3 ターゲットの管理

ターゲット設定の表示と変更、ターゲット・グループの作成と変更、コンプライアンス設定の管理、およびターゲットとグループへのアクセス権の設定を行うことができます。

3.1 ターゲットの管理について

ターゲットはOracle Audit Vault and Database Firewall管理者によって作成されます。

ターゲットは、監査データを取得するデータベースまたは他のサポート対象監査ソースごとに作成されます。また、Database Firewallで監視するデータベースに対しても作成されます。

監査者は、スーパー監査者からアクセス権を付与されたターゲットのデータを表示できます。

Audit Vault Serverコンソールの「ターゲット」タブを使用して、アクセスできるターゲットを次のように制御できます。

• ターゲットのリストを表示およびソートします。

  関連項目:

  UIでのオブジェクト・リストの使用

• 各ターゲットの次の項目を表示およびアクセスします。

  • 監査証跡

  • データベース・ファイアウォール・モニタリング

  • ターゲット・グループ

  • アクセス権限

  • ユーザー権限スナップショット

3.2 ターゲットの設定の表示および変更

ターゲットのポリシー設定、権限データ、監査証跡リストなどの設定を表示および変更できます。

3.2.1 ターゲットの「監査データ収集」と「データベース・ファイアウォール・モニタリングの詳細」の表示

「ターゲット」タブでは、各ターゲットの「監査データ収集」と「データベース・ファイアウォール・モニタリングの詳細」を表示できます。

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「ターゲット」タブをクリックします。
3. リストからターゲットを選択します。

   「ターゲットの詳細」ページでは、ターゲットに関する次の情報を表示できます。

   • 接続文字列
   • 説明
   • 「保存ポリシー」には、ターゲットに対して現在有効なデータ保持ポリシーが表示されます。ここでは、新しいポリシーを選択することもできます。
   • 「監査データ収集」には、ターゲットに対して構成されている現在の監査証跡に関する詳細が表示されます。詳細には、監査証跡の場所、証跡のタイプ、ステータス、エージェントの名前、最後に収集が開始された時刻およびデータ収集にかかった時間が含まれます。
   • データベース・ターゲットの場合、「データベース・ファイアウォール・モニタリング」には、ターゲットに対して構成されている現在のデータベース・ファイアウォール・モニタリング・ポイントに関する詳細が表示されます。詳細には、接続の詳細、データベース・ファイアウォール名、ステータス、トラフィック・ソース、プロキシ・ポートおよびデプロイメント・モードが含まれます。ここでは、データベース・ファイアウォール・モニタリング・ポリシーの表示や変更もできます。

3.2.2 Oracle Databaseの監査設定取得のスケジューリング

Oracle Databaseの監査ポリシー設定を取得するには、ターゲットの監査ポリシー取得ジョブをスケジュールします。

Oracle AVDF 20.12へのパッチ適用後、次のことが必要になります

1. Oracle権限スクリプトを再実行して、コンテナ・データベース・ターゲットの監査ポリシーの取得を成功させます。詳細は、「Oracle Databaseの設定スクリプト」を参照してください。
2. 監査ポリシーをプロビジョニングまたは表示する前に、監査ポリシーを取得します。詳細は、「Oracle Databaseの監査ポリシーの取得および変更」を参照してください

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「ターゲット」タブをクリックします。
3. ターゲットの「取得ジョブのスケジュール」アイコンをクリックします。

4. 「取得ジョブのスケジュール」ページの「監査ポリシー」で、次のいずれかのオプションを選択します。

   • すぐにジョブを実行するには、「即時取得」を選択します。

   • ジョブをスケジュールする場合や既存のスケジュールを変更する場合は、次のステップを実行します。

     1. 「スケジュールの作成/更新」を選択します。
     2. 「有効」をクリックします。
     3. 開始日時と繰返し頻度を入力します。
5. 「保存」をクリックします。

3.2.3 Oracle Databaseターゲットのユーザー権限データの取得

ユーザー権限スナップショットのデータを取得するには、Oracle Databaseターゲットのユーザー権限取得ジョブを発行するかスケジュールします。

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「ターゲット」タブをクリックします。
3. ターゲットの「取得ジョブのスケジュール」アイコンをクリックします。

4. 「取得ジョブのスケジュール」ページの「ユーザー権限」で、次のいずれかのオプションを選択します。

   • すぐにジョブを実行するには、「即時取得」を選択します。

   • ジョブをスケジュールする場合や既存のスケジュールを変更する場合は、次のステップを実行します。

     1. 「スケジュールの作成/更新」を選択します。
     2. 「有効」をクリックします。
     3. 開始日時と繰返し頻度を入力します。
5. 「保存」をクリックします。

ノート:

すべてのユーザー権限スナップショットは、データ取得から18か月後にパージされます。

3.2.4 Oracle Databaseターゲットのセキュリティ評価データの取得

セキュリティ評価レポート用のデータを取得するには、Oracle Databaseターゲットのセキュリティ評価取得ジョブを発行またはスケジュールします。

Oracle DatabaseがOracle AVDFのターゲットとして登録されると、最初のセキュリティ評価ジョブが自動的に発行されます。その後は、手動でジョブを発行して即時実行するか、指定した頻度(週次や月次など)で実行するようにジョブをスケジュールできます。

ノート:

すべての評価データは、データ取得から18か月後にパージされます。

セキュリティ評価取得ジョブを作成または変更するには:

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「ターゲット」タブをクリックします。
3. ターゲットの「取得ジョブのスケジュール」アイコンをクリックします。

4. 「取得ジョブのスケジュール」ページの「セキュリティ評価」で、次のいずれかのオプションを選択します。

   • すぐにジョブを実行するには、「即時評価」を選択します。

   • ジョブをスケジュールする場合や既存のスケジュールを変更する場合は、次のステップを実行します。

     1. 「スケジュールの作成/更新」を選択します。
     2. 「有効」をクリックします。
     3. 開始日時と繰返し頻度を入力します。
5. 「保存」をクリックします。

3.2.5 Oracle Databaseターゲットの機密オブジェクトの取得

データ検出で特権ユーザーと機密データを識別するには、Oracle Databaseターゲットに対する機密データ取得ジョブを発行またはスケジュールします。

Oracle DatabaseがOracle AVDFのターゲットとして登録されると、最初のデータ検出ジョブが自動的に発行されます。その後は、手動でジョブを発行して即時実行するか、指定した頻度(週次や月次など)で実行するようにジョブをスケジュールできます。

機密データ検出ジョブを作成または変更するには:

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「ターゲット」タブをクリックします。
3. ターゲットの「取得ジョブのスケジュール」アイコンをクリックします。
4. 「取得ジョブのスケジュール」ページの「機密オブジェクト」で、次のいずれかのオプションを選択します。
   • すぐにジョブを実行するには、「即時検出」を選択します。

   • ジョブをスケジュールする場合や既存のスケジュールを変更する場合は、次のステップを実行します。

     1. 「スケジュールの作成/更新」を選択します。
     2. 「有効」をクリックします。
     3. 開始日時と繰返し頻度を入力します。
   • スケジュールを無効にするには、次のステップを実行します。
     1. 「スケジュールの作成/更新」を選択します。
     2. 「無効」を選択します。

        ノート:

        スケジュールを無効にしても、Oracle Databaseに対するデータ検出のユーザー権限が取り消されることはありません。スケジュールを無効にすると、スケジュールのみが停止され、機密データは更新できなくなります。
5. 「保存」をクリックします。

3.2.6 ストアド・プロシージャ監査のアクティブ化

ストアド・プロシージャ監査レポートのデータを取得するには、データベース・ターゲットのストアド・プロシージャ監査取得ジョブをスケジュールします。

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「ターゲット」タブをクリックします。
3. ターゲットの「取得ジョブのスケジュール」アイコンをクリックします。

4. 「ストアド・プロシージャ監査」で、次のステップを実行します。

   1. 「スケジュールの作成/更新」を選択します。
   2. 「有効」をクリックします。
   3. 開始日時と繰返し頻度を入力します。
5. 「保存」をクリックします。

ノート:

ターゲット・データベースからストアド・プロシージャの変更点を収集する方法の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。Oracle Audit Vault and Database Firewall管理者は、ターゲット・データベースに正しいユーザー権限を設定するスクリプトを実行する必要があります。

3.2.7 ターゲットの監査証跡リストの表示

Oracle Audit Vault and Database Firewall管理者は、監査証跡を開始および停止します。

監査者は、アクセス権があるターゲットの監査証跡のリストを表示できます。1つ以上のターゲットについて収集された証跡を確認できます。

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「ターゲット」タブをクリックします。
3. 左側のナビゲーション・メニューで「監査証跡」をクリックします。
4. 表示されたリストからターゲットを選択します。特定のターゲットに関連する詳細が画面に表示されます。
5. 下にスクロールします。「監査データ収集」タブがデフォルトで選択されています。

   ターゲットの監査証跡が、次の列を含む表にリストされます。

   • 監査証跡の場所
   • 監査証跡ステータス
   • 監査証跡のタイプ
   • 収集エージェント
   • 最終起動日時
6. オプションで、次のオプションについて列名タイトルをクリックします。
   • 昇順ソート
   • 降順ソート
   • 列の非表示
   • コントロール・ブレーク

   検索フィールドや他のオプションも使用できます。

   関連項目:

   Audit Vault Serverコンソールへのログイン

3.2.8 ファイアウォール・ポリシーの選択

ターゲットがDatabase Firewallによって監視されるデータベースの場合、そのターゲットに割り当てられているファイアウォール・ポリシーをアップロードまたは変更できます。

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「ポリシー」タブをクリックします
3. 左側のナビゲーション・メニューで「データベース・ファイアウォール・ポリシー」タブをクリックします。
4. 画面にユーザー定義Database Firewallポリシーおよび事前定義済のDatabase Firewallポリシーのリストが表示されます。
5. 特定のターゲットをクリックして、定義されているファイアウォール・ポリシーを表示します。この画面からポリシーを変更できます。

関連項目:

• ファイアウォール・ポリシーの詳細は、Database Firewallポリシーを参照してください。

• Audit Vault Serverコンソールへのログイン

3.2.9 Database Firewallモニタリング・ポイントのリストの表示

Oracle Audit Vault and Database Firewall管理者は、Database Firewallによって監視されるデータベース・ターゲットのモニタリング・ポイントを作成します。

監査者は、アクセス権があるデータベース・ターゲットについて構成されているDatabase Firewallモニタリング・ポイントを表示できます。1つのターゲットまたはすべてのターゲットのモニタリング・ポイントを表示できます。

3.2.9.1 データベース・ターゲットごとのモニタリング・ポイントのリスト表示

1つのデータベース・ターゲットのモニタリング・ポイントのリストにアクセスできます。

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「ターゲット」タブをクリックします。
   左側のナビゲーション・メニューの「ターゲット」サブタブがデフォルトで選択されています。メイン・ページに、構成されているすべてのターゲットがリストされます。
3. 特定のターゲットを選択します。
4. 下にスクロールし、「データベース・ファイアウォール・モニタリング」サブタブをクリックします。ここには、このターゲットに関連付けられているすべてのDatabase Firewallモニタリング・ポイントのリストが含まれています。ターゲットがデータベースでない場合、このセクションは表示されません。

   関連項目:

   Audit Vault Serverコンソールへのログイン

3.2.9.2 すべてのターゲット・データベースのモニタリング・ポイント・リストの表示

すべてのデータベース・ターゲットについて構成されているモニタリング・ポイントのリストにアクセスできます。

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「ターゲット」タブをクリックします。
3. 左側のナビゲーション・メニューから、「データベース・ファイアウォール・モニタリング」をクリックします。
4. メイン・ページに、すべてのターゲットと、対応するDatabase Firewallモニタリング・ポイントのステータスがリストされます。特定のターゲットの名前をクリックして、その詳細を表示します。

   関連項目:

   Audit Vault Serverコンソールへのログイン

3.2.10 データ保存(アーカイブ)ポリシーの設定

ターゲットのデータ保存ポリシーによって、そのターゲットの監査データが保存される期間が決まります。

Oracle Audit Vault and Database Firewall管理者が保存ポリシーを作成し、監査者が使用可能なポリシーから1つを選択してターゲットに割り当てます。ターゲットに対して保存ポリシーを選択しなかった場合、デフォルトの保存ポリシーが使用されます(12か月のオンライン保存およびパージ前に12か月のアーカイブ)。ターゲットでデータ収集が開始された後に、保存ポリシーを設定しないでください。保存期間に達すると、アーカイブされたデータはパージされ、取得できなくなります。新しい保存ポリシーは、ポリシーを選択する日付の時点で有効になりますが、既存のデータには適用されません。

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「ターゲット」タブをクリックします。
   左側のナビゲーション・メニューの「ターゲット」サブタブがデフォルトで選択されています。メイン・ページに、構成されているすべてのターゲットがリストされます。
3. リストからターゲットを選択します。
4. 「保存ポリシー」フィールドに、特定のターゲットの保存およびアーカイブ・ポリシーの期間が表示されます。
5. 保存ポリシーを設定または変更するには、「保存ポリシー」フィールドの横にある編集アイコンをクリックします。使用可能な保存ポリシーから選択します。
6. 「保存」をクリックします。

関連項目:

• 保存(アーカイブ)ポリシーの構成の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。

• Audit Vault Serverコンソールへのログイン

3.3 ターゲット・グループの作成および変更

ターゲットの名前付きグループを作成および変更できます。

3.3.1 ターゲット・グループについて

スーパー監査者は、複数のターゲットを1つのグループに編成して、個別ではなく1回の操作でそれらへのアクセス権を監査者に付与できます。

Oracle Audit Vault and Database Firewallでは、HIPAAやDPAなどのコンプライアンス・カテゴリに関連した一連の事前構成済ユーザー・グループが提供されます。そのようなグループにターゲットを追加して、それらのデータベースに関連する特定のコンプライアンス・レポートを生成できます。

3.3.2 ターゲット・グループの作成および変更

ターゲット・グループを作成および変更するには、スーパー監査者である必要があります。

ターゲット・グループの作成

1. Audit Vault Serverコンソールにスーパー監査者としてログインします。

2. 「ターゲット」タブをクリックします。

3. 左側のナビゲーション・メニューで「ターゲット・グループ」タブをクリックします。「ユーザー定義グループ」および「事前構成済グループ」のリストが画面に表示されます。

4. 右上隅にある「作成」ボタンをクリックします。

5. 「ターゲット・グループの作成」ダイアログで、次を実行します。

   Oracle AVDFリリース20.1および20.2	Oracle AVDFリリース20.3以降
   「名前」フィールド: ターゲット・グループの名前を入力します。 説明: オプションで、このターゲット・グループの説明を入力します。 「メンバー」セクションで、メンバー名のチェック・ボックスを選択して、1つ以上のメンバーを選択します。 「追加」ボタンをクリックします。	「グループ名」フィールド: ターゲット・グループの名前を入力します。 説明: オプションで、このターゲット・グループの説明を入力します。 「メンバー」セクションで、「使用可能」列から「選択済」列にメンバーを移動して、1つ以上のメンバーを選択します。ターゲット名を使用して、「メンバー」セクションの下側のフィールドでターゲットを検索することもできます。 ターゲットを削除するには、1つ以上のメンバーを選択して、「選択済」列から「使用可能」列に戻します。

6. 「保存」をクリックします。

ターゲット・グループの変更

1. Audit Vault Serverコンソールにスーパー監査者としてログインします。

2. 「ターゲット」タブをクリックします。

3. 左側のナビゲーション・メニューで「ターゲット・グループ」タブをクリックします。「ユーザー定義グループ」および「事前構成済グループ」のリストが画面に表示されます。

4. 変更するターゲット・グループの名前をクリックします。

5. 「ターゲット・グループの変更」ダイアログで、次の変更を実行します。

   Oracle AVDFリリース20.1および20.2	Oracle AVDFリリース20.3以降
   ターゲット・グループの「名前」を変更します。 オプションで、「説明」を編集します。 「メンバー」セクションで、メンバーのチェック・ボックスを選択して、メンバーを追加または削除します。 適宜「追加」または「削除」ボタンをクリックします。	「グループ名」を変更します。 オプションで、「説明」を編集します。 「メンバー」セクションで、追加または削除するメンバーを「使用可能」列と「選択済」列の間で移動します。ターゲット名を使用して、「メンバー」セクションの下側のフィールドでターゲットを検索することもできます。

6. 「保存」をクリックします。

関連項目:

• UIでのオブジェクト・リストの使用

• Audit Vault Serverコンソールへのログイン

3.4 ターゲット・データベースのコンプライアンスの管理

ターゲット・データベースについて正しいコンプライアンス・レポートが確実に生成されるようにするには、Audit Vault Serverの適切な事前構成済グループにそれらのターゲットを追加します。

ターゲットをコンプライアンス・グループに割り当てるには:

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「ターゲット」タブをクリックします。
3. 左側のナビゲーション・メニューで「ターゲット・グループ」タブをクリックします。

   「ユーザー定義グループ」および「事前構成済グループ」のリストが画面に表示されます。

4. 「事前構成済グループ」セクションで、特定のグループ名をクリックします。
5. 「ターゲット・グループの変更」ダイアログで、次の操作を実行します。

   Oracle AVDFリリース20.1および20.2	Oracle AVDFリリース20.3以降
   このコンプライアンス・グループに追加するターゲット・データベースを選択します。 コンプライアンス・グループからターゲット・データベースを削除するには、ターゲットを選択してから「削除」をクリックします。	コンプライアンス・グループに追加するターゲット・データベースは、「使用可能」列から「選択済」列に移動することで選択します。 コンプライアンス・グループから削除するターゲット・データベースは、「選択済」列から「使用可能」列に移動することで選択します。

6. 「保存」をクリックします。

   関連項目:

   • コンプライアンス・レポートの詳細は、コンプライアンス・レポートを参照してください。

   • Audit Vault Serverコンソールへのログイン

3.5 ターゲットおよびグループのアクセス権の設定

Oracle Audit Vault and Database Firewallのスーパー監査者ロールがある場合は、ターゲットおよびグループのアクセス権を設定できます。

特定のターゲットまたはグループへのアクセス権を付与された監査者のみが、ターゲットやグループまたはそれらに関連するデータを表示できます。ターゲットまたはグループごと、あるいはユーザーごとにアクセス権を管理できます。

関連項目:

詳細は、「ユーザー・アカウントおよびアクセスの管理」を参照してください。