2 Oracle Audit Vault and Database Firewallの概要

Oracle Audit Vault and Database Firewwallの使用を開始する前に、ターゲットやポリシーなどのコンポーネントの動作について理解する必要があります。

2.1 このマニュアルの最新バージョンのダウンロード

Oracle Audit Vault and Database Firewallを使用する前に、ドキュメントの最新バージョンがあることを確認してください。

このマニュアルの最新バージョンは次のWebサイトからダウンロードできます。

https://docs.oracle.com/en/database/oracle/audit-vault-database-firewall/20/sigau/index.html

他のOracle製品のマニュアルは次のWebサイトにあります。

https://docs.oracle.com

2.2 Oracle Audit Vault and Database Firewallについて学ぶ

Oracle Audit Vault and Database Firewallの機能、コンポーネント、ユーザーおよびデプロイメントについて理解する必要があります。

この情報を確認するには、『Oracle Audit Vault and Database Firewall概要ガイド』を参照してください。

2.3 監査者の役割

監査者は、Audit Vault Serverコンソールを使用して、Oracle Audit Vault and Database Firewallで監視するデータベースまたはデータベース以外のものを構成します。

監査者は、Audit Vault Serverコンソールを使用して次のものを構成します。

• ターゲット - 監査者が監視するターゲットごとに、Oracle Audit Vault and Database Firewall管理者がAudit Vault Serverでターゲットを構成する必要があります。監査者は、その後でターゲットの監査ポリシーまたはファイアウォール・ポリシー(あるいはその両方)と他の要件を指定できます。

• Database Firewallポリシー - サポート対象のすべてのデータベースについて、Database Firewallを使用し、ターゲットのSQL文に基づいてファイアウォール・ポリシーを設計できます。

• 監査ポリシー - Oracleデータベースについて、Oracle Audit Vault and Database Firewallを使用して監査ポリシーを設計し、データベースにプロビジョニングできます。

• アラート - 監視するターゲットに対して指定する条件に基づいて単純なアラートまたは複雑なアラートを作成できます。電子メール・テンプレートを使用してアラート通知を指定することもできます。

• 監査証跡 - すべてのターゲット・タイプについて、監査証跡のステータスを監視し、監査レポートを表示できます。

• レポート - Oracle Audit Vault and Database Firewallでは様々な監査レポートとファイアウォール・レポートをスケジュールおよび生成し、レポート通知を作成できます。独自のカスタマイズ・レポートを追加することもできます。

Oracle Audit Vault and Database Firewallの監査者ロール

Oracle Audit Vault and Database Firewallには、アクセス・レベルが異なる3つの監査者ロールがあります。

• スーパー監査者 - このロールは、すべてのターゲットへのアクセス権を持ち、特定のターゲットおよびグループへのアクセス権を監査者に付与できます。スーパー監査者は、スーパー監査者ロールを他のユーザーに割り当てることもできます。
• 監査者 - このロールは、スーパー監査者からアクセス権を付与されたターゲットのデータのみを表示できます。
• 読取り専用監査者 - このロールには、ターゲット、監査証跡、Database Firewallのモニタリング・ポイント、ダッシュボード、レポート、チャート、アクセス権データへの読取り専用アクセス権があり、フィルタを追加できます

関連項目:

• ターゲットの理解

• Database Firewallポリシー

• Oracleデータベースの監査ポリシーの作成

• アラートの作成

• ターゲットの監査証跡リストの表示

• レポート

• アクセスおよび他の設定の管理

2.4 ターゲットの理解

ターゲットとは、Oracle Audit Vault and Database Firewallで監視する、サポート対象のデータベースまたはデータベース以外のものです。

ターゲットは、Audit Vault AgentまたはDatabase Firewall (あるいはその両方)で監視できます。

Oracle Audit Vault and Database Firewallの管理者が、ホスト・アドレス、ユーザー名、パスワードおよび他の必要な情報を指定して、ターゲットを作成および構成します。

Database Firewallで監視するターゲットについては、管理者はDatabase Firewallを構成するとともに、各ターゲットのモニタリング・ポイントも構成する必要があります。

ターゲットが構成されると、監査者は各ターゲットで次のことを実行できます。

• 監査データの収集
• ストアド・プロシージャ監査(SPA)の有効化
• ターゲットがDatabase Firewallを経由するデータベースの場合:
  • ファイアウォール・ポリシーの設計と適用
  • 構成されたモニタリング・ポイントのステータスの表示
• ターゲットがOracleデータベースである場合:
  • 監査ポリシーの定義とプロビジョニング
  • ユーザー権限情報の取得
• データ保存ポリシーの設定
• 様々なレポートの生成
• 監査証跡ステータスの監視

スーパー監査者は、アクセスを制御するためにターゲット・グループを作成できます。スーパー監査者は、個々のターゲットまたはターゲット・グループへのアクセス権を監査者に付与します。

関連項目:

ターゲットの管理

2.5 ファイアウォール・ポリシーの理解

Oracle Audit Vault and Database Firewallポリシーは、Oracle Databaseの文、オブジェクト、権限またはファイングレイン監査を監視します。

関連項目:

• 詳細は、『Oracle Audit Vault and Database Firewall概要ガイド』の第4章を参照してください。

• Database Firewallポリシー

2.6 監査ポリシーおよび監査データ収集の理解

監査ポリシーによって監査データ収集がどのように管理されるのかについて学習します。

関連項目:

• 詳細は、『Oracle Audit Vault and Database Firewall概要ガイド』の第3章を参照してください

• Oracleデータベースの監査ポリシーの作成

2.7 ターゲットから監査データを収集するための要件

Oracle Audit Vault and Database Firewallのターゲットには、Oracle Database、SQL Server、Sybase ASEおよびIBM DB2データベースが含まれます。

2.7.1 Oracle Databaseの要件

ターゲット・データベースで監査が有効になっていること、および推奨監査設定が使用されていることを確認する必要があります。

2.7.1.1 ターゲット・データベースで監査が有効になっていることの確認

Oracle Audit Vault and Database Firewallでは、ターゲット・データベースから監査データを収集できます。それらのデータベースで監査を有効にする必要があります。

データベース管理者は、SQL*Plusにログインして適切なコマンドを実行すると、データベースで使用される監査のタイプをチェックできます。

たとえば、標準監査が有効かどうかを確認するには、次のコマンドを使用します。

SQL> SHOW PARAMETER AUDIT_TRAIL

NAME                   TYPE        VALUE
---------------------- ----------- -----------
audit_trail            string      DB

この出力では、標準監査が有効になっており、監査レコードがデータベース監査証跡に書き込まれることが示されます。

ファイングレイン監査の場合は、DBA_AUDIT_POLICIESデータ・ディクショナリ・ビューのAUDIT_TRAIL列を問い合せて、データベースでファイングレイン監査ポリシーに対して設定されている監査証跡のタイプを確認できます。

2.7.1.2 ターゲット・データベースでの推奨監査設定の使用

監査が有効になっていることをデータベース管理者が確認したら、データベースで監査のいくつかの領域を設定することをお薦めします。

有効にする必要がある領域は次のとおりです。

• データベース・スキーマまたは構造の変更。次のAUDIT SQL文の設定を使用します。

  • AUDIT ALTER ANY PROCEDURE BY ACCESS;

  • AUDIT ALTER ANY TABLE BY ACCESS;

  • AUDIT ALTER DATABASE BY ACCESS;

  • AUDIT ALTER SYSTEM BY ACCESS;

  • AUDIT CREATE ANY JOB BY ACCESS;

  • AUDIT CREATE ANY LIBRARY BY ACCESS;

  • AUDIT CREATE ANY PROCEDURE BY ACCESS;

  • AUDIT CREATE ANY TABLE BY ACCESS;

  • AUDIT CREATE EXTERNAL JOB BY ACCESS;

  • AUDIT DROP ANY PROCEDURE BY ACCESS;

  • AUDIT DROP ANY TABLE BY ACCESS;

• データベースへのアクセスと権限。次のAUDIT SQL文を使用します。

  • AUDIT ALTER PROFILE BY ACCESS;

  • AUDIT ALTER USER BY ACCESS;

  • AUDIT AUDIT SYSTEM BY ACCESS;

  • AUDIT CREATE PUBLIC DATABASE LINK BY ACCESS;

  • AUDIT CREATE SESSION BY ACCESS;

  • AUDIT CREATE USER BY ACCESS;

  • AUDIT DROP PROFILE BY ACCESS;

  • AUDIT DROP USER BY ACCESS;

  • AUDIT EXEMPT ACCESS POLICY BY ACCESS;

  • AUDIT GRANT ANY OBJECT PRIVILEGE BY ACCESS;

  • AUDIT GRANT ANY PRIVILEGE BY ACCESS;

  • AUDIT GRANT ANY ROLE BY ACCESS;

  • AUDIT ROLE BY ACCESS;

2.7.2 SQL Server、Sybase ASEおよびIBM DB2のデータベースの要件

これらのデータベースで監査が有効なことを確認します。

また、監査データをAudit Vaultサーバーに送信するように、これらのデータベースが適切に構成されていることを確認する必要もあります。それらの要件は、データベース管理者がかわりに確認することもできます。詳細は、これらのデータベースのマニュアルおよび『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。

2.8 アラートおよび通知の構成

Oracle Audit Vault and Database Firewallでは、監査レコードに対してルールベースのアラートを定義し、それらのアラートに通知アクションを指定できます。

監査イベントが、アラート定義のルールまたは条件と一致すると、指定どおりにアラートが生成され、通知が送信されます。アラートは、ターゲットのタイプやイベントの発生回数に応じて定義できます。また、監査レコードに含まれるフィールドを使用して、一致する必要があるブール条件を定義できます。アラートの通知に使用する電子メール・テンプレートを構成することもできます。

アラートの監視と対応は、Audit Vault Serverコンソールまたはアラート・レポートを使用して行います。

関連項目:

アラートの作成

2.9 レポートの生成

Oracle Audit Vault and Database Firewallの監査者は、アクセス権があるターゲットについて様々な監査レポートを生成できます。

レポートのスケジューリング、印刷および電子メール送信(PDFまたはXLS形式)を行うことができます。レポートには監査データ、権限およびストアド・プロシージャの情報が含まれます。クレジット・カード、金融、データ保護および医療のデータに関連する規制を順守するように、コンプライアンス・レポートも生成できます。

Oracle Audit Vault and Database Firewallでは、レポート・データを対話的にブラウズおよびカスタマイズしたり、サード・パーティ・ツールで作成した独自のカスタム・レポートをアップロードしたりすることもできます。

関連項目:

• レポート

• 権限の管理

2.10 ユーザーの作成およびアクセスの管理

スーパー監査者は、監査者アカウントを作成し、ターゲットおよびターゲット・グループへの監査者アクセスを管理します。

関連項目:

これらの機能の詳細は、「アクセスおよび他の設定の管理」を参照してください。

2.11 Audit Vault ServerコンソールUIへのログインおよび理解

Audit Vault Serverコンソールにログインすると、様々なタブ・ページやオブジェクトのリストを操作できます。

2.11.1 Audit Vault Serverコンソールへのログイン

Audit Vault Serverコンソールにログインするには、有効なユーザー名とパスワードが必要です。

Audit Vault Serverコンソールにログインするには:

1. ブラウザに、次のURLを入力します。

   https://host/console
   

   hostは、Audit Vault Serverをインストールしたサーバーです。

   たとえば:

   https://192.0.2.1/console
   

2. 「ログイン」ページでユーザー名とパスワードを入力し、「ログイン」をクリックします。

   「ホーム」ページが表示されます。

2.11.2 Audit Vault ServerコンソールUIのタブについて

監査者またはスーパー監査者については、ホーム・ページに監査者用のダッシュボードが表示され、監査者ロールが使用できる機能が示されます。

「ホーム」ページ

コンソールの「ホーム」タブには、次のセクションがあります。

• ターゲット
• Oracleデータベースのセキュリティ評価
• セキュリティ評価ドリフト・グラフ(Oracle AVDF 20.11以降で、このセクションが含まれます。)
• すべてのアクティビティ(Oracle AVDF 20.11以降では、このセクションは省略されます。)
• アラート
  • オープン・アラート
  • 重大度別アラート
  • アラート別の上位5個のターゲット
  • ボリューム別の上位5個のアラート・ポリシー

表示を期間でフィルタするオプションがあります。

その他のタブ

• 監査インサイト - ターゲット、ユーザーおよびポリシーに関する詳細(合計数や上位5つのアクティビティ、機密データの詳細など)のサマリー・ビューを確認します。サマリー・ビューおよびチャートから詳細なアクティビティ・レポートにドリルダウンできます。まれに、サマリー・ビューがチャートと同期していないことがあります。

• ターゲット - 各ターゲットのファイアウォール、監査およびデータ保存ポリシーの設定、権限スナップショットの管理、ターゲット・グループの設定、監査証跡およびモニタリング・ポイントの表示を行います。

• ポリシー - 監査ポリシーとファイアウォール・ポリシーの管理およびアラートの構成を行います。

• アラート - アラートを管理します。

• レポート - デフォルト・レポートの生成、レポートのスケジュール、レポートのオンライン・カスタマイズ、およびカスタム・レポートのアップロードを行います。

• 設定 - パスワードの変更、電子メール配信リストの作成と管理、アラートとレポートの電子メール通知テンプレートの構成、監査証跡とモニタリング・ポイントのステータスの表示、ユーザー・アカウントとアクセスの管理、およびジョブ・ステータスの表示を行います。

2.11.3 UIでのオブジェクト・リストの使用

Audit Vault ServerのUIでは様々なところに、レポート、ユーザー、ターゲット、ファイアウォール・ポリシーなどのオブジェクトのリストが表示されます。

これらのオブジェクト・リストは、Oracle Audit Vault and Database Firewallレポートの場合と同じ方法でフィルタ処理およびカスタマイズできます。この項では、オブジェクト・リストのフィルタ処理方法および表示のカスタマイズ方法の概要を説明します。

関連項目:

レポートでのデータのフィルタ処理

Audit Vault Server UIのオブジェクト・リストの表示をフィルタ処理して制御するには:

1. レポート、リストまたは列見出しをクリックします。

2. 次に示す使用可能なオプションのいずれかを選択して、リストをカスタマイズできます。

   • 昇順ソート
   • 降順ソート
   • 列の非表示
   • コントロール・ブレーク