Oracle Cloud Infrastructure - Dokumentation

Überblick über Alerts

Sie können Alerts in Ihren Zieldatenbanken aktivieren, um bestimmte Benutzeraktivitäten und ungewöhnliches Verhalten zu verfolgen und darüber benachrichtigt zu werden.

Sie können bei Änderungen an Datenbankparametern oder Audit-Policys, bei einer nicht erfolgreichen Anmeldung von einem Administrator, bei Änderungen der Benutzerberechtigungen oder beim Erstellen oder Löschen eines Benutzers benachrichtigt werden.

Alerts in Oracle Data Safe

Eine Alertmeldung benachrichtigt Sie, wenn ein bestimmtes Auditereignis für eine Zieldatenbank stattfindet. Alerts basieren auf den Alert-Policys, die Sie in Oracle Data Safe aktivieren.

Als Voraussetzung für Alertbenachrichtigungen benötigen Sie eine aktivierte Audit-Policy. Diese Policy generiert das Auditereignis. Wenn das generierte Auditereignis mit der für die Zieldatenbank aktivierten Alert-Policy übereinstimmt, wird ein Alert ausgelöst.

Oracle Data Safe-Alert-Policys

Im Sicherheitscenter können Sie benutzerdefinierte und vordefinierte Alert-Policys in Ihren Zieldatenbanken bereitstellen. Eine Alert-Policy definiert ein zu überwachendes Datenbankereignis. Alert-Policys sind regelbasiert und werden von den erfassten Auditdaten ausgelöst. Alerts haben standardmäßig eine Aufbewahrungs-Policy von 3 Monaten.

Beispiel: Wenn die einheitliche Audit-Policy ORA_LOGON_FAILURES in die Zieldatenbank bereitgestellt wurde und ein Administrator sich bei der Zielddatenbank nicht erfolgreich anmeldet, wird aufgrund dieser Policy einen Auditdatensatz für die nicht erfolgreiche Anmeldung generiert. Der generierte Auditdatensatz wird von Oracle Data Safe erfasst. Wenn die Alert-Policy Failed Logins by Admin User für das Ziel aktiviert ist, wird von Oracle Data Safe ein Alert für den Auditdatensatz für die nicht erfolgreiche Anmeldung erzeugt.

Benutzerdefinierte Alerts

Mit benutzerdefinierten Alert-Policys können Sie anpassen, über welche Datenbankänderungen Sie benachrichtigt werden möchten. Mögliche Szenarios, für die Sie Alerts konfigurieren können, sind:

  • Datenbankparameteränderungen von unbekannten Clienthosts erkennen

  • Erkennen Sie den Datenzugriff auf wichtige Tabellen von nicht zugelassenen Benutzern

  • Änderungen der Definition der gespeicherten Prozedur erkennen, um unerwünschte Logik auszuführen

  • Verletzungen der Database Vault-Realm im Schema der sensiblen Anwendung erkennen

  • Erkennen von Datenexfiltrationsversuchen aus sensiblen Tabellen

Weitere Informationen finden Sie unter Benutzerdefinierte Alert-Policys erstellen und verwalten.

Vordefinierte Alerts

In der folgenden Tabelle sind die von Oracle vordefinierten Alert-Policys, ihre Schweregrade, ihre Beschreibungen und die Grundlage für jeden Alert aufgeführt.

Vordefinierter Alert Schweregrad Beschreibung Erforderliche Audit-Policys zum Auslösen eines Alerts
Audit-Policy-Änderungen Hoch Änderungen an Audit-Policys, wie CREATE, ALTER, DROP, AUDIT und NOAUDIT, sowie Ausführungen des Packages DBMS_AUDIT_MGMT oder DBMS_FGA Diese werden durch obligatorische Audits in einer Oracle Database erfasst.
Änderungen an Datenbankparametern Hoch Änderungen an Datenbankparametern mit der Anweisung ALTER SYSTEM Kritische Datenbankaktivität oder Audit-Policy ORA_DATABASE_PARAMETER
Datenbankschemaänderungen Mittel Änderungen an Data Definition Language-(DDL-)Aktionen, wie CREATE, ALTER, DROP oder TRUNCATE für Datenbankschemaobjekte* Datenbankschemaänderungen oder eine ähnliche Audit-Policy
Nicht erfolgreiche Anmeldungen von Admin-Benutzer Kritisch Alle nicht erfolgreichen Anmeldeversuche eines Admin-Benutzers mit Administrator- oder Systemberechtigungen ORA_LOGIN_FAILURES (ORA_LOGIN_LOGOUT für 26ai) oder eine ähnliche Richtlinie
Profiländerungen Kritisch Alle Änderungen an Benutzerprofilen, wie CREATE, ALTER oder DROP Kritische Datenbankaktivität oder eine ähnliche Audit-Policy
Benutzererstellung/-änderung Mittel Alle Änderungen an Datenbankbenutzern, wie CREATE, ALTER oder DROP Kritische Datenbankaktivität, ORA_ACCOUNT_MGMT oder eine ähnliche Policy
Änderungen an Benutzerberechtigungen Mittel Änderungen an Benutzerberechtigungsdaten, wie GRANT oder REVOKE der Berechtigungen für Datenbankobjekte Kritische Datenbankaktivität, ORA_ACCOUNT_MGMT oder eine ähnliche Policy
SQL-Firewallverletzungen Kritisch SQL Firewall protokolliert Verletzungen in Echtzeit für jedes unübertroffene Szenario einer Datenbankverbindung oder der Ausführung von SQL-Befehlen anhand der Einträge in den aktivierten Ausnahmelistenregeln der SQL Firewall-Policy. Audit aktivieren, wenn Sie eine SQL-Firewall-Policy für den Datenbankbenutzer bereitstellen und durchsetzen

*Datenbankschemaobjekte umfassen: PROCEDURE, PACKAGE, PACKAGE BODY, FUNCTION, TRIGGER, LIBRARY, SYNONYM, TABLE, DATABASE LINK, INDEX, OUTLINE, CONTEXT, ATTRIBUTE DIMENSION, DIMENSION, INDEXTYPE, OPERATOR, JAVA, MINING MODEL, TYPE BODY, TYPE, MATERIALIZED VIEW, MATERIALIZED VIEW LOG, MATERIALIZED ZONEMAP, VIEW, ANALYTIC VIEW, SEQUENCE, und CLUSTER

Ziel-Policy-Verknüpfungen

Wenn Sie eine Alert-Policy auf eine Zieldatenbank anwenden, erstellt Oracle Data Safe eine Verknüpfung zwischen der Zieldatenbank und der Alert-Policy und aktiviert die Policy automatisch in der Zieldatenbank. Sie können Verknüpfungen auf der Seite Ziel-Policy-Verknüpfungen anzeigen. Sie können die Alert-Policy nach Bedarf deaktivieren oder erneut aktivieren und die Ziel-Policy-Verknüpfung löschen. Durch das Deaktivieren der Alert-Policy wird die Auditerfassung nicht angehalten. Vielmehr wird die Policy-Auswertung für das Auditereignis vorübergehend angehalten.

Dies ist der typische Anwendungsfall. Sie wissen, dass bestimmte Aktivitäten in der Datenbank während eines Wartungsfensters Auditereignisse generieren, möchten aber nicht, dass während dieses Fensters Alertbenachrichtigungen an den Administrator gesendet werden. Sie können die Alertauswertung unterbrechen, indem Sie sie vorübergehend deaktivieren.

Achtung: Sie können Alert-Policys vor oder nach Beginn der Erfassung von Auditdaten für eine Zieldatenbank anwenden. Wenn Sie mit der Generierung von Alerts beginnen möchten, stellen Sie jedoch zunächst sicher, dass die entsprechenden Audit-Policys konfiguriert sind, dass die Auditerfassung für die Audittrails aktiviert ist und dass Oracle Data Safe Auditdaten aus der Zieldatenbank erfasst.

Gedrosselte Warnungen

Benutzerdefinierte und vordefinierte Alert-Policys werden von Data Safe automatisch gedrosselt, vorübergehend angehalten, wenn innerhalb eines Intervalls von zehn Minuten mindestens 1000 Alerts generiert werden.

Um eine überwältigende Anzahl von Alerts zu verhindern, die aufgrund einer falschen Konfiguration von Audit- oder Alert-Policys oder aufgrund von Änderungen in der Anwendungs-Workload, die Auditereignisse generieren, auftreten können, Data Safe drosselt vorübergehend eine Alert-Policy, wenn 1000 oder mehr Alerts basierend auf den Auditerfassungsdaten aus einem Audittrail in einer Zieldatenbank innerhalb eines Intervalls von zehn Minuten generiert werden. Diese Zehn-Minuten-Intervalle wurden von Data Safe alle zehn Minuten ab dem oberen Ende der Stunde festgelegt.

Wenn eine Alert-Policy gedrosselt wird, erhalten Sie einen Alertgenerierung gedrosselt-Alert, der Sie über die Alert-Policy informiert, die gedrosselt wurde. Wenn eine Alert-Policy gedrosselt wird, wird sie vorübergehend für bis zu zehn Minuten angehalten, für den Rest desselben Zehn-Minuten-Intervalls, in dem die Alerts generiert wurden. So können Sie analysieren, ob dieses anormale Alert-Volumen auf Fehlkonfigurationen von Accounts in Audit- oder Alert-Policys zurückzuführen ist oder auf einen potenziellen Verstoß hinweist. Sobald die Drosselung am Ende des Zehn-Minuten-Intervalls abgeschlossen ist, wird die Alert-Policy erneut aktiviert.

Beispiel: Wenn eine Alert-Policy mehr als 1000 Alerts zwischen 08:03 und 08:07 auslöst, erhalten Sie den Alert Alertgenerierung gedrosselt um 8:07 Uhr, und der Alert wird bis 08:09:59 gedrosselt, da 08:00:00 bis 08:09:59 ein angegebenes Zehn-Minuten-Intervall ist. Wenn jedoch eine Alert-Policy 501 Alerts zwischen 08:05 und 08:09:59 und zusätzlich 501 Alerts zwischen 08:10 und 08:15 auslöst, wird die Alert-Policy nicht gedrosselt, da weder das Intervall von 08:00:00 bis 08:09:59 noch das Intervall von 08:10:00 bis 08:19:59 1000 oder mehr Alerts aufwies.

Da Alert-Policys zum Zeitpunkt der Auditerfassung in Data Safe ausgewertet werden, ist es möglich, dass das tatsächliche Auditereignis in der Vergangenheit in der Zieldatenbank generiert wurde. Beispiel: Wenn Sie eine Audittrailerfassung für eine neu registrierte Datenbank starten, um Auditdaten im Wert von einem Jahr zu erfassen, wertet Data Safe die Alert-Policys basierend auf die erfassten Auditdaten, die ein Jahr alt sind und eine Alert-Policy drosseln, wenn sie innerhalb eines Intervalls von zehn Minuten 1000 oder mehr Alerts beim Parsen der Auditdaten generiert. Genauer gesagt, wenn das Parsen von sechs Stunden vergangener Auditdaten Data Safe von 10:02 bis 10:07 Uhr erfordert und über 1000 Alerts für eine Alert-Policy ausgelöst wurden, wird diese Alert-Policy bis 10:09:59 Uhr gedrosselt.

Bericht für gedrosselte Alerts

Im Bericht Throttled Alerts, der unter Berichte verfügbar ist, werden weitere Details zu den Throttled Alert-Policys angezeigt. Zusätzlich zu den allgemeinen Informationen für die gedrosselten Alerts werden folgende Spalten angezeigt:

  • Erstellt: Die Zeit, zu der die Alert-Policy zum ersten Mal gedrosselt wurde.

  • Endzeit für Throttling: Die Zeit, zu der die Alert-Policy gedrosselt wurde.

Weitere Informationen finden Sie unter Alertberichte anzeigen und verwalten.

Bericht "Alle Alerts"

Oracle Data Safe stellt den interaktiven Bericht "Alle Alerts" bereit, in dem Sie eine allgemeine Übersicht über Ihre Alerts erhalten. Sie können Filter festlegen, Berichtsspalten anzeigen und ausblenden, Ihre Änderungen als benutzerdefinierten Bericht speichern sowie PDF- und XLS-Berichte generieren und herunterladen. Sie können PDF- und XLS-Berichte aktualisieren, löschen und aus benutzerdefinierten Berichten generieren. Sie können den Bericht "Alle Alerts" nicht löschen.

Alertworkflow

Die allgemeinen Schritte zum Anwenden von Alert-Policys auf eine Zieldatenbank lauten wie folgt:

  1. Rufen Sie Berechtigungen in Oracle Cloud Infrastructure Identity and Access Management (IAM) ab, um Zieldatenbanken zu prüfen und das Alertfeature im relevanten Compartment zu verwenden.

  2. Registrieren Sie Ihre Zieldatenbank. Ein Standardauditprofil, eine Audit-Policy und ein Audittrail werden automatisch für Sie erstellt.

  3. Prüfen und ändern Sie die Standardaudit-Policy für Ihre Zieldatenbank, um die Einstellungen für den Schutz von Auditdaten und die kostenpflichtige Nutzung anzupassen.

  4. Prüfen und ändern Sie die Standardaudit-Policy für Ihre Zieldatenbank, um sicherzustellen, dass die einheitlichen Audit-Policys, die zur Verfolgung interessanter Aktivitäten geeignet sind, in der Zieldatenbank aktiviert sind. Entscheiden Sie bei diesen Policys, für welche Auditereignisse Sie proaktives Monitoring über Alerts konfigurieren möchten.

  5. Prüfen Sie die Audittrails für Ihre Zieldatenbank und stellen sie sicher, dass sie gestartet wurden, damit sie Auditdaten erfassen können. Sie müssen entweder den Status "Erfassung wird ausgeführt" oder "Inaktiv" aufweisen.

  6. Erstellen Sie benutzerdefinierte Alert-Policys.

  7. Wenden Sie Alert-Policys auf die Zieldatenbank an.

    • Wenn eine Alert-Policy aktiviert ist, können Sie Alerts für diese Policy erhalten.

    • Wenn eine Alert-Policy deaktiviert ist, wird die Alert-Policy-Auswertung unterbrochen. Die Audit-Policy und die Erfassung von Auditdaten bleiben intakt.

Voraussetzungen für die Verwendung von Alerts

Dies sind die Voraussetzungen für die Verwendung von Alerts:

  • registrieren Sie die Zieldatenbanken, die Sie mit dem Feature "Alerts" verwenden möchten.

  • Rufen Sie die Berechtigung in Oracle Cloud Infrastructure Identity and Access Management (IAM) ab, das Feature "Alerts" in Oracle Data Safe zu verwenden. Ein OCI-Administrator kann die Berechtigung view oder manage nach Bedarf für die folgenden Ressourcen erteilen:

    • data-safe-alerts

    • data-safe-alert-policies

    • data-safe-target-alert-policy-associations

    • data-safe-report-definitions

    • data-safe-work-requests (Sie können die Liste der Arbeitsanforderungen und deren Details anzeigen)

Als Alternative zum selektiven Erteilen von Berechtigungen können Sie Berechtigungen für data-safe-alert-family in den relevanten Compartments erteilen, was Berechtigungen für alle oben genannten Ressourcen umfassen würde. Siehe data-safe-alert-family Resource.