Audit d'Autonomous Database

Autonomous Database fournit un audit qui vous permet de surveiller les activités de bases de données Oracle.

À propos de l'audit d'Autonomous Database

Autonomous Database fournit un audit pour suivre, surveiller et enregistrer les actions de base de données. L'audit peut vous aider à détecter les risques de sécurité et à améliorer la conformité réglementaire de votre base de données.

Fonctions d'audit sur Autonomous Database

Autonomous Database inclut des fonctions d'audit complètes et sophistiquées qui vous permettent de capturer les informations d'audit dont vous avez besoin pour votre organisation. Autonomous Database fournit un audit par défaut.

En outre, vous pouvez utiliser l'une des procédures suivantes pour appliquer des stratégies d'audit :

  • Utilisez Oracle Data Safe pour appliquer des stratégies d'audit prédéfinies ou personnalisées aux utilisateurs de base de données et aux administrateurs. Pour plus d'informations, reportez-vous à Présentation de l'audit d'activité.

  • Configurez des stratégies d'audit Oracle Database. Pour plus d'informations, reportez-vous à Configuration des stratégies d'audit.

Vous pouvez configurer l'audit pour effectuer les actions suivantes :

  • Rendre compte des actions. Il s'agit des actions exécutées dans un schéma, une table ou une ligne spécifique, ou ayant une incidence sur un contenu spécifique.

  • Empêcher les utilisateurs ou les intrus d'exécuter des actions inappropriées en fonction de leur responsabilité.

  • Examiner les activités suspectes. Par exemple, si un utilisateur se connecte à la base de données à l'aide des informations d'identification de base de données de l'application, l'audit des connexions à la base de données vous permet de déterminer que la connexion provient du poste de travail d'un utilisateur et non du serveur d'applications.

  • Notifier les actions d'un utilisateur non autorisé à un auditeur. Par exemple, vous pouvez informer un auditeur lorsqu'un utilisateur non autorisé tente de supprimer les données d'une table.

  • Surveiller et collecter des données concernant des activités de base de données spécifiques. Par exemple, vous pouvez collecter des statistiques concernant les tables mises à jour, le nombre de connexions ayant échoué et le nombre d'utilisateurs connectés simultanément pendant les périodes d'utilisation maximale.

  • Détecter les problèmes d'implémentation d'autorisation ou de contrôle d'accès. Par exemple, vous pouvez créer des règles d'audit supposées ne générer aucun enregistrement d'audit, les données étant protégées par d'autres systèmes. Toutefois, si ces stratégies génèrent des enregistrements d'audit, vous savez que les autres contrôles de sécurité ne sont pas implémentés correctement.

  • Satisfaire aux exigences d'audit pour des raisons de conformité. Les réglementations suivantes présentent des contraintes identiques en matière d'audit :

    • Règlement général sur la protection des données (GDPR) de l'Union européenne

    • Loi Sarbanes-Oxley

    • Loi Health Insurance Portability and Accountability Act (HIPAA)

    • International Convergence of Capital Measurement and Capital Standards: a Revised Framework (Bâle II)

    • Japan Privacy Law

    • Directive "vie privée et communications électroniques" de l'Union européenne

Données d'audit sur Autonomous Database

Autonomous Database protège les données d'audit et écrit sa trace d'audit dans la vue de dictionnaire de données UNIFIED_AUDIT_TRAIL.

La table sous-jacente stockant les données d'audit sur Autonomous Database est AUDSYS.AUD$UNIFIED. Cette table est protégée et n'autorise pas les utilisateurs à effectuer des opérations DML/DDL ou à purger la table (toute tentative d'exécution de ces actions génère automatiquement un enregistrement d'audit). Une fois qu'un enregistrement d'audit est écrit, la seule activité autorisée est l'exécution de la commande PURGE par l'utilisateur ADMIN. L'administrateur dispose du rôle AUDIT_ADMIN requis pour exécuter la commande PURGE. Si vous affectez le rôle AUDIT_ADMIN à un autre utilisateur, celui-ci peut également exécuter la commande PURGE.

En fonction du type et du nombre de stratégies d'audit que vous utilisez et du volume d'activité, la trace d'audit peut s'accroître au fil du temps et utiliser une grande quantité de stockage. Autonomous Database fournit les moyens suivants permettant de limiter le stockage requis pour les données d'audit :

  • Chaque instance Autonomous Database exécute un travail de purge automatique une fois par jour pour enlever tous les enregistrements d'audit âgés de plus de quatorze (14) jours.

  • Les utilisateurs disposant du rôle AUDIT_ADMIN peuvent purger les enregistrements d'audit manuellement à l'aide de la procédure DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL. Pour plus d'informations, reportez-vous à DBMS_AUDIT_MGMT.

Si vous avez besoin d'une période de conservation des données d'audit supérieure à 14 jours, utilisez Oracle Data Safe pour conserver les données d'audit. Pour plus d'informations, reportez-vous à Extension de la conservation des enregistrements d'audit avec Oracle Data Safe sur Autonomous Database.

Autonomous Database audite et consigne chaque opération effectuée dans votre base de données par les équipes des opérations Oracle Cloud Infrastructure. Pour plus d'informations sur l'audit des activités d'opération, reportez-vous à Affichage des actions d'opération Oracle Cloud Infrastructure.

Stratégies d'audit par défaut sur Autonomous Database

Autonomous Database fournit un audit pour suivre, surveiller et enregistrer les activités sur votre base de données.

Par défaut, Autonomous Database applique des stratégies d'audit pour effectuer l'audit des activités de base de données suivantes :

  • Toute l'activité de l'opération Oracle Cloud

  • Tous les échecs de connexion à la base de données

  • Toutes les modifications de mot de passe

  • Tentatives de création ou de modification de procédures

  • Exécution de certaines procédures, y compris les procédures dans les packages UTL_HTTP ou UTL_SMTP qui se connectent au réseau :

En outre, vous pouvez utiliser l'une des procédures suivantes pour appliquer des stratégies d'audit supplémentaires :

Inscription d'Oracle Data Safe sur Autonomous Database

Utilisez Oracle Data Safe pour appliquer des stratégies d'audit aux utilisateurs de base de données et aux administrateurs, pour appliquer des stratégies d'audit prédéfinies ou pour étendre la conservation des enregistrements de données d'audit de votre instance Autonomous Database.

Pour inscrire votre instance Autonomous Database auprès d'Oracle Data Safe, procédez comme suit :

  1. Accédez à votre instance Autonomous Database à partir de la console Oracle Cloud Infrastructure.
    1. Ouvrez la console Oracle Cloud Infrastructure en cliquant sur icône de navigation en regard d'Oracle Cloud.
    2. Dans le menu de navigation de gauche d'Oracle Cloud Infrastructure, cliquez sur Oracle Database, puis sur Autonomous Database.
    3. Sur la page Bases de données autonomes, sélectionnez une base de données autonome dans les liens de la colonne Nom d'affichage.
  2. Inscrivez votre instance Autonomous Database auprès d'Oracle Data Safe.
    1. Sur la page Détails d'Autonomous Database, sous Data Safe, cliquez sur Inscrire.
    2. Dans la boîte de dialogue Inscription de la base de données auprès de Data Safe, cliquez sur Confirmer.

    Le statut Data Safe indique Inscription. Cette étape prend environ 15 à 20 minutes.

Une fois qu'Oracle Data Safe est inscrit, le statut Data Safe affiche inscrit et deux liens : Visualiser et Annuler l'inscription.

Cliquez sur Visualiser pour afficher la page de détails de la base de données d'inscription Data Safe.

Cliquez sur Annuler l'inscription pour désactiver Oracle Data Safe.

Extension de la conservation des enregistrements d'audit avec Oracle Data Safe sur Autonomous Database

Utilisez Oracle Data Safe pour étendre la conservation des enregistrements de données d'audit à un nombre de mois spécifique.

Commencez par inscrire votre instance Autonomous Database auprès d'Oracle Data Safe. Pour plus d'informations, reportez-vous à Inscription d'Oracle Data Safe sur Autonomous Database.

Une fois votre instance Autonomous Database inscrite, vous pouvez indiquer la période de conservation Data Safe.

Pour plus d'informations, reportez-vous à Mise à jour des périodes de conservation pour une base de données cible.

Affichage et gestion des traces d'audit Oracle Data Safe sur Autonomous Database

Data Safe utilise les traces d'audit pour définir l'emplacement d'extraction des données d'audit et collecter les enregistrements d'audit d'Autonomous Database. Lors du processus d'inscription, Oracle Data Safe repère les traces d'audit et crée une ressource de trace d'audit.

Oracle Data Safe répertorie les ressources sur la page des traces d'audit. Pour accéder à la page Traces d'audit, sous Centre de sécurité dans Data Safe, cliquez sur Audit d'activité, puis, sur la page Audit d'activité sous Ressources associées, cliquez sur Traces d'audit. Vous pouvez repérer de nouvelles traces d'audit à tout moment et enlever des ressources de trace d'audit dans Oracle Data Safe si nécessaire.

Commencez par inscrire votre instance Autonomous Database auprès d'Oracle Data Safe. Pour plus d'informations, reportez-vous à Inscription d'Oracle Data Safe sur Autonomous Database.

Lorsque l'instance Autonomous Database est arrêtée ou redémarrée, les événements suivants se produisent :

  • La piste d'audit passe à l'état de nouvelle tentative et Data Safe effectue plusieurs tentatives de reconnexion pendant quatre (4) heures. Le champ Etat de collecte de la piste d'audit affiche : RETRYING.

    Dans ce cas, si la base de données cible Autonomous Database démarre, la trace d'audit reprend automatiquement.

  • Au bout de quatre heures, la piste d'audit passe à l'état Arrêté. Le champ Etat de collecte de la piste d'audit affiche : STOPPED_NEEDS_ATTN.

    Dans ce cas, lorsque l'instance Autonomous Database (base de données cible) démarre et que l'état de collecte de trace d'audit est STOPPED_NEEDS_ATTN, vous pouvez reprendre manuellement la trace d'audit.

Vous pouvez également l'arrêter ou la supprimer manuellement. La suppression de la trace d'audit n'enlève pas les enregistrements d'audit qui ont déjà été collectés. Ces enregistrements restent dans Data Safe tant que la période de conservation n'est pas terminée.

Pour plus d'informations, reportez-vous à Affichage et gestion des traces d'audit.

Affichage et gestion des stratégies d'audit avec Oracle Data Safe sur Autonomous Database

Utilisez Oracle Data Safe afin de définir des stratégies d'audit pour votre instance Autonomous Database.

Commencez par inscrire votre instance Autonomous Database auprès d'Oracle Data Safe. Pour plus d'informations, reportez-vous à Inscription d'Oracle Data Safe sur Autonomous Database.

Une fois votre instance Autonomous Database inscrite, accédez à Oracle Data Safe pour définir des stratégies d'audit.

Pour plus d'informations sur la affichage et la gestion des stratégies d'audit.

Génération de rapports d'audit avec Data Safe sur Autonomous Database

Data Safe inclut des rapports de données d'audit prêts à l'emploi. Vous pouvez également créer des rapports personnalisés selon vos besoins.

Une fois que vous avez activé et inscrit Oracle Data Safe, et que vous avez ajouté une trace pour collecter les données d'audit à partir de votre instance Autonomous Database, vous pouvez utiliser les rapports pour surveiller l'activité de votre base de données.

Pour plus d'informations, reportez-vous à Affichage et gestion des rapports d'audit.