2.2.3 SQLファイアウォールからのインサイトの取得

Oracle Database 23aiターゲット・データベースでSQLアクティビティをモニタリング、ブロックおよび許可するようにSQLファイアウォールを正常に設定した後は、ダッシュボードおよび違反レポートを理解する必要があります。また、大量の違反が発生した場合に実行するアクションも理解する必要があります。

2.2.3.1 SQLファイアウォール・ダッシュボードの表示

Oracle Data Safeの「セキュリティ・センター」で「SQLファイアウォール」を選択すると、過去1週間のSQLファイアウォール情報のダッシュボードが表示されます。このダッシュボードでは、選択したコンパートメント内のOracle Database 23ai以降のターゲット・データベースのフリート全体にわたるSQLファイアウォール実装の概要ビューが提示されます。

ダッシュボードをフィルタ処理するには、次の方法で情報を表示できるコンパートメント、期間およびデータベースを変更できます:

1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
2. (オプション)「リスト範囲」で、ターゲット・データベースを含むコンパートメントを選択します。必要に応じて、「子コンパートメントを含む」を選択し、子コンパートメントからターゲット・データベースをリストに含めます。
3. (オプション)「フィルタ」で結果のリストをフィルタ処理し、次を実行します:
   1. (オプション)「期間」メニューから期間を選択します。
   2. (オプション)「ターゲット・データベース」メニューからターゲット・データベースを選択します。

ダッシュボードには、次の情報が表示されます:

• 「SQLファイアウォール違反」グラフ - 1日当たりのOracle Database 23ai以降のフリート全体のSQL文違反の数およびコンテキスト違反の数が表示されます。これにより、SQL文違反およびセッション・コンテキスト違反の数のパターンを判別し、調査する必要がある違反の急増を特定できます。
• 「SQLファイアウォール実施モード」グラフ - ポリシーに違反するSQL文またはセッション・コンテキストを"ブロック"または"検出"するSQLファイアウォール・ポリシーの数の内訳が表示されます。
• 「SQL収集」グラフ - 各ライフ・サイクル状態(COLLECTING、COMPLETED、DELETED、FAILED、NEEDS_ATTENTION)のSQL収集数の内訳が表示されます。
• 「ターゲットのサマリー」タブ - SQL文がアクティブに収集されているデータベース・ユーザーの数、違反をブロックするポリシーの数、および違反を許可および検出するポリシーの数について、登録済のOracle Database 23ai以降ごとの内訳が表示されます。ターゲット・データベースの名前をクリックすると、そのSQLファイアウォール構成の詳細が表示され、ターゲット・データベースのSQL収集、SQLファイアウォール・ポリシーおよび作業リクエストをさらに深くドリルダウンできます。
• 「違反サマリー」タブ - 違反の合計数、SQL違反の数およびコンテキスト違反の数について、登録済のOracle Database 23ai以降ごとの内訳が表示されます。ターゲット・データベースの名前をクリックすると、より詳細な違反レポートを表示できます。
• 「通知」タブ - SQLファイアウォールに対して作成したイベント通知およびサブスクリプションが表示されます。具体的には、イベント、ルール名、トピック名、およびイベント通知が作成された日時が表示されます。この表には、データ・セーフ内で直接作成したイベントのみが表示されます。既存のイベント通知の表示に加えて、「通知の作成」ボタンを使用して新しい通知を作成することもできます。詳細は、「SQLファイアウォールでのイベント通知の作成および変更」を参照してください。

2.2.3.2 違反の表示

SQLファイアウォール・ポリシーを実施すると、コンテキストおよびSQL文の違反を表示する方法は複数あります。

• すべての違反の表示
• ターゲット固有の違反の表示
• ポリシー固有の違反の表示

データベース・フリート全体でのすべての違反のレポートを表示するには、次のステップを実行します。

1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
2. 「関連リソース」で、「違反レポート」をクリックします。
3. (オプション)「リスト範囲」で、ターゲット・データベースを含むコンパートメントを選択します。必要に応じて、「子コンパートメントを含む」を選択し、子コンパートメントからターゲット・データベースをリストに含めます。
4. 「事前定義済レポート」タブから、表示するレポートを選択します:
   • すべての違反レポート - SQL違反とコンテキスト違反の両方
   • SQL違反レポート - SQL文の違反
   • コンテキスト違反レポート - データベース接続パスの違反
5. レポートにアクセスすると、次のようなOracle Data Safeの標準レポート・アクションをすべて実行できます:
   • 基本フィルタの適用
   • 拡張SCIMフィルタの適用
   • カスタム・レポートの作成
   • レポートのスケジュール
   • レポートの生成およびダウンロード
   • 表示する列の管理

過去1週間の特定のターゲット・データベースに対するすべての違反のレポートを表示するには、次のステップを実行します。

1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
2. 「違反サマリー」タブをクリックします。
3. (オプション)「リスト範囲」で、ターゲット・データベースを含むコンパートメントを選択します。必要に応じて、「子コンパートメントを含む」を選択し、子コンパートメントからターゲット・データベースをリストに含めます。
4. (オプション)「フィルタ」で結果のリストをフィルタ処理し、次を実行します:
   1. (オプション)「期間」メニューから期間を選択します。
   2. (オプション)「ターゲット・データベース」メニューからターゲット・データベースを選択します。
5. リストからターゲット・データベースの名前を選択します。

   違反レポートが表示されます。

6. 違反レポートは、選択した期間の選択したターゲット・データベースの違反のみを表示するように自動的にフィルタ処理されます。
7. レポートにアクセスすると、次のようなOracle Data Safeの標準レポート・アクションをすべて実行できます:
   • 基本フィルタの適用
   • 拡張SCIMフィルタの適用
   • カスタム・レポートの作成
   • レポートのスケジュール
   • レポートの生成およびダウンロード
   • 表示する列の管理

選択したSQLファイアウォール・ポリシーに固有の違反のレポートを表示するには、次のステップを実行します。

1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
2. (オプション)「リスト範囲」で、ターゲット・データベースを含むコンパートメントを選択します。必要に応じて、「子コンパートメントを含む」を選択し、子コンパートメントからターゲット・データベースをリストに含めます。
3. (オプション)「フィルタ」で結果のリストをフィルタ処理し、次を実行します:
   1. (オプション)「期間」メニューから期間を選択します。
   2. (オプション)「ターゲット・データベース」メニューからターゲット・データベースを選択します。
4. 「ターゲットのサマリー」タブのリストからターゲット・データベースの名前を選択します。

   「構成詳細」ページが表示されます。

5. 「リソース」で、「SQLファイアウォール・ポリシー」をクリックします。
6. リストからSQLファイアウォール・ポリシーを選択します。

   「ファイアウォール・ポリシー詳細」ページが表示されます。

7. 「実施情報」で、「違反レポート」の横にある「レポートの表示」をクリックします。
8. 違反レポートは、選択したターゲット・データベースの選択したータベース・ユーザーの違反のみを表示するように自動的にフィルタ処理されます。

   違反レポートが表示されます。

9. レポートにアクセスすると、次のようなOracle Data Safeの標準レポート・アクションをすべて実行できます:
   • 基本フィルタの適用
   • 拡張SCIMフィルタの適用
   • カスタム・レポートの作成
   • レポートのスケジュール
   • レポートの生成およびダウンロード
   • 表示する列の管理

2.2.3.3 SQLファイアウォールのフォローアップ・アクション

SQL収集で想定されるSQL文および信頼できるデータベース接続がすべてキャプチャされている理想的なシナリオでは、違反は侵害されたアカウントのアクセスやSQLインジェクション攻撃などの潜在的なデータベース攻撃を示します。ただし、収集された文またはデータベース接続が完了していない場合や、アプリケーションの更新後に新しい認可されたSQL文がある場合は、違反が急増する可能性があります。違反レポートの誤検出を回避するために、SQLファイアウォール・ポリシーを更新してこれらの追加の文を収集してください。