Documentation Oracle Cloud Infrastructure

Audit d'Autonomous Database

Autonomous Database fournit un audit qui vous permet de surveiller les activités de base de données Oracle.

Rubrique parent : Sécurité

A propos de l'audit d'Autonomous Database

Autonomous Database fournit des fonctions d'audit pour suivre, surveiller et enregistrer les actions de base de données. L'audit peut vous aider à détecter les risques de sécurité et à améliorer la conformité réglementaire de votre base de données.

Rubrique parent : Audit Autonomous Database

Fonctionnalités d'audit sur Autonomous Database

Autonomous Database inclut des fonctionnalités d'audit étendues et sophistiquées qui vous permettent de capturer les informations d'audit dont vous avez besoin pour votre organisation. Autonomous Database fournit l'audit par défaut.

En outre, vous pouvez utiliser l'une des méthodes suivantes pour appliquer des stratégies d'audit :

  • Utilisez Oracle Data Safe pour appliquer des stratégies d'audit aux utilisateurs de base de données, aux administrateurs, et pour appliquer des stratégies d'audit prédéfinies ou des stratégies d'audit personnalisées. Pour plus d'informations, reportez-vous à Présentation de l'audit des activités.

  • Configurez les stratégies d'audit Oracle Database. Pour plus d'informations, reportez-vous à Configuration des stratégies d'audit.

Vous pouvez configurer l'audit pour effectuer les opérations suivantes :

  • Activer la responsabilité pour les actions. Il s'agit des actions exécutées dans un schéma, une table ou une ligne spécifique, ou ayant une incidence sur un contenu spécifique.

  • Décourager les utilisateurs, ou d'autres, tels que les intrus, des actions inappropriées en fonction de leur responsabilité.

  • Examiner toute activité suspecte. Par exemple, si un utilisateur se connecte à la base de données à l'aide des informations d'identification de base de données de l'application, l'audit des connexions à la base de données vous permet de déterminer que la connexion provient du poste de travail d'un utilisateur et non du serveur d'applications.

  • Notifier les actions d'un utilisateur non autorisé à un auditeur. Par exemple, avertissez un auditeur lorsqu'un utilisateur non autorisé tente de supprimer des données d'une table.

  • Surveiller et collecter des données concernant des activités spécifiques de base de données. Par exemple, vous pouvez collecter des statistiques sur les tables mises à jour, le nombre d'échecs de connexion ou le nombre d'utilisateurs simultanés qui se connectent aux heures de pointe.

  • Détecter les problèmes liés à l'implémentation d'un contrôle d'accès ou d'une autorisation. Par exemple, vous pouvez créer des règles d'audit supposées ne générer aucun enregistrement d'audit, les données étant protégées par d'autres systèmes. Toutefois, si ces stratégies génèrent des enregistrements d'audit, cela indique que les autres contrôles de sécurité en lieu sont défaillants.

  • Satisfaire aux exigences d'audit pour des raisons de conformité. Les réglementations suivantes présentent des contraintes identiques en matière d'audit :

    • Règlement général sur le traitement des données (RGPD) de l'Union européenne

    • Loi Sarbanes-Oxley

    • Loi Health Insurance Portability and Accountability Act (HIPAA)

    • International Convergence of Capital Measurement and Capital Standards: a Revised Framework (Bâle II)

    • Japan Privacy Law

    • Directive "vie privée et communications électroniques" de l'Union européenne

Données d'audit sur Autonomous Database

Autonomous Database protège les données d'audit et écrit sa trace d'audit dans la vue du dictionnaire de données UNIFIED_AUDIT_TRAIL.

La table sous-jacente stockant les données d'audit sur Autonomous Database est AUDSYS.AUD$UNIFIED. Cette table est protégée et ne permet pas aux utilisateurs d'effectuer des opérations LMD/DLD ou de purger la table (toute tentative d'exécution de ces actions génère automatiquement un enregistrement d'audit). Une fois qu'un enregistrement d'audit est écrit, la seule activité autorisée est que l'utilisateur ADMIN effectue une opération PURGE. L'administrateur dispose du rôle AUDIT_ADMIN requis pour exécuter une instruction PURGE. Si vous affectez le rôle AUDIT_ADMIN à un autre utilisateur, celui-ci peut également effectuer une opération PURGE.

Selon le nombre et le type de stratégies d'audit que vous utilisez et la quantité d'activité, la trace d'audit peut évoluer au fil du temps pour utiliser une grande quantité de stockage. Autonomous Database fournit les méthodes suivantes pour limiter le stockage requis pour les données d'audit :

  • Chaque instance Autonomous Database exécute un travail de purge automatique une fois par jour pour enlever tous les enregistrements d'audit datant de plus de quatorze (14) jours.

  • Les utilisateurs dotés du rôle AUDIT_ADMIN peuvent purger les enregistrements d'audit manuellement à l'aide de la procédure DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL. Pour plus d'informations, reportez-vous à DBMS_AUDIT_MGMT.

Si vous avez besoin d'une période de conservation des données d'audit supérieure à 14 jours, utilisez Oracle Data Safe pour conserver les données d'audit. Pour plus d'informations, reportez-vous à Extension de la conservation des enregistrements d'audit avec Oracle Data Safe sur Autonomous Database.

Autonomous Database audite et consigne toutes les opérations effectuées dans votre base de données par les équipes des opérations Oracle Cloud Infrastructure. Pour plus d'informations sur l'audit des activités opérationnelles, reportez-vous à Visualisation d'Oracle Cloud Infrastructure Operations Actions.

Stratégies d'audit par défaut sur Autonomous Database

Autonomous Database fournit des audits pour suivre, surveiller et enregistrer les activités sur votre base de données.

Par défaut, Autonomous Database applique des stratégies d'audit pour auditer les activités de base de données suivantes :

  • Toutes les activités par opérations Oracle Cloud

  • Tous les échecs de connexion à la base de données

  • Toutes les modifications de mot de passe

  • Tentatives de création ou de modification de procédures

  • Exécution de certaines procédures, y compris des procédures dans les packages : UTL_HTTP ou UTL_SMTP qui se connectent au réseau

En outre, vous pouvez utiliser l'une des méthodes suivantes pour appliquer des stratégies d'audit supplémentaires :

Inscription d'Oracle Data Safe sur Autonomous Database

Utilisez Oracle Data Safe pour appliquer des stratégies d'audit aux utilisateurs de base de données, aux administrateurs, pour appliquer des stratégies d'audit prédéfinies ou pour étendre la conservation des enregistrements de données d'audit pour votre instance Autonomous Database.

Inscrivez votre instance Autonomous Database auprès d'Oracle Data Safe comme suit :

  1. Accédez à votre instance Autonomous Database à partir de la console Oracle Cloud Infrastructure.
    1. Ouvrez la console Oracle Cloud Infrastructure en cliquant sur icône de navigation en regard d'Oracle Cloud.
    2. Dans le menu de navigation de gauche d'Oracle Cloud Infrastructure, cliquez sur Oracle Database, puis sur Autonomous Database.
    3. Sur la page Bases de données autonomes, sélectionnez une instance Autonomous Database dans les liens sous la colonne Nom d'affichage.
  2. Inscrivez votre instance Autonomous Database auprès d'Oracle Data Safe.
    1. Sur la page Détails d'Autonomous Database, sous Data Safe, cliquez sur Inscrire.
    2. Dans la boîte de dialogue Inscrire la base de données auprès de Data Safe, cliquez sur Confirmer.

    Le statut Data Safe indique : Enregistrement. Cette étape prend environ 15 à 20 minutes.

Une fois Oracle Data Safe inscrit, le statut Data Safe indique Enregistré et deux liens : Visualiser et Annuler l'inscription.

Cliquez sur Visualiser pour afficher la page de détails de la base de données d'inscription Data Safe.

Cliquez sur Annuler l'inscription pour désactiver Oracle Data Safe.

Rubrique parent : Audit Autonomous Database

Extension de la conservation des enregistrements d'audit avec Oracle Data Safe sur Autonomous Database

Utilisez Oracle Data Safe pour étendre la conservation des enregistrements de données d'audit à un nombre de mois spécifié.

Inscrivez d'abord votre instance Autonomous Database auprès d'Oracle Data Safe. Pour plus d'informations, reportez-vous à Inscription d'Oracle Data Safe sur Autonomous Database.

Une fois l'instance Autonomous Database inscrite, vous pouvez indiquer la période de conservation Data Safe.

Pour plus d'informations, reportez-vous à Mise à jour des périodes de conservation pour une base de données cible.

Rubrique parent : Audit Autonomous Database

Affichage et gestion des traces d'audit Oracle Data Safe sur Autonomous Database

Data Safe utilise des traces d'audit pour définir où extraire les données d'audit et collecter les enregistrements d'audit Autonomous Database. Au cours du processus d'inscription, Oracle Data Safe repère les traces d'audit et crée une ressource de trace d'audit.

Oracle Data Safe répertorie les ressources dans la page Audit Trails. Pour accéder à la page Traces d'audit, sous Centre de sécurité dans Data Safe, cliquez sur Audit d'activité, puis, sur la page Audit d'activité, sous Ressources associées, cliquez sur Traces d'audit. Vous pouvez repérer à tout moment de nouvelles traces d'audit et enlever des ressources d'audit de trace dans Oracle Data Safe selon vos besoins.

Inscrivez d'abord votre instance Autonomous Database auprès d'Oracle Data Safe. Pour plus d'informations, reportez-vous à Inscription d'Oracle Data Safe sur Autonomous Database.

Lorsque la base de données Autonomous Database est arrêtée ou redémarrée, les événements suivants se produisent :

  • La trace d'audit passe à l'état de nouvelle tentative et Data Safe tente plusieurs tentatives de reconnexion pendant quatre (4) heures. Le champ Etat de collecte de la piste d'audit affiche : RETRYING.

    Dans ce cas, si la base de données Autonomous Database (base de données cible) démarre, la trace d'audit reprend automatiquement.

  • Au bout de quatre heures, la trace d'audit passe à l'état Arrêté. Le champ Etat de collecte de la piste d'audit affiche : STOPPED_NEEDS_ATTN.

    Dans ce cas, lorsque la base de données cible Autonomous Database démarre et que l'état de collecte de la trace d'audit est STOPPED_NEEDS_ATTN, vous pouvez reprendre manuellement la trace d'audit.

Vous pouvez également arrêter ou supprimer la trace d'audit manuellement. La suppression de la trace d'audit n'enlève pas les enregistrements d'audit qui ont déjà été collectés. Ces enregistrements restent dans Data Safe jusqu'à ce que la période de conservation soit atteinte.

Pour plus d'informations, reportez-vous à Affichage et gestion des traces d'audit.

Rubrique parent : Audit Autonomous Database

Affichage et gestion des stratégies d'audit avec Oracle Data Safe sur Autonomous Database

Utilisez Oracle Data Safe pour définir des stratégies d'audit pour votre instance Autonomous Database.

Inscrivez d'abord votre instance Autonomous Database auprès d'Oracle Data Safe. Pour plus d'informations, reportez-vous à Inscription d'Oracle Data Safe sur Autonomous Database.

Une fois l'instance Autonomous Database inscrite, accédez à Oracle Data Safe pour définir des stratégies d'audit.

Pour plus d'informations, reportez-vous à Affichage et gestion des stratégies d'audit.

Rubrique parent : Audit Autonomous Database

Génération de rapports d'audit avec Data Safe sur Autonomous Database

Data Safe inclut des rapports de données d'audit prêts à l'emploi et vous pouvez créer des rapports personnalisés qui répondent à vos besoins.

Après avoir activé et inscrit Oracle Data Safe, et ajouté une trace pour collecter des données d'audit à partir de votre instance Autonomous Database, vous pouvez utiliser les rapports pour surveiller l'activité de votre base de données.

Pour plus d'informations, reportez-vous à Affichage et gestion des rapports d'audit.

Rubrique parent : Audit Autonomous Database