Autonomous Database 中的稽核功能

Oracle Autonomous Database 提供健全的稽核功能,可讓您追蹤服務和特定資料庫上執行內容的人員。完整的日誌資料可讓您稽核及監控資源的動作,協助您符合稽核需求,同時降低安全性與作業風險。

稽核服務層次活動

無論使用的介面為何,稽核服務都會記錄 Oracle Cloud Infrastructure 主控台、REST API、命令行介面 (CLI)、軟體開發套件 (SDK) 等等,Oracle Cloud 使用者在專用基礎架構上部署 Oracle Autonomous Database 所執行的資源上執行的所有動作。

您可以使用「稽核」服務來執行診斷、追蹤資源使用狀況、監督相容性,以及收集安全相關事件。如需有關稽核服務的詳細資訊,請參閱 Oracle Cloud Infrastructure Documentation 中的 Overview of Audit

此外,當 Oracle Autonomous Database 對資源執行作業時,會將事件傳送至「事件」服務。您可以使用「事件」服務建立規則來擷取這些事件並執行動作,例如使用「通知」服務傳送電子郵件給您。

如需有關「事件」服務如何運作以及如何設定其所使用之規則和動作的詳細資訊,請參閱事件總覽。如需產生事件的 Autonomous Database 作業清單,請參閱 Events for Autonomous Database on Dedicated Exadata Infrastructure

秘訣:

若要嘗試使用事件和通知服務建立通知,請前往 Oracle Autonomous Database Dedicated for Fleet Administrators 中的 Lab11:OCI 通知服務

稽核資料庫活動

Oracle Autonomous Database 可設定您建立的自治式資料庫,以使用 Oracle Database 的統一稽核功能。

此功能會從下列來源擷取稽核記錄,並以統一格式在單一稽核歷程檔中收集記錄:

  • 統一稽核原則和 AUDIT 設定值的稽核記錄 (包括 SYS 稽核記錄)
  • DBMS_FGA PL/SQL 套裝程式的微點稽核記錄
  • Oracle Database Real Application Security 稽核記錄
  • Oracle Recovery Manager 稽核記錄
  • Oracle Database Vault 稽核記錄
  • Oracle Label Security 稽核記錄
  • Oracle Data Mining 記錄
  • Oracle Data Pump
  • Oracle SQL*Loader 直接載入

因此,您可以使用統一稽核歷程檔在您的資料庫上執行各種診斷與安全分析活動。

為了避免統一稽核歷程檔成長過大,您所建立的自治式資料庫會包括一個名為 MAINTAIN_UNIAUD_TRAIL 的 Oracle Scheduler 工作,此工作每天執行,以移除 90 天以前的統一稽核記錄。您可以使用 ADMIN 資料庫使用者身分變更此工作的特性。

身為具備 AUDIT_ADMIN 角色的使用者,您可以建立或修改稽核原則。身為具備 AUDIT_VIEWER 角色的使用者,您可以查詢下列檢視來檢視統一稽核資料:
  • AUDIT_UNIFIED_CONTEXTS
  • AUDIT_UNIFIED_ENABLED_POLICIES
  • AUDIT_UNIFIED_POLICIES
  • AUDIT_UNIFIED_POLICY_COMMENTS

只有 ADMIN 使用者可以將 AUDIT_VIEWER 或 AUDIT_ADMIN 角色授與其他使用者。具備 PDB_DBA 角色不允許您將 AUDIT_VIEWER 或 AUDIT_ADMIN 授予其他使用者。

如需統一稽核如何運作及其使用方式的詳細資訊,請參閱 Oracle Database 19c Security Guide 中的 What Is Unified Auditing?Oracle Database 23ai Security Guide

此外,如果在 Oracle Data Safe 註冊您的自治式資料庫,您可以使用其廣泛的活動稽核和活動型警示功能。

如需有關這些「資料安全」功能的資訊,請參閱使用 Oracle Data Safe 中的活動稽核。如需有關在「資料安全」註冊資料庫的資訊,請參閱在資料安全註冊或取消註冊專用資料庫

稽核自治式 VM 活動

Autonomous Database 的控制層伺服器上執行的收集代理程式,會收集並傳送實體主機上執行之所有虛擬機器和虛擬機器管理程式的作業系統稽核日誌,以及防毒和主機入侵偵測軟體的日誌。這些記錄會傳送至 OCI 中的中央系統資訊和事件管理 (SIEM) 服務。SIEM 掃描上的數百個警示規則,用於進行組態變更、潛在入侵和未經授權的存取嘗試 (其中包括)。

安全事件偵測與回應團隊 (DART) 的安全分析師專用團隊負責管理安全事件儀表板 24 / 7,以及處理警示以篩選真正的正面。如果偵測到真陽性,就會根據事件的嚴重性和影響起始適當的回應。這包括進一步分析、根本原因評估,以及修復服務團隊和客戶溝通。

此外,漏洞掃描軟體會將發現項目傳送至 OCI Security Central,該中心會根據 CVSS 分數,自動產生服務團隊在時間週期內解決發現項目的回報項目。此外,針對註冊「操作員存取控制服務」的系統,會將作業動作的稽核事件傳送至記錄服務,以及由客戶提供的系統日誌。

Oracle 在 Exadata Cloud@Customer X8M 和更新版本的硬體上保留下列自治式 VM 日誌:

  • /var/log/messages
  • /var/log/secure
  • /var/log/audit/audit.log
  • /var/log/clamav/clamav.log
  • /var/log/aide/aide.log

Oracle 會為 Exadata Cloud@Customer X8M 和更新版本的硬體保留下列基礎架構稽核日誌:

  • Integrated Lights-Out Management (ILOM)
    • 已將 ILOM 系統日誌重導至實體基礎架構元件的系統日誌
    • syslog
  • 實體 Exadata 資料庫伺服器
    • /var/log/messages
    • /var/log/secure
    • /var/log/audit/audit.log
    • /var/log/clamav/clamav.log
    • /var/log/aide/aide.log
  • Exadata Storage Server
    • /var/log/messages
    • /var/log/secure
    • /var/log/audit/audit.log

稽核 Oracle Operator 活動

Oracle Autonomous Database 提供健全的稽核功能,可擴充現有的稽核功能,包括 Oracle 操作員所執行的活動,主要著重於啟用管控與稽核系統管理各方面的法規需求。

秘訣:

如需有關如何建立及管理 Exadata 基礎架構與自治式 Exadata VM 叢集資源之操作員控制存取的逐步指南,請參閱 Oracle Autonomous Database Dedicated for Fleet Administrators Workshop 中的 Lab 15:Operator Access Control

Autonomous Database on Dedicated Exadata Infrastructure 可在共用責任模型中運作,其中:
  • 貴方由客戶負責資料與資料庫應用程式。
  • Oracle 負責基礎架構元件:電源、裸機作業系統、Hypervisor、Exadata Storage Servers,以及基礎架構環境的其他層面。
  • Oracle 負責資料庫的 DBMS 軟體和整體運作狀況。

在此模型中,Oracle 對其所負責的元件具有不佳的存取權。如果您有管理要求來審核與控制系統管理的所有層面,這可能會是一項問題。

Oracle Operator Access Control 是一種規範稽核系統,可讓您維護 Oracle 操作員在 Exadata 基礎架構上執行之所有動作的密切管理和稽核歷程檔、代管 Autonomous Database 的 Exadata 基礎架構,以及由 Oracle 管理的自治式 Exadata VM 叢集 (部署在 Oracle Autonomous Database 上的從屬端虛擬機器)。此外,客戶可以控制並限制操作員對特定客戶核准之自治式容器資料庫 (ACD) 的存取。

「Oracle Operator 存取控制」可讓您:
  • 控制誰可以存取系統、可以存取系統的時間,以及 Oracle 人員可以存取系統的時間長度。
  • 限制存取,包括限制 Oracle 操作員可在您的系統上執行哪些動作。
  • 撤銷存取權,包括先前已排定授予的存取權。
  • 檢視並儲存 Oracle 操作員在您系統上執行之所有動作的近乎即時報表。
您可以使用「Oracle Operator 存取控制」來:
  • 控制和稽核任何操作員或系統軟體在下列 Autonomous Database 資源上執行的所有動作:
    • Exadata 基礎架構
    • 自動化 Exadata VM 叢集 (AVMC)
    • 自治式容器資料庫 (ACD)
    請參閱在操作員存取控制中強制執行動作,瞭解有關 Oracle 操作員可在您環境中執行之作業的強制執行控制項的詳細資訊。
  • 為部署在 Oracle Autonomous Database 上的從屬端虛擬機器提供控制。就像 Exadata Cloud@Customer 基礎架構的 Operator 存取控制一樣,客戶可以對部署在 Exadata Cloud@CustomerOracle Public Cloud 上的自治式虛擬機器叢集實施 Oracle 操作員存取控制。請參閱操作員存取控制動作:自治式 VM 叢集以瞭解進一步的資訊。
  • 維持與系統相同的稽核層次和存取控制。請參閱 How Operator Access is Audited 瞭解詳細資訊。
  • 提供整個系統內部或外部法規稽核所需的稽核記錄。請參閱使用操作員存取控制管理和搜尋日誌瞭解詳細資訊。

建立「操作員控制」時,您可以選擇 Exadata 基礎架構Autonomous Exadata VM 叢集,視要稽核以進行操作員存取的資源而定。請參閱建立操作員控制瞭解詳細資訊。