29 監査ポリシーのプロビジョニング
Oracle Databaseには、アクティビティを監査するための様々な方法が用意されています。
- 監査の開始
効果的な監査では、監査ポリシーを選択的に限定して使用する必要があります。これにより、不要な監査レコードが生成されずに、生成される監査レコードがフォレンジック分析およびコンプライアンスをサポートするために必要なものだけに徹底されます。 - 監査ポリシーについて
監査ポリシーは、データベースでのユーザー動作の特定の部分を監査できる監査設定の名前付きグループです。 - 強制的に監査されるアクティビティ
セキュリティ・センシティブな特定のデータベース・アクティビティは常に監査され、このような監査構成は無効化できません。 - 事前定義の統合監査ポリシーを使用したアクティビティの監査
Oracle Databaseには、よく使用されるセキュリティ関連の監査設定を対象とする、事前定義の統合監査ポリシーがあります。 - 統合監査ポリシーをプロビジョニングするステップ
強制的に監査されるアクティビティおよびOracleデータベースでデフォルトで有効になっている事前定義の統合監査ポリシーとは別に、セキュリティとコンプライアンスのニーズに基づき、追加の統合監査ポリシーのプロビジョニングが必要になる場合があります。 - すべてのPDBに共通する監査構成
共通監査構成は、すべてのPDBで表示でき、強制されます。 - 一般的な監査データ・ディクショナリ・ビュー
Oracle Databaseには、統合監査で使用するための様々なタイプのデータ・ディクショナリ・ビューおよび動的ビューが用意されています。
親トピック: 監査を使用したデータベース・アクティビティの監視
29.1 監査の開始
効果的な監査では、監査ポリシーを選択的に限定して使用する必要があります。これにより、不要な監査レコードが生成されずに、生成される監査レコードがフォレンジック分析およびコンプライアンスをサポートするために必要なものだけに徹底されます。
監査する最も一般的なアクティビティには、次のものが含まれますが、これらに限定されません
- 失敗したログイン
- アプリケーションまたは監視ツールの外部からのログイン
- データ定義言語 - データベース・オブジェクトの作成、削除または変更
- データ制御言語 - 特にユーザーの作成、ユーザーの変更、権限およびロール付与
- Oracle Data Pump Importの操作
- Oracle Database Vaultアクティビティまたはルール違反
SYSDBA
またはデータベース管理者のアクティビティ
統合監査を使用したOracle Databaseでの監査アクティビティを開始するための上位3つのヒントは次のとおりです:
- Oracleデータベースで常に有効である必須監査構成は複製しないでください。
- Oracle Database、Oracle Data SafeまたはOracle Audit Vault and Database Firewall (AVDF)で提供される事前定義の統合監査ポリシーを使用してください。
- 特殊なニーズに応じてカスタム監査ポリシー(統合監査またはファイングレイン)を作成してください。
統合監査ポリシーを条件付きで微調整し、特定のユーザーに適用することで、監査量を削減できます。次のようなユースケースに条件付き有効化機能を使用できます:
- 信頼できるアプリケーション・パスの外部の機密データへのアクセスを監視して、重要なアクティビティにのみ焦点を当てます。
- 通常、信頼できるアプリケーション・パスの外部のデータを問い合せるためのアクセス権を持つアドホック・ユーザーまたはパワー・ユーザーのアクティビティを監視します。
関連トピック
親トピック: 監査ポリシーのプロビジョニング
29.2 監査ポリシーについて
監査ポリシーは、データベースにおけるユーザー動作の特定の部分を監査できる監査設定の名前付きグループです。
次のような幅広いアクティビティを監視する監査ポリシーを作成できます:
-
ユーザー・アカウント(
SYSDBA
管理権限でログインする管理ユーザーを含む)、ロールおよび権限 -
表の削除やプロシージャの実行などのオブジェクト・アクション
-
アプリケーション・コンテキスト値
-
Oracle Database Real Application Security、Oracle Recovery Manager、Oracle Data Pumpなど、他のOracle Database製品からのアクティビティ。
Oracle Databaseでは、監査ポリシーを作成するために次の3つの方法があります。
- 事前定義済の統合監査ポリシーを使用して、最も一般的なセキュリティ関連アクティビティを監査します。事前定義の監査ポリシーを使用すると、Center for Internet Securityの推奨事項やセキュリティ技術導入ガイドの標準など、特定の業界基準に従うことができます。事前定義のポリシーは、失敗したログインなどの一般的な監査タスクや、Oracle Database Real Application SecurityやOracle Database Vaultなどの他のOracle製品にも使用できます。ほとんどの監査ニーズには事前定義の監査ポリシーで十分ですが、そうでない場合は、カスタム監査ポリシーまたはファイングレイン監査ポリシーを作成できます。
- より特殊なアクティビティには、カスタム統合監査ポリシーを作成します。カスタム統合監査ポリシーを使用すると、ロール使用の監査や、表などのオブジェクトに対して実行されたアクションなどの幅広いアクティビティを監査できます。
CREATE AUDIT POLICY
文を使用して統合監査ポリシーを作成し、AUDIT
文を使用して有効にします。CREATE AUDIT POLICY
構文は、たとえば、条件を組み込んだり、アプリケーション・コンテキスト値を監査するのに十分な柔軟性があります。 - より詳細な監査ニーズには、ファイングレイン監査ポリシーを作成します。 ファイングレイン監査ポリシーは統合監査ポリシーではありません。
DBMS_FGA
PL/SQLパッケージを使用して、ファイングレイン監査ポリシーを作成します。ファイングレイン監査ポリシーを使用すると、条件およびイベント・ハンドラを含めることができます。たとえば、ユーザーが監査ポリシーに違反した場合、管理者にアラートを送信できます。ファイングレイン監査を使用して、特定の列の値に基づいて表の特定の行を監査することもできます。
親トピック: 監査ポリシーのプロビジョニング
29.3 強制的に監査されるアクティビティ
セキュリティ・センシティブな特定のデータベース・アクティビティは常に監査され、このような監査構成は無効化できません。
常に監査されるアクティビティには、以下が含まれますが、これらに限定されません:
- データベースが停止しているときの
SYSDBA
、SYSBACKUP
、SYSKM
などの管理ユーザーのアクティビティは常に監査されます。 UNIFIED_AUDIT_TRAIL
またはAUDSYS
スキーマ内の基礎となるディクショナリ表に対するDDLまたはDMLの試行は、常に監査されます。これらの操作は設計上は許可されていません。統合監査証跡は、AUDSYS
スキーマ内の読取り専用表にあります。
強制的に監査されるアクティビティには、UNIFIED_AUDIT_TRAIL
データ・ディクショナリ・ビューのUNIFIED_AUDIT_POLICIES
列内にORA$MANDATORY
という名前の監査ポリシーがあります。強制的に監査されたアクティビティを追跡する統合監査ポリシーが他にもある場合は、ORA$MANDATORY
が常に最初にこの列に示されます。SYSTEM_PRIVILEGE_USED
列は、アクティビティに使用された管理権限のタイプを示します。
Oracle Databaseでは、次のアクティビティが自動的に監査されます:
非監査関連アクティビティ
- SQLファイアウォールの管理アクション
ORADEBUG
ユーティリティ
監査関連アクティビティ
-
CREATE AUDIT POLICY
-
ALTER AUDIT POLICY
-
DROP AUDIT POLICY
-
AUDIT
-
NOAUDIT
-
DBMS_FGA
PL/SQLパッケージのEXECUTE
-
DBMS_AUDIT_MGMT
PL/SQLパッケージのEXECUTE
-
AUDSYS
監査証跡表でのALTER TABLE
の試行(この表は監査できません) -
管理ユーザー
SYS
、SYSDBA
、SYSOPER
、SYSASM
、SYSBACKUP
、SYSDG
およびSYSKM
によるトップ・レベルの文(データベースがオープンするまで)。 -
SYS.AUD$
およびSYS.FGA_LOG$
ディクショナリ表に対してユーザーが発行したすべてのDML文 -
統合監査内部表のデータまたはメタデータの変更。この表に対する
SELECT
文はデフォルトで、または強制的には監査されません。 -
Oracle Database Vaultに対して行われるすべての構成変更
Oracleオプティマイザ・ディクショナリ表での機密列に対して強制的に監査されるアクセス
DBMS_STATS
パッケージによるこれらの表列への内部アクセスでは、必須の監査レコードは生成されないということに注意してください。事前定義されたORA$DICTIONARY_SENS_COL_ACCESS
監査ポリシーを使用して、これらの表を監査できます。オプティマイザ・ディクショナリ表を次に示します。
オプティマイザ・ディクショナリ表 | 列 |
---|---|
SYS.HIST_HEAD$ |
minimum 、maximum 、lowval 、hival |
SYS.HISTGRM$ |
endpoint 、epvalue_raw |
SYS.WRI$_OPSTAT_HISTGRM_HISTORY |
endpoint 、epvalue_raw |
SYS.WRI$_OPTSTAT_HISTHEAD_HISTORY |
minimum 、maximum 、lowval 、hival |
ブロックチェーンおよび不変表上で強制的に監査される操作
-
CREATE TABLE
-
DROP TABLE
-
失敗した
ALTER TABLE
操作 -
失敗した
DELETE
操作 -
失敗した
FLASHBACK TABLE
操作 -
失敗した
RENAME
操作 -
失敗した
TRUNCATE TABLE
操作 -
失敗した
UPDATE
操作
親トピック: 監査ポリシーのプロビジョニング
29.4 事前定義の統合監査ポリシーを使用したアクティビティの監査
Oracle Databaseには、よく使用されるセキュリティ関連の監査設定を対象とする、事前定義の統合監査ポリシーがあります。
- 事前定義の統合監査ポリシーを使用したアクティビティの監査について
Oracle Databaseには、ほとんどの監査ニーズに対応する一連の事前定義の統合監査ポリシーがあります。 - セキュア・オプションの事前定義済の統合監査ポリシー
ORA_SECURECONFIG
統合監査ポリシーには、Oracle Databaseセキュリティのベスト・プラクティスを使用した監査オプションが用意されています。 - Oracle Databaseパラメータ変更の事前定義済の統合監査ポリシー
ORA_DATABASE_PARAMETER
ポリシーでは、一般的に使用されるOracle Databaseのパラメータの変更コマンドを監査します。 - ユーザー・アカウントおよび権限管理の事前定義の統合監査ポリシー
ORA_ACCOUNT_MGMT
ポリシーでは、よく使用されるユーザー・アカウントおよび権限の設定を監査します。 - Center for Internet Securityで推奨される事前定義の統合監査ポリシー
ORA_CIS_RECOMMENDATIONS
ポリシーは、Center for Internet Security (CIS)で推奨される監査を実行します。 - セキュリティ技術導入ガイドの事前定義された統合監査ポリシー
事前定義された統合監査ポリシーを使用して、セキュリティ技術導入ガイド(STIG)の監査要件を実装できます。 - ORA_DICTIONARY機密列問合せの事前定義済統合監査ポリシー
ORA$DICTIONARY_SENS_COL_ACCESS
事前定義監査ポリシーは、Oracle Optimizerディクショナリ表の機密列を監査します。 - Oracle Database Real Application Securityの事前定義の監査ポリシー
事前定義の統合監査ポリシーをOracle Database Real Application Securityのイベントに使用できます。 - DVSYSおよびLBACSYSスキーマに対するOracle Database Vaultの事前定義済統合監査ポリシー
事前定義のORA_DV_SCHEMA_CHANGES
(以前はORA_DV_AUDPOL
と呼ばれていました)は、Oracle Database VaultのDVSYS
およびLBACSYS
スキーマ・オブジェクトを監査します。 - デフォルト・レルムおよびコマンド・ルールに対するOracle Database Vaultの事前定義済統合監査ポリシー
ORA_DV_DEFAULT_PROTECTION
(以前はORA_DV_AUDPOL2
と呼ばれていました)事前定義の統合監査ポリシーは、Oracle Database Vaultのデフォルト・レルムおよびコマンド・ルールを監査します。 - LBACSYSオブジェクト用のOracle Label Security事前定義統合監査ポリシー
ORA_OLS_SCHEMA_CHANGES
事前定義統合監査ポリシーは、Oracle Label SecurityLBACSYS
ユーザーが所有するオブジェクトを監査します。
親トピック: 監査ポリシーのプロビジョニング
29.4.1 事前定義の統合監査ポリシーを使用したアクティビティの監査について
Oracle Databaseには、ほとんどの監査ニーズに対応する一連の事前定義の統合監査ポリシーがあります。
これらの監査ポリシーでは、セキュリティ・インターネット実装ガイドやCenter for Internet Securityの推奨事項によるログイン障害、セキュア・オプションおよび要件の取得など、一般的なシナリオに対処します。
データベース内でデフォルトで有効になっている特定の事前定義済の監査ポリシーが表示される場合があります。有効になっている監査ポリシーのリストを表示するには、AUDIT_UNIFIED_ENABLED_POLICIES
データ・ディクショナリ・ビューを問い合せます。事前定義済の監査ポリシーを有効にするには、AUDIT
PL/SQL文を使用します。
Oracle提供の事前定義の統合監査ポリシーの最新リストを検索するには、次のようにAUDIT_UNIFIED_POLICIES
データ・ディクショナリ・ビューを問い合せます:
SELECT DISTINCT POLICY_NAME FROM AUDIT_UNIFIED_POLICIES WHERE ORACLE_SUPPLIED = 'YES';
Oracle Data SafeまたはOracle Audit Vault and Database Firewall (AVDF)を使用してエンタープライズ全体のデータベース・アクティビティを監視している場合、これらの製品には、Oracle Databaseで提供される監査ポリシーに加えて、多数の事前定義済の監査ポリシーも用意されています。これらのポリシーは、1回のクリックでプロビジョニングできます。
29.4.2 セキュア・オプションの事前定義の統合監査ポリシー
ORA_SECURECONFIG
統合監査ポリシーには、Oracle Databaseセキュリティのベスト・プラクティスを使用した監査オプションが用意されています。
新規データベースの場合、このポリシーは、完全な統合監査モードと混合モードの両方の監査環境で、デフォルトで有効です。このポリシーは、旧バージョンからアップグレードされたデータベースに対して有効になりませんが、以前のリリースから新規データベースを作成し、そのデータベースを最新リリースにアップグレードした場合はこの限りではありません。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次の文は、ORA_SECURECONFIG
統合監査ポリシー定義を示しています。
PRIVILEGES ALTER ANY TABLE, CREATE ANY TABLE, DROP ANY TABLE,
CREATE ANY PROCEDURE, DROP ANY PROCEDURE, ALTER ANY PROCEDURE,
GRANT ANY PRIVILEGE, GRANT ANY OBJECT PRIVILEGE, GRANT ANY ROLE,
AUDIT SYSTEM, CREATE EXTERNAL JOB, CREATE ANY JOB,
CREATE ANY LIBRARY,
EXEMPT ACCESS POLICY,
CREATE USER, DROP USER,
ALTER DATABASE, ALTER SYSTEM,
CREATE PUBLIC SYNONYM, DROP PUBLIC SYNONYM,
CREATE SQL TRANSLATION PROFILE, CREATE ANY SQL TRANSLATION
PROFILE,
DROP ANY SQL TRANSLATION PROFILE, ALTER ANY SQL TRANSLATION
PROFILE,
TRANSLATE ANY SQL,
EXEMPT REDACTION POLICY,
PURGE DBA_RECYCLEBIN, LOGMINING,
ADMINISTER KEY MANAGEMENT, BECOME USER,
ADMINISTER FINE GRAINED AUDIT POLICY,
ADMINISTER REDACTION POLICY,
ADMINISTER ROW LEVEL SECURITY POLICY,
GRANT ANY SCHEMA PRIVILEGE,
CREATE ANY DOMAIN, ALTER ANY DOMAIN,
DROP ANY DOMAIN,
CREATE ANY MLE, ALTER ANY MLE, DROP ANY MLE,
ADMINISTER SQL FIREWALL
ACTIONS ALTER USER, CREATE ROLE, ALTER ROLE, DROP ROLE,
SET ROLE, CREATE PROFILE, ALTER PROFILE,
DROP PROFILE, CREATE DATABASE LINK,
ALTER DATABASE LINK, DROP DATABASE LINK,
CREATE DIRECTORY, DROP DIRECTORY,
CREATE PLUGGABLE DATABASE,
DROP PLUGGABLE DATABASE,
ALTER PLUGGABLE DATABASE,
ALTER DATABASE DICTIONARY,
EXECUTE ON REMOTE_SCHEDULER_AGENT.ADD_AGENT_CERTIFICATE;
ORA_SECURECONFIG
監査ポリシーを有効にするには、次を実行します:AUDIT POLICY ORA_SECURECONFIG;
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
29.4.3 Oracle Databaseパラメータ変更の事前定義の統合監査ポリシー
ORA_DATABASE_PARAMETER
ポリシーでは、一般的に使用されるOracle Databaseのパラメータの変更コマンドを監査します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次の文は、ORA_DATABASE_PARAMETER
統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。
ACTIONS ALTER DATABASE, ALTER SYSTEM, CREATE SPFILE;
ORA_DATABASE_PARAMETER
を有効にするには、次のコマンドを実行します:AUDIT POLICY ORA_DATABASE_PARAMETER;
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
29.4.4 ユーザー・アカウントおよび権限管理の事前定義の統合監査ポリシー
ORA_ACCOUNT_MGMT
ポリシーでは、よく使用されるユーザー・アカウントおよび権限の設定を監査します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次の文は、ORA_ACCOUNT_MGMT
統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。
ACTIONS CREATE USER, ALTER USER, DROP USER, CREATE ROLE, DROP ROLE,
ALTER ROLE, SET ROLE, GRANT, REVOKE;
ORA_ACCOUNT_MGMT
を有効にするには、次のコマンドを実行します:AUDIT POLICY ORA_ACCOUNT_MGMT;
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
29.4.5 Center for Internet Securityで推奨される事前定義の統合監査ポリシー
ORA_CIS_RECOMMENDATIONS
ポリシーは、Center for Internet Security (CIS)で推奨される監査を実行します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次の文は、ORA_CIS_RECOMMENDATIONS
統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。
PRIVILEGES SELECT ANY DICTIONARY, ALTER SYSTEM
ACTIONS CREATE USER, ALTER USER, DROP USER,
CREATE ROLE, DROP ROLE, ALTER ROLE,
GRANT, REVOKE, CREATE DATABASE LINK,
ALTER DATABASE LINK, DROP DATABASE LINK,
CREATE PROFILE, ALTER PROFILE, DROP PROFILE,
CREATE SYNONYM, DROP SYNONYM,
CREATE PROCEDURE, DROP PROCEDURE,
ALTER PROCEDURE, ALTER SYNONYM, CREATE FUNCTION,
CREATE PACKAGE, CREATE PACKAGE BODY,
ALTER FUNCTION, ALTER PACKAGE, ALTER SYSTEM,
ALTER PACKAGE BODY, DROP FUNCTION,
DROP PACKAGE, DROP PACKAGE BODY,
CREATE TRIGGER, ALTER TRIGGER,
DROP TRIGGER;
ORA_CIS_RECOMMENDATIONS
を有効にするには、次のコマンドを実行します:AUDIT POLICY ORA_CIS_RECOMMENDATIONS;
関連トピック
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
29.4.6 セキュリティ技術導入ガイドの事前定義された統合監査ポリシー
事前定義された統合監査ポリシーを使用して、セキュリティ技術導入ガイド(STIG)の監査要件を実装できます。
- STIG推奨の事前定義の統合監査ポリシー
ORA_STIG_RECOMMENDATIONS
ポリシーは、セキュリティ技術導入ガイド(STIG)で推奨される監査を実行します。 - すべてのトップ・レベル・アクションの事前定義の統合監査ポリシー
ORA_ALL_TOPLEVEL_ACTIONS
ポリシーは、権限を持つユーザーのすべてのトップ・レベル・アクションの監査を実行します。 - ログオンおよびログアウトの事前定義済の統合監査ポリシー
ORA_LOGIN_LOGOUT
ポリシー(旧称ORA_LOGON_FAILURES
)は、ログオンおよびログオフ操作を追跡します。
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
29.4.6.1 STIG推奨の事前定義の統合監査ポリシー
ORA_STIG_RECOMMENDATIONS
ポリシーは、セキュリティ技術導入ガイド(STIG)で推奨される監査を実行します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次の文は、ORA_STIG_RECOMMENDATIONS
統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。
PRIVILEGES ALTER SESSION
ACTIONS CREATE FUNCTION, ALTER FUNCTION, DROP FUNCTION,
CREATE PACKAGE, ALTER PACKAGE, DROP PACKAGE,
CREATE PROCEDURE, ALTER PROCEDURE, DROP PROCEDURE,
CREATE TRIGGER, ALTER TRIGGER, DROP TRIGGER,
CREATE PACKAGE BODY, ALTER PACKAGE BODY,
DROP PACKAGE BODY,
CREATE TYPE, ALTER TYPE, DROP TYPE,
CREATE TYPE BODY, ALTER TYPE BODY, DROP TYPE BODY,
CREATE LIBRARY, ALTER LIBRARY, DROP LIBRARY,
CREATE JAVA, ALTER JAVA, DROP JAVA,
CREATE OPERATOR, ALTER OPERATOR, DROP OPERATOR,
CREATE TABLE, ALTER TABLE, DROP TABLE,
CREATE VIEW, ALTER VIEW, DROP VIEW,
CREATE MATERIALIZED VIEW, ALTER MATERIALIZED VIEW,
DROP MATERIALIZED VIEW,
CREATE ASSEMBLY, ALTER ASSEMBLY, DROP ASSEMBLY,
CREATE SYNONYM, ALTER SYNONYM, DROP SYNONYM,
CREATE USER, ALTER USER, DROP USER,
GRANT, REVOKE,
CREATE ROLE, ALTER ROLE, DROP ROLE, SET ROLE,
CREATE PROFILE, ALTER PROFILE, DROP PROFILE,
CREATE LOCKDOWN PROFILE, ALTER LOCKDOWN PROFILE,
DROP LOCKDOWN PROFILE,
ALTER SYSTEM, ALTER DATABASE, ALTER PLUGGABLE DATABASE,
CREATE SPFILE, ALTER DATABASE DICTIONARY,
ADMINISTER KEY MANAGEMENT,
EXECUTE ON DBMS_JOB, EXECUTE ON DBMS_RLS,
EXECUTE ON DBMS_REDACT, EXECUTE ON DBMS_TSDP_MANAGE,
EXECUTE ON DBMS_TSDP_PROTECT,
EXECUTE ON DBMS_NETWORK_ACL_ADMIN,
EXECUTE ON DBMS_SCHEDULER
ACTIONS COMPONENT = OLS ALL';
STIGコンプライアンスの場合、すべてのユーザーに対してORA_STIG_RECOMMENDATIONS
統合監査ポリシーを有効にします。
AUDIT POLICY ORA_STIG_RECOMMENDATIONS;
29.4.6.2 すべてのトップ・レベル・アクションの事前定義の統合監査ポリシー
ORA_ALL_TOPLEVEL_ACTIONS
ポリシーは、権限を持つユーザーのすべてのトップ・レベル・アクションの監査を実行します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次の文は、ORA_ALL_TOPLEVEL_ACTIONS
統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。
ACTIONS ALL ONLY TOPLEVEL;
STIGコンプライアンスの場合、すべてのOracle定義およびサイト固有の特権ユーザーに対してORA_ALL_TOPLEVEL_ACTIONS
統合監査ポリシーを有効にします。たとえば、次の文は、Oracle定義の特権ユーザーSYS
とサイト定義の特権ユーザーSITEADMIN
を監査します。
AUDIT POLICY ORA_ALL_TOPLEVEL_ACTIONS BY SYS, SITEADMIN;
29.4.6.3 ログオンおよびログアウトの事前定義済の統合監査ポリシー
ORA_LOGIN_LOGOUT
ポリシー(旧称ORA_LOGON_FAILURES
)は、ログオンおよびログオフ操作を追跡します。
このポリシーは、Center for Internet Security (CIS)と技術導入のセキュリティ・ガイド(STIG)の両方の要件に必要です。CISおよびSTIGコンプライアンスの場合、ORA_LOGIN_LOGOUT
統合監査ポリシーがすべてのユーザーに対して有効になっていることを確認する必要があります。
新しいデータベースの場合、このポリシーはデフォルトで有効になっています。このポリシーは、以前のバージョンからアップグレードされたデータベースでは有効になっていません。なお、LOGON
文の統合監査ポリシーを構成した場合は、直接ログインおよびALTER SESSION
文とSET CONTAINER
文の両方について、監査レコードが生成されます。
次の文は、ORA_LOGIN_LOGOUT
統合監査ポリシー定義を示しています。
ACTIONS LOGON, LOGOFF;
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
AUDIT POLICY ORA_LOGIN_LOGOUT WHENEVER NOT SUCCESSFUL;
29.4.7 ORA_DICTIONARY機密列問合せの事前定義済統合監査ポリシー
ORA$DICTIONARY_SENS_COL_ACCESS
事前定義監査ポリシーは、Oracle Optimizerディクショナリ表の機密列を監査します。
この事前定義済ポリシーは、Oracle Optimizerディクショナリ表の機密列へのアクセスを監視および監査します。有効にすると、このポリシーでは、Oracleオプティマイザ・ディクショナリ表の機密列がアクセスされるたびに監査レコードが書き込まれます。無効にすると、このポリシーでは、これらの表へのアクセスは監査されません。これらの表が頻繁にアクセスされると、監査アクションによって作成される監査レコードが多くなりすぎ、パフォーマンスの問題が発生します。
次の表があります。
オプティマイザ・ディクショナリ表 | 列 |
---|---|
SYS.HIST_HEAD$ |
minimum 、maximum 、lowval 、hival |
SYS.HISTGRM$ |
endpoint 、epvalue_raw |
SYS.WRI$_OPTSTAT_HISTHEAD_HISTORY |
minimum 、maximum 、lowval 、hival |
SYS.WRI$_OPSTAT_HISTGRM_HISTORY |
endpoint 、epvalue_raw |
このポリシーは削除できません。有効化または無効化のみ可能です。このオプションはデフォルトでは有効になっています。
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
29.4.8 Oracle Database Real Application Securityの事前定義の監査ポリシー
事前定義の統合監査ポリシーをOracle Database Real Application Securityのイベントに使用できます。
- システム管理者操作の事前定義の統合監査ポリシー
ORA_RAS_POLICY_MGMT
の事前定義の統合監査ポリシーでは、アプリケーション・ユーザー、ロールおよびポリシーのOracle Real Application Securityのすべて管理アクションのポリシーを監査します。 - セッション操作の事前定義の統合監査ポリシー
ORA_RAS_SESSION_MGMT
の事前定義の統合監査ポリシーでは、Oracle Real Application Securityのすべてのランタイム・セッション・アクションおよびネームスペース・アクションのポリシーを監査します。
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
29.4.8.1 システム管理者操作の事前定義の統合監査ポリシー
ORA_RAS_POLICY_MGMT
の事前定義の統合監査ポリシーでは、アプリケーション・ユーザー、ロールおよびポリシーのOracle Real Application Securityのすべて管理アクションのポリシーを監査します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次の文は、ORA_RAS_POLICY_MGMT
監査ポリシーを示しています。デフォルトでは、このポリシーは有効になっていません。
ACTIONS COMPONENT=XS
CREATE USER, UPDATE USER, DELETE USER,
CREATE ROLE, UPDATE ROLE, DELETE ROLE, GRANT ROLE, REVOKE ROLE,
ADD PROXY, REMOVE PROXY,
SET USER PASSWORD, SET USER VERIFIER, SET USER PROFILE,
CREATE ROLESET, UPDATE ROLESET, DELETE ROLESET,
CREATE SECURITY CLASS, UPDATE SECURITY CLASS, DELETE SECURITY CLASS,
CREATE NAMESPACE TEMPLATE, UPDATE NAMESPACE TEMPLATE, DELETE NAMESPACE TEMPLATE,
CREATE ACL, UPDATE ACL, DELETE ACL,
CREATE DATA SECURITY, UPDATE DATA SECURITY, DELETE DATA SECURITY,
ENABLE DATA SECURITY, DISABLE DATA SECURITY,
ADD GLOBAL CALLBACK, DELETE GLOBAL CALLBACK, ENABLE GLOBAL CALLBACK;
STIGコンプライアンスの場合、すべてのユーザーに対してORA_RAS_POLICY_MGMT
統合監査ポリシーを有効にします。
AUDIT POLICY ORA_RAS_POLICY_MGMT;
29.4.8.2 セッション操作の事前定義の統合監査ポリシー
ORA_RAS_SESSION_MGMT
の事前定義の統合監査ポリシーでは、Oracle Real Application Securityのすべてのランタイム・セッション・アクションおよびネームスペース・アクションのポリシーを監査します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次の文は、ORA_RAS_SESSION_MGMT
ポリシーを示しています。デフォルトでは、このポリシーは有効になっていません。
CREATE AUDIT POLICY ORA_RAS_SESSION_MGMT
ACTIONS COMPONENT=XS
CREATE SESSION, DESTROY SESSION,
ENABLE ROLE, DISABLE ROLE,
SET COOKIE, SET INACTIVE TIMEOUT,
SWITCH USER, ASSIGN USER,
CREATE SESSION NAMESPACE, DELETE SESSION NAMESPACE,
CREATE NAMESPACE ATTRIBUTE, GET NAMESPACE ATTRIBUTE, SET NAMESPACE ATTRIBUTE,
DELETE NAMESPACE ATTRIBUTE;
STIGコンプライアンスの場合、失敗した操作に対してORA_RAS_SESSION_MGMT
を有効にします。
AUDIT POLICY ORA_RAS_SESSION_MGMT WHENEVER NOT SUCCESSFUL;
29.4.9 DVSYSおよびLBACSYSスキーマに対するOracle Database Vaultの事前定義の統合監査ポリシー
事前定義のORA_DV_SCHEMA_CHANGES
(旧名ORA_DV_AUDPOL
)統合監査ポリシーは、Oracle Database VaultのDVSYS
およびLBACSYS
の各スキーマ・オブジェクトを監査します。
ORA_DV_SCHEMA_CHANGES
ポリシーは、Oracle Database VaultのDVSYS
(DVF
を含む)スキーマ・オブジェクトと、Oracle Label SecurityのLBACSYS
スキーマ・オブジェクトに対して実行されるすべてのアクションを監査します。DVF
スキーマのF$
*ファクタ・ファンクションに関するアクションは取得しません。デフォルトでは、このポリシーは有効です。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
このポリシーの完全な定義を表示するには、policy_name
がORA_DV_SCHEMA_CHANGES
のAUDIT_UNIFIED_POLICIES
データ・ディクショナリ・ビューを問い合せます。
関連トピック
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
29.4.10 デフォルト・レルムおよびコマンド・ルールに対するOracle Database Vaultの事前定義の統合監査ポリシー
事前定義の統合監査ポリシーORA_DV_DEFAULT_PROTECTION
(以前はORA_DV_AUDPOL2
と呼ばれていました)は、Oracle Database Vaultのデフォルト・レルムおよびコマンド・ルールを監査します。
ORA_DV_DEFAULT_PROTECTION
ポリシーは、Oracle Database Vaultで提供されるデフォルトのレルムおよびコマンド・ルールの監査設定を構成します。デフォルトでは、このポリシーは有効です。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
このポリシーの完全な定義を表示するには、policy_name
がORA_DV_DEFAULT_PROTECTION
のAUDIT_UNIFIED_POLICIES
データ・ディクショナリ・ビューを問い合せます。
関連トピック
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
29.4.11 LBACSYSオブジェクト用のOracle Label Securityの事前定義済統合監査ポリシー
ORA_OLS_SCHEMA_CHANGES
事前定義の統合監査ポリシーは、Oracle Label Security LBACSYS
ユーザーが所有するオブジェクトを監査します。
Oracle Database Vaultが使用されていない場合は、この監査ポリシーを使用できます。ORA_DV_SCHEMA_CHANGES
事前定義済統合監査ポリシーがすでに有効になっている場合、このポリシーを有効にする必要はありません。Oracle Database Vaultをアンインストールすると、ORA_DV_SCHEMA_CHANGES
が削除されます。LBACSYS
スキーマ・オブジェクトが引き続き監査されるように、ORA_DV_SCHEMA_CHANGES
が有効になっている場合、Oracle Database Vaultのアンインストール中にORA_OLS_SCHEMA_CHANGES
が有効になります。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
このポリシーの完全な定義を表示するには、policy_name
がORA_OLS_SCHEMA_CHANGES
のAUDIT_UNIFIED_POLICIES
データ・ディクショナリ・ビューを問い合せます。
関連トピック
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
29.5 統合監査ポリシーをプロビジョニングするステップ
強制的に監査されるアクティビティおよびOracleデータベースでデフォルトで有効になっている事前定義の統合監査ポリシーとは別に、セキュリティおよびコンプライアンスのニーズに基づいて追加の統合監査ポリシーをプロビジョニングすることが必要になる場合があります。
- 最も一般的に使用されるセキュリティ関連アクティビティの監査
Oracle Databaseには、最も一般的なセキュリティ関連のアクティビティ用に選択できる一連の事前定義の統合監査ポリシーが用意されてます。 - SQL文、権限およびその他の対象アクティビティの監査
カスタム監査ポリシーを作成して、特定のオブジェクトへのアクセス、アクションまたは権限の使用、またはOracle Label SecurityなどのOracle Databaseコンポーネントの使用を追跡できます。監査ボリュームを減らすためにこれらを条件付きで有効にできます。 - 値ベースのファイングレイン監査アクティビティ
値ベースの監査を実行して特定の列の値に基づいて特定の行へのアクセスを監査する場合、またはOracleデータベース内のイベント・ハンドラと統合する場合は、ファイングレイン監査を使用します。
親トピック: 監査ポリシーのプロビジョニング
29.5.1 最も一般的に使用されるセキュリティ関連アクティビティの監査
Oracle Databaseには、最も一般的なセキュリティ関連のアクティビティ用として選択できる一連の事前定義の統合監査ポリシーが用意されてます。
29.5.2 SQL文、権限およびその他の対象アクティビティの監査
カスタム監査ポリシーを作成して、特定のオブジェクトへのアクセス、アクションまたは権限の使用、またはOracle Label SecurityなどのOracle Databaseコンポーネントの使用を追跡できます。監査ボリュームを減らすためにこれらを条件付きで有効にできます。
29.5.3 値ベースのファイングレイン監査アクティビティ
値ベースの監査を実行し、特定の列値に基づいて特定の行へのアクセスを監査する場合、またはOracleデータベース内のイベント・ハンドラと統合する場合は、ファイングレイン監査を使用します。
- ファイングレイン監査ポリシーを作成します。
DBMS_FGA
PL/SQLパッケージを使用して、ファイングレイン監査ポリシーを構成します。UNIFIED_AUDIT_TRAIL
またはALL_AUDIT_POLICIES
ビューを問い合せ、生成された監査レコードを検索します。- 監査証跡の内容を定期的にアーカイブして削除します。
親トピック: 統合監査ポリシーをプロビジョニングするステップ
29.6 すべてのPDBに共通する監査構成
共通監査構成は、すべてのPDBで表示でき、強制されます。
監査構成は、ローカルまたは共通のいずれかです。他のローカルまたは共通現象(ユーザーやロールなど)に適用されるすべてのスコープ指定ルールが、監査構成にも適用されます。
ノート:
監査初期化パラメータは、CDBレベルに存在し、各PDBには存在しません。
PDBでは、次の監査オプションがサポートされます。
-
オブジェクト監査
オブジェクト監査とは、特定のオブジェクトに対する監査構成のことを指します。共通監査構成に含めることができるのは、共通オブジェクトのみです。ローカル監査構成には、共通オブジェクトを含めることはできません。
-
監査ポリシー
監査ポリシーは、ローカルまたは共通のいずれかです。
-
ローカル監査ポリシー
ローカル監査ポリシーは、1つのPDBに適用されます。ローカル監査ポリシーは、このPDBのみのローカルおよび共通ユーザーに対して実行できます。ローカル監査ポリシーをすべてのコンテナにわたって実行しようとすると、エラーが発生します。
いかなる場合でも、ローカル監査ポリシーの実行は、ローカル監査フレームワークの一部です。
-
共通監査ポリシー
共通監査ポリシーは、すべてのコンテナに対して適用されます。共通監査ポリシーを作成する場合は、名前の先頭に
C##
またはc##
を付けます(たとえば、c##all_select_pol
)。このポリシーには、アクション、システム権限、共通ロールおよび共通オブジェクトのみを含めることができます。共通監査ポリシーは、共通ユーザーに対してのみ適用できます。ローカル・ユーザーに対する共通監査ポリシーをすべてのコンテナにわたって実行しようとすると、エラーが発生します。
-
共通監査構成は、ルートのSYS
スキーマに格納されています。ローカル監査構成は、適用対象のPDBのSYS
スキーマに格納されています。
監査証跡は、関連CDBまたはPDBコンテナのSYS
またはAUDSYS
スキーマに格納されています。オペレーティング・システムおよびPDBのXML監査証跡は、AUDIT_FILE_DEST
(非推奨)初期化パラメータで指定されたディレクトリのサブディレクトリに格納されています。
親トピック: 監査ポリシーのプロビジョニング
29.7 一般的な監査データ・ディクショナリ・ビュー
Oracle Databaseには、統合監査で使用するための様々なタイプのデータ・ディクショナリ・ビューおよび動的ビューが用意されています。
表30-20に、すべてのタイプの監査に共通するビューを示します。
ヒント:
監査ポリシーに関するエラー情報を検索するには、トレース・ファイルを確認します。USER_DUMP_DEST
初期化パラメータは、トレース・ファイルの位置を示します。
表29-1 一般的な監査データ・ディクショナリ・ビュー
ビュー | 説明 |
---|---|
|
ポリシー内で監視されているユーザーのアクションの成功または失敗の監査など、監査ポリシーが有効になる条件について説明します |
|
監査ポリシーの監査対象となるアクションについて説明します |
|
|
|
すべての監査レコードが表示されます。 |
|
このビューの |
|
XML形式のファイルに書き込まれた標準監査、ファイングレイン監査、 |
関連トピック
親トピック: 監査ポリシーのプロビジョニング