一.Overview
1. Audit 审计
具有选择性,需要最小化常规活动的干扰
(1)failed logins 失败的登录
(2)event requiring access by privileged users
(3)DDL(CREATE,DROP,ALTER,RENAME,TRUNCATE)
Activity and Monitoring
审计记录:记录已发生的事
数据库防火墙:在恶意SQL到达数据库前监视并选择是否阻止
Why Activity and Monitoring
收集审计数据,生成审计跟踪
–> 监视到数据库的网络活动
–> 分析所有SQL语句
–> 采取适当行动
2. Oracle Audit Vault and Database Firewall (AVDF)
整合审计数据,提供监视功能。
收集和整合数据,监控网络流量,阻塞和替换SQL,日志、策略的管理,提高警报
三个组件:
审计库服务器 Audit Vault Server
审计库代理 Audit Vault Agent
数据库防火墙 Database Firework
整合功能
(1) 合并多个来源的数据
数据库审计路径
······
(2) 管理审计策略
(3) 监控用户权限
数据库防火墙功能
保护数据库来自网络的SQL对Database的攻击,监控有alarms和warnings 的网络database 活动。
Audit Vault Agent和 Database Firework 结合,监视数据库SQL事务,决定SQL语句到达数据库服务器之前,是否允许,阻止或替换SQL语句。
3. 架构,组件,角色
(1) 术语
安全目标 Secured Targets
收集插件 Collection Plug-ins
主机 Host
审计路径 Audit Trails
执行要点 Enforcement Points
(2) 组件
审计库服务器 Audit Vault Server
审计库代理 Audit Vault Agent
数据库防火墙 Database Firewall
①审计库服务器 Audit Vault Server
存储来自各个类型源的审计数据
中央存储库,存储审计和事件数据(来自Audit Vault Agent和Database Firework)
i.信息生命周期管理
生命周期管理组件,处理审计数据,保留管理。
发现任务:标识主机 部署主机 将主机添加为安全目标。
维持系统稳定性。
管理保留策略(涉及设备管理的所有表空间。带有策略的记录到达Audit Vault Server时,创建新的表空间),管理过期事件数据。
根据为特定安全目标定义的保留策略,将审计数据收集到新的表空间。保留期限到期,数据离线,将保留在系统本地,可以归档。
可以计划归档并查看状态,包含审计数据的表空间一旦超过保留预期,就自动删除。
表空间被移动到存档位置后,不能移动或手动删除,可以恢复运行(report 或use database将其用于其他activity )。
②Audit Vault Server
③Aduit Vault Agent
检查,审计,跟踪,把数据发送到 Audit Vault Server
④Database Firewall
监视和阻止所有未经授权的SQL流量,根据防火墙策略对SQL语句进行分析
将SQL语句分组成集群
⑤Aduit Vault 和 Database Firewall 协同工作
Database Firewall 检测到数据库安全目标的SQL流量
生成流量日志
按照防火墙策略采取行动。
Audit Vault
存储Oracle Audit Vault 和Database Firewall的配置数据
收集的审计数据
Database Firewall的事件数据
⑥网络中的组件
高可用性
······
(3) 角色和用户账号
角色
(4) 与其他系统的集成
①Oracle AVDF 与 F5 BIG-IP ASM
BIG-IP Application Security Manager
②系统日志与SIEM System
Security Informaton and Event Management
Oracle Audit Vault 和Database Firewall发送给syslog 以下类型的消息:
Alert
System
Info
Debug
4. 软件设备模块
5. 审计库,数据库防火墙,Oracle企业管理员
提供监控
267
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
