1. 監査者ガイド
  2. アラートの作成

10 アラートの作成

アラートの作成について学習します。

10.1 アラートについて

一般的なアラートの動作および有用なアラートの定義方法について理解する必要があります。

10.1.1 概要

アラートは、ターゲットおよびサード・パーティ・プラグインに使用できます。

ターゲットや、Oracle Audit Vault and Database Firewall SDKを使用して開発されたサード・パーティ・プラグインについて、イベントのアラートを作成および構成できます。このようなイベントは、Audit Vault AgentまたはDatabase Firewallで収集できます。アラートは、監査ポリシーまたはファイアウォール・ポリシーとは無関係です。

アラートはルールベースです。つまり、ルール定義(たとえば、ユーザーAが3回試行した後にクライアント・ホストBのログインに失敗)が一致すると、アラートが生成されます。1つのアラートを複数のターゲット(4つのOracleデータベースなど)に適用できます。アラート・ルールは、様々なターゲットの複数のイベントを含むことができます。たとえば、ユーザーAがターゲットXへのログインに失敗し、ユーザーAがターゲットYへのログインにも失敗した場合などです。

アラート重大度を指定できます。また、ターゲットがDatabase Firewallによって監視される場合、ファイアウォール・ポリシーに指定されるアラートに加えて、ファイアウォールによって送信される監査レコードに基づいてアラートを構成できます。

アラートを構成すると、電子メールをユーザー(セキュリティ担当者など)または配信リストに自動的に送信するように設定できます。電子メールのアラート通知に使用するテンプレートを構成することもできます。

アラートが生成されるのは、監査データがAudit Vault Serverデータベースに到達したときであり、アラートを生成させるアクションが発生したときではありません。イベントの発生からアラートの生成までの時間差は、監査レコードの収集頻度などの様々な要因で変化します。アラート・イベントのタイムスタンプは、イベントが発生した時刻(たとえば、ユーザーAがログインしようとした時刻)を示します。アラートのタイムスタンプは、アラートが生成された時刻を示します。

アラートの保存ポリシーは、オンラインで3か月、アーカイブで0か月です。

関連トピック

10.1.2 有用なアラートの定義

有意義なアラートを定義するには、まずOracle Audit Vault and Database Firewallでアクティビティ・レポートを参照することをお薦めします。

アクティビティ・レポートには様々な監査およびネットワーク・イベント・データが含まれるため、これらを参照することは、監査レコード内で特に必要となるキー・フィールドを特定するのに役立ちます。監査レコードのフィールドとは、アクティビティ・レポートの列です。

アラートを受け取る監査イベントに的を絞ったアラートを作成する際に、最初に必要なレポートの列およびそれらの列の値を参照することをお薦めします。その後、アラートをトリガーする特定の監査レコードのフィールドと値を定義する条件(ルール)を使用して、アラートを作成できます。

たとえば、特定のデータベース・オブジェクトのスキーマの変更に対してアラートを受け取るとします。「データベース・スキーマ」アクティビティ・レポートを参照することから始めることができます。

このレポートでは、様々なデータベース・ターゲット・オブジェクト、ユーザー、クライアント・プログラム名、およびOracle Audit Vault and Database Firewallによって取得されたスキーマ変更監査イベントに関連するその他のデータを参照できます。ここで、アラートを発生するターゲット・オブジェクトを決定できます。その後、アラートを特定のユーザー、クライアント・プログラムなどに絞り込むことができます。

関連トピック

10.2 アラートの作成およびアラート条件の作成

アラートの作成およびアラート条件の作成について学習します。

10.2.1 アラートの作成または変更

カスタム・アラートを作成するか、事前定義済のアラートを使用します。

Oracle Audit Vault and Database Firewallでアラートを作成するときは、アラートをトリガーする条件を定義し、送信する通知のタイプと送信先を指定します。たとえば、ユーザーXが表Yを変更しようとするたびに生成されるアラートを作成し、そのアラートを特定の電子メール通知テンプレートを使用して管理者Zに通知できます。Oracle Audit Vault and Database Firewallには、Database Firewallポリシーのアラート設定に基づいてトリガーされる事前構成済アラートがあります。作成するアラートは、Database Firewallと関連付けられていない監査および他のイベントのものです。

ヒント:

AVREPORTUSERAVSAUDITおよびORDS_PUBLIC_USERユーザーをモニターするために、電子メール通知を含むアラート・ポリシーを作成することをお薦めします。
次の条件で、電子メール通知を含むアラート・ポリシーを作成します。
upper(:EVENT_STATUS)='FAILURE' and upper(:EVENT)='LOGON' and (upper(:USER)='AVREPORTUSER' or upper(:USER)='AVSAUDIT' or upper(:USER)='ORDS_PUBLIC_USER')

アラートを受信した場合は、イベントの詳細を確認し、AVREPORTUSERAVSAUDITおよびORDS_PUBLIC_USERユーザーがこれ以上ログインを試行しないようにアクションを実行する必要があります。

  1. auditorとしてAudit Vault Serverコンソールにログインします

  2. 「ポリシー」タブをクリックします。

  3. 左側のナビゲーション・メニューから、「アラート・ポリシー」を選択します。

  4. 既存のアラートの定義を表示または変更するには、「アラート名」フィールドで名前をクリックします。

  5. 新しいアラート定義を作成するには、「作成」をクリックします。

  6. 「アラート・ポリシー名」に入力します。

  7. 次のフィールドで情報を指定します。

    • アラートの説明: このアラートの説明を入力します(オプション)。

    • ターゲット・タイプ: ターゲット・タイプを選択します。たとえば、Oracle Databaseなどです。

    • 重大度: 「警告」または「クリティカル」を選択します。

    • 条件: このアラートがトリガーされるためのブール条件を入力します。

      右側にリストされている任意の「条件 - 使用可能なフィールド」をクリックして、アラート条件の一部として入力できます。これらのフィールドは、次の形式での条件の作成に使用できる、監査またはネットワーク・イベントのフィールドです。

      :condition_field operator expression

      使用可能なフィールドで任意の有効なSQL WHERE句を使用して、そのフィールドの前にコロン(:)を含めることができます。たとえば、条件は次のようになります。

      upper(:EVENT_STATUS)='FAILURE'

      注意:

      Oracle AVDF 20.11以降では、次の属性が変更されました。

      Oracle AVDF 20.11以降では、アラート・ポリシー作成で提供されたUI対話モード・レポートにフィルタを追加し、それらのフィルタをアラート条件にコピーできます。「条件」フィールドの下で、「例からの条件のコピー」「アラート・ポリシーからの条件のコピー」「レポートを使用した条件の作成」または「グローバル・セットを使用した条件の作成」(Oracle AVDF 20.13以降)のいずれかを選択できます。

      グローバル・セットから条件を作成する場合、条件句に指定できるグローバル・セットは1つのみですが、ANDまたはORを使用してさらにグローバル・セット条件を追加できます。次の表に、選択したグローバル・セットに応じてチェックされるアラート・フィールドを示します。
      グローバル・セット アラート・フィールド
      IPアドレス・セット CLIENT_IP
      OSユーザー・セット OSUSER
      クライアント・プログラム・セット CLIENT_PROGRAM
      データベース・ユーザー・セット USER
      特権ユーザー・セット USER
      機密オブジェクト・セット OBJECT
      関連トピック
  8. オプションで、しきい値条件領域で次の情報を指定します。

    • しきい値(数値): アラートが生成されるまでにアラート条件を満たす必要がある回数を入力します。

    • 期間(分): しきい値として1よりも大きい値を入力した場合は、期間(分)を入力します。この期間中に、このアラート条件がしきい値と一致していると評価される必要があります。たとえば、しきい値として3、期間として5を入力した場合、5分以内に条件が3回満たされるとアラートが生成されます。

    • グループ化(フィールド): リストからフィールドを選択して、このアラートについてこの列を基準にイベントをグループ化します。

  9. オプションで、「電子メール通知の構成」領域で次の情報を指定します。

    1. 電子メール通知の有効化: 電子メール通知が無効になっている場合、その他の情報は必要ありません。電子メール通知が有効になっている場合は、次の情報を指定します。

      • 電子メール・テンプレート: このアラートに使用する通知テンプレートを選択します。Oracle AVDF 20.11以降では、アラート・ポリシーごとに1つの通知テンプレートのみを関連付けることができます。20.11へのアップグレードでは、既存のアラート・ポリシーのアラート通知テンプレートが、デフォルトのアラート・テンプレートに設定されます。

        詳細は、「電子メール通知のテンプレートおよび配信リストの作成」を参照してください。

      • 宛先: 通知を受信する電子メール・アドレスを入力するには、アドレスをすべて記述してから[Enter]キーを押します。電子メール・アドレスを入力した後に、追加の電子メール・アドレスを記述し続けることができます。電子メール・アドレスに加え、直接このフィールドに配信リストを入力してから[Enter]キーを押すこともできます。配信リストを作成する場合は、プラス・ボタンをクリックし、必要な情報を追加します。リストに必要な、名前と電子メール・アドレスを入力します。これは、電子メール通知のデフォルトの配信リストとして設定することもできます。以前にデフォルトとして設定した配信リストは、このフィールドに自動的に移入されます。

      • CC: 通知時にコピーを送信する電子メール・アドレスを入力するには、アドレスをすべて記述してから[Enter]キーを押します。電子メール・アドレスを入力した後に、追加の電子メール・アドレスを記述し続けることができます。電子メール・アドレスに加え、直接このフィールドに配信リストを入力してから[Enter]キーを押すこともできます。配信リストを作成する場合は、プラス・ボタンをクリックし、必要な情報を追加します。リストに必要な、名前と電子メール・アドレスを入力します。

  10. 「保存」をクリックします。

    新しいアラートが「アラート・ポリシー」ページに表示されます。

  1. auditorとしてAudit Vault Serverコンソールにログインします

  2. 「ポリシー」タブをクリックします。

  3. 左側のナビゲーション・メニューから、「アラート・ポリシー」を選択します。

  4. 既存のアラートの定義を表示または変更するには、「アラート名」フィールドで名前をクリックします。

  5. 新しいアラート定義を作成するには、「作成」をクリックします。

  6. 「アラート名」を入力します。

  7. 次のフィールドで情報を指定します。

    • タイプ: ターゲット・タイプを選択します。たとえば、Oracle Databaseなどです。

    • 重大度: 「警告」または「クリティカル」を選択します。

    • しきい値(回数): アラートが生成されるまでに、アラート条件を満たす必要がある回数を入力します。

    • 期間(分): しきい値として1よりも大きい値を入力した場合は期間(分)を入力します。この期間中に、このアラート条件がしきい値と一致していると評価される必要があります。たとえば、しきい値として3、期間として5を入力した場合、5分以内に条件が3回満たされるとアラートが生成されます。

    • グループ化(フィールド): リストからフィールドを選択し、このアラートに対してこの列によってイベントをグループ化します。

    • 説明: このアラートの説明を入力します(オプション)。

    • 条件: このアラートがトリガーされるためのブール条件を入力します。

      右側にリストされている任意の「条件 - 使用可能なフィールド」をクリックして、アラート条件の一部として入力できます。これらのフィールドは、次の形式での条件の作成に使用できる、監査またはネットワーク・イベントのフィールドです。

      :condition_field operator expression

      使用可能なフィールドで任意の有効なSQL WHERE句を使用して、そのフィールドの前にコロン(:)を含めることができます。たとえば、条件は次のようになります。

      upper(:EVENT_STATUS)='FAILURE'

  8. オプションで、「通知」領域で次の情報を指定します。

    1. テンプレート: このアラートで使用する通知テンプレートを選択します。

    2. 配信リスト: このアラートについて通知される電子メール配信リストを選択します。

    3. 宛先: 通知を受信する電子メール・アドレスをカンマで区切って入力します。

    4. CC: 通知の複製を送信する電子メール・アドレスをカンマで区切って入力します。

    5. 「リストに追加」をクリックし、「宛先」フィールドと「CC」フィールドに入力した電子メール受信者を記録します。

  9. 「保存」をクリックします。

    新しいアラートが「アラート・ポリシー」ページに表示されます。

Audit Vault Serverコンソールの「ホーム」ページで、ダッシュボードからアラート・アクティビティを監視できます。

関連トピック

10.2.1.1 アラート・ポリシーおよびレポートについてのコマンド・クラスからコマンドへのマッピング

Oracle AVDF 20.11以降、Database Firewallポリシーとアラート・ポリシーではコマンド・クラスが使用されなくなりました。かわりに、INSERTUPDATEDELETEなどの特定のコマンドに基づいてポリシーを作成できます。この表は、どのコマンドがどのコマンド・クラスの一部であるかを特定するのに役立ちます。

コマンド・クラス Oracle用のコマンド SQL Server用のコマンド MySQL用のコマンド DB2 LUW用のコマンド Sybase ASE用のコマンド
DCL ADMINISTER、ALTER、CHANGE、COMPRESS、ENCRYPT、GRANT、INVALID、LOGIN、ORADEBUG、REVOKE、SET、STOP ALTER、DENY、GRANT、LOGIN、REVOKE、SET、USE、VALIDATE BINLOG、DROP、FLUSH、GRANT、INSTALL、KEYCACHE、KILL、LOAD、RESET、REVOKE、SET、UNINSTALL、USE GRANT、REVOKE、SET、TRANSFER EXECUTE、GRANT、KILL、LOAD、LOCK、MOUNT、REVOKE、SET、TRANSFER、USE、VALIDATE
DDL ALTER、ANALYZE、ASSOCIATE、AUDIT、COMMENT、CREATE、DISASSOCIATE、DROP、NOAUDIT、RENAME、TRUNCATE ADD、ALTER、CREATE、DISABLE、DROP、ENABLE、RECONFIGURE、TRUNCATE、USE ALTER、CHECK、CHECKSUM、CREATE、DROP、PARTITION、RENAME、REPLACE、TRUNCATE ALLOCATE、ALTER、COMMENT、CREATE、DROP、RENAME、TRUNCATE ALTER、CREATE、DEALLOCATE、DROP、TRUNCATE
DML DELETE、DROP、EXECUTE、EXPLAIN、INSERT、MERGE、RETRIEVE、UPDATE、WRITE BACKUP、DELETE、INSERT、MERGE、RESTORE、UPDATE、WRITE ANALYZE、DELETE、GET、INSERT、LOAD、OPTIMIZE、REPAIR、UPDATE DELETE、EXPLAIN、INSERT、MERGE、REFRESH、UPDATE DELETE、DUMP、EXECUTE、INPUT、INSERT、MERGE、QUIESCE、REFRESH、REMOVE、UNMOUNT、UPDATE、WRITE
Logon LOGIN LOGIN LOGIN LOGIN LOGIN
Logoff LOGOUT LOGOUT LOGOUT LOGOUT LOGOUT
Procedural EXECUTE、EXIT、LOCK CHECKPOINT、DEALLOCATE、END、EXECUTE、GET、KILL、LOAD、MOVE、PRINT、RECEIVE、REVERT、SEND、SLOWDOWN、STOP CHANGE、DEALLOCATE、EXECUTE、PREPARE、RESIGNAL、SET、SIGNAL、START、STOP ASSOCIATE、AUDIT、CONNECT、DECLARE、DISCONNECT、EXECUTE、FLUSH、FREE、GET、LOCK、PREPARE、RELEASE、RESIGNAL、SIGNAL CHECKPOINT、CLEAR、CONFIGURE、CONNECT、DISCONNECT、EXECUTE、EXIT、OUTPUT、PREPARE、PRINT、PUBLISH、QUIT、RECONFIGURE、START、STOP
選択 SELECT READ、SELECT SELECT DESCRIBE、SELECT、VALUES SELECT
Transaction COMMIT、ROLLBACK、SAVEPOINT、SET、TRANSACTION BEGIN、COMMIT、ROLLBACK、SAVE、SET COMMIT、END、LOCK、PREPARE、RECOVER、RELEASE、ROLLBACK、SAVEPOINT、START、UNLOCK COMMIT、ROLLBACK、SAVEPOINT COMMIT、ROLLBACK、SAVE、START
10.2.1.2 アラート・ポリシーおよびレポートについてのセッションまたは文からコマンドへのマッピング

Oracle AVDF 20.11以降、アラート・ポリシーではセッション・クラスまたは文クラスが使用されなくなりました。かわりに、INSERTUPDATEDELETEなどの特定のコマンドに基づいてポリシーを作成できます。この表は、どのコマンドがどの文クラスの一部であるかを特定するのに役立ちます。

文クラス Oracle用のコマンド SQL Server用のコマンド MySQL用のコマンド DB2 LUW用のコマンド Sybase ASE用のコマンド
DCL ADMINISTER KEY MANAGEMENT、ALTER SESSION、ALTER SYSTEM、CHANGE PASSWORD、COMPRESSED、ENCRYPTED、GRANT OBJECT、GRANT ROLE、INVALID OPERATION、LOGIN、ORADEBUG、REVOKE OBJECT、REVOKE ROLE、SET ROLE、SHUTDOWN ALTER AUTHORIZATION、DBCC、DENY、GRANT、LOGIN、REVOKE、SET、SETUSER、USE DATABASE BINLOG、FLUSH、GRANT、INSTALL、KEYCACHE、KILL、LOAD INDEX、PURGE、RESET、REVOKE、SET ROLE、UNINSTALL、USE GRANT、REVOKE、SET、TRANSFER DBCC ADDTEMPDB、DBCC CHECKALLOC、DBCC CHECKCATALOG、DBCC CHECKDB、DBCC CHECKINDEX、DBCC CHECKSTORAGE、DBCC CHECKTABLE、DBCC CHECKVERIFY、DBCC COMPLETE XACT、DBCC DBREPAIR、DBCC ENGINE、DBCC FIX TEXT、DBCC FORGET XACT、DBCC INDEXALLOC、DBCC MONITOR、DBCC NODETRACEOFF、DBCC NODETRACEON、DBCC PRAVAILABLETEMPDBS、DBCC QUORUM、DBCC REBUILD TEXT、DBCC REINDEX、DBCC SERVERLIMITS、DBCC SET SCOPE、DBCC SHRINKDB SETUP、DBCC STACKUSED、DBCC TABLEALLOC、DBCC TEXTALLOC、DBCC TRACEOFF、DBCC TRACEON、DBCC TUNE、DBCC UPGRADE OBJECT、DBCC ZAPDEFRAGINFO、GRANT、KILL、LOAD DATABASE、LOAD TRANSACTION、LOCK TABLE、MOUNT DATABASE、REVOKE、SET、SETUSER、SYSTEM、TRANSFER TABLE、USE
DDL ALTER ANALYTIC VIEW、ALTER ATTRIBUTE DIMENSION、ALTER AUDIT POLICY、ALTER CLUSTER、ALTER DATABASE、ALTER DATABASE DICTIONARY、ALTER DATABASE LINK、ALTER DIMENSION、ALTER DISKGROUP、ALTER FLASHBACK ARCHIVE、ALTER FUNCTION、ALTER HIERARCHY、ALTER INDEX、ALTER INDEXTYPE、ALTER INMEMORY JOIN GROUP、ALTER JAVA、ALTER LIBRARY、ALTER LOCKDOWN PROFILE、ALTER MATERIALIZED VIEW、ALTER MATERIALIZED VIEW LOG、ALTER MATERIALIZED ZONEMAP、ALTER OPERATOR、ALTER OUTLINE、ALTER PACKAGE、ALTER PLUGGABLE DATABASE、ALTER PROCEDURE、ALTER PROFILE、ALTER RESOURCE COST、ALTER ROLE、ALTER ROLLBACK SEGMENT、ALTER SEQUENCE、ALTER SYNONYM、ALTER TABLE、ALTER TABLESPACE、ALTER TRIGGER、ALTER TYPE、ALTER USER、ALTER VIEW、ANALYZE、ASSOCIATE、AUDIT、AUDIT CONTEXT、AUDIT POLICY、COMMENT、CREATE ANALYTIC VIEW、CREATE ATTRIBUTE DIMENSION、CREATE AUDIT POLICY、CREATE CLUSTER、CREATE CONTEXT、CREATE CONTROLFILE、CREATE DATABASE、CREATE DATABASE LINK、CREATE DIMENSION、CREATE DIRECTORY、CREATE DISKGROUP、CREATE EDITION、CREATE FLASHBACK ARCHIVE、CREATE FUNCTION、CREATE HIERARCHY、CREATE INDEX、CREATE INDEXTYPE、CREATE INMEMORY JOIN GROUP、CREATE JAVA、CREATE LIBRARY、CREATE LOCKDOWN PROFILE、CREATE MATERIALIZED VIEW、CREATE MATERIALIZED VIEW LOG、CREATE MATERIALIZED ZONEMAP、CREATE OPERATOR、CREATE OUTLINE、CREATE PACKAGE、CREATE PACKAGE BODY、CREATE PFILE、CREATE PLUGGABLE DATABASE、CREATE PROCEDURE、CREATE PROFILE、CREATE RESTORE POINT、CREATE ROLE、CREATE ROLLBACK、CREATE SCHEMA、CREATE SEQUENCE、CREATE SPFILE、CREATE SYNONYM、CREATE TABLE、CREATE TABLESPACE、CREATE TRIGGER、CREATE TYPE、CREATE TYPE BODY、CREATE USER、CREATE VIEW、DISASSOCIATE、DROP ANALYTIC VIEW、DROP ATTRIBUTE DIMENSION、DROP AUDIT POLICY、DROP CLUSTER、DROP CONTEXT、DROP DATABASE、DROP DATABASE LINK、DROP DIMENSION、DROP DIRECTORY、DROP DISKGROUP、DROP EDITION、DROP FLASHBACK、DROP FUNCTION、DROP HIERARCHY、DROP INDEX、DROP INDEXTYPE、DROP INMEMORY JOIN GROUP、DROP JAVA、DROP LIBRARY、DROP LOCKDOWN PROFILE、DROP MATERIALIZED VIEW、DROP MATERIALIZED VIEW LOG、DROP MATERIALIZED ZONEMAP、DROP OPERATOR、DROP OUTLINE、DROP PACKAGE、DROP PLUGGABLE DATABASE、DROP PROCEDURE、DROP PROFILE、DROP RESTORE、DROP ROLE、DROP ROLLBACK、DROP SEQUENCE、DROP SYNONYM、DROP TABLE、DROP TABLESPACE、DROP TRIGGER、DROP TYPE、DROP TYPE BODY、DROP USER、DROP VIEW、NOAUDIT、NOAUDIT CONTEXT、NOAUDIT POLICY、RENAME、TRUNCATE CLUSTER、TRUNCATE TABLE ADD SIGNATURE、ALTER APPLICATION、ALTER ASSEMBLY、ALTER ASYMMETRIC KEY、ALTER AVAILABILITY GROUP、ALTER BROKER PRIORITY、ALTER CERTIFICATE、ALTER COLUMN ENCRYPTION KEY、ALTER CREDENTIAL、ALTER CRYPTOGRAPHIC PROVIDER、ALTER DATABASE、ALTER DATABASE AUDIT、ALTER DATABASE KEY、ALTER DATABASE SCOPED CONFIGURATION、ALTER DATABASE SCOPED CREDENTIAL、ALTER ENDPOINT、ALTER EVENT SESSION、ALTER EXTERNAL DATA SOURCE、ALTER EXTERNAL LANGUAGE、ALTER EXTERNAL LIBRARY、ALTER EXTERNAL RESOURCE POOL、ALTER FEDERATION、ALTER FULLTEXT、ALTER FUNCTION、ALTER INDEX、ALTER LOGIN、ALTER MASTER KEY、ALTER MESSAGE TYPE、ALTER PARTITION FUNCTION、ALTER PARTITION SCHEME、ALTER PROCEDURE、ALTER QUEUE、ALTER REMOTE、ALTER RESOURCE、ALTER ROLE、ALTER ROUTE、ALTER SCHEMA、ALTER SEARCH PROPERTY LIST、ALTER SECURITY POLICY、ALTER SEQUENCE、ALTER SERVER、ALTER SERVER CONFIGURATION、ALTER SERVER ROLE、ALTER SERVICE、ALTER SERVICE MASTER KEY、ALTER SYMMETRIC、ALTER TABLE、ALTER TRIGGER、ALTER USER、ALTER VIEW、ALTER WORKLOAD GROUP、ALTER XML、CREATE AGGREGATE、CREATE APPLICATION、CREATE ASSEMBLY、CREATE ASYMMETRIC KEY、CREATE AVAILABILITY GROUP、CREATE BROKER PRIORITY、CREATE CERTIFICATE、CREATE COLUMN ENCRYPTION KEY、CREATE COLUMN MASTER KEY、CREATE COLUMNSTORE INDEX、CREATE CONTRACT、CREATE CREDENTIAL、CREATE CRYPTOGRAPHIC PROVIDER、CREATE DATABASE、CREATE DATABASE AUDIT、CREATE DATABASE KEY、CREATE DATABASE SCOPED CREDENTIAL、CREATE DEFAULT、CREATE DIAGNOSTICS SESSION、CREATE ENDPOINT、CREATE EVENT NOTIFICATION、CREATE EVENT SESSION、CREATE EXTERNAL DATA SOURCE、CREATE EXTERNAL FILE FORMAT、CREATE EXTERNAL LANGUAGE、CREATE EXTERNAL LIBRARY、CREATE EXTERNAL RESOURCE POOL、CREATE EXTERNAL TABLE、CREATE FEDERATION、CREATE FULLTEXT、CREATE FUNCTION、CREATE INDEX、CREATE LOGIN、CREATE MASTER KEY、CREATE MESSAGE TYPE、CREATE PARTITION、CREATE PROCEDURE、CREATE QUEUE、CREATE REMOTE、CREATE RESOURCE、CREATE ROLE、CREATE ROUTE、CREATE RULE、CREATE SCHEMA、CREATE SEARCH PROPERTY LIST、CREATE SECURITY POLICY、CREATE SEQUENCE、CREATE SERVER、CREATE SERVER ROLE、CREATE SERVICE、CREATE STATISTICS、CREATE SYMMETRIC KEY、CREATE SYNONYM、CREATE TABLE、CREATE TRIGGER、CREATE TYPE、CREATE USER、CREATE VIEW、CREATE WORKLOAD GROUP、CREATE XML、DISABLE TRIGGER、DROP AGGREGATE、DROP APPLICATION、DROP ASSEMBLY、DROP ASYMMETRIC、DROP AVAILABILITY GROUP、DROP BROKER PRIORITY、DROP CERTIFICATE、DROP COLUMN ENCRYPTION KEY、DROP COLUMN MASTER KEY、DROP CONTRACT、DROP CREDENTIAL、DROP CRYPTOGRAPHIC PROVIDER、DROP DATABASE、DROP DATABASE AUDIT、DROP DATABASE KEY、DROP DATABASE SCOPED CREDENTIAL、DROP DEFAULT、DROP DIAGNOSTICS SESSION、DROP ENDPOINT、DROP EVENT NOTIFICATION、DROP EVENT SESSION、DROP EXTERNAL DATA SOURCE、DROP EXTERNAL FILE FORMAT、DROP EXTERNAL LANGUAGE、DROP EXTERNAL LIBRARY、DROP EXTERNAL TABLE、DROP FEDERATION、DROP FULLTEXT CATALOG、DROP FULLTEXT INDEX、DROP FULLTEXT STOPLIST、DROP FUNCTION、DROP INDEX、DROP LOGIN、DROP MASTER KEY、DROP MESSAGE、DROP PARTITION FUNCTION、DROP PARTITION SCHEME、DROP PROCEDURE、DROP QUEUE、DROP REMOTE、DROP RESOURCE、DROP ROLE、DROP ROUTE、DROP RULE、DROP SCHEMA、DROP SEARCH PROPERTY LIST、DROP SECURITY POLICY、DROP SEQUENCE、DROP SERVER、DROP SERVER ROLE、DROP SERVICE、DROP SIGNATURE、DROP STATISTICS、DROP SYMMETRIC、DROP SYNONYM、DROP TABLE、DROP TRIGGER、DROP TYPE、DROP USER、DROP VIEW、DROP WORKLOAD GROUP、DROP XML、ENABLE TRIGGER、RECONFIGURE、TRUNCATE、USE FEDERATION ALTER DATABASE、ALTER EVENT、ALTER FUNCTION、ALTER INSTANCE、ALTER LOGFILE、ALTER PROCEDURE、ALTER SERVER、ALTER TABLE、ALTER TABLESPACE、ALTER USER、ALTER VIEW、CHECK、CHECKSUM、CREATE DATABASE、CREATE EVENT、CREATE FUNCTION、CREATE INDEX、CREATE LOGFILE、CREATE PROCEDURE、CREATE ROLE、CREATE SERVER、CREATE TABLE、CREATE TABLESPACE、CREATE TRIGGER、CREATE USER、CREATE USER FUNCTION、CREATE VIEW、DROP DATABASE、DROP EVENT、DROP FUNCTION、DROP INDEX、DROP PROCEDURE、DROP ROLE、DROP SERVER、DROP TABLE、DROP TABLESPACE、DROP TRIGGER、DROP USER、DROP VIEW、PARTITION、RENAME TABLE、RENAME TABLES、RENAME USER、REPLACE、TRUNCATE TABLE ALLOCATE、ALTER AUDIT POLICY、ALTER BUFFERPOOL、ALTER DATABASE、ALTER EVENT、ALTER FUNCTION、ALTER HISTOGRAM、ALTER INDEX、ALTER MASK、ALTER METHOD、ALTER MODULE、ALTER NICKNAME、ALTER NODEGROUP、ALTER PACKAGE、ALTER PERMISSION、ALTER PROCEDURE、ALTER SCHEMA、ALTER SECURITY、ALTER SEQUENCE、ALTER SERVER、ALTER SERVICE、ALTER SPECIFIC PROCEDURE、ALTER STOGROUP、ALTER TABLE、ALTER TABLESPACE、ALTER THRESHOLD、ALTER TRIGGER、ALTER TRUSTED CONTEXT、ALTER TYPE、ALTER USAGE LIST、ALTER USER、ALTER VIEW、ALTER WORK、ALTER WORKLOAD、ALTER WRAPPER、ALTER XSROBJECT、COMMENT、CREATE ALIAS、CREATE AUDIT、CREATE BUFFERPOOL、CREATE DATABASE、CREATE DATABASE PARTITION GROUP、CREATE EVENT MONITOR、CREATE FUNCTION、CREATE GLOBAL TEMPORARY TABLE、CREATE HISTOGRAM、CREATE INDEX、CREATE MASK、CREATE METHOD、CREATE MODULE、CREATE NICKNAME、CREATE NODEGROUP、CREATE PERMISSION、CREATE PROCEDURE、CREATE ROLE、CREATE SCHEMA、CREATE SECURITY LABEL、CREATE SECURITY POLICY、CREATE SEQUENCE、CREATE SERVER、CREATE SERVICE、CREATE SPECIFIC METHOD、CREATE STOGROUP、CREATE SYNONYM、CREATE TABLE、CREATE TABLESPACE、CREATE THRESHOLD、CREATE TRANSFORM、CREATE TRIGGER、CREATE TRUSTED CONTEXT、CREATE TYPE、CREATE USAGE LIST、CREATE USER、CREATE VARIABLE、CREATE VIEW、CREATE WORK、CREATE WORKLOAD、CREATE WRAPPER、DROP ALIAS、DROP AUDIT POLICY、DROP BUFFERPOOL、DROP DATABASE PARTITION GROUP、DROP EVENT MONITOR、DROP FUNCTION MAPPING、DROP HISTOGRAM、DROP INDEX、DROP INDEX EXTENSION、DROP MASK、DROP METHOD、DROP MODULE、DROP NICKNAME、DROP NODEGROUP、DROP PACKAGE、DROP PERMISSION、DROP PROCEDURE、DROP ROLE、DROP SCHEMA、DROP SECURITY LABEL、DROP SECURITY POLICY、DROP SEQUENCE、DROP SERVER、DROP SPECIFIC PROCEDURE、DROP STOGROUP、DROP TABLE、DROP TABLESPACE(S)、DROP THRESHOLD、DROP TRANSFORM(S)、DROP TRIGGER、DROP TRUSTED CONTEXT、DROP TYPE、DROP USAGE LIST、DROP USER、DROP VARIABLE、DROP VIEW、DROP WORK、DROP WORKLOAD、DROP WRAPPER、DROP XSROBJECT、RENAME INDEX、RENAME STOGROUP、RENAME TABLESPACE、TRUNCATE ALTER ALL、ALTER DATABASE、ALTER DEFAULT、ALTER ENCRYPTION KEY、ALTER FUNCTION、ALTER INDEX、ALTER LOGIN、ALTER MATERIALIZED VIEW、ALTER PRECOMPUTED RESULT SET、ALTER PROCEDURE、ALTER ROLE、ALTER RULE、ALTER TABLE、ALTER THREAD POOL、ALTER TYPE、ALTER VIEW、CREATE ARCHIVE DATABASE、CREATE DATABASE、CREATE DEFAULT、CREATE ENCRYPTION KEY、CREATE EXISTING TABLE、CREATE FUNCTION、CREATE INDEX、CREATE LOGIN、CREATE MATERIALIZED VIEW、CREATE PLAN、CREATE PRECOMPUTED RESULT SET、CREATE PROCEDURE、CREATE PROXY TABLE、CREATE ROLE、CREATE RULE、CREATE SCHEMA、CREATE SERVICE、CREATE TABLE、CREATE THREAD POOL、CREATE TRIGGER、CREATE VIEW、DEALLOCATE CURSOR、DEALLOCATE LOCATOR、DROP DATABASE、DROP DEFAULT、DROP ENCRYPTION KEY、DROP FUNC、DROP FUNCTION、DROP INDEX、DROP LOGIN、DROP LOGIN PROFILE、DROP MATERIALIZED VIEW、DROP PRECOMPUTED RESULT SET、DROP PROC、DROP PROCEDURE、DROP ROLE、DROP RULE、DROP SERVICE、DROP TABLE、DROP THREAD POOL、DROP TRIGGER、DROP VIEW、TRUNCATE LOB、TRUNCATE MATERIALIZED VIEW、TRUNCATE PRECOMPUTED RESULT SET、TRUNCATE TABLE
DML DELETE、EXECUTE CURSOR、EXPLAIN PLAN、FLASHBACK DATABASE、FLASHBACK TABLE、INSERT、LOB WRITE、MERGE、PURGE DBA RECYCLEBIN、PURGE INDEX、PURGE RECYCLEBIN、PURGE TABLE、PURGE TABLESPACE、UPDATE BACKUP、DELETE、INSERT、INSERT BULK、MERGE、RESTORE、RESTORE DATABASE、UPDATE、UPDATE STATISTICS、UPDATETEXT、WRITETEXT ANALYZE、DELETE、GET DIAGNOSTICS、INSERT、LOAD DATA、LOAD XML、OPTIMIZE、REPAIR、UPDATE DELETE、EXPLAIN、INSERT、MERGE、REFRESH TABLE、UPDATE DELETE、DUMP CONFIGURATION、DUMP DATABASE、DUMP TRANSACTION、EXECUTE CURSOR、INPUT、INSERT、MERGE、QUIESCE DATABASE、REFRESH PRECOMPUTED RESULT SET、REMOVE JAVA CLASS、REMOVE JAVA JAR、REMOVE JAVA PACKAGE、REORG COMPACT、REORG DEFRAG、REORG FORWARDED ROWS、REORG REBUILD、REORG RECLAIM SPACE、UNMOUNT DATABASE、UPDATE、WRITETEXT
Logon LOGIN ATTEMPTED、LOGIN ATTEMPTED AND SUCCEDED、LOGIN FAILED LOGIN ATTEMPTED、LOGIN ATTEMPTED AND SUCCEDED、LOGIN FAILED LOGIN ATTEMPTED、LOGIN ATTEMPTED AND SUCCEDED、LOGIN FAILED LOGIN ATTEMPTED、LOGIN ATTEMPTED AND SUCCEDED、LOGIN FAILED LOGIN ATTEMPTED、LOGIN ATTEMPTED AND SUCCEDED、LOGIN FAILED
Logoff LOGOUT LOGOUT LOGOUT LOGOUT LOGOUT
Procedural ASSIGNMENT、BEGIN、CALL ODBC、CASE、CLOSE、CONTINUE、DECLARE、EXEC、EXECUTE、EXECUTE IMMEDIATE、EXIT、FETCH、FOR、FORALL、FUNCTION、GOTO、IF、LOCK TABLE、LOOP、NULL、OPEN、OPEN FOR、PIPE、PLSQL BLOCK、PRAGMA AUTONOMOUS TRANSACTION、PROCEDURE、RAISE、RETURN、WHILE BEGIN、BREAK、CALL、CHECKPOINT、CLOSE、CONTINUE、DEALLOCATE、DECLARE、END CONVERSATION、EXEC、EXECUTE、EXECUTE PROCEDURE、FETCH、GET CONVERSATION GROUP、GOTO、IF、KILL、LOAD、MOVE CONVERSATION、NULL、OPEN、PRINT、RAISEERROR、RECEIVE、RETURN、REVERT、RPC、SEND、SHUTDOWN、SLOWDOWN、THROW、WAIT FOR、WHILE BEGIN、CALL、CASE、CHANGE、CLOSE、DEALLOCATE、DECLARE CONDITION、DECLARE CURSOR、DECLARE HANDLER、DECLARE VAR、DO、EXECUTE、FETCH、IF、ITERATE、LEAVE、LOOP、PREPARE、REPEAT、RESIGNAL、RETURN、SET VARIABLE、SIGNAL、START SLAVE、STOP SLAVE、WHILE ASSIGNMENT、ASSOCIATE、AUDIT、BEGIN、CALL、CASE、CLOSE、CONNECT、DECLARE CURSOR、DECLARE GLOBAL TEMPORARY TABLE、DISCONNECT、EXECUTE、FETCH、FLUSH、FOR、FREE、GET、GOTO、IF、ITERATE、LEAVE、LOCK、LOOP、NULL、OPEN、PREPARE、RELEASE、REPEAT、RESIGNAL、RETURN、SIGNAL、WHILE BEGIN、BREAK、CALL PROCEDURE、CALL SYSTEM PROCEDURE、CHECKPOINT、CLEAR、CLOSE、CONFIGURE、CONNECT、CONTINUE、DECLARE、DECLARE CURSOR、DISCONNECT、DISK、EXECUTE PROCEDURE、EXIT、FETCH、GO、GOTO、IF、ONLINE DATABASE、OPEN、OUTPUT、PARAMETERS、PREPARE DATABASE、PREPARE TRANSACTION、PRINT、QUIT、RAISERROR、RECONFIGURE、RETURN、RPC、SHUTDOWN、START LOGGING、STOP LOGGING、WAITFOR、WHILE
選択 DESCRIBE、LOB READ、SELECT READTEXT、SELECT DESCRIBE、EXPLAIN、HANDLER CLOSE、HANDLER OPEN、HANDLER READ、HELP、SELECT、SHOW DESCRIBE、SELECT、VALUES READ、READTEXT、SELECT
Transaction COMMIT、ROLLBACK、SAVEPOINT、SET CONSTRAINT、SET TRANSACTION、TRANSACTION BEGIN TRANSACTION、COMMIT TRANSACTION、COMMIT WORK、ROLLBACK TRANSACTION、ROLLBACK WORK、SAVE TRANSACTION、SET TRANSACTION BEGIN WORK、COMMIT、LOCK、RELEASE SAVEPOINT、ROLLBACK、SAVEPOINT、START TRANSACTION、UNLOCK、XA COMMIT、XA END、XA PREPARE、XA RECOVER、XA ROLLBACK、XA START COMMIT、ROLLBACK、SAVEPOINT BEGIN TRANSACTION、COMMIT、ROLLBACK、SAVE TRANSACTION

10.2.2 アラート条件の作成

アラート条件の定義方法を学習します。

10.2.2.1 アラート条件について

アラート条件について学習します。

アラート条件は、select文のwhere句です。アラートの作成ページの「条件」フィールドで、監査イベントを評価するブール条件を作成できます。ブール条件がTRUEに評価されると、Oracle Audit Vault and Database Firewallによってアラートが生成されて、指定したユーザーに通知されます。一般的なガイドラインとして、アラート条件は単純にすることをお薦めします。条件が複雑すぎるとAudit Vault Serverデータベースのパフォーマンスが低下することがあります。

10.2.2.2 アラート条件の作成

アラート条件の作成方法を学習します。

アラート条件の構文

アラート条件の構文は次のとおりです。

:condition_field operator expression

たとえば:

:event_status='FAILURE' and upper(:event_name)=upper('LOGON')

アラート条件は、フィールドの前にコロン(:)が追加された、SELECT文のWHERE句です。たとえば、前述の条件は、次のSELECT文のWHERE句のようになります。 

SELECT user_name, event_status, event_name from avsys.event_log
   WHERE event_status='FAILURE' and upper(event_name)=upper('LOGON');

前述のWHERE句はavsys.event_log表のイベントを取得します(イベントはLOGONでイベント・ステータスはFAILURE)。このWHERE句をアラート条件に変換すると、ログインが失敗するたびにアラートがトリガーされます。アラートで、指定期間内に何回ログインに失敗するとアラートがトリガーされるかを指定できます。

アラート条件を作成するためのルール

表10-1に、アラート条件を作成するためのルールとその例をいくつか示します。

表10-1 アラート条件を作成するためのルール

使用可能な監査レコードのフィールドの使用 「アラートの作成」ページには、コピーしてアラート条件の作成に使用できるフィールドのリストがあります。次を参照してください。

有効なSQL関数の使用

ユーザー定義関数を含め、すべての有効なSQL関数を使用できます。ただし、副問合せ文は使用できません。たとえば、次のコマンドを使用して変更できます。

  • upper()

  • lower()

  • to_char()

有効なSQL演算子の使用

たとえば、次のコマンドを使用して変更できます。

  • not

  • like

  • <

  • >

  • in

  • and

  • null

演算子は次のガイドラインに従って使用します。

  • Oracle Audit Vault and Database Firewallでは、受信する監査レコードごとにアラート条件が評価されることに注意してください。

  • 条件で問合せをネストすることはできません(たとえば、not in SELECT...)。

ワイルドカードの使用

次のワイルドカードを使用できます。

  • % (0または1つ以上の文字に相当)

  • _ (1つの文字に相当)

条件の構成要素のグループ化

丸カッコを使用して条件の構成要素をグループ化することができます。たとえば: 

(((A > B) and (B > C)) or C > D)

例1

Oracle Databaseターゲットに対するログイン試行が5分以内に3回失敗した場合は常に、アラートが通知されるようにしたいと考えています。

このアラートの条件を作成するには、EVENT_STATUSとEVENT_NAMEを使用可能なフィールドのリストからコピーできます。これらのフィールドを使用して次のような条件を作成します。

upper(:EVENT_STATUS)='FAILURE' and upper(:EVENT_NAME)='LOGON'

ヒント: この条件で、しきい値を3 (3回)、期間を5 (5分未満)に設定します。Oracle Database監査イベントで、監査イベント名と属性を調べることができます。

例2

データベースの外部で使用されているアプリケーション共有スキーマ・アカウントを監視します。このシナリオの例では、データベース・ユーザーはAPPS、クライアントIDはNULLに設定されています。

このアラートの条件を作成するには、EVENT_NAMEフィールドとUSER_NAMEフィールドを使用可能なフィールド・リストからコピーできます。これらのフィールドを使用して次のような条件を作成します。

:EVENT_NAME='LOGON' and :USER_NAME='apps' and :CLIENT_IP=NULL

この条件では、元従業員がデータベースにログインしようとするとアラートが生成されます。

ヒント: Oracle Database監査イベントで、監査イベント名と属性を調べることができます。

Audit Vault Serverコンソールでのアラートの例1 (前述)

このアラートは、「Oracle Databaseターゲットに対するログイン試行が5分以内に3回失敗した場合は常に、アラートを受信する」というものです。

このアラート条件は、「アラートの作成」ページの右側にある2つの「条件 - 使用可能なフィールド」を使用しています。

このアラートが生成される場合、「重大度」「警告」に設定されます。アラート通知テンプレートを使用して、ユーザーavdf_auditor@samplecompany.comに電子メールも送信されます。

レポートでは、このアラートのインスタンスはクライアント・アプリケーションIDでグループ化されます。

アラート条件に使用できる監査レコードのフィールド

表10-2に、アラート条件で使用できる監査レコードのフィールドを示します。

重要: 条件で使用する場合は、これらのフィールドの前にコロン(:)を付ける必要があります(:USER_NAMEなど)。

表10-2 アラート条件に使用できるフィールド

条件フィールド 説明

ACTION_TAKEN

(ファイアウォール・アラート)Database Firewallによって実行されたアクション(たとえば: BLOCKWARNまたはPASS)

COLLECTION_TIME

Oracle Audit Vault and Database Firewallによってアラートが生成された時刻

CLIENT_HOST

アラートを引き起こしたイベントのソースであるクライアント・アプリケーションのホスト名

CLIENT_ID

アラートを引き起こしたイベントのソースであるクライアント・アプリケーションのID

CLIENT_IP

アラートを引き起こしたイベントのソースであるクライアント・アプリケーションのIPアドレス

CLUSTER_TYPE

ノート:

AVDF 20.11より前でのみ使用できます

(ファイアウォール・アラート)アラートを引き起こしたSQL文のクラスタ・タイプ。次の値を使用できます。

Data Manipulation
Data Definition
Data Control
Procedural
Transaction
Composite
Composite with Transaction

COMMAND_CLASS

Oracle AVDF 20.11以降、COMMAND_CLASS属性ではDML、DDLおよびDCLを使用できません。かわりに、INSERTUPDATEDELETEなどの特定のコマンドを使用する必要があります。これらの変更に対応するために、既存のアラート・ポリシーを変更する必要があります。使用するコマンドの詳細は、「Database Firewallポリシーについての文クラスからコマンドへのマッピング」を参照してください。

Oracle Audit Vault and Database Firewallコマンド・クラス。

ヒント: Oracle Database監査イベントで、監査イベント名と属性を調べることができます。

ERROR_CODE

ターゲットのエラー・コード

ERROR_MESSAGE

ターゲットのエラー・メッセージ

EVENT

ターゲットの監査イベント名。

ヒント: Oracle Database監査イベントで、監査イベント名と属性を調べることができます。

EVENT_STATUS

イベントのステータス: SuccessまたはFailure

EVENT_TIME

HAイベントが発生した時刻

LOCATION

監査証跡がある場所を示します。有効な値は次のとおりです。

Audit File
Audit Table
Transaction Log
Event Log
Syslog
Network
Custom

NETWORK_CONNECTION

ターゲット・データベースとデータベース・クライアントの間の接続の説明。形式は次のとおりです。

client_ip:client_port,database_ip:database_port

たとえば:

198.51.100.1:5760,203.0.113.1:1521

POLICY_NAME

このイベントを生成したDatabase Firewallポリシーまたは監査ポリシーの名前。

Oracle AVDF 20.3以降の場合: 監査データがエージェントによって収集された場合は、ポリシー名に現在のイベントを発生させた監査ポリシーが含まれます。

REPOSITORY_NAME

コンテナ・データベースの名前

ROW_COUNT

SELECT DML問合せによって戻された行の数。

ノート: 行数をフェッチするには、ターゲットのDatabase Firewallポリシーにデータベース・オブジェクト・ルールを作成します。詳細は、データベース・オブジェクト・ルールを参照してください。

OSUSER

ターゲットのOSユーザーの名前

TARGET_CLASS

ターゲットは次のクラスに分類されます。

Database
OS
Directory Service
Filesystem

TARGET

Oracle Audit Vault and Database Firewallのターゲットの名前。

OBJECT

ターゲットでのオブジェクトの名前(たとえば、表名、ファイル名、ディレクトリ名)。大文字にする必要があります(ALERT_TABLEなど)。

OBJECT_OWNER

ターゲットでのオブジェクトの所有者

OBJECT_TYPE

ターゲットでのオブジェクトのタイプ(たとえば、TABLEDIRECTORY)

TERMINAL

アラートを引き起こしたイベントのソースであるUNIX端末(/dev/1など)

THREAT_SEVERITY

(ファイアウォール・アラート)Database Firewallポリシーで定義されている、アラートをトリガーするSQL文の脅威の重大度。値はMinimalMinorModerateMajorまたはCriticalになります。

USER

ターゲット・ユーザーのユーザー名

AUDIT_TYPE

Oracle AVDF 20.3以降

Oracle Databaseターゲットの監査タイプ:

  • Standard
  • FineGrainedAudit
  • XS
  • Database Vault
  • Label Security
  • RMAN_AUDIT
  • Datapump
  • Direct path API

APPLICATION_CONTEXT

Oracle AVDF 20.3以降

グローバル・アプリケーション・コンテキスト情報。

DATABASE_NAME

Oracle AVDF 20.4以降

監査レコードを含むDB2データベースの名前。

INSTANCE_NAME

Oracle AVDF 20.4以降

DB2データベースをホストするインスタンスの名前。

RULE_NAME

Oracle AVDF 20.5以降

Database Firewallポリシーのユーザーが定義したルールの名前。

関連項目:

10.2.3 アラートの無効化、有効化または削除

アラートを有効化、無効化または削除する方法を学習します。

アラートを無効にする場合に、そのアラートを将来再び有効にできるようにアラート定義を保存しておくことができます。

アラートを無効化または有効化するには:

  1. Audit Vault Serverコンソールに監査者としてログインします。
  2. 「ポリシー」タブをクリックします。
  3. 左側のナビゲーション・メニューから、「アラート・ポリシー」をクリックします。アラート・リストがメイン・ページに表示されます。
  4. 特定のアラートの「アラート名」列の左にあるチェック・ボックスを選択します。「無効化」「有効化」または「削除」ボタンをクリックして、そのアクションを選択したすべてのアラートに対して実行します。

10.3 アラートの監視

Oracle AVDFは、データが単一の監査レコード内のアラート・ルール条件に一致するか、期間としきい値の設定で複数のイベントに一致するときにアラートを生成します。

監査者は、Audit Vault Serverコンソールの「ホーム」ページのダッシュボードで最近生成されたアラートを確認できます。アラートは、生成された時刻およびアラートの重大度レベル(警告またはクリティカル)によってグループ化されます。折れ線グラフで使用可能な円マーカーをクリックすると、「アラート」タブの「アラート・レポート」にリダイレクトされます。

Audit Vault Serverの「レポート」タブからアラート・レポートをスケジュールすることもできます。

関連項目:

10.4 アラートへの対応

アラートを作成した後は、アラートが生成されたときに監査者がアラートに対応します。

アラートのステータスを変更したり(クローズにするなど)、他のユーザーにアラートを通知したりすることができます。
  1. Audit Vault Serverコンソールに監査者としてログインします。
  2. 「アラート」タブをクリックします。
    アラートの表を表示することができます。表には次の情報が含まれています。
    • アラートID
    • アラートのステータス
    • アラート・ポリシー
    • ターゲット
    • ユーザー
    • イベント
    • オブジェクト
    • アラートの重大度
    • イベント時間
  3. 表の上部にある「アクション」ドロップダウンをクリックし、「フィルタ」を選択すると、表示されているアラートのリストをフィルタできます。
    1. 「列」ドロップダウンから、フィルタする列を選択します。
    2. 「演算子」ドロップダウン・メニューから演算子を選択します。
    3. 該当する場合は、「式」フィールドに適切な値を入力します。
  4. 左側の列のチェック・ボックスを選択して特定のアラートを選択し、次のアクションのいずれかを実行します。
    1. 別の監査者にアラートを通知するには、「通知」ボタンをクリックします。「手動アラート通知」ページで、通知のテンプレート・タイプを選択します。配信リストを選択するか、「宛先」または「CC」フィールドに電子メール・アドレスを入力します(あるいはその両方を行います)。複数の電子メール・アドレスはカンマで区切ります。「リストに追加」ボタンをクリックしてリストをまとめ、「通知」ボタンをクリックして通知を送信します。
    2. 「アラート・ステータスの設定」リストから、「オープン」または「クローズ済」を選択してアラート・ステータスを設定し、「適用」ボタンをクリックします。アラートが最初に生成されたときは、「新規」に設定されます。
    3. アラートの「アラートID」をクリックして、レポートにアラートの追加詳細を表示します。

10.5 カスタム・アラート・ステータス値の作成

アラートの存続中に、アラート・ステータス値を作成してアラートに割り当てることができます。

Oracle Audit Vault and Database Firewallには、Oracle AVDF 20.8より前のNewおよびClosedと、Oracle AVDF 20.8以降のOpenおよびClosedの2つのステータス値が用意されています。必要に応じて、Pendingなど追加の値を作成できます。
  1. Audit Vault Serverコンソールに監査者としてログインします。
  2. 「アラート」タブをクリックします。
  3. 左側のナビゲーション・メニューから、「アラート・ステータスの管理」をクリックします。

    このページには、「カスタム・アラート・ステータス」「事前構成済のアラート・ステータス」という2つのタブがあります。ここから、既存のアラート・ステータス値を編集または削除できます。

  4. 新しいアラート・ステータスを作成するには、「作成」をクリックします。
  5. 「アラート・ステータス値の作成」ダイアログで、次の設定を入力します。

    • ステータス値: ステータス値の名前(たとえば、Pending)を入力します。

    • 説明: 必要に応じて、ステータス値の説明を入力します。

  6. 「保存」をクリックします。

    新しいアラート・ステータスが「アラート・ステータスの管理」ページに表示されます。

    関連項目:

10.6 Syslogへのアラートの転送

レポートでのアラートの確認およびアラート通知でのアラートの受信に加えて、すべてのアラート・メッセージをsyslogに転送することもできます。

アラートをsyslogに転送する前提条件として、Oracle Audit Vault and Database Firewall管理者はAudit Vault Serverでsyslog送信先を構成し、syslogカテゴリとして「アラート」を選択する必要があります。手順は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
  1. Audit Vault Serverコンソールにスーパー監査者としてログインします。
  2. 「ポリシー」タブをクリックします。
  3. 左側のナビゲーション・メニューで「アラート・ポリシー」タブをクリックします。
  4. 「Syslogへのアラートの転送」ボタンをクリックします。このボタンは、Oracle AVDF管理者がSyslogコネクタを設定した場合にのみ表示されます。

    すべての定義済アラートがSyslogに転送されます。

例10-1 Oracle Audit Vault and Database Firewallのsyslogアラート・メッセージ形式

Oracle Audit Vault and Database Firewallアラートは、次のような形式でsyslogに表示されます。

[AVDFAlert@111 AN="alert_name" ASE="alert_severity" URL="auditor_console_URL_for_alert" AT="alert_generated_time" TN="secured_target" UN="username" AD="alert_description"]

UNおよびTNパラメータは、このアラートに関連するユーザーまたはターゲットを0または1つ以上リストします。

例:

Apr 16 23:22:31 avs08002707d652 logger: [AVDFAlert@111 AN="w_1" ASE="Warning" URL=https://192.0.2.10/console/f?p=7700... AT="2014-04-16T22:55:30.462332Z" TN="cpc_itself" UN="JDOE" AD=" "]

関連項目:

Audit Vault Serverコンソールへのログイン