3 レポートとアラート
Oracle AVDFレポートは、特権ユーザーのアクティビティ、データベース・スキーマの変更、実行中のSQL文を含む幅広いアクティビティを対象としています。さらに、レポートには、データベース・アカウント管理、ロールと特権、オブジェクト管理およびストアド・プロシージャの変更における情報の変更が含まれます。
監査者は、Webインタフェースを介して、またはPDFまたはXLSファイルを介して対話形式でレポートにアクセスします。レポート列は、ソート、フィルタ処理、並べ替え、追加または削除できます。PDFレポートおよびXLSレポートは自動的に生成されるようにスケジュールできます。レポートは、複数の監査者によるサインオフを必要とするように定義することもできます。ユーザーは、Oracle BI Publisherを使用してPDFおよびXLSレポート・テンプレートを新規作成またはカスタマイズし、特定のコンプライアンスおよびセキュリティ要件を満たすことができます。さらに、Audit Vault Serverリポジトリ・スキーマも文書化されているため、サードパーティのレポート・ソリューションとの統合が可能です。
3.1 レポートのタイプ
Oracle AVDFで利用可能なレポートの一部を次に示します。
アクティビティ・レポート
アクティビティ・レポートは、監査されたSQL文、アプリケーション・アクセス、ユーザー・ログインなどの一般的なデータベース・アクセス・アクティビティを追跡します。専用アクティビティ・レポートは、失敗したログイン、ユーザー権限、前後のデータ変更、アプリケーション表への変更およびデータベース・スキーマを対象としています。たとえば、ユーザーがDROPやALTERなどのDDL SQL文を実行するたびに監査する必要がある場合、事前に構築されたデータベース・スキーマ・レポートにその特定のユーザーに関連付けられたデータを表示し、個々のイベントの詳細を表示できます。
権限レポート
ユーザー権限レポートは、ユーザーがOracleデータベースで持つアクセス権のタイプを説明し、ユーザー、ロール、プロファイル、および使用される特権に関する情報を提供します。これらのレポートは、重複する特権を見つけ、特権の付与を簡略化するのに役立ちます。権限スナップショットが生成された後、様々なスナップショットを比較して、権限情報が時間の経過とともにどのように変化したかを確認できます。これは、承認されたデータベース権限ベースラインからのずれを特定するために特に役に立ち、悪意の可能性があるアクティビティによる特権のエスカレーションを特定することもできます。
データ・プライバシ・レポート
機密オブジェクトをファイルとしてOracleデータベースにインポートできます。このファイルは、Database Security Assessment Tool (DBSAT)またはEnterprise Manager (アプリケーションデータモデル)を実行して生成することもできます。Oracle AVDFは、このリストを使用して、機密データに対するアクティビティ、機密データに対するユーザーのアクセス権、特権ユーザーによる機密データに対するアクティビティなどの事前定義レポートを生成します。
ストアド・プロシージャおよびOS相関レポート
ストアド・プロシージャ監査レポートは、ストアド・プロシージャに加えられた変更を追跡するために役立ちます。相関レポートは、Linux上で実行されているOracle Databaseターゲットについて、元のLinux OSユーザーでデータベース上のイベントを識別します。これは、そのユーザーがsuまたはsudoを使用して別のユーザーとしてシェルを実行したりデータベースでコマンドを実行したりする場合に有用です。
サマリーおよび異常レポート
レポート・グループには、サマリー・レポート、トレンド・グラフおよび異常レポートが含まれます。これらのレポートは、特定のターゲットまたは企業全体でのユーザー・アクティビティの特性をすばやく確認するために使用できます。
サマリー・レポートは、個々のユーザーによって生成されたり、特定のクライアントIPアドレスから開始される様々なタイプのイベントの統計的発生に焦点を当てています。トレンド・グラフは、一般的なイベントの傾向および特定のユーザー、クライアントIPおよびターゲットに基づく傾向を図示します。
レポートは、時間経過に伴う新規および休止ユーザーおよびクライアントIPの異常などの異常を識別するためにも使用できます。新しいユーザーまたは以前は休止していたユーザーによるアクティビティは、アカウントの乗取りを示している可能性があります。
コンプライアンス・レポート
標準のデフォルト監査アセスメント・レポートが、次のような規制に適合するために役立つよう分類されています。
- 一般データ保護規則(GDPR)
- クレジット・カード業界データ・セキュリティ基準(PCI DSS)
- 企業改革法(SOX)
- 米国の医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act、HIPAA)
- グラム・リーチ・ブライリー法(GLBA)
- データ保護法(DPA)
- IRS Publication 1075
3.2 組込みレポート
Oracle Audit Vault and Database Firewallを使用してシステムを監視するために使用できる組込みレポートが多数あります。
組込みレポートはすぐに実行することも、後日レポートを実行するスケジュールを作成することもできます。レポートの通知を受信するユーザー、またはレポートをアテストする必要があるユーザーのリストを指定できます。
レポートをオンラインで参照しながら、HTMLまたはCSV形式でダウンロードできます。また、レポートをスケジューリングしてPDFまたはXLS形式でダウンロードしたり、他のユーザーに送信したりすることもできます。レポート通知を指定すると、独自の通知テンプレートを使用して、レポートへのリンクを挿入するかレポートのPDF版を添付して、電子メールを他のユーザーに送信できます。
組込みレポートに基づいてカスタマイズ・レポートを作成し、新しいレポート形式を保存して、それらをオンラインで表示できます。Oracle AVDFで提供されるツールを使用して、データのフィルタ処理、グループ分け、強調表示を行い、レポートに表示される列を定義します。
表3-1 Oracle Audit Vault and Database Firewallで使用可能な組込みレポートのタイプ
| レポートのタイプ | 説明 |
|---|---|
|
アクティビティ |
一般的なデータベース・アクセス・アクティビティ(監査対象SQL文など)、アプリケーション・アクセス・アクティビティおよびユーザー・ログイン・アクティビティを追跡する一連のレポート。一般的なレポートを次に示します。
|
|
アラート |
アラート・レポートには、発生したアラートが表示され、ユーザーがオンラインでアラートに応答したり、他のユーザーに通知することもできます。 さらに、生成されたアラートは「アラート」タブで分析に使用できます。このタブでは、アラートをフィルタリングでき、アラートを発生させるイベントに関する詳細を表示できます。 |
|
ストアド・プロシージャ監査 |
ストアド・プロシージャの作成、変更、削除など、ストアド・プロシージャに対する変更を追跡するのに役立つ一連のレポート。レポートには、指定した期間に監査されたストアド・プロシージャの変更の詳細が表示されます。 |
|
コンプライアンス - データ・プライバシ・レポート(GDPR) |
次のコンプライアンス分野で定義された違反の可能性を追跡する一連のレポート。
|
|
Database Firewall |
データベース・ファイアウォールを使用して監視しているデータベース・ターゲットの場合、この一連のレポートはSQLトラフィックに関する詳細なイベント情報を提供します。情報の多くは、データベースに定義したファイアウォール・ポリシーに依存しています。たとえば、ポリシーに従って警告が生成された、またはブロックされた文の詳細を確認できます。また、これらのデータベースへのSQLトラフィックに関する一般的な情報(たとえば、データ定義やデータ操作などの文タイプ)も確認できます。 次にレポートの例を示します。
|
|
ユーザー権限 |
Oracle Databaseターゲットのユーザー・アクセスおよび権限について説明する一連のレポート。たとえば:
|
|
ユーザー相関 |
Linux上で実行されているOracle Databaseターゲットの場合、これらのレポートを使用すると、データベース上のイベントを元のLinux OSユーザーと関連付けることができます。これは、そのユーザーが |
|
Database Vaultアクティビティ |
Oracle DatabaseターゲットでDatabase Vaultが有効になっている場合、Database Vaultアクティビティ・レポートには、ポリシー違反やルール違反、不正なアクセス試行およびその他のアクティビティを取得するDatabase Vaultイベントが表示されます。 |
3.3 カスタム・レポート
Oracle Audit Vault and Database Firewallでカスタム・レポートを作成する方法は、2つあります。1つは、データをフィルタ処理して組込みレポートを対話的にカスタマイズし、このような対話型のビューを保存して、後からオンラインで再表示できるようにする方法です。
2つ目の方法は、組込みレポート・テンプレートを基にして簡単なカスタマイズを行うか、Oracle BI Publisherなどのソフトウェア・パッケージを使用して、独自のレポートを作成することです。その後で、独自のカスタム・レポートをOracle AVDFにアップロードできます。この2つ目の方法については後述します。
組込みレポートのフォーマットに簡単な変更を加える場合は、レポート作成ツールを使用せずにカスタマイズを行うこともできます。
Oracle AVDFには、カスタム・レポートの作成を開始するのに役立つ2種類のファイルが用意されています。1つは、RTF形式のレポート・テンプレート・ファイルで、Microsoft Wordなどのツールで開くことができます。テンプレートによってレポートの表示が決まります。たとえば、独自のカスタム・ロゴをレポートに簡単に追加できます。2つ目は、XML形式のレポート定義ファイルで、テキスト・エディタまたはXMLエディタで開くことができます。レポート定義ファイルはレポート内のデータを定義します。
任意の組込みレポートに対応するレポート定義ファイルとテンプレート・ファイルをダウンロードし、そのファイルを独自のカスタム・レポート作成の開始点として使用できます。また、Oracle AVDFドキュメントには、異なるタイプのターゲットから収集されるイベント・データに関する情報も記載されており、独自のレポート作成に役立ちます。
3.4 アラートおよび通知
多くの場合、特定のイベントが発生するとすぐに通知を受け取る必要があります。Oracle AVDFでは、Audit Vault AgentまたはDatabase Firewallのどちらの監査レコードに対しても、ルールベースのアラートを定義できます。また、それらのアラートに通知を指定することもできます。たとえば、電子メールがセキュリティ担当者などのユーザーまたは配信リストに自動的に送信されるように設定できます。アラートをsyslogに転送することもできます。これは、別のシステムと統合する場合に有用です。
アラートはルールベースであるため、ルール定義が一致するとアラートが発生します。たとえば、ユーザーAがデータベースBへのログインに3回失敗するとアラートが発生することを示すアラートを定義できます。
アラート条件は柔軟で、複数のイベントを含めることができ、イベントは異なるターゲットから発生する可能性があります。アラート条件は、収集された監査データまたはSQLネットワーク・イベント・データの複数のフィールドに基づく複雑な文になる場合もあります。アラート条件を定義するには、取得したすべての監査イベントの詳細が表示されるすべてのアクティビティ・レポートを最初に調べることをお薦めします。このレポートでは、想定される対象のイベントを確認できます。アラートは、しきい値と時間に基づくこともできます。たとえば、1分間に5回のログイン失敗が発生した場合は、ブルートフォース攻撃を示している可能性があり、アラートを発生させることができます。
3.5 まとめ
Oracle Audit Vault and Database Firewallは、OracleおよびOracle以外のデータベース、オペレーティング・システムおよびディレクトリからのアクティビティ監査データを統合し、セキュリティおよびコンプライアンス・レポートを提供します。正確なSQL文法ベースのエンジンを通じて、Database FirewallはSQLトラフィックを監視して未認可SQLをブロックします。現在、最新で豊富なUIと拡張可能な監視プラットフォームを備えたOracle Audit Vault and Database Firewall 20が、企業レベルのスケール、セキュリティおよび自動化を備えた最初の防御ラインです。
詳細は、Oracle Audit Vault and Database Firewallのドキュメントまたは製品のデータ・シート、FAQおよびテクニカル・レポートを参照してください。