4 アクセスおよび他の設定の管理
アクセスのタイプおよびその他の設定は、ユーザー・アカウントと権限や、レポート・テンプレートの作成などの領域を指します。
4.1 ユーザー・アカウントおよびアクセスの管理
スーパーユーザーは、ユーザー・アカウントおよびアクセスを管理できます。
4.1.1 Oracle AVDF監査者アカウントおよびパスワードについて
Oracle AVDF監査者のユーザー・アカウントとパスワードについて学習します。
Oracle Audit Vault and Database Firewallには、3つのタイプの監査者アカウントがあります。
- スーパー監査者:
- スーパー監査者と監査者のユーザー・アカウントを作成します。
- すべてのターゲットとターゲット・グループへの監査者アクセス権を持ちます
- ターゲットまたはターゲット・グループへの監査者アクセス権を監査者に付与します
- 監査者: スーパー監査者によって付与された特定のターゲットまたはターゲット・グループへのアクセス権を持ちます
- 読取り専用監査者: 次のものに対する読取り専用アクセス権があります。
- スーパー監査者から付与されたターゲット・データベースの詳細
- 監査証跡の詳細
- Database Firewallモニタリング・ポイント
- チャート・データの表示やフィルタの追加機能を含む、ホーム・ページのダッシュボード・データ
- ユーザー権限、ターゲット・データベースとターゲット・データベース・グループのアクセスの詳細
- すべてのレポートおよびレポート・スケジュール。特定のターゲット・データベースのコンプライアンス・レポートと生成されたレポートは、スーパー監査人によってターゲットデータベースへのアクセスが許可されている場合にのみ、読取り専用監査人に表示されます
- すべてのアラートとアラートの詳細
これらのアカウントのパスワードは一意である必要はありませんが、次のようなパスワードをお薦めします。
-
大文字英字、英字、数字、特殊文字(プラス記号、カンマ、ピリオドまたはアンダースコア)がそれぞれ少なくとも1つ含まれるようにします。
-
8文字以上30文字以下にします。
-
次の文字で構成します。
-
小文字: a-z。
-
大文字: A-Z。
-
数字: 0-9。
-
句読点記号: カンマ(,)、ピリオド(.)、プラス記号(+)、コロン(:)およびアンダースコア(_)
-
-
ユーザー名と同じにならないようにします。
-
Oracleの予約語は使用できません。
-
わかりやすい語(welcome、account、database、userなど)は使用しないでください。
-
連続する文字が含まれないようにします。
4.1.2 ローカル監査ユーザーの作成
監査者権限を持つユーザー・アカウントの作成方法を学習します。
スーパー監査者は、スーパー監査者と監査者両方のユーザー・アカウントを作成できます。
Oracle Audit Vault and Database Firewallで監査者アカウントを作成するには:
- Audit Vault Serverコンソールにスーパー監査者としてログインします。
- 「設定」タブをクリックします。
デフォルトでは、メイン・ページの「監査者の管理」サブタブが選択されています。
- 右上隅にある「追加」をクリックします。
- 「監査者の追加」ダイアログ・ボックスで、「ローカルAVDFユーザー」を選択します。
- 「ローカルAVDFユーザー」では、データベース監査者を作成するための詳細を入力します。
- 新規に作成した監査者名を入力します。
- 監査者タイプを選択します。
- 「パスワード」および「パスワードの再入力」に入力します。
Oracle Audit Vault and Database Firewallでは、
"jsmith"
などの引用符付きのユーザー名を使用できません。 - 「保存」をクリックします。
4.1.3 新規SSOユーザーの作成
シングル・サインオン(SSO)認証用の新規ユーザーを作成するには、ユーザー名と監査者タイプを入力します。
- 「設定」タブをクリックします。
-
SSOユーザー名を入力します。
使用できる文字としては、大文字と小文字、数字および記号(@.-_!^~+%)があります。SSOユーザー名の合計長は、127文字以内である必要があります。ノート:
AVDFでは、大文字と小文字を使用できますが、ユーザー名は大文字のみで格納されます。Microsoftでは、ユーザー名の、大文字と小文字の区別なしでの比較が実行されます。
4.1.5 ターゲットまたはグループへのユーザー・アクセスの管理
ターゲットおよびターゲット・グループへのユーザー・アクセスの管理を学習します。
4.1.5.1 ユーザー・アクセスの管理について
ユーザー・アクセスの管理について学習します。
スーパー監査者は、すべてのターゲットおよびターゲット・グループへのアクセス権を持ち、特定のターゲットおよびグループへのアクセス権を監査者に付与できます。
次の2つの方法でターゲットまたはグループへのアクセスを制御できます。
-
ターゲットまたはグループを変更して、1人以上のユーザーについてアクセス権を付与するか取り消します。
-
ユーザー・アカウントを変更して、1つ以上のターゲットまたはグループへのアクセス権を付与するか取り消します。
4.1.6 ユーザー・アカウント・タイプの変更
監査者ユーザー・アカウント・タイプの変更方法を学習します。
監査者アカウント・タイプは、読取り専用監査者、監査者およびスーパー監査者の間で変更できます。ユーザーのアカウント・タイプが監査者または読取り専用監査者からスーパー監査者に変更されると、そのユーザーはすべてのターゲットとターゲット・グループへのアクセス権を持つようになります。ユーザーには、一度に1つの監査者アカウント・タイプだけを割り当てることができます。
Oracle Audit Vault and Database Firewallでユーザー・アカウント・タイプを変更するには:
-
Audit Vault Serverコンソールにスーパー監査者としてログインします。
-
「設定」タブをクリックします。
「監査者の管理」ページがデフォルトで表示され、既存のユーザーと、それらのユーザーがアクセス権を持つターゲットまたはグループが表示されます。
-
変更するユーザー・アカウントの名前をクリックします。
-
「監査者の変更」ダイアログで、「タイプ」フィールドの編集アイコンをクリックします。
-
「タイプ」ドロップダウン・リストで、新しい監査者タイプを選択します。
-
スーパー監査者から監査者や読取り専用監査者にタイプを変更した場合は、このユーザーの必要に応じて、ターゲットまたはグループに対するアクセス権を付与または取り消します。
Oracle AVDFリリース20.1および20.2 Oracle AVDFリリース20.3以降 -
アクセス権の付与または取消しを行うターゲットまたはグループを選択します。
-
「権限付与」または「権限取消」をクリックします。
緑色のチェック・マークは、アクセス権が付与されていることを示します。赤色のクロス・マーク(X)は、アクセスが取り消されていることを示します。
-
アクセス権の付与または取消しを行うターゲットまたはグループを選択します。ターゲットまたはグループは、「ターゲットとターゲット・グループ」のフィールドで検索することもできます。
- 「使用可能」列のターゲットとグループを選択し、アクセス権を付与するために「選択済」列に移動します。「選択済」列のターゲットとグループを選択し、アクセス権を取り消すために「使用可能」列に移動します。
-
-
「保存」をクリックします。
4.1.7 監査者パスワードの変更
監査者のパスワードを変更する方法を学習します。
監査者は、自分のパスワードを変更できます。スーパー監査者は、他の監査者のパスワードを変更することもできます。スーパー監査者が他の監査者のパスワードを変更した場合、パスワードが変更されるとすぐに、自動的に期限切れになります。
4.1.7.2 他の監査者のパスワードの変更
スーパー監査者として他の監査者のパスワードを変更する方法について説明します。
スーパー監査者は他の監査者のパスワードを変更できます。ただし、スーパー監査者によってパスワードが変更されるとすぐに、自動的に期限切れになります。監査者は、監査者の期限切れパスワードの変更のトピックの手順に従う必要があります。
4.1.7.3 監査者の期限切れパスワードの変更
スーパー監査者がパスワードを変更した場合、またはパスワードの有効期限が過ぎた場合、パスワードが期限切れになっていることがあります。
Oracle AVDFリリース20.4以前の場合は、次のステップを実行します。
-
SSHを通じてAudit Vault Serverにログインし、
root
ユーザーに切り替えます。「SSHによるOracle AVDFアプライアンスへのログイン」を参照してください。
-
dvaccountmgr
ユーザーに切り替えます。su - dvaccountmgr
-
ユーザー名とパスワードなしでSQL*Plusを起動します。
sqlplus /
-
アカウントがロックされている場合は、次のコマンドを実行してアカウントのロックを解除します。
alter user <user name> account unlock;
-
次のコマンドを実行して、パスワードを変更します。
alter user <username> identified by <new_password>;
Oracle AVDFリリース20.5以降の場合は、次のステップを実行します。
4.2 電子メール通知のテンプレートおよび配信リストの作成
電子メール・テンプレートおよび通知により、監査者は監査関連のイベントについて他のユーザーに自動的に通知できます。
4.2.1 電子メール通知およびテンプレートについて
アラートが生成されたときまたはレポートが生成されたときに電子メールをトリガーするようにOracle Audit Vault and Database Firewallアラートを構成できます。
たとえば、アプリケーション外部のアプリケーション共有スキーマ・アカウント(たとえばAPPS
またはSYSADM
)から接続されるたびにトリガーされるアラートを作成できます。ユーザーがログインしようとすると、Oracle AVDFは電子メールを2人の管理者に送信して、アプリケーション・アカウントの不正使用を警告します。
このためには、電子メールの受信者を定義する電子メール配信リストを作成する必要があります。また、メッセージを含む電子メール・テンプレートも作成する必要があります。アラート・ルールを定義するときに、電子メール通知で使用するテンプレートを選択します。
4.2.2 電子メール配信リストの作成または変更
特定の通知用の電子メール配信リスト、つまり通知を受信する電子メール・アドレスのリストを作成できます。
4.2.3 電子メール・テンプレートの作成または変更
電子メール・テンプレートを使用して、アラートまたはレポートの生成によってトリガーされる電子メール通知の内容を指定できます。
-
Audit Vault Serverコンソールに監査者としてログインします。
ノート:
-
監査者は、最初に同じ監査者によって作成された電子メール・テンプレートを作成、変更および削除できます。これは、Oracle Audit Vault and Database Firewall
12.2.0.8.0
以降へのアップグレードの場合に適用可能です。 -
Oracle Audit Vault and Database Firewall
12.2.0.8.0
のアップグレード前に作成された電子メール・テンプレートは、スーパー監査者によって変更または削除できます。
-
-
「設定」タブをクリックします。
-
左側のナビゲーション・メニューから、「電子メール・テンプレート」をクリックします。
「電子メール・テンプレート」ページに既存の電子メール・テンプレートのリストが表示され、それらを変更または削除できます。これらのテンプレートの中には事前定義されたものもあります。
-
「作成」をクリックして新しいテンプレートを作成するか、または既存のテンプレートの名前をクリックして変更します。
-
「名前」を指定します。
-
次に示すテンプレートの「タイプ」を選択します。
-
アラート: アラート通知に使用される電子メール・テンプレートを作成します。
-
レポート添付: レポート通知に使用される電子メール・テンプレートを作成し、レポートのPDFファイルを電子メールに添付します。
-
レポート通知: レポート通知に使用される電子メール・テンプレートを作成します。レポートのPDFファイルは添付しません。
-
-
電子メール・テンプレートの「書式」および「説明」について必要な値を入力または選択します。
-
右側に表示される使用可能なタグを電子メールの「件名」および「本文」の基本要素として使用します。
表示されるタグは通知のタイプによって異なります。表4-1と表4-2でタグを詳しく説明しています。
タグ名をクリックしてテンプレートに転送するか、タグ名をコピー・アンド・ペーストしてテンプレートの「件名」または「本文」に表示できます。
-
「イベント情報」セクションで、使用可能な適切なオプションを選択します。
-
「保存」をクリックします。
新しいテンプレートを作成すると、「電子メール・テンプレート」ページにリストされます。ここで、必要に応じてテンプレートを変更または削除できます。
-
Audit Vault Serverコンソールに監査者としてログインします。
ノート:
-
監査者は、最初に同じ監査者によって作成された電子メール・テンプレートを作成、変更および削除できます。これは、Oracle Audit Vault and Database Firewall
12.2.0.8.0
以降へのアップグレードの場合に適用可能です。 -
Oracle Audit Vault and Database Firewall
12.2.0.8.0
のアップグレード前に作成された電子メール・テンプレートは、スーパー監査者によって変更または削除できます。
-
-
「設定」タブをクリックします。
-
左側のナビゲーション・メニューから、「電子メール・テンプレート」をクリックします。
「電子メール・テンプレート」ページには2つのセクションが表示されて、事前定義済の電子メール・テンプレートのリスト、およびユーザー定義の電子メール・テンプレートのリストが示されます。事前定義済の電子メール・テンプレートを、ユーザー定義の電子メール・テンプレートのセクションにコピーできます。その後、必要に応じてその電子メール・テンプレートを変更します。事前定義済の電子メール・テンプレートは、ユーザーがユーザー定義の電子メール・テンプレートを定義しそれをデフォルトとして設定するまで、デフォルトとして設定されます。
-
「コピー」ボタンを有効にするには、チェック・ボックスを選択することで1つのテンプレートを選択します。1つのテンプレートを選択すると、「コピー」ボタンがクリック可能になります。
-
「コピー」をクリックして、選択した事前定義済テンプレートに基づいて新しいユーザー定義テンプレートを作成するか、既存のテンプレートの名前をクリックして、その内容を表示します。
-
コピーしたテンプレートの名前は、「[元のテンプレート名]のコピー」になります。必要に応じて「名前」を編集します。
-
コピーしたテンプレートの「タイプ」は、元のテンプレートに基づいて自動的に設定されます。次に、テンプレートのタイプを示します。
-
アラート: アラート通知に使用される電子メール・テンプレートを作成します。
-
レポート添付: レポート通知に使用される電子メール・テンプレートを作成し、レポートのPDFファイルを電子メールに添付します。
-
レポート通知: レポート通知に使用される電子メール・テンプレートを作成します。レポートのPDFファイルは添付しません。
-
-
オプションで、新しいユーザー定義電子メール・テンプレートの説明を追加します。
-
オプションで、新しく作成したテンプレートをデフォルトの電子メール・テンプレートにするには、「デフォルトとして設定」をクリックします。
-
「コピー」をクリックします。
新しいテンプレートを作成すると、「電子メール・テンプレート」ページの「ユーザー定義の電子メール・テンプレート」セクションにそれがリストされます。
ここで、テンプレートの名前をクリックするとその詳細を変更できます。これには、前述の情報および次の内容の変更が含まれます。また、ユーザー定義の電子メール・テンプレートのチェック・ボックスをクリックすると、「コピー」、「削除」および「デフォルトとして設定」ボタンがクリック可能になります。
表4-1に、アラート通知テンプレートで使用可能なタグを示します。
表4-1 アラート通知電子メール・テンプレートで使用できるタグ
アラート・タグ名 | 説明 |
---|---|
|
使用可能なすべてのタグを電子メールに含めるためにショートカットとして使用される特別なタグ |
|
アラートのID |
|
アラート名 |
|
アラートを引き起こしたイベントが発生した時刻 |
|
アラートの重大度(「クリティカル」または「警告」) |
|
アラートのステータス(たとえば、「新規」、「オープン」または「クローズ」) |
|
アラートの説明 |
|
アラートのURL |
表4-2に、レポート通知テンプレートで使用可能なタグを示します。
表4-2 レポート添付またはレポート通知電子メール・テンプレートで使用できるタグ
レポート・タグ名 | 説明 |
---|---|
|
レポートの名前 |
|
レポートが生成された日付と時刻 |
|
レポートのカテゴリ名(「アクセス・レポート」など) |
4.3 アラートSyslogテンプレートの作成
Oracle Audit Vault and Database Firewallには、syslogに送信されるOracle Audit Vault and Database Firewallアラートのデフォルト・テンプレートが用意されています。