、内部監査表およびオペレーティング・システム監査ファイルから監査データを収集できます。ターゲットがデータベースの場合は、Database Firewallを使用して受信SQLトラフィックを監視またはブロックできます。
Oracle Audit Vault and Database Firewallでは、組込みプラグインの形で様々なターゲット製品をすぐに利用できます。
関連項目:
-
各プラグインの詳細は、「プラグイン・リファレンス」を参照してください。
-
サポートされているターゲット製品およびバージョンは、表C-1を参照してください。
-
収集されるデータ、および各監査証跡タイプでサポートされているプラットフォームについては、表C-22を参照してください。
-
Oracle AVDF SDKを使用して、さらに多くのターゲット・タイプから監査証跡を取得するためのカスタム・プラグインを作成する方法の詳細は、『Oracle Audit Vault and Database Firewall開発者ガイド』を参照してください。
2.4.5 Oracle Audit Vault and Database Firewallの管理機能
Oracle Audit Vault and Database Firewallの管理機能を使用して、ターゲットとそのホスト、ファイアウォールおよびその他の機能を管理できます。
Oracle Audit Vault and Database Firewallの管理機能を使用して、次の項目を構成および管理できます。
-
ターゲット
-
Database Firewall
-
高可用性
-
サード・パーティの統合
-
Audit Vault Agentデプロイメント
-
監査証跡の収集
-
監査データのライフサイクル、アーカイブおよびパージ
-
Microsoft Active DirectoryまたはOpenLDAP
2.4.6 Oracle Audit Vault and Database Firewallの監査機能
Oracle Audit Vault and Database Firewallの監査機能について学習します。
Oracle Audit Vault and Database Firewallの監査機能により、次を構成および管理できます。
-
ファイアウォール・ポリシー
-
Oracle Databaseの監査ポリシー
-
レポートおよびレポート・スケジュール
-
Oracle Databaseの権限監査
-
ストアド・プロシージャ監査
-
アラート通知および電子メール通知
- セキュリティ評価およびドリフト管理
関連項目:
これらの監査機能の詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください
2.4.7 Oracle Audit Vault and Database FirewallとOracle Key Vaultの統合
Oracle Audit Vault and Database FirewallとOracle Key Vaultを統合できます。
Oracle Key Vaultイベントは、Oracle Audit Vault and Database Firewallによって収集されます。
Oracle Key VaultとOracle Audit Vault and Database Firewallの統合の詳細は、『Oracle Key Vault管理者ガイド』を参照してください
2.5 職務分離
Oracle Audit Vault and Database Firewallには、監査者と管理者の間の職務分離の一環として複数のロールが用意されています。
セキュリティを強化するために、Oracle Audit Vault and Database Firewallの管理者ロールと監査者ロールには、異なるユーザー・インタフェースと異なるユーザー・アカウントを使用します。このようにインタフェースとアカウントを分離することで、これら2つのロールの間で職務が分離されます。これらのOracle Audit Vault and Database Firewallユーザー・アカウントに加えて、監査データを収集するターゲットにアクセスするために、必要に応じてターゲットにユーザー・アカウントを設定することもできます。これは、Audit Vault Agentがターゲットに接続して、監査証跡から監査データを収集するために必要です。Oracle Audit Vault and Database Firewallには、このようなユーザー・アカウントをデータベース・ターゲットに設定するためのスクリプトと、その他のタイプのターゲットに関するガイダンスが用意されています。
次の表に、Oracle Audit Vault and Database Firewallのユーザー・アカウントを示します。
表2-1 Oracle Audit Vault and Database Firewallユーザー・アカウント
| アカウント | 説明 |
|---|---|
|
スーパー管理者 |
スーパー管理者は、ネットワーク設定、高可用性、データ保持ポリシーなどのAudit Vault Serverの設定を含む、Oracle Audit Vault and Database Firewallシステムの構成とメンテナンスを実行します。スーパー管理者は、その他の管理者やスーパー管理者を作成できます。また、すべてのターゲットにアクセスできます。さらに、スーパー管理者は、特定のターゲットへのアクセス権を別の管理者に付与することもできます。 |
|
管理者 |
管理者は、スーパー管理者が実行できるシステム構成タスクのサブセット(ホストとターゲットの登録、アーカイブ・ジョブの実行など)を実行できます。また、スーパー管理者によってアクセス権が付与されたターゲットの管理も実行できます。 管理者が別の管理者を作成することはできません。これを実行できるのはスーパー管理者のみです。 |
|
スーパー監査者 |
スーパー監査者はファイアウォール・ポリシーの作成、Oracle Databaseターゲットの監査ポリシーのプロビジョニング、ターゲットの設定(ストアド・プロシージャの監査を有効にするかどうかなど)の指定を実行できます。スーパー監査者は、レポート生成およびアラートと通知の作成も行います。スーパー監査者は、すべてのターゲットにアクセスできます。また、監査者ユーザーやスーパー監査者ユーザーを作成して、そのユーザーに特定のターゲットへのアクセス権を付与できます。 |
|
監査者 |
監査者はスーパー監査者のすべての機能を実行できますが、その対象は自分がアクセス権を持つターゲットに限定されます。 |
追加のアカウントは、診断のために提供されていて、Oracle Supportの指導に従って使用します。
2.6 管理者のロールについて
Oracle AVDFの管理者は、システム設定の構成、接続およびターゲットの作成、エージェントのデプロイ、監査証跡の構成などを実行できます。
Oracle AVDF管理者のタスク
Oracle Audit Vault and Database Firewall管理者のタスクには、次のようなものがあります。
- Audit Vault Serverでのシステム設定の構成。
- Audit Vault Agentをデプロイしたホスト・コンピュータへの接続の構成。これは通常、ターゲットと同じコンピュータです。
- 監視対象のデータベースまたはオペレーティング・システムごとの、Audit Vault Serverでのターゲットの作成。
- ターゲット・ホスト・コンピュータでのAudit Vault Agentのデプロイおよびアクティブ化。
- Audit Vault Agentで監視するターゲットの監査証跡の構成。
- ネットワーク上のDatabase Firewallの構成。
- ターゲットのDatabase Firewallモニタリング・ポイントの作成。
- 監査データおよび構成データのバックアップおよびアーカイブ
- 管理者ユーザーの作成とアクセス管理(スーパー管理者のみ)。
- Microsoft Active DirectoryまたはOpenLDAPの構成。
- Audit Vault Serverの高可用性の作成。
Oracle AVDFにおける管理者ロール
異なるターゲット・アクセス・レベルを持つ、2つのOracle AVDF管理者ロールがあります。
-
スーパー管理者 - このロールは、他の管理者またはスーパー管理者を作成できます。また、すべてのターゲットにアクセスでき、特定のターゲットおよびターゲット・グループへのアクセス権を管理者に付与できます。
-
管理者 - 管理者は、スーパー管理者によってアクセス権を付与されているターゲットに関するデータのみ参照できます。
2.7 Oracle Audit Vault and Database Firewallシステム構成の計画
Oracle AVDFのシステム構成の計画について学習します。
2.7.1 Oracle Audit Vault and Database Firewallの構成を計画するためのガイダンス
Oracle Audit Vault and Database Firewallの構成を計画するためのステップについて学習します。
この項のステップは、このユーザー・ガイド内の具体的なステップへのリンクを付記した、計画ステップの概要です。
関連項目:
Oracle Audit Vault Server、Oracle Audit Vault AgentおよびOracle Database Firewallのデプロイメントの計画に関するガイダンスは、Oracle Audit Vault and Database Firewall概要ガイドを参照してください。
2.7.2 ステップ1: Oracle Audit Vault Server構成の計画
Oracle Audit Vault Server構成の計画
このステップでは、サーバーの回復可能なペアを構成するかどうか、インストール時に行ったネットワーク構成設定を変更するかどうか、およびオプションのサービスの構成方法を計画します。
関連項目:
-
Oracle Audit Vault Server構成設定の詳細は、Audit Vault Serverの構成を参照してください。
-
Oracle Audit Vault Serverの回復可能なペアの設定の詳細は、「Oracle AVDFにおける高可用性」を参照してください。
-
Audit Vault Serverコンソールに接続するユーザーを認証するための、Oracle Audit Vault and Database FirewallとMicrosoft Active DirectoryまたはOpenLDAPの統合。
2.7.3 ステップ2: Oracle Database Firewall構成の計画
Oracle Database Firewall構成を計画する方法を学習します。
Oracle Database Firewallを使用する場合は、必要になるファイアウォールの数、その保護対象となるターゲット・データベース、ネットワーク内での配置場所、監視のみモードまたは監視およびブロック・モードのどちらで動作するか、およびファイアウォールの回復可能なペアを構成するかどうかを計画します。また、インストール時に指定したOracle Database Firewallネットワーク構成を変更するかどうかも計画します。
確認するアクティビティのリストを次に示します:
-
使用可能な各種デプロイメント・タイプの詳細は、「Oracle Database Firewallデプロイメントの概要」を参照してください。
-
Oracle Database Firewall構成設定の詳細は、「Database Firewallの構成」を参照してください。
-
ファイアウォールの回復可能なペアの設定の詳細は、「Oracle AVDFにおける高可用性」を参照してください。
2.7.4 ステップ3: Oracle Audit Vault Agentのデプロイメントの計画
Audit Vault Agentをデプロイする場合は、監査データを収集するターゲットを決定し、そのホスト・コンピュータを特定します。
これらのホストをOracle Audit Vault and Database Firewall (Oracle AVDF)に登録し、それぞれにAudit Vault Agentをデプロイします。次に、Audit Vault Serverで各ターゲットを登録します。
ノート:
Oracle AVDF 20.9以降、最大20件のOracle Database表監査証跡について、Audit Vault Agentのかわりにエージェントレス収集を使用できます。Oracle AVDF 20.10以降、.sqlauditと.xel (拡張イベント)のMicrosoft SQL Serverディレクトリ監査証跡にもエージェントレス収集を使用できます。エージェントレス収集の監査証跡の合計数が20件を超えないようにしてください。「エージェントレス収集を使用する監査証跡の追加」を参照してください。
2.7.5 ステップ4: 監査証跡構成の計画
Audit Vault Agentをデプロイする場合、またはエージェントレス収集(Oracle AVDF 20.9以降)を使用して監査データを収集する場合は、監査証跡を構成する必要があります。
次のガイドラインに従って、監査データの抽出元となるターゲット用に監査証跡構成を計画してください。選択する監査証跡のタイプは、ターゲット・タイプによって異なります。Oracle Databaseターゲットの場合は、Oracle Databaseで有効にした監査のタイプとなります。
ターゲットの監査証跡構成を計画するには:
2.8 構成ステップの概要
Oracle AVDFの構成ステップについて学習します。
Oracle AVDFでは、Oracle Audit Vault AgentまたはOracle Database Firewall、あるいはその両方をデプロイできます。この項では、次の場合にOracle AVDFを構成するためのステップの概要を示します。
2.8.1 Oracle Audit Vault and Database Firewallの構成とエージェントのデプロイ
次の手順を使用して、Oracle Audit Vault and Database Firewall (Oracle AVDF)を構成し、Audit Vault Agentをデプロイするかエージェントレス収集(Oracle AVDF 20.9以降)を構成します。
管理者としてシステムを構成した後は、Oracle AVDF監査者が、ターゲットの監査ポリシーを作成してプロビジョニングし、様々なレポートを生成します。
2.8.2 Oracle Audit Vault and Database Firewallの構成とOracle Database Firewallのデプロイ
Oracle Audit Vault and Database Firewallを構成してデプロイし、ファイアウォール・ポリシーの作成とターゲットへの割当てを行うことができるようにします。
管理者としてシステムを構成した後、Oracle Audit Vault and Database Firewall監査者は、ファイアウォール・ポリシーを作成し、それらをターゲットに割り当てます。監査者としてのロールおよびタスクの詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
2.9 Audit Vault Serverコンソールの使用
Audit Vault Serverコンソールにログインして使用する方法を学習します。
2.9.1 Audit Vault Serverコンソールへのログイン
Audit Vault Serverコンソールにログインする方法を学習します。
Audit Vault Serverのインストール後に初めてログインする場合:
- rootユーザーのパスワードを設定する必要があります
- スーパー管理者またはスーパー監査者を作成します
関連項目:
インストール後のタスクの詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。
Oracle Audit Vault Serverコンソールにログインするには:
2.9.2 Database Firewallコンソールへのログイン
Database Firewallコンソールにログインする方法を学習します。
Oracle Audit Vault and Database Firewallリリース20.1.0.0.0以降、Audit Vault ServerコンソールでDatabase Firewall関連のタスクを実行できるようになりました。
- Audit Vault Serverコンソールにログインします。
- メイン・ページで「データベース・ファイアウォール」タブをクリックします。
管理者として、Audit Vault Serverコンソールの「データベース・ファイアウォール」タブを使用して、Database Firewallのネットワーク、サービスおよびシステム設定を構成します。コンソールを使用して、各ファイアウォール・インスタンスを管理するAudit Vault Serverの指定、ネットワーク・トラフィック・ソースの構成、ターゲット・データベースに対する脅威の監視とブロックを行うこともできます。
関連項目:
Audit Vault Serverコンソールを使用したDatabase Firewallの構成の詳細は、「Database Firewallの構成」を参照してください。
2.9.3 Audit Vault Serverコンソールのタブおよびメニューについて
Audit Vault Serverコンソールのタブおよびメニューを使用して、エージェント、監査証跡、ターゲットなどのステータスを確認できます。
Oracle Audit Vault Serverコンソールには、次の6つのタブがあります:
-
ホーム: 次の概要情報およびステータスを示すダッシュボードを表示します。
- システム・アラート
- ターゲット
- 監査収集
- データベース・ファイアウォール・モニタリング
- 収集サマリー
- ジョブ・サマリー
- データ保存サマリー
- システム概要
-
ターゲット - ターゲットの登録、ターゲット・グループの管理、アクセス権限の管理、監査証跡の監視を行うためのメニューがあります。
-
エージェント - Audit Vault Agentを登録、デプロイ、アクティブ化および管理するためのメニューがあります。
-
データベース・ファイアウォール - Audit Vault ServerでDatabase Firewallを登録して、高可用性のためにファイアウォールの回復可能なペアを作成し、管理および監視するためのメニューがあります。
- データ保存 - オンラインおよびアーカイブ・データの詳細情報表示、アーカイブ・ポリシーの表示と作成、ターゲットへのアーカイブ・ポリシーの割当て、およびリモート・アーカイブの場所の表示と作成のためのメニューが用意されています。
-
設定 - セキュリティ、ストレージ、アーカイブ、ユーザー、証明書、パスワード、システム設定を管理するためのメニューがあります。また、ここからAVCLIコマンドライン・ユーティリティをダウンロードできます。
2.9.4 Audit Vault Serverコンソールでのオブジェクト・リストの使用
Audit Vault Serverコンソールでのオブジェクト・リストを使用する方法を学習します。
Audit Vault Serverコンソールでは、ユーザーやモニタリング・ポイントなどのオブジェクト・リストを表示できます。「アクション」メニューおよびその他のフィルタを使用して、オブジェクト・リストをフィルタおよびカスタマイズすることもできます。この項では、オブジェクト・リストのカスタム表示を作成する方法の概要を示します。詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』の「レポート」を参照してください。
Audit Vault Serverコンソールでオブジェクト・リストの表示をフィルタ処理および制御するには:
- UI上の各リスト(レポート)には検索ボックスと「アクション」メニューがあります。
2.10 Audit Vaultコマンドライン・インタフェースの使用
Audit Vaultコマンドライン・インタフェース(AVCLI)の使用方法について学習します。
AVCLIをダウンロードして、Audit Vault Serverコンソールのかわりに次の目的で使用できます。
- Oracle Audit Vault and Database Firewallの構成および管理
- Database Firewallモニタリング・ポイントの作成
- 監査証跡の管理
- ホストの登録とその他のエージェント関連タスクの実行
- Audit Vault Serverのデータベース・ターゲットと非データベース・ターゲットの両方の構成
- アーカイブの場所の管理
関連項目:
-
AVCLIのダウンロードおよび使用の詳細は、「AVCLIコマンドライン・インタフェースのダウンロードおよび使用」を参照してください
-
使用可能なコマンドおよび構文の詳細は、「AVCLIコマンド・リファレンス」を参照してください
2.11 Oracle Audit Vault and Database Firewall Enterprise Managerプラグインの使用方法
Oracle Audit Vault and Database Firewall Enterprise Managerプラグインの使用方法について学習します。
Oracle Enterprise Manager Cloud Controlを使用して、Oracle Audit Vault and Database Firewallプラグインをインストールできます。このプラグインを使用して、Oracle Enterprise Managerを通じてOracle Audit Vault and Database Firewallを管理および監視します。
次のタスクを実行できます。
-
Audit Vault and Database Firewallトポロジの表示
-
Oracle Audit Vaultコンポーネントの可用性とパフォーマンスの監視
-
ターゲットでのOracle Audit Vault Agentのプロビジョニング
-
Oracle Audit Vault and Database Firewallの初期化と、Oracle Databaseやホストなどのターゲット、およびホストとOracle Databaseの監査証跡との統合。
-
ターゲットの機密列の検出の実行
-
ターゲットの監視
Audit Vault and Database Firewall Enterprise Managerプラグインを使用すると、次のコンポーネントを管理して特定の操作を実行できます。
| コンポーネント | 実行される操作 |
|---|---|
|
Database Firewall |
|
|
Audit Vault Agent |
|
|
モニタリング・ポイント |
|
|
監査証跡 |
|
|
ターゲット |
|
関連トピック
関連項目:
プル・メソッドを使用して、Audit Vault ServerにOracle Enterprise Manager 13.x Agentを手動でデプロイする方法の詳細は、MOSノート(ドキュメントID 2855345.1)を参照してください。2.12 SSHを使用したOracle AVDFアプライアンスへのログイン
Oracle Audit Vault and Database Firewall (Oracle AVDF)をインストールするか管理するときには、SSHを使用してAudit Vault ServerまたはDatabase Firewallアプライアンスにログインする必要がある場合があります。
-
supportユーザーとしてSSHを介してアプライアンスにログインします。supportユーザーは、インストール後のプロセスの間に設定されます。インストール後の構成タスクを参照してください。ノート:
Oracle Cloud Infrastructure (OCI)マーケットプレイス・イメージを使用している場合は、OPCユーザーとしてSSHを介して接続します。ssh support@<appliance_ip_address> -
rootユーザーに切り替えます。su - rootノート:
OCIマーケットプレイス・イメージを使用している場合は、sudo su -コマンドを使用します。
注意:
インストール中やアップグレード中にrootとしてログインすると、永続的な情報を表示するために、端末マルチプレクサであるtmuxが使用されます。これらの画面にアクセスできるユーザーは、新しいrootシェルを作成できます。セッションを無人のままにする予定の場合は、CTRL-b dコマンドの使用によってブルー・スクリーンとの接続を切断することをお薦めします。再接続するには、もう一度rootとしてログインします。