Fonctions de vérification dans une base de données autonome avec intelligence artificielle
Oracle Autonomous AI Database sur une infrastructure Exadata dédiée offre des fonctions de vérification performantes qui vous permettent d'assurer le suivi des opérations effectuées sur le service et sur des bases de données spécifiques. Grâce aux données de journalisation complètes, vous pouvez vérifier et surveiller les actions effectuées sur vos ressources, ce qui vous permet de respecter les exigences de vérification tout en réduisant les risques liés à la sécurité et à l'exploitation.
Rubriques connexes
Vérification des activités de niveau de service
Toutes les actions effectuées par les utilisateurs Oracle Cloud sur les ressources qui composent votre déploiement d'Oracle Autonomous AI Database sur une infrastructure Exadata dédiée sur une infrastructure dédiée sont enregistrées par le service de vérification, quelle que soit l'interface utilisée : console Oracle Cloud Infrastructure, API REST, interface de ligne de commande, trousses SDK, etc.
Vous pouvez utiliser le service de vérification pour exécuter des diagnostics, effectuer le suivi de l'utilisation des ressources, surveiller la conformité et collecter les événements liés à la sécurité. Pour plus d'informations sur le service de vérification, voir Aperçu du service de vérification dans la documentation sur Oracle Cloud Infrastructure.
De plus, lorsqu'Oracle Autonomous AI Database sur une infrastructure Exadata dédiée effectue des opérations sur les ressources, des événements sont envoyés au service d'événements. À l'aide du service d'événements, vous pouvez créer des règles pour saisir ces événements et exécuter des actions, par exemple envoyer des courriels à l'aide du service d'avis.
Pour plus d'informations sur le fonctionnement du service d'événements et sur la configuration des règles et des actions qu'il utilise, voir Aperçu du service d'événements. Pour les listes des opérations du service Base de données d'IA autonome qui génèrent des événements, voir Événements pour le service Base de données d'IA autonome sur une infrastructure Exadata dédiée.
Conseil :
Pour essayer d'utiliser les services d'événements et d'avis pour créer des avis, vous pouvez passer par Lab11 : Service d'avis OCI dans Oracle Autonomous AI Database Dedicated for Fleet Administrators.Vérification des activités de base de données
Oracle Autonomous AI Database sur une infrastructure Exadata dédiée configure les bases de données autonomes d'IA que vous créez pour utiliser la fonction de vérification unifiée d'Oracle AI Database.
Cette fonction saisit les enregistrements de vérification des sources suivantes et les regroupe dans une piste de vérification unique dans un format uniforme :
- Enregistrements de vérification (y compris les enregistrements de vérification
SYS) des politiques de vérification unifiée et paramètresAUDIT - Enregistrements de vérification détaillés de l'ensemble PL/SQL
DBMS_FGA - Enregistrements de vérification d'Oracle AI Database Real Application Security
- Enregistrements de vérification d'Oracle Recovery Manager
- Enregistrements d'audit d'Oracle AI Database Vault
- Enregistrements de vérification d'Oracle Label Security
- Enregistrement d'Oracle Data Mining
- Oracle Data Pump
- Oracle SQL*Loader Direct Load
Par conséquent, vous pouvez utiliser la piste de vérification unifiée pour effectuer une grande variété d'activités de diagnostic et d'analyse de la sécurité sur votre base de données.
Pour éviter que la piste de vérification unifiée ne devienne trop grande, les base de données d'IA autonome que vous créez incluent une tâche Oracle Scheduler nommée MAINTAIN_UNIAUD_TRAIL qui s'exécute quotidiennement pour supprimer les enregistrements de vérification unifiés de plus de 90 jours. En tant qu'utilisateur de base de données ADMIN, vous pouvez modifier les caractéristiques de cette tâche.
AUDIT_UNIFIED_CONTEXTSAUDIT_UNIFIED_ENABLED_POLICIESAUDIT_UNIFIED_POLICIESAUDIT_UNIFIED_POLICY_COMMENTS
Seul un utilisateur ADMIN peut accorder les rôles AUDIT_VIEWER ou AUDIT_ADMIN à un autre utilisateur. Le rôle PDB_DBA ne vous permet pas d'accorder AUDIT_VIEWER ou AUDIT_ADMIN à d'autres utilisateurs.
Pour plus d'informations sur le fonctionnement de la vérification unifiée et sur son utilisation, voir Qu'est-ce que la vérification unifiée? dans le Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide.
De plus, si votre base de données d'IA autonome est inscrite auprès d'Oracle Data Safe, vous pouvez utiliser ses fonctions étendues de vérification des activités et d'alertes basées sur les activités.
Pour plus d'informations sur ces fonctions du service de sécurité des données, voir Vérification des activités dans Utilisation d'Oracle Data Safe. Pour des informations sur l'inscription de votre base de données auprès du service de sécurité des données, voir Inscrire une base de données d'IA dédiée auprès du service de sécurité des données ou la désinscrire.
Vérification des activités de machine virtuelle autonome
Les agents de collecte s'exécutant sur les serveurs de plan de contrôle du service Base de données d'IA autonome collectent et envoient des journaux de vérification du système d'exploitation pour toutes les machines virtuelles et les hyperviseurs s'exécutant sur l'hôte physique, en plus des journaux pour les logiciels de détection d'intrusion antivirus et d'hôte. Ces journaux sont envoyés à un service SIEM (System Information and Event Management) central dans OCI. Des centaines de règles d'alerte sur l'analyse SIEM pour les modifications de configuration, les intrusions potentielles et les tentatives d'accès non autorisé, entre autres.
Une équipe dédiée d'analystes de sécurité de l'équipe de détection et de réponse aux incidents de sécurité (DART) est chargée de gérer les tableaux de bord d'événements de sécurité 24 / 7 et de traiter les alertes pour filtrer les vrais positifs. Si un vrai positif est détecté, une réponse appropriée est lancée en fonction de la gravité et de l'impact de l'événement. Cela peut inclure une analyse plus approfondie, une évaluation des causes fondamentales et une résolution avec les équipes de service et la communication avec les clients.
En outre, le logiciel de balayage de vulnérabilités envoie ses conclusions à OCI Security Central, qui génère automatiquement des tickets pour que les équipes de service résolvent les conclusions dans un délai en fonction du score CVSS. En outre, les événements de vérification pour les actions d'opération sont envoyés au service de journalisation et à un syslog fourni par le client pour les systèmes inscrits au service de contrôle de l'accès des opérateurs.
Oracle conserve les journaux suivants pour les machines virtuelles autonomes sur le matériel Exadata Cloud@Customer X8M et versions ultérieures :
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
- /var/log/clamav/clamav.log
- /var/log/aide/aide.log
Oracle conserve les journaux de vérification d'infrastructure suivants pour Exadata Cloud@Customer X8M et le matériel ultérieur :
- Gestion intégrée des lumières éteintes (ILOM)
- Le syslog ILOM a été redirigé vers le syslog du composant d'infrastructure physique
- syslog
- Serveur de base de données Exadata physique
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
- /var/log/clamav/clamav.log
- /var/log/aide/aide.log
- Serveur de stockage Exadata
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
Vérification des activités des opérateurs Oracle
Conseil :
Pour obtenir des conseils étape par étape sur la création et la gestion de l'accès par contrôle des opérateurs aux ressources d'infrastructure Exadata et de grappe de machines virtuelles Exadata autonome, voir Laboratoire 15 : Contrôle de l'accès des opérateurs dans l'atelier Oracle Autonomous AI Database Dedicated for Fleet Administrators.
- Vous, le client, êtes responsable des données et de l'application de base de données.
- Oracle est responsable des composants de l'infrastructure : alimentation, système sans système d'exploitation, hyperviseurs, serveurs de stockage Exadata et autres aspects de l'environnement.
- Oracle est responsable du logiciel du SGBD et de l'état général de la base de données.
Dans ce modèle, Oracle a un accès illimité aux composants dont il est responsable. Cela peut poser problème si vous êtes soumis à des exigences réglementaires qui imposent la vérification et le contrôle de tous les aspects de la gestion du système.
Oracle Operator Access Control est un système de vérification de la conformité qui vous permet de tenir à jour les pistes de vérification et de gestion de fermeture de toutes les actions qu'un opérateur Oracle effectue sur l'infrastructure Exadata, l'infrastructure Exadata hébergeant une base de données autonome sur l'IA et la grappe de machines virtuelles Exadata autonome (machines virtuelles du client déployées sur Oracle Autonomous AI Database) administrée par Oracle. En outre, les clients peuvent contrôler et limiter l'accès de l'opérateur à une base de données conteneur autonome (ACD) approuvée par le client.
- Déterminer qui peut accéder au système, quand le système est accessible et pendant combien de temps le personnel d'Oracle peut accéder au système.
- Limiter l'accès, y compris les actions qu'un opérateur Oracle peut effectuer sur votre système.
- Révoquer l'accès, y compris l'accès programmé accordé précédemment.
- Consulter et enregistrer un rapport en temps quasi réel de toutes les actions exécutées par un opérateur Oracle sur votre système.
- Contrôlez et vérifiez toutes les actions effectuées par n'importe quel opérateur ou logiciel de système sur les ressources Autonomous AI Database suivantes :
- Infrastructure Exadata
- grappe de machines virtuelles Exadata autonome
- Base de données conteneur autonome
- Fournissez des contrôles pour les machines virtuelles clients déployées sur Oracle Autonomous AI Database sur une infrastructure Exadata dédiée. Comme pour le contrôle de l'accès des opérateurs pour l'infrastructure Exadata Cloud@Customer, les clients peuvent imposer des contrôles d'accès des opérateurs Oracle à leurs grappes de machines virtuelles autonomes déployées sur Exadata Cloud@Customer ou Oracle Public Cloud. Voir Actions de contrôle de l'accès des opérateurs : Grappe de machines virtuelles autonome pour plus d'informations.
- Gardez le même niveau de vérification et de contrôle d'accès à vos systèmes. Pour plus d'informations, voir Comment l'accès des opérateurs est vérifié.
- Fournir les enregistrements de vérification requis pour les vérifications réglementaires internes ou externes sur vos systèmes. Pour plus de détails, voir Gestion et exploration des journaux à l'aide du contrôle de l'accès des opérateurs.
Lors de la création d'un contrôle des opérateurs, vous pouvez choisir Infrastructure Exadata ou Grappe de machines virtuelles Exadata autonome en fonction de la ressource pour laquelle vous voulez vérifier l'accès des opérateurs. Voir Créer un contrôle des opérateurs pour plus de détails.