データベース・セキュリティ構成の監視

管理対象データベースのセキュリティ・タスクの一部として、ユーザー、ロール、プロファイルおよび監査設定をモニターできます。

ユーザー、ロール、プロファイルおよび監査設定の監視は、データベース・セキュリティ管理の重要な側面です。「セキュリティ」セクションで、これらの詳細を確認してアクセス制御を検証し、パスワードおよびリソース・ポリシーの強制を確認して、必要に応じて監査が有効になっていることを確認できます。

「セキュリティ」セクションに移動してデータベース・セキュリティ構成をモニターする前に、次の権限があることを確認する必要があります:

Grant READ ON <following database objects> TO <monitoring user>

• DBA_USERS
• DBA_ROLE_PRIVS
• DBA_TAB_PRIVS
• DBA_SYS_PRIVS
• DBA_RSRC_CONSUMER_GROUP_PRIVS
• PROXY_USERS
• DBA_CONTAINER_DATA
• DBA_PROFILES
• DBA_USERS_WITH_DEFPWD
• V$PWFILE_USERS

次に例を示します:

Grant READ ON DBA_USERS TO DBSNMP

「セキュリティ」セクションに移動するには、「管理対象データベースの詳細」ページに移動し、左側のペインの「リソース」の下にある「セキュリティ」をクリックします。

「セキュリティ」セクションには次のタブがあります:

• サマリー: 管理対象データベースのセキュリティ構成の統合された概要ビューを提供します。チャートと詳細情報により、データベースのセキュリティ状態を一目で評価できます。

  「サマリー」タブには、次のセクションがあります:

  • ステータス別ユーザー: アカウント・ステータスに基づいてデータベース・ユーザーがグラフィカルに分散されます。
  • 認証タイプ別のロール: 認証タイプに基づいてロールのグラフィカルな分類が表示されます。
  • ステータス別プロファイル: 現在使用中のプロファイル数と未使用のプロファイル数をグラフィカルに表示します。
  • ユーザー: アクティブなデフォルト・アカウントの数、非アクティブなユーザー・アカウント、過去24時間以内に失効またはロックされたアカウントなど、ユーザー関連のメトリックが表示されます。各メトリックの値をクリックすると、対応するパネルに追加の詳細を表示できます。
  • ロール: 様々なロールを付与されたユーザーの数など、ロール関連のメトリックが表示されます。各メトリックの値をクリックすると、対応するパネルに追加の詳細を表示できます。
  • プロファイル: 様々なプロファイルが割り当てられたユーザーの数など、プロファイル関連のメトリックを表示します。各メトリックの値をクリックすると、対応するパネルに追加の詳細を表示できます。
• ユーザー: ユーザー・アカウントとそのセキュリティ関連属性を表示できます。これにより、アカウント・ステータス、パスワード関連の設定、ログイン・アクティビティをモニターし、レビューまたはアクションが必要なアカウントを識別できます。

  「ユーザー」タブには、次のチャートがあります:

  • ステータス別ユーザー: アカウント・ステータス別にデータベース・ユーザーのサマリーがグラフィカルに表示されます。
  • ユーザー統計: 1日、1-7日、7-30日以上などの期間にわたって、選択した基準(期限切れユーザーなど)に基づいてユーザー数が表示されます。ドロップダウン・リストを使用して、基準を変更できます。たとえば、デフォルトの「期限切れユーザー」オプションのかわりに、「期限切れユーザー」または「最終パスワード変更済」オプションを選択して、各期間の対応する番号を表示できます。
  • 無制限のパラメータ・ユーザー: パスワード関連のパラメータまたはリソース関連のパラメータに無制限の値を持つプロファイルに関連付けられたユーザーの数が表示されます。ドロップダウン・リストを使用して、「パスワード」(デフォルト)パラメータと「リソース」パラメータを切り替えることができます。

  表には、「ユーザー」タブのチャートに加えて、管理対象データベースに作成されたユーザーが、ユーザー・アカウント・ステータス、アカウントの有効期限までの残り日数、最終ログイン日などの情報とともにリストされます。使用可能なフィルタ基準を使用するか、チャートをクリックして、データをフィルタできます。

  ユーザーの名前をクリックすると、「ユーザー詳細」ページに移動し、ユーザーに関連する情報を表示できます。「ユーザーの詳細」ページで、左側のペインの「リソース」の下にあるオプションをクリックすると、ロール、システム権限、オブジェクト権限、コンシューマ・グループの権限、プロキシ・ユーザーとそのユーザーが代理として機能できるクライアント、およびそのユーザーに関連付けられたデフォルトのコンテナ・データ・アクセスを表示します。

• ロール: データベース・ロールとそのセキュリティ関連の特性を可視化します。これは、ロール認証タイプ、ロール・スコープおよびロール使用状況を確認し、さらに確認する必要があるロールを識別するのに役立ちます。

  「ロール」タブには、次のチャートがあります。

  • 認証タイプ別のロール: 認証タイプに基づいてロールのグラフィカルな分布を表示します。
  • タイプ別のロール: スコープ別に分類されたロールの数(「共通」および「ローカル」)が表示されます。
  • ユーザーに付与されたロール: 各ロールに付与されたユーザーの数別に上位ロールを表示します。

  表には、「ロール」タブのチャートに加えて、管理対象データベースに作成されたロールと、その認証タイプや有効範囲などの情報がリストされます。使用可能なフィルタ基準を使用するか、チャートをクリックして、データをフィルタできます。

  ロールの名前をクリックすると、「ロール詳細」ページに移動し、ロールに関連する情報を表示できます。「ロール詳細」ページで、左ペインの「リソース」の下にあるオプションをクリックして、ロールに関連付けられたロール、システム権限、オブジェクト権限およびコンシューマ・グループを表示します。

• プロファイル: データベース・プロファイルとその構成を表示できます。これは、プロファイル使用状況の確認、未使用のプロファイルの識別、およびセキュリティまたはリソース管理リスクを引き起こす可能性のある無制限のパスワードまたはリソース・パラメータを持つプロファイルの検出に役立ちます。

  「プロファイル」タブには、次のチャートがあります:

  • ステータス別プロファイル: 現在使用中のプロファイルと未使用のプロファイルのサマリーがグラフィカルに表示されます。
  • プロファイル使用状況: 最上位プロファイルを使用状況別に表示します。
  • 無制限のプロファイル・パラメータ: 様々なパスワード関連パラメータまたはリソース関連パラメータに無制限の値を持つプロファイルの数が表示されます。ドロップダウン・リストを使用して、「パスワード」(デフォルト)パラメータと「リソース」パラメータを切り替えることができます。

  表には、「プロファイル」タブのチャートに加えて、管理対象データベースに作成されたプロファイルと、プロファイルが共通かどうか、継承されるかどうかなどの情報がリストされます。

  プロファイルの名前をクリックすると、「プロファイル詳細」ページに移動し、プロファイルに関連する情報を表示できます。「プロファイル詳細」ページで、左ペインの「リソース」の下にあるオプションをクリックして、パスワードおよびリソース関連のプロファイル・パラメータとその値を表示します。

• 監査設定: データベース監査構成を可視化します。これにより、監査モード、監査ポリシーおよび監査証跡アクティビティを確認して、セキュリティおよびコンプライアンスの要件に従って監査が有効になり、構成されていることを確認できます。

  「監査設定」タブには、次の一般情報およびチャートがあります:

  • 一般: 監査モード、監査ポリシーの数、表領域の使用状況など、監査構成のサマリーが表示されます。
  • コンポーネント別監査証跡: 選択した期間に監査コンポーネントによって生成された監査レコードのサマリーがグラフィカルに表示されます。ドロップダウン・リストを使用して、期間を変更できます。
  • ポリシー別の監査証跡: 選択した期間における監査ポリシー別の監査レコードのグラフィカルな内訳が表示されます。ドロップダウン・リストを使用して、期間を変更できます。

  表には、「監査設定」タブの一般情報およびチャートに加えて、管理対象データベースに作成された監査ポリシーと、ポリシーが有効かどうか、ポリシーが適用されるユーザーまたはロールなどの情報がリストされます。

  監査ポリシーの名前をクリックすると、「監査ポリシーの詳細」ページに移動し、ポリシーに関連する情報を表示できます。「監査ポリシーの詳細」ページで、左ペインの「リソース」の下にあるオプションをクリックして、ポリシーで監査される権限、ポリシーでカバーまたは監査されるアクション、およびポリシーが有効なエンティティを表示します。