Fonctionnalités d'audit dans Autonomous Database

Oracle Autonomous Database offre des fonctions d'audit puissantes qui vous permettent de savoir qui a effectué quelle opération sur le service et sur des bases de données spécifiques. Grâce aux données de journal complètes, vous pouvez auditer et surveiller les actions réalisées sur les ressources afin de répondre à vos exigences en matière d'audit tout en réduisant les risques opérationnels et de sécurité.

Audit des activités de niveau de service

Toutes les actions effectuées par les utilisateurs Oracle Cloud sur les ressources composant votre déploiement d'Oracle Autonomous Database sur une infrastructure dédiée sont journalisées par le service Audit, quelle que soit l'interface utilisée : console Oracle Cloud Infrastructure, API REST, interface de ligne de commande, kits SDK, etc.

Vous pouvez vous appuyer sur le service Audit pour effectuer des diagnostics, suivre l'utilisation des ressources, surveiller la conformité et collecter les événements associés à la sécurité. Pour plus d'informations sur le service Audit, reportez-vous à Présentation d'Audit dans la documentation Oracle Cloud Infrastructure.

De plus, lorsqu'Oracle Autonomous Database effectue des opérations sur les ressources, il envoie des événements au service Events. A l'aide du service Events, vous pouvez créer des règles pour capturer ces événements et effectuer des actions telles que l'envoi de courriels à votre adresse à l'aide du service Notifications.

Pour plus d'informations sur le fonctionnement du service Events, ainsi que sur la configuration des règles et actions qu'il utilise, reportez-vous à Présentation d'Events. Pour obtenir la liste des opérations Autonomous Database qui génèrent des événements, reportez-vous à Evénements pour Autonomous Database on Dedicated Exadata Infrastructure.

Conseil :

Afin d'essayer d'utiliser les services Events et Notifications pour créer des notifications, vous pouvez accéder à Lab11 : OCI Notification Service dans Oracle Autonomous Database Dedicated pour les administrateurs de parc.

Audit des activités de base de données

Oracle Autonomous Database configure les bases de données autonomes que vous créez pour l'utilisation de la fonctionnalité d'audit unifié d'Oracle Database.

Cette fonctionnalité capture les enregistrements d'audit à partir des sources suivantes et les rassemble dans une même trace d'audit au format uniforme :

  • Enregistrements d'audit (y compris enregistrements d'audit SYS) issus des stratégies d'audit unifié et des paramètres AUDIT
  • Enregistrements d'audit détaillés issus du package PL/SQL DBMS_FGA
  • Enregistrements d'audit Oracle Database Real Application Security
  • Enregistrements d'audit Oracle Recovery Manager
  • Enregistrements d'audit Oracle Database Vault
  • Enregistrements d'audit Oracle Label Security
  • Enregistrements Oracle Data Mining
  • Oracle Data Pump
  • Chargement direct Oracle SQL*Loader

Par conséquent, vous pouvez utiliser la trace d'audit unifié pour effectuer une grande variété d'activités de diagnostic et d'analyse de la sécurité sur la base de données.

Pour éviter que la trace d'audit unifié ne devienne trop volumineuse, les bases de données autonomes que vous créez incluent un travail Oracle Scheduler nommé MAINTAIN_UNIAUD_TRAIL et exécuté quotidiennement pour enlever les enregistrements d'audit unifié datant de plus de 90 jours. En tant qu'utilisateur de base de données ADMIN, vous pouvez modifier les caractéristiques de ce travail.

En tant qu'utilisateur doté du rôle AUDIT_ADMIN, vous pouvez créer ou modifier les stratégies d'audit. En tant qu'utilisateur disposant du rôle AUDIT_VIEWER, vous pouvez visualiser les données d'audit unifié en interrogeant les vues suivantes :
  • AUDIT_UNIFIED_CONTEXTS
  • AUDIT_UNIFIED_ENABLED_POLICIES
  • AUDIT_UNIFIED_POLICIES
  • AUDIT_UNIFIED_POLICY_COMMENTS

Seul un utilisateur ADMIN peut accorder les rôles AUDIT_VIEWER ou AUDIT_ADMIN à un autre utilisateur. Le fait de disposer du rôle PDB_DBA ne vous permet pas d'accorder AUDIT_VIEWER ou AUDIT_ADMIN à d'autres utilisateurs.

For more information about how unified auditing works and how to use it, see What Is Unified Auditing? in Oracle Database 19c Security Guide or Oracle Database 23ai Security Guide.

De plus, si vous inscrivez la base de données autonome auprès d'Oracle Data Safe, vous pouvez utiliser ses fonctionnalités étendues d'audit d'activité et d'alertes basées sur les activités.

Pour plus d'informations sur ces fonctionnalités Data Safe, reportez-vous à Audit d'activité dans Utilisation d'Oracle Data Safe. Pour plus d'informations sur l'inscription de la base de données auprès de Data Safe, reportez-vous à Inscription ou annulation de l'inscription d'une base de données dédiée auprès de Data Safe.

Audit des activités de machine virtuelle autonome

Les agents de collecte exécutés sur les serveurs de plan de contrôle d'Autonomous Database collectent et envoient des journaux d'audit de système d'exploitation pour toutes les machines virtuelles et tous les hyperviseurs exécutés sur l'hôte physique, en plus des journaux pour les logiciels antivirus et de détection des intrusions d'hôte. Ces journaux sont envoyés à un service SIEM (System Information and Event Management) central dans OCI. Des centaines de règles d'alerte sur l'analyse SIEM pour les modifications de configuration, les intrusions potentielles et les tentatives d'accès non autorisé, entre autres.

Une équipe dédiée d'analystes de sécurité de l'équipe de détection et de réponse aux incidents de sécurité (DART) est chargée de gérer les tableaux de bord des événements de sécurité 24 / 7 et de traiter les alertes pour filtrer les vrais positifs. Si un vrai positif est détecté, une réponse appropriée est lancée en fonction de la gravité et de l'impact de l'événement. Cela peut inclure une analyse plus approfondie, une évaluation de la cause première et une correction avec les équipes de service et la communication avec les clients.

En outre, le logiciel d'analyse des vulnérabilités envoie ses résultats à OCI Security Central, qui génère automatiquement des tickets pour que les équipes de service résolvent les résultats dans un délai dépendant du score CVSS. En outre, les événements d'audit pour les actions d'opération sont envoyés au service de journalisation et à un journal système fourni par le client pour les systèmes inscrits au service Operator Access Control.

Oracle conserve les journaux suivants pour les machines virtuelles Autonomous sur le matériel Exadata Cloud@Customer X8M et versions ultérieures :

  • /var/log/messages
  • /var/log/secure
  • /var/log/audit/audit.log
  • /var/log/clamav/clamav.log
  • /var/log/aide/aide.log

Oracle conserve les journaux d'audit d'infrastructure suivants pour le matériel Exadata Cloud@Customer X8M et versions ultérieures :

  • Gestion intégrée de l'éclairage (ILOM)
    • ILOM syslog redirigé vers le syslog du composant d'infrastructure physique
    • Syslog
  • Serveur de base de données Exadata physique
    • /var/log/messages
    • /var/log/secure
    • /var/log/audit/audit.log
    • /var/log/clamav/clamav.log
    • /var/log/aide/aide.log
  • Serveur Exadata Storage Server
    • /var/log/messages
    • /var/log/secure
    • /var/log/audit/audit.log

Audit des activités d'opérateur Oracle

Oracle Autonomous Database fournit de puissantes fonctions d'audit qui étendent celles qui existent déjà afin d'inclure les activités réalisées par les opérateurs Oracle, en mettant l'accent sur le respect des exigences réglementaires en matière de contrôle et d'audit sur tous les aspects de la gestion du système.

Conseil :

Pour obtenir des instructions détaillées sur la création et la gestion de l'accès Operator Control aux ressources d'infrastructure Exadata et de cluster de machines virtuelles Exadata Autonomous, reportez-vous à l'atelier pratique 15 sur Operator Access Control dans l'atelier Oracle Autonomous Database Dedicated pour les administrateurs de parc.

Autonomous Database on Dedicated Exadata Infrastructure s'appuie sur un modèle de responsabilité partagée :
  • Vous, le client, êtes responsable des données et de l'application de base de données.
  • Oracle est responsable des composants de l'infrastructure : alimentation, système d'exploitation Bare Metal, hyperviseurs, serveurs Exadata Storage Server et autres aspects de l'environnement d'infrastructure.
  • Oracle est responsable du logiciel de SGBD et de l'état général de la base de données.

Dans ce modèle, Oracle dispose d'un accès sans limite aux composants à sa charge. Cela peut poser problème si des exigences réglementaires vous imposent d'auditer et de contrôler tous les aspects de la gestion de votre système.

Oracle Operator Access Control est un système d'audit de conformité qui vous permet de gérer de près et de gérer les traces d'audit de toutes les actions effectuées par un opérateur Oracle sur l'infrastructure Exadata, l'infrastructure Exadata hébergeant une instance Autonomous Database et le cluster de machines virtuelles Exadata Autonomous (machines virtuelles client déployées sur Oracle Autonomous Database) administré par Oracle. En outre, les clients peuvent contrôler et limiter l'accès de l'opérateur à une base de données Conteneur Autonomous (ACD) approuvée par le client.

Oracle Operator Access Control vous permet d'effectuer les opérations suivantes :
  • Contrôler qui peut accéder au système, les moments auxquels le système est accessible et la durée pendant laquelle le personnel Oracle peut accéder au système
  • Limiter l'accès, y compris en limitant les actions qu'un opérateur Oracle peut effectuer sur le système
  • Révoquer l'accès, y compris l'accès précédemment programmé que vous avez accordé
  • Afficher et enregistrer un rapport quasiment en temps réel sur toutes les actions effectuées par un opérateur Oracle sur le système
Vous pouvez utiliser Oracle Operator Access Control aux fins suivantes :
  • Contrôlez et auditez toutes les actions effectuées par n'importe quel opérateur ou logiciel système sur les ressources Autonomous Database suivantes :
    • Infrastructure Exadata
    • Cluster de machines virtuelles Exadata Autonomous (AVMC)
    • Base de données Conteneur Autonomous (ACD)
    Pour en savoir plus sur l'application de contrôles sur les opérations qu'un opérateur Oracle peut effectuer dans votre environnement, reportez-vous à Mise en oeuvre d'actions dans Operator Access Control.
  • Fournissez des contrôles pour les machines virtuelles client déployées sur Oracle Autonomous Database. Comme avec le contrôle d'accès d'opérateur pour l'infrastructure Exadata Cloud@Customer, les clients peuvent imposer des contrôles d'accès d'opérateur Oracle sur leurs clusters de machines virtuelles Autonomous déployés sur Exadata Cloud@Customer ou Oracle Public Cloud. Pour plus d'informations, reportez-vous à Actions de contrôle d'accès d'opérateur : cluster de machines virtuelles Autonomous.
  • Maintenez le même niveau d'audit et de contrôle d'accès sur vos systèmes. Pour plus d'informations, reportez-vous à Audit de l'accès d'opérateur.
  • Fournir les enregistrements d'audit requis pour les audits réglementaires internes ou externes sur l'ensemble de vos systèmes Pour plus d'informations, reportez-vous à Gestion et recherche de journaux à l'aide d'Operator Access Control.

Lors de la création d'un contrôle d'opérateur, vous pouvez choisir infrastructure Exadata ou cluster de machines virtuelles Exadata Autonomous en fonction de la ressource à auditer pour l'accès d'opérateur. Pour plus d'informations, reportez-vous à Création d'un contrôle d'opérateur.