Recursos de Auditoria no Autonomous Database
O Oracle Autonomous Database oferece recursos avançados de auditoria que permitem rastrear quem fez o quê no serviço e em bancos de dados específicos. Dados de log abrangentes permitem auditar e monitorar ações nos seus recursos, o que ajuda a atender aos seus requisitos de auditoria e a reduzir os riscos operacionais e de segurança.
Tópicos Relacionados
Auditando Atividades no Nível de Serviço
Todas as ações que os usuários do Oracle Cloud executam nos recursos que compõem sua implantação do Oracle Autonomous Database em infraestrutura dedicada são registradas pelo serviço Audit, independentemente da interface usada: a Console do Oracle Cloud Infrastructure, a API REST, a CLI (Interface de Linha de Comando), os SDKs (Software Development Kits) e assim por diante.
Você pode usar o serviço Audit para executar diagnósticos, rastrear o uso de recursos, monitorar a conformidade e coletar eventos relacionados à segurança. Para obter mais informações sobre o serviço Audit, consulte Visão Geral do Serviço Audit na Documentação do Oracle Cloud Infrastructure.
Além disso, quando o Oracle Autonomous Database executa operações em recursos, ele envia events para o serviço Events. Usando o serviço Events, você pode criar regras para capturar esses eventos e executar ações como enviar e-mails usando o serviço Notifications.
Para obter mais informações sobre como o serviço Events funciona e como configurar as regras e ações que ele usa, consulte Visão Geral do Serviço Events. Para obter listas das operações do Autonomous Database que geram eventos, consulte Eventos do Autonomous Database na Infraestrutura Dedicada do Exadata.
Dica:
Para experimentar o uso dos serviços Events e Notifications para criar notificações, você pode conferir Lab11: OCI Notification Service no Oracle Autonomous Database Dedicated for Fleet Administrators.Auditando Atividades do Banco de Dados
O Oracle Autonomous Database configura os bancos de dados autônomos que você cria para usar o recurso de auditoria unificada do Oracle Database.
Esse recurso captura registros de auditoria das seguintes origens e os reúne em uma única trilha de auditoria em um formato uniforme:
- Registros de auditoria (incluindo registros de auditoria
SYS) de políticas de auditoria unificadas e definiçõesAUDIT - Registros de auditoria detalhados do pacote PL/SQL
DBMS_FGA - Registros de auditoria do Oracle Database Real Application Security
- Registros de auditoria do Oracle Recovery Manager
- Registros de auditoria do Oracle Database Vault
- Registros de auditoria do Oracle Label Security
- Registros do Oracle Data Mining
- Oracle Data Pump
- Carga Direta do Oracle SQL*Loader
Portanto, você pode usar a trilha de auditoria unificada para executar uma ampla variedade de atividades de análise de diagnóstico e segurança em seu banco de dados.
Para evitar que a trilha de auditoria unificada fique muito grande, os bancos de dados autônomos que você cria incluem um job do Oracle Scheduler chamado MAINTAIN_UNIAUD_TRAIL que é executado diariamente para remover registros de auditoria unificados com mais de 90 dias. Como usuário do banco de dados ADMIN, você pode alterar as características desse job.
AUDIT_UNIFIED_CONTEXTSAUDIT_UNIFIED_ENABLED_POLICIESAUDIT_UNIFIED_POLICIESAUDIT_UNIFIED_POLICY_COMMENTS
Somente um usuário ADMIN pode conceder as atribuições AUDIT_VIEWER ou AUDIT_ADMIN a outro usuário. Ter a atribuição PDB_DBA não permite que você conceda AUDIT_VIEWER ou AUDIT_ADMIN a outros usuários.
Para obter mais informações sobre como a auditoria unificada funciona e como usá-la, consulte O que É Auditoria Unificada?no Guia de Segurança do Oracle Database 19c ou Guia de Segurança do Oracle Database 23ai.
Além disso, se você registrar seu banco de dados autônomo no Oracle Data Safe, poderá usar seus amplos recursos de auditoria de atividades e alertas baseados em atividades.
Para obter informações sobre esses recursos do Data Safe, consulte Auditoria de Atividades em Usando o Oracle Data Safe. Para obter informações sobre como registrar seu banco de dados no Data Safe, consulte Registrar ou Cancelar o Registro de um Banco de Dados Dedicado no Serviço Data Safe.
Auditando Atividades da VM Autônoma
OS agentes de coleta executados nos servidores de plano de controle do Autonomous Database coletam e enviam logs de auditoria do sistema operacional para todas as máquinas virtuais e hipervisores em execução no host físico, além de logs para software de detecção de invasão de antivírus e host. Esses logs são enviados para um serviço central de Gerenciamento de Informações e Eventos do Sistema (SIEM) no OCI. Centenas de regras de alerta na verificação SIEM para alterações de configuração, possíveis intrusões e tentativas de acesso não autorizado, entre outros.
Uma equipe dedicada de analistas de segurança da equipe de detecção e resposta a incidentes de segurança (DART) é responsável por gerenciar os painéis de eventos de segurança 24 / 7 e processar alertas para filtrar verdadeiros positivos. Se um verdadeiro positivo for detectado, uma resposta adequada será iniciada com base na severidade e no impacto do evento. Isso pode incluir análises adicionais, uma avaliação de causa raiz e correção com as equipes de serviço e comunicação com o cliente.
Além disso, o software de verificação de vulnerabilidade envia suas descobertas para a OCI Security Central, que gera automaticamente tickets para as equipes de serviço resolverem as descobertas dentro de um período, dependendo da pontuação do CVSS. Além disso, os eventos de auditoria para ações de operação são enviados ao serviço de log e a um syslog fornecido pelo cliente para sistemas inscritos no Operator Access Control Service.
A Oracle retém os seguintes logs para VMs Autônomas no Exadata Cloud@Customer X8M e em hardware posterior:
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
- /var/log/clamav/clamav.log
- /var/log/aide/aide.log
A Oracle mantém os seguintes logs de auditoria de infraestrutura para o Exadata Cloud@Customer X8M e hardware posterior:
- ILOM (Integrated Lights-Out Management)
- Syslog do ILOM redirecionado para o syslog do componente de infraestrutura física
- syslog
- Servidor Físico de Banco de Dados Exadata
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
- /var/log/clamav/clamav.log
- /var/log/aide/aide.log
- Exadata Storage Server
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
Auditando Atividades do Operador Oracle
Dica:
Para obter orientação passo a passo sobre como criar e gerenciar o acesso de controle do operador aos recursos Exadata Infrastructure e Cluster de VMs do Autonomous Exadata, consulte o Laboratório 15: Controle de Acesso do Operador no Workshop do Oracle Autonomous Database Dedicated for Fleet Administrators.
- Você, o cliente, é responsável pelos dados e pelo aplicativo de banco de dados.
- A Oracle é responsável pelos componentes de infraestrutura: energia elétrica, sistema operacional bare-metal, hipervisores, Exadata Storage Servers e outros aspectos do ambiente de infraestrutura.
- A Oracle é responsável pelo software de DBMS e pela integridade geral do banco de dados.
Nesse modelo, a Oracle tem acesso irrestrito aos componentes pelos quais é responsável. Isso poderá ser um problema se você tiver requisitos regulamentares para auditar e controlar todos os aspectos do gerenciamento do sistema.
O Oracle Operator Access Control é um sistema de auditoria de conformidade que permite manter trilhas próximas de gerenciamento e auditoria de todas as ações que um operador Oracle executa no Exadata Infrastructure, no Exadata Infrastructure que hospeda um Autonomous Database e no Cluster de VMs do Autonomous Exadata (máquinas virtuais cliente implantadas no Oracle Autonomous Database) administradas pela Oracle. Além disso, os clientes podem controlar e limitar o acesso do operador a um Autonomous Container Database (ACD) específico aprovado pelo cliente.
- Controlar quem pode acessar o sistema, quando o sistema pode ser acessado e por quanto tempo a equipe da Oracle pode acessar o sistema.
- Limitar o acesso, incluindo a limitação de quais ações um operador Oracle pode executar em seu sistema.
- Revogar o acesso, incluindo o acesso programado anteriormente que foi concedido por você.
- Exibir e salvar um relatório quase em tempo real de todas as ações que um operador Oracle executa em seu sistema.
- Controle e audite todas as ações executadas por qualquer operador ou software de sistema nos seguintes recursos do Autonomous Database:
- Exadata Infrastructure
- Cluster de VMs do Autonomous Exadata (AVMC)
- ACD (Autonomous Container Database)
- Forneça controles para máquinas virtuais clientes implantadas no Oracle Autonomous Database. Como o controle de acesso do Operador para a Infraestrutura do Exadata Cloud@Customer, os clientes podem impor controles de acesso do operador Oracle em seus clusters de Máquina Virtual Autonomous implantados no Exadata Cloud@Customer ou no Oracle Public Cloud. Consulte Ações do Controle de Acesso do Operador: Cluster de VMs Autônomas para obter mais informações.
- Manter o mesmo nível de auditorias e controle de acesso aos seus sistemas. Para obter mais informações, consulte Como o Acesso do Operador é Auditado.
- Fornecer os registros de auditoria necessários para auditorias regulatórias internas ou externas em seus sistemas. Consulte Gerenciando e Pesquisando Logs com o Operator Access Control para obter mais detalhes.
Ao criar um Controle do Operador, você pode escolher Exadata Infrastructure ou Cluster de VMs do Autonomous Exadata, dependendo do recurso que você deseja auditar para acesso do operador. Consulte Criar Controle do Operador para obter mais detalhes.