Capacidades de auditoría en Autonomous Database
Oracle Autonomous Database proporciona sólidas capacidades de auditoría que le permiten realizar un seguimiento de quién hizo qué en el servicio y en bases de datos específicas. Los datos de log completos permiten auditar y supervisar acciones en los recursos, lo que le ayuda a satisfacer los requisitos de auditoría y a reducir el riesgo operativo y de seguridad.
Temas relacionados
Auditoría de actividades de nivel de servicio
Todas las acciones que realizan los usuarios de Oracle Cloud en los recursos que componen el despliegue de Oracle Autonomous Database en la infraestructura dedicada se registran mediante el servicio Audit, independientemente de la interfaz utilizada: consola de Oracle Cloud Infrastructure, API de REST, interfaz de línea de comandos (CLI), software development kits (SDK), etc.
Puede utilizar el servicio Audit para realizar diagnósticos, realizar un seguimiento del uso de recursos, supervisar la conformidad y recopilar eventos relacionados con la seguridad. Para obtener más información sobre el servicio Audit, consulte Visión general de auditoría en la Documentación de Oracle Cloud Infrastructure.
Además, cuando Oracle Autonomous Database realiza operaciones en recursos, envía eventos al servicio Events. Con el servicio Events, puede crear reglas para capturar estos eventos y realizar acciones como el envío de correos electrónicos mediante el servicio Notifications.
Para obtener más información sobre cómo funciona el servicio Events y cómo configurar las reglas y acciones que utiliza, consulte Visión general de Events. Para obtener listas de las operaciones de Autonomous Database que generan eventos, consulte Eventos para Autonomous Database en infraestructura de Exadata dedicada.
Sugerencia:
Para probar el uso de los servicios Events y Notifications para crear notificaciones, puede realizar Lab11: servicio de notificaciones de OCI en Oracle Autonomous Database Dedicated for Fleet Administrators.Auditoría de la actividad de base de datos
Oracle Autonomous Database configura las bases de datos autónomas que crea para utilizar la función de auditoría unificada de Oracle Database.
Esta función captura los registros de auditoría de los siguientes orígenes y los recopila en una sola pista de auditoría en un formato uniforme:
- Registros de auditoría (incluidos los registros de auditoría
SYS) de las políticas de auditoría unificadas y configuración deAUDIT - Registros de auditoría detallados del paquete PL/SQL
DBMS_FGA - Registros de auditoría de Oracle Database Real Application Security
- Registros de auditoría de Oracle Recovery Manager
- Registros de auditoría de Oracle Database Vault
- Registros de auditoría de Oracle Label Security
- Registros de Oracle Data Mining
- Oracle Data Pump
- Carga directa de Oracle SQL*Loader
Por lo tanto, puede utilizar la pista de auditoría unificada para realizar una amplia variedad de actividades de diagnóstico y análisis de seguridad en la base de datos.
Para evitar que la pista de auditoría unificada crezca demasiado, las bases de datos autónomas que crea incluyen un trabajo de Oracle Scheduler denominado MAINTAIN_UNIAUD_TRAIL que se ejecute diariamente para eliminar los registros de auditoría unificados que tienen más de 90 días. Como usuario de base de datos ADMIN, puede cambiar las características de este trabajo.
AUDIT_UNIFIED_CONTEXTSAUDIT_UNIFIED_ENABLED_POLICIESAUDIT_UNIFIED_POLICIESAUDIT_UNIFIED_POLICY_COMMENTS
Solo un usuario ADMIN puede otorgar los roles AUDIT_VIEWER o AUDIT_ADMIN a otro usuario. Tener el rol PDB_DBA no permite otorgar AUDIT_VIEWER o AUDIT_ADMIN a otros usuarios.
Para obtener más información sobre cómo funciona la auditoría unificada y cómo utilizarla, consulte What Is Unified Auditing? en Oracle Database 19c Security Guide u Oracle Database 23ai Security Guide.
Además, si registra la base de datos autónoma con Oracle Data Safe, puede utilizar sus amplias funciones de auditoría de actividades y de alertas basadas en actividades.
Para obtener más información sobre estas funciones de Data Safe, consulte Auditoría de actividad en Uso de Oracle Data Safe. Para obtener más información sobre el registro de la base de datos con Data Safe, consulte Registro o anulación de registro de una base de datos dedicada con Data Safe.
Auditoría de actividades de VM autónomas
Los agentes de recopilación que se ejecutan en los servidores de plano de control de Autonomous Database recopilan y envían logs de auditoría del sistema operativo para todas las máquinas virtuales e hipervisores que se ejecutan en el host físico, además de logs para el software de detección de intrusiones de antivirus y host. Estos logs se envían a un servicio central de gestión de eventos e información del sistema (SIEM) en OCI. Cientos de reglas de alerta en el análisis SIEM para detectar cambios de configuración, posibles intrusiones e intentos de acceso no autorizados, entre otros.
Un equipo dedicado de analistas de seguridad del equipo de detección y respuesta de incidentes de seguridad (DART) es responsable de gestionar los paneles de control de eventos de seguridad 24 / 7 y procesar alertas para filtrar verdaderos positivos. Si se detecta un verdadero positivo, se inicia una respuesta adecuada en función de la gravedad y el impacto del evento. Esto puede incluir un análisis más detallado, una evaluación de la causa raíz y una solución con los equipos de servicio y la comunicación con el cliente.
Además, el software de análisis de vulnerabilidades envía sus hallazgos a OCI Security Central, que genera automáticamente tickets para que los equipos de servicio resuelvan los hallazgos en un período de tiempo según la puntuación de CVSS. Además, los eventos de auditoría de las acciones de operación se envían al servicio de registro y a un syslog proporcionado por el cliente para los sistemas inscritos en el servicio Operator Access Control.
Oracle conserva los siguientes logs para las máquinas virtuales autónomas en el hardware X8M y posterior de Exadata Cloud@Customer:
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
- /var/log/clamav/clamav.log
- /var/log/aide/aide.log
Oracle conserva los siguientes logs de auditoría de infraestructura para Exadata Cloud@Customer X8M y hardware posterior:
- Gestión integrada de salida (ILOM)
- Syslog de ILOM redirigido al syslog del componente de infraestructura física
- syslog
- Servidor de base de datos de Exadata físico
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
- /var/log/clamav/clamav.log
- /var/log/aide/aide.log
- Servidor de Almacenamiento Exadata
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
Auditoría de actividades del operador de Oracle
Sugerencia:
Para obtener orientación paso a paso sobre cómo crear y gestionar el acceso de control de operador a los recursos de infraestructura de Exadata y cluster de VM de Exadata autónomo, consulte el laboratorio 15 sobre control de acceso de operador en el taller Oracle Autonomous Database Dedicated for Fleet Administrators.
- Usted, el cliente es responsable de los datos y de la aplicación de base de datos.
- Oracle es responsable de los componentes de infraestructura: energía, sistema operativo con hardware dedicado, hipervisores, servidores Exadata Storage Server y otros aspectos del entorno de infraestructura.
- Oracle es responsable del software de DBMS y del estado general de la base de datos.
En este modelo, Oracle tiene acceso sin restricciones a los componentes de los que es responsable. Esto puede ser un problema si tiene requisitos normativos para auditar y controlar todos los aspectos de la gestión del sistema.
Oracle Operator Access Control es un sistema de auditoría de conformidad que permite mantener una gestión de cierre y pistas de auditoría de todas las acciones que realiza un operador de Oracle en la infraestructura de Exadata, la infraestructura de Exadata que aloja una instancia de Autonomous Database y el cluster de VM de Exadata autónomo (máquinas virtuales de cliente desplegadas en Oracle Autonomous Database) administrado por Oracle. Además, los clientes pueden controlar y limitar el acceso del operador a una base de datos de contenedores autónoma (ACD) específica aprobada por el cliente.
- Controlar quién puede acceder al sistema, cuándo se puede acceder al sistema y cuánto tiempo puede acceder el personal de Oracle al sistema.
- Limitar el acceso, incluida la limitación de las acciones que puede realizar un operador de Oracle en el sistema.
- Revocar el acceso, incluido el acceso programado previamente que ha otorgado.
- Ver y guardar un informe casi en tiempo real de todas las acciones que realiza un operador de Oracle en el sistema.
- Controle y audite todas las acciones realizadas por cualquier operador o software del sistema en los siguientes recursos de Autonomous Database:
- Infraestructura de Exadata
- Cluster de VM de Exadata autónomo (AVMC)
- base de datos de contenedores autónoma (ACD).
- Proporcione controles para las máquinas virtuales de cliente desplegadas en Oracle Autonomous Database. Al igual que el control de acceso de operador para la infraestructura de Exadata Cloud@Customer, los clientes pueden imponer controles de acceso de operador de Oracle en sus clusters de máquina virtual autónomos desplegados en Exadata Cloud@Customer u Oracle Public Cloud. Consulte Acciones de control de acceso de operador: cluster de VM autónomo para obtener más información.
- Mantener el mismo nivel de auditorías y control de acceso en los sistemas Consulte How Operator Access is Audited para obtener más información.
- Proporcionar los registros de auditoría necesarios para las auditorías reguladoras internas o externas en los sistemas. Consulte Gestión y búsqueda de logs con Operator Access Control para obtener más información.
Al crear un control de operador, puede seleccionar Infrastructure de Exadata o cluster de VM de Exadata autónomo según el recurso que desee auditar para el acceso de operador. Consulte Crear control de operador para obtener más información.