附註:

使用 OCI CLI 自動化 Oracle Data Safe 註冊,簡化持續的資料庫監控

簡介

對於現今複雜的威脅環境而言,維持健全的 Oracle 資料庫網路安全態勢至關重要。持續監控是先主動識別漏洞、錯誤組態和潛在威脅的關鍵,才能加以利用。隨著網路威脅變得更複雜且更具目標性,定期對合規性、不尋常活動和未經授權的存取進行評估變得越來越重要。

使用 Oracle Data Safe 主控台在 Oracle Data Safe 手動註冊多個資料庫,可能相當耗費人力且耗時。本教學課程以簡化的方式,在 OCI Cloud Shell 介面中使用 Oracle Cloud Infrastructure Command Line Interface (OCI CLI) 命令和命令檔將註冊流程自動化,大幅減少所需的手動工作和時間。

瀏覽至區間

適用對象

目標

必要條件

作業 1:存取 OCI Cloud Shell

存取 OCI Cloud Shell 以使用其整合功能。

  1. 登入「OCI 主控台」。

    瀏覽至區間

  2. 按一下主控台標頭中的 Cloud Shell/ 程式碼編輯器圖示,然後從下拉式功能表中選取 Cloud Shell 。請注意,在 OCI Cloud Shell 中執行的 OCI CLI 將會在 OCI Cloud Shell 啟動時,對主控台區域選擇功能表中選取的區域執行命令。

    選取建立區間

作業 2:建立目標資料庫的專用端點

Oracle Data Safe 支援使用公用或專用 IP 位址連線至 Oracle 資料庫。對於使用專用 IP 位址的資料庫,您有兩個選項:Oracle Data Safe 專用端點或 Oracle Data Safe 內部部署連線器。在本教學課程中,我們將著重於建立用於註冊 DBaaS 資料庫的專用端點。

指令檔名稱:generate_private_endpoints_and_commands_for_missing_vcns.sh

描述: 此命令檔會識別缺少 Oracle Data Safe 專用端點之指定 OCI 區間中的 VCN。它會產生 CSV 檔案,列出遺漏的 VCN 及其關聯的子網路,並建立包含 OCI CLI 命令的 Shell 命令檔,為每個 VCN 建立必要的專用端點。

遵循步驟:

  1. 提示使用者輸入區間 OCID。

  2. 識別遺漏 Oracle Data Safe 專用端點的 VCN。

  3. 列出遺漏的 VCN 及其關聯的子網路。

  4. 產生名為 list_vcns_without_private_endpoints.csv 的 CSV 檔案,其中包含遺漏 VCN 和子網路的詳細資訊。

  5. 建立一個名為 create_private_endpoints_commands.sh 的 Shell 命令檔,其中包含用於建立所識別 VCN 專用端點的 OCI CLI 命令。

範例輸出:

選取建立區間

作業 3:以 JSON 格式產生目標資料庫證明資料

在本教學課程中,單一 Oracle Data Safe 服務帳戶會用於所有目標資料庫。因此,所有目標資料庫的資料庫證明資料 JSON 檔案都會相同。

指令檔名稱:generate_target_db_credentials.sh

描述:此命令檔會提示使用者輸入使用者名稱和密碼,然後建立一個名為 Credentials_Target_DBaaS.json 的 JSON 檔案,其中包含提供的證明資料。JSON 檔案用於安全地儲存目標資料庫的使用者名稱和密碼。

遵循步驟:

  1. 提示使用者輸入使用者名稱。

  2. 提示使用者輸入密碼。

  3. 建立一個名為 Credentials_Target_DBaaS.json 的 JSON 檔案,其中包含使用者名稱和密碼。

範例命令檔輸出:

選取建立識別網域

作業 4:以 JSON 格式產生專用端點連線選項

指令檔名稱:generate_Connection_Options_private_endpoints.sh

描述:此命令檔會自動化在 OCI 區間內列出 VCN、子網路和 Oracle Data Safe 專用端點的處理作業。它會產生一個包含每個專用端點詳細資訊的 CSV 檔案,包括關聯的 VCN 和子網路名稱,並且為每個端點建立個別的 JSON 檔案以定義 Oracle Data Safe 連線選項。

遵循步驟:

  1. 提示使用者輸入區間 ID。

  2. 列出所有 VCN 並將輸出儲存至 vcn_list.txt

  3. 列出所有子網路,並將輸出儲存至 subnet_list.txt

  4. 列出所有 Oracle Data Safe 專用端點,並將輸出儲存至 PE_list.txt

  5. 產生一個名為 list_All_private_endpoints_details.csv 的 CSV 檔案,其中包含每個專用端點的詳細資訊。

  6. 為每個專用端點建立 JSON 檔案,以指定 Oracle Data Safe 連線選項。

範例命令檔輸出:

選取建立識別網域

作業 5:將自治式資料庫註冊至 Oracle Data Safe

Secure Access from Everywhere 註冊 Oracle Autonomous Database Serverless 時,您不需要選取連線選項或指定服務帳戶詳細資訊,因為預設會包含這些資訊。在本教學課程中,我們將示範如何管理和註冊 Oracle Autonomous Database Serverless。

指令檔名稱:generate_Autonomous_database_details_with_data_safe.sh

描述:此命令檔會自動化在 OCI 區間中列出 Oracle Autonomous Databases 並檢查其 Oracle Data Safe 註冊狀態的處理作業。它會產生一個包含所有 Oracle 自治式資料庫詳細資訊的 CSV 檔案,並且為未在 Oracle Data Safe 註冊的資料庫建立 JSON 檔案。此外,此命令檔會為每個未註冊的資料庫準備 Oracle Data Safe 註冊命令,並將它們儲存在 Shell 命令檔中。這可讓使用者藉由執行產生的命令,快速註冊未註冊的資料庫。

遵循步驟:

  1. 區間 ID 提示。

  2. 產生包含 Oracle Autonomous Database 詳細資訊的 CSV 檔案。

  3. 建立未註冊資料庫的 JSON 檔案。

  4. 在 Shell 命令檔中準備 Oracle Data Safe 註冊命令。

  5. 執行註冊命令來註冊資料庫。

範例命令檔輸出:

選取建立識別網域

作業 6:將 Oracle Cloud 資料庫註冊到 Oracle Data Safe

指令碼名稱:generate_Cloud_database_details_with_data_safe.sh

描述:自動擷取及處理 Oracle 雲端資料庫詳細資訊及其專用端點、建立 JSON 組態檔,以及產生 Oracle Data Safe 的註冊命令。

遵循步驟:

  1. 區間 ID 提示。

  2. 列出 DBaaS 資料庫並儲存至 Output1.txt

  3. 附加遺漏 VM 叢集 ID 和資料庫系統 ID 之資料庫的子網路 ID。

  4. 將結果儲存至 Oracle_Cloud_Databases_Details.csv

  5. 列出專用端點並儲存至 Datasafe_Private-Endpoint_List.txt

  6. 產生每個 PDB 名稱的 JSON 檔案。

  7. Datasafe_CloudDB_Registration_Commands.sh 中建立註冊命令。

範例命令檔輸出:

選取建立識別網域

作業 7:更新安全和使用者評鑑排程

您可以設定排程,將目標資料庫的最新安全和使用者評估自動儲存至 OCI 中指定的區間。如需詳細資訊,請參閱 Schedule Security AssessmentsSchedule User Assessments

指令檔名稱:generate_datasafe_assessment_schedules.sh

描述:此 Shell 命令檔的設計可自動執行擷取 Oracle Data Safe 目標資料庫的處理作業、其對應的安全和使用者評估,以及產生 OCI 的更新排程。此命令檔會提示使用者輸入區間 ID、擷取 Oracle Data Safe 中的作用中目標資料庫,以及產生兩個更新排程命令檔 — 一個用於安全評估,另一個用於使用者評估。

遵循步驟:

  1. 提示輸入區間 ID。

  2. 輸入區間 ID。

  3. 列出作用中目標:儲存至 Datasafe_Active_TargetDB_list.txt

  4. 擷取評估:將詳細資訊附加至 Datasafe_Active_TargetDBs.txt

  5. 產生命令檔:建立 schedule_security_assessments.shschedule_user_assessments.sh

範例命令檔輸出:

選取建立識別網域

作業 8:開始收集目標資料庫的稽核日誌

註冊目標資料庫後,Oracle Data Safe 會自動偵測可用的稽核歷程檔,並為每個目標資料庫建立對應的稽核歷程檔資源。啟動稽核歷程檔收集之後,Oracle Data Safe 會將稽核記錄從目標資料庫複製到其儲存區域進行監督與分析。您可以視需要啟動或停止稽核資料收集,以控制稽核資料收集。如需詳細資訊,請參閱稽核歷程檔

指令檔名稱:Generate_DataSafe_Audit_Collection_Scripts.sh

描述:命令檔 Generate_DataSafe_Audit_Collection_Scripts.sh 會自動處理收集 Oracle Data Safe 目標資料庫的稽核歷程檔資料。它會提示使用者輸入區間 ID 和稽核歷程檔收集開始時間、擷取狀態為 NOT_STARTED 的稽核歷程檔,以及產生單一 Shell 命令檔來起始所有目標資料庫的稽核歷程檔收集。

遵循步驟:

  1. 輸入區間 ID: 提示使用者輸入 OCI 區間 ID。

  2. 輸入開始時間:YYYY-MM-DD 格式的稽核收集開始時間提示。

  3. 擷取稽核歷程檔:從 OCI 擷取狀態為 NOT_STARTED 的稽核歷程檔。

  4. 產生 CSV:將相關的稽核歷程檔資料擷取至 audit_trails.csv

  5. 建立命令檔:使用命令產生 Data_safe_Target_DB_Audit_Collection_Start.sh,以啟動所有目標的稽核收集。

範例命令檔輸出:

選取建立識別網域

作業 9:準備 Oracle Data Safe 產品目錄

指令檔名稱:generate_data_safe_db_inventory.sh

描述:此 Shell 命令檔會與 OCI 互動,以根據其類型擷取及處理 Oracle Data Safe 目標資料庫資訊:AUTONOMOUS_DATABASE、DATABASE_CLOUD_SERVICE 和 INSTALLED_DATABASE。產生輸出檔,其中包含每個資料庫類型的詳細資訊。

遵循步驟:

  1. 輸入區間 ID: 提示使用者輸入資料庫所在的區間 ID。

  2. 列出及篩選資料庫:列出指定區間中的所有 Oracle Data Safe 目標資料庫,並依類型進行篩選。

  3. 擷取資料庫詳細資訊:

    • AUTONOMOUS_DATABASE:擷取顯示名稱、資料庫 ID 和基礎架構類型等詳細資訊。

    • DATABASE_CLOUD_SERVICE:擷取詳細資訊,例如資料庫系統 ID、VM 叢集 ID (處理空值) 以及監聽器連接埠。

    • INSTALLED_DATABASE:擷取資訊,包括執行處理 ID、IP 位址和服務名稱。

  4. 產生輸出檔案:使用收集的詳細資訊,為每個資料庫類型建立個別的檔案。

  5. 清除:移除暫存檔案並完成輸出。

範例命令檔輸出:

選取建立識別網域

認可

其他學習資源

探索 docs.oracle.com/learn 上的其他實驗室,或存取 Oracle Learning YouTube 頻道上的更多免費學習內容。此外,請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件,請造訪 Oracle Help Center