3 ターゲットの管理
ターゲット設定の表示と変更、ターゲット・グループの作成と変更、コンプライアンス設定の管理、およびターゲットとグループへのアクセス権の設定を行うことができます。
3.1 ターゲットの管理について
ターゲットはOracle Audit Vault and Database Firewall管理者によって作成されます。
ターゲットは、監査データを取得するデータベースまたは他のサポート対象監査ソースごとに作成されます。また、Database Firewallで監視するデータベースに対しても作成されます。
監査者は、スーパー監査者からアクセス権を付与されたターゲットのデータを表示できます。
Audit Vault Serverコンソールの「ターゲット」タブを使用して、アクセスできるターゲットを次のように制御できます。
-
ターゲットのリストを表示およびソートします。
関連項目:
-
各ターゲットの次の項目を表示およびアクセスします。
-
監査証跡
-
データベース・ファイアウォール・モニタリング
-
ターゲット・グループ
-
アクセス権限
-
ユーザー権限スナップショット
-
3.2 ターゲットの設定の表示および変更
ターゲットのポリシー設定、権限データ、監査証跡リストなどの設定を表示および変更できます。
3.2.1 ターゲットの「監査データ収集」と「データベース・ファイアウォール・モニタリングの詳細」の表示
「ターゲット」タブでは、各ターゲットの「監査データ収集」と「データベース・ファイアウォール・モニタリングの詳細」を表示できます。
3.2.2 Oracle Databaseの監査設定取得のスケジューリング
Oracle Databaseの監査ポリシー設定を取得するには、ターゲットの監査ポリシー取得ジョブをスケジュールします。
- Oracle権限スクリプトを再実行して、コンテナ・データベース・ターゲットの監査ポリシーの取得を成功させます。詳細は、「Oracle Databaseの設定スクリプト」を参照してください。
- 監査ポリシーをプロビジョニングまたは表示する前に、監査ポリシーを取得します。詳細は、「Oracle Databaseの監査ポリシーの取得および変更」を参照してください
- Audit Vault Serverコンソールに監査者としてログインします。
- 「ターゲット」タブをクリックします。
- ターゲットの「取得ジョブのスケジュール」アイコンをクリックします。
-
「取得ジョブのスケジュール」ページの「監査ポリシー」で、次のいずれかのオプションを選択します。
- すぐにジョブを実行するには、「即時取得」を選択します。
-
ジョブをスケジュールする場合や既存のスケジュールを変更する場合は、次のステップを実行します。
- 「スケジュールの作成/更新」を選択します。
- 「有効」をクリックします。
- 開始日時と繰返し頻度を入力します。
- 「保存」をクリックします。
3.2.3 Oracle Databaseターゲットのユーザー権限データの取得
ユーザー権限スナップショットのデータを取得するには、Oracle Databaseターゲットのユーザー権限取得ジョブを発行するかスケジュールします。
- Audit Vault Serverコンソールに監査者としてログインします。
- 「ターゲット」タブをクリックします。
- ターゲットの「取得ジョブのスケジュール」アイコンをクリックします。
-
「取得ジョブのスケジュール」ページの「ユーザー権限」で、次のいずれかのオプションを選択します。
- すぐにジョブを実行するには、「即時取得」を選択します。
-
ジョブをスケジュールする場合や既存のスケジュールを変更する場合は、次のステップを実行します。
- 「スケジュールの作成/更新」を選択します。
- 「有効」をクリックします。
- 開始日時と繰返し頻度を入力します。
- 「保存」をクリックします。
ノート:
すべてのユーザー権限スナップショットは、データ取得から18か月後にパージされます。3.2.4 Oracle Databaseターゲットのセキュリティ評価データの取得
セキュリティ評価レポート用のデータを取得するには、Oracle Databaseターゲットのセキュリティ評価取得ジョブを発行またはスケジュールします。
Oracle DatabaseがOracle AVDFのターゲットとして登録されると、最初のセキュリティ評価ジョブが自動的に発行されます。その後は、手動でジョブを発行して即時実行するか、指定した頻度(週次や月次など)で実行するようにジョブをスケジュールできます。
ノート:
すべての評価データは、データ取得から18か月後にパージされます。セキュリティ評価取得ジョブを作成または変更するには:
- Audit Vault Serverコンソールに監査者としてログインします。
- 「ターゲット」タブをクリックします。
- ターゲットの「取得ジョブのスケジュール」アイコンをクリックします。
-
「取得ジョブのスケジュール」ページの「セキュリティ評価」で、次のいずれかのオプションを選択します。
- すぐにジョブを実行するには、「即時評価」を選択します。
-
ジョブをスケジュールする場合や既存のスケジュールを変更する場合は、次のステップを実行します。
- 「スケジュールの作成/更新」を選択します。
- 「有効」をクリックします。
- 開始日時と繰返し頻度を入力します。
- 「保存」をクリックします。
3.2.5 Oracle Databaseターゲットの機密オブジェクトの取得
データ検出で特権ユーザーと機密データを識別するには、Oracle Databaseターゲットに対する機密データ取得ジョブを発行またはスケジュールします。
Oracle DatabaseがOracle AVDFのターゲットとして登録されると、最初のデータ検出ジョブが自動的に発行されます。その後は、手動でジョブを発行して即時実行するか、指定した頻度(週次や月次など)で実行するようにジョブをスケジュールできます。
機密データ検出ジョブを作成または変更するには:
- Audit Vault Serverコンソールに監査者としてログインします。
- 「ターゲット」タブをクリックします。
- ターゲットの「取得ジョブのスケジュール」アイコンをクリックします。
- 「取得ジョブのスケジュール」ページの「機密オブジェクト」で、次のいずれかのオプションを選択します。
- すぐにジョブを実行するには、「即時検出」を選択します。
-
ジョブをスケジュールする場合や既存のスケジュールを変更する場合は、次のステップを実行します。
- 「スケジュールの作成/更新」を選択します。
- 「有効」をクリックします。
- 開始日時と繰返し頻度を入力します。
- スケジュールを無効にするには、次のステップを実行します。
- 「スケジュールの作成/更新」を選択します。
- 「無効」を選択します。
ノート:
スケジュールを無効にしても、Oracle Databaseに対するデータ検出のユーザー権限が取り消されることはありません。スケジュールを無効にすると、スケジュールのみが停止され、機密データは更新できなくなります。
- 「保存」をクリックします。
3.2.6 ストアド・プロシージャ監査のアクティブ化
ストアド・プロシージャ監査レポートのデータを取得するには、データベース・ターゲットのストアド・プロシージャ監査取得ジョブをスケジュールします。
- Audit Vault Serverコンソールに監査者としてログインします。
- 「ターゲット」タブをクリックします。
- ターゲットの「取得ジョブのスケジュール」アイコンをクリックします。
-
「ストアド・プロシージャ監査」で、次のステップを実行します。
- 「スケジュールの作成/更新」を選択します。
- 「有効」をクリックします。
- 開始日時と繰返し頻度を入力します。
- 「保存」をクリックします。
ノート:
ターゲット・データベースからストアド・プロシージャの変更点を収集する方法の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。Oracle Audit Vault and Database Firewall管理者は、ターゲット・データベースに正しいユーザー権限を設定するスクリプトを実行する必要があります。3.2.7 ターゲットの監査証跡リストの表示
Oracle Audit Vault and Database Firewall管理者は、監査証跡を開始および停止します。
3.2.8 ファイアウォール・ポリシーの選択
ターゲットがDatabase Firewallによって監視されるデータベースの場合、そのターゲットに割り当てられているファイアウォール・ポリシーをアップロードまたは変更できます。
- Audit Vault Serverコンソールに監査者としてログインします。
- 「ポリシー」タブをクリックします
- 左側のナビゲーション・メニューで「データベース・ファイアウォール・ポリシー」タブをクリックします。
- 画面にユーザー定義Database Firewallポリシーおよび事前定義済のDatabase Firewallポリシーのリストが表示されます。
- 特定のターゲットをクリックして、定義されているファイアウォール・ポリシーを表示します。この画面からポリシーを変更できます。
関連項目:
-
ファイアウォール・ポリシーの詳細は、Database Firewallポリシーを参照してください。
3.2.9 Database Firewallモニタリング・ポイントのリストの表示
Oracle Audit Vault and Database Firewall管理者は、Database Firewallによって監視されるデータベース・ターゲットのモニタリング・ポイントを作成します。
監査者は、アクセス権があるデータベース・ターゲットについて構成されているDatabase Firewallモニタリング・ポイントを表示できます。1つのターゲットまたはすべてのターゲットのモニタリング・ポイントを表示できます。
3.2.10 データ保存(アーカイブ)ポリシーの設定
ターゲットのデータ保存ポリシーによって、そのターゲットの監査データが保存される期間が決まります。
関連項目:
-
保存(アーカイブ)ポリシーの構成の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
3.3 ターゲット・グループの作成および変更
ターゲットの名前付きグループを作成および変更できます。
3.3.1 ターゲット・グループについて
スーパー監査者は、複数のターゲットを1つのグループに編成して、個別ではなく1回の操作でそれらへのアクセス権を監査者に付与できます。
Oracle Audit Vault and Database Firewallでは、HIPAAやDPAなどのコンプライアンス・カテゴリに関連した一連の事前構成済ユーザー・グループが提供されます。そのようなグループにターゲットを追加して、それらのデータベースに関連する特定のコンプライアンス・レポートを生成できます。
3.3.2 ターゲット・グループの作成および変更
ターゲット・グループを作成および変更するには、スーパー監査者である必要があります。
ターゲット・グループの作成
-
Audit Vault Serverコンソールにスーパー監査者としてログインします。
-
「ターゲット」タブをクリックします。
-
左側のナビゲーション・メニューで「ターゲット・グループ」タブをクリックします。「ユーザー定義グループ」および「事前構成済グループ」のリストが画面に表示されます。
-
右上隅にある「作成」ボタンをクリックします。
-
「ターゲット・グループの作成」ダイアログで、次を実行します。
Oracle AVDFリリース20.1および20.2 Oracle AVDFリリース20.3以降 - 「名前」フィールド: ターゲット・グループの名前を入力します。
- 説明: オプションで、このターゲット・グループの説明を入力します。
- 「メンバー」セクションで、メンバー名のチェック・ボックスを選択して、1つ以上のメンバーを選択します。
-
「追加」ボタンをクリックします。
- 「グループ名」フィールド: ターゲット・グループの名前を入力します。
- 説明: オプションで、このターゲット・グループの説明を入力します。
- 「メンバー」セクションで、「使用可能」列から「選択済」列にメンバーを移動して、1つ以上のメンバーを選択します。ターゲット名を使用して、「メンバー」セクションの下側のフィールドでターゲットを検索することもできます。
- ターゲットを削除するには、1つ以上のメンバーを選択して、「選択済」列から「使用可能」列に戻します。
-
「保存」をクリックします。
ターゲット・グループの変更
-
Audit Vault Serverコンソールにスーパー監査者としてログインします。
-
「ターゲット」タブをクリックします。
-
左側のナビゲーション・メニューで「ターゲット・グループ」タブをクリックします。「ユーザー定義グループ」および「事前構成済グループ」のリストが画面に表示されます。
-
変更するターゲット・グループの名前をクリックします。
-
「ターゲット・グループの変更」ダイアログで、次の変更を実行します。
Oracle AVDFリリース20.1および20.2 Oracle AVDFリリース20.3以降 - ターゲット・グループの「名前」を変更します。
- オプションで、「説明」を編集します。
- 「メンバー」セクションで、メンバーのチェック・ボックスを選択して、メンバーを追加または削除します。
- 適宜「追加」または「削除」ボタンをクリックします。
- 「グループ名」を変更します。
- オプションで、「説明」を編集します。
- 「メンバー」セクションで、追加または削除するメンバーを「使用可能」列と「選択済」列の間で移動します。ターゲット名を使用して、「メンバー」セクションの下側のフィールドでターゲットを検索することもできます。
-
「保存」をクリックします。
3.4 ターゲット・データベースのコンプライアンスの管理
ターゲット・データベースについて正しいコンプライアンス・レポートが確実に生成されるようにするには、Audit Vault Serverの適切な事前構成済グループにそれらのターゲットを追加します。
ターゲットをコンプライアンス・グループに割り当てるには:
3.5 ターゲットおよびグループのアクセス権の設定
Oracle Audit Vault and Database Firewallのスーパー監査者ロールがある場合は、ターゲットおよびグループのアクセス権を設定できます。
特定のターゲットまたはグループへのアクセス権を付与された監査者のみが、ターゲットやグループまたはそれらに関連するデータを表示できます。ターゲットまたはグループごと、あるいはユーザーごとにアクセス権を管理できます。
関連項目:
詳細は、「ユーザー・アカウントおよびアクセスの管理」を参照してください。