Veelgestelde vragen over Oracle Audit Vault and Database Firewall

Algemene vragen

Wat is er nieuw in Oracle Audit Vault and Database Firewall?

Oracle Audit Vault and Database Firewall (AVDF) 20 heeft een vernieuwde, moderne gebruikersinterface met vereenvoudigde navigatie voor gebruikelijke workflows en een uitgebreide auditverzameling voor nieuwe doeltypen. Oracle Audit Vault and Database Firewall gaat nu verder dan het monitoren van database-activiteiten om de beveiligingsstatus van uw Oracle Database te beheren, en biedt nu de allerbeste monitorfuncties voor activiteiten, waarbij de beveiligingsconfiguratie, gebruikersrechten en opgeslagen procedures zichtbaar zijn. AVDF voert audits uit op databases en bewaakt netwerkactiviteiten om de beveiligingsstatus van Oracle en niet-Oracle databases te beheren, die in de cloud of lokaal worden gehost. Raadpleeg de Release Notes van AVDF 20 voor een volledige lijst met functies.

Wat is het verband tussen Audit Vault en Database Firewall? Heb ik ze allebei nodig?

AVDF ondersteunt een native auditverzameling en het monitoren van SQL-verkeer in netwerken. Audit-data en netwerk-events uit de Database Firewall worden opgeslagen op de Oracle Audit Vault-server. Hierdoor kunt u de activiteitsdata correleren en rapporten maken.

Oracle adviseert een holistische aanpak en ondersteunt database-auditing en het monitoren van SQL-verkeer in netwerken. U kunt met elke mogelijkheid beginnen en uw architectuur zo nodig uitbreiden om beide te bevatten.

Welke doeltypen en versies worden ondersteund door AVDF?

AVDF 20 ondersteunt Oracle Database, Microsoft SQL Server, MySQL, IBM Db2, PostgreSQL, SAP Sybase, MongoDB en logs van de besturingssystemen Linux, Windows, Solaris en AIX. AVDF ondersteunt ook audit-trails die naar bestanden in XML, CSV en JSON-format zijn weggeschreven. U kunt aangepaste collectors gebruiken om de auditlogs te verzamelen en deze voor alle andere doelen naar de Audit Vault-server sturen, waar audit-trails naar database-tabellen worden weggeschreven. Zie voor meer informatie de Platform Support Matrix in de AVDF 20 Installatiehandleiding.

Hoe consolideert AVDF audit-data uit andere bronnen, zoals applicaties?

AVDF kan audit-data verzamelen uit applicatietabellen of bestanden (XML, JSON, CSV), deze omzetten in het standaard format en ze opnemen in één rapport voor alle bronnen. Raadpleeg voor meer informatie de AVDF Developer's Guide.

Wat is het verschil tussen het auditen en monitoren van netwerken? Heb ik beide nodig?

Bij audits wordt doorgaans uitvoerige informatie vastgelegd na een bepaalde gebeurtenis, hetzij direct vanuit een SQL-statement of via een opgeslagen procedure-aanroep. Het monitoren van SQL-verkeer helpt u bij het analyseren van en reageren op het SQL-statement voordat deze de database bereikt, waardoor u verdachte statements kunt blokkeren. In beide gevallen kunt u de voorwaarden opgeven waaronder u de audit- of event-logs wilt verzamelen. Beide geven een ander beeld van hetzelfde event: het ene erna en het andere ervoor. Voor allebei kunnen waarschuwingen worden gegenereerd.

Oracle adviseert een holistische aanpak en ondersteunt database-auditing en het monitoren van SQL-verkeer in netwerken. Klanten kunnen met elke mogelijkheid beginnen en hun architectuur uitbreiden om beide te bevatten.

Hoe implementeer ik audits en beleid van Database Firewall?

AVDF biedt een interface om uw Oracle auditbeleid te bekijken en in één klik in de doeldatabase te implementeren. Als in het kader van het Database Firewall beleid een controlepunt is ingesteld voor het doel, wordt het standaard beleid automatisch toegepast. Dit standaard beleid wordt geconfigureerd voor alle doelen die door de database-firewall worden gemonitord. Het logt alle in- en uitlogacties en unieke DDL- en DCL-statements voor alle sessies met alle tabellen en weergaven. Het door de gebruiker vastgestelde Database Firewall beleid kan ook in de gebruikersinterface worden geconfigureerd voor het toestaan, loggen, waarschuwen, vervangen of blokkeren van de SQL. Firewall-beleid kan ook worden geconfigureerd voor Oracle databases om het geretourneerde aantal rijen van een SQL SELECT-statement vast te leggen en die data te gebruiken om te monitoren en u te waarschuwen voor pogingen tot data-uitfiltering. Raadpleeg voor meer informatie de Auditor's Guide.

Op welke manieren kunt u het databaseverkeer bewaken?

U kunt de Database Firewall instellen om te monitoren en te blokkeren of om alleen te monitoren. Als u wilt monitoren en blokkeren, moet u de firewall in de proxymodus configureren, waarbij al het databaseverkeer wordt gerouteerd via de Database Firewall. Als u het SQL-verkeer in netwerken wilt monitoren , kunt u ervoor zorgen dat de poort van netwerk-switches het verkeer naar de Database Firewall stuurt, of u kunt de hostmonitor op de database-machines zo instellen dat ze het SQL-verkeer naar de Database Firewall doorsturen. Raadpleeg voor meer informatie de Administrator's Guide.

Kan ik een gezamenlijk rapport met zowel auditdata als netwerklogs krijgen?

De Audit Vault server consolideert auditdata en netwerk-SQL-verkeer om een gezamenlijke weergave te bieden van alle database-activiteiten in de auditlogs of het vastgelegde SQL-verkeer. Waarschuwingen en rapporten berusten op de geconsolideerde data.

Kan ik de activiteiten van het besturingssysteem koppelen aan de database-activiteiten om een totaalbeeld te krijgen?

Ja, AVDF biedt een rapport met details van database-events die gekoppeld zijn aan de oorspronkelijke Linux OS-gebruiker vóór de SU- of SUDO-overgang.

Belangrijkste toepassingen

Kan AVDF de beveiligingsstatus van databases beoordelen?

AVDF 20.9 introduceert een oplossing voor de algehele, centrale beoordeling van de bedrijfsbeveiliging door de populaire Database Security Assessment Tool (DBSAT) voor Oracle Databases te integreren. Door de omvangrijke beoordeling met nalevingsoverzicht en aanbevelingen krijgen organisaties op één centraal punt een duidelijk beeld van de beveiligingsstatus voor al hun Oracle Databases. Lees er hier meer over.

Kan AVDF gevoelige data detecteren?

Vanaf AVDF 20.9 kunnen gebruikers gevoelige data en bevoegde gebruikers voor Oracle databases detecteren. AVDF 20 heeft meer mogelijkheden wat betreft gebruikersrechten en DBSAT, en het identificeert bevoegde gebruikers en gevoelige objecten voor Oracle Database. Dit gebeurt door de detectie van gebruikersrechten en gevoelige objecten te activeren en te plannen. Zodra de bevoegde gebruikers en gevoelige objecten zijn ontdekt, kunnen ze worden toegevoegd aan respectievelijk de sets met bevoegde gebruikers en gevoelige objecten. Deze sets zijn algemeen en kunnen dienen voor meerdere beleidsregels voor de database-firewall.

Hoe helpt AVDF u om de eisen van de nalevingsrapportage te vervullen?

AVDF biedt kant en klare nalevingsrapporten voor de AVG, PCI, GLBA, HIPAA, IRS 1075, SOX en UK DPA. Op grond van AVG-naleving leveren we bijvoorbeeld rapporten over wie toegang heeft tot uw gevoelige data en wie deze toegang ook werkelijk benut. U kunt de rapporten aanpassen aan uw eigen doelstellingen of specifieke nalevingeisen binnen uw sector/regio. Rapportage-tools van derden kunnen ook verbinding maken met Audit Vault vanwege analyses en rapporten.

Kan AVDF de activiteiten van bevoegde gebruikers controleren en volgen?

U kunt auditbeleid activeren voor beheeractiviteiten en om namen te noemen. AVDF heeft gebruiksklare rapporten, waaronder rapporten over bevoegde gebruikers, die al hun gecontroleerde activiteiten vermelden.

Hoe helpt AVDF u misbruik of onbevoegde toegang te onderzoeken?

AVDF-gebruikers kunnen het rapport over alle activiteiten gebruiken om te analyseren tot welke objecten men toegang had. AVDF kan o.a. filteren op gebruiker, object en datum, en de resulterende data analyseren om te zien of onbevoegde gebruikers toegang tot de objecten hadden. Daarnaast kunnen gebruikers bij Oracle Databases de geretourneerde rijen uit SQL SELECT-statements gebruiken om pogingen tot data-uitfiltering te onderzoeken.

Kan AVDF helpen om wijzigingen in gebruikers, rollen, rechten en bevoegdheden bij te houden?

AVDF kan worden ingesteld om rechten voor Oracle databases regelmatig te controleren en een gespecificeerde rapportage te bieden over de wijzigingen sinds het laatste rapport. AVDF identificeert wijzigingen in gebruikers, rollen en rechten.

Hoe helpt de rapportage van de voor/na-toestand u bij de beveiliging en naleving?

Beleidsregels en regelgeving voor bedrijfsbeveiliging, zoals HIPAA, vereisen dat wijzigingen in gevoelige data worden gecontroleerd en dat de voor/na-toestand van het record wordt vastgelegd. AVDF legt de voor/na-toestand vast met behulp van het geïntegreerde Oracle GoldenGate extractieproces (inclusief beperkte licentie) en maakt de waarden ter analyse beschikbaar in de AVDF-rapporten. Zie voor meer informatie de Administrator's Guide en Auditor's Guide van AVDF.

Hoe helpt AVDF bij het monitoren van database-activiteiten (DAM) en SIM/SIEM-initiatieven in mijn organisatie?

AVDF is een DAM-oplossing die een native dataverzameling voor audits en monitoring van het SQL-verkeer in netwerken biedt. AVDF ondersteunt waarschuwingen, rapporten en archivering van audit-data. AVDF kan events naar syslog versturen voor een integratie met SIEM-systemen. Het AVDF repository-schema is gedocumenteerd en kan worden opgevraagd door een SIEM- of log-aggregator, wat een eenvoudige integratie met de meeste SIEM/log-analyseproducten van derden mogelijk maakt.

Beveiliging

Monitort Oracle Database Firewall het versleutelde verkeer naar de doelen?

Oracle Database Firewall monitort het verkeer van en naar een Oracle Database als native Oracle netwerk-encryptie of TLS-netwerk-encryptie wordt gebruikt. Bij niet-Oracle databases die TLS-netwerk-encryptie gebruiken, kan de Database Firewall dit SQL-verkeer niet interpreteren. U kunt SSL- of TLS-afsluitoplossingen gebruiken om het SQL-verkeer te stoppen vlak voordat het de Database Firewall bereikt, zodat het systeem het SQL-verkeer kan interpreteren en de beleidsregels kan toepassen.

Hoe worden de in AVDF opgeslagen data beveiligd?

AVDF versleutelt de verzamelde data met een transparante encryptie en versleutelt het netwerkverkeer vanuit de doelen. AVDF biedt een functiescheiding tussen de beheerder en de auditor, en gebruikt Database Vault om de toegang tot data te beperken. Zie voor meer informatie de algemene beveiligingsrichtlijnen in de AVDF Administrator's Guide.

Kan AVDF voor de verificatie met Microsoft Active Directory werken?

AVDF 20 ondersteunt Microsoft Active Directory-integratie voor de gebruikersverificatie. U kunt ook AVDF-beheerders/auditors maken als gebruikers van Microsoft Active Directory. Zie voor meer informatie de AVDF Administrator's Guide.

Bedrijfsmogelijkheden

Hoe schaalt AVDF op bij omvangrijke doelen of grote volumes aan audit-/logdata?

Als een Audit Vault server is geconfigureerd volgens de specificatie-richtlijn, ondersteunt de server het verzamelen van AVDF event-data tot 1.000 audit-trails, waarbij iedere agent max. 20 audit-trails ondersteunt. Raadpleeg de Audit Vault and Database Firewall Best Practices and Sizing Calculator (MOS-opmerking: 2092683.1) in de installatiehandleiding om de juiste specificaties te vinden. U kunt de benodigde CPU, het geheugen en de schijf voor de Audit Vault server, agent en de Database Firewall specificeren naar gelang uw omgeving. U moet het aantal doelen, het gemiddelde dagelijkse audit-datavolume, bewaarperiode, aantal firewalldoelen en andere informatie opgeven om een richtlijn voor de specificatie te krijgen.

Kan AVDF de zware belasting van Oracle Exadata en andere geclusterde databases aan?

AVDF kan worden geschaald om de verzameling van audit-data vanuit Oracle Exadata en andere geclusterde databases te ondersteunen. U kunt het aantal agenten instellen naar gelang het totale aantal doelen en het verwachte opnamepercentage voor audits. In AVDF 20.5 (en hoger) kiezen de Audit Vault agenten vanzelf de optimale configuratie om het verzamelen van audit-data te versnellen. Deze dynamische collector-functie met meerdere threads maakt effectief gebruik van de resources van de Audit Vault-server en Audit Vault-agent. Zie voor meer informatie Doelen registreren in de Administrator's Guide.

Ondersteunt AVDF naast de lokale doelen ook cloud-doelen?

AVDF kan doelen monitoren die lokaal en in Oracle Cloud zijn geïmplementeerd, waaronder Oracle Autonomous Database-services. De Audit Vault-server verzamelt data voor traditionele audit-trails, fijnmazige audits, audits van Database Vault en gezamenlijke audits, bestaande uit audit-trails in de cloud en lokale databases. Raadpleeg voor meer informatie Oracle Audit Vault and Database Firewall Hybrid Cloud Deployment in de Administrator's Guide .

Hoe ondersteunt AVDF een ruime beschikbaarheid met fouttolerantie?

AVDF ondersteunt een configuratie met ruime beschikbaarheid van alle AVDF-componenten, waaronder de Audit Vault-server, Database Firewall en Audit Vault-agent. Raadpleeg voor meer informatie de Administrator's Guide.

Kan AVDF audit-/logdata archiveren om te voldoen aan retentievereisten vanuit de regelgeving?

De Audit Vault-server ondersteunt het data-retentiebeleid per doel, waardoor kan worden voldaan aan interne of externe nalevingseisen. Audit-data kunnen automatisch worden gearchiveerd in een voordelige externe repository en worden opgehaald volgens het doelspecifieke beleid. Raadpleeg voor meer informatie de Administrator's Guide.

Kan AVDF waarschuwingen geven bij afwijkende activiteiten om de analysetijd te verkorten?

AVDF heeft een krachtige tool die waarschuwingen configureert voor de verzamelde audit- en firewall-data op basis van verschillende omstandigheden. AVDF kan de waarschuwing op het dashboard tonen en als e-mail verzenden of naar syslog doorsturen.

Hoe wordt AVDF geïntegreerd met Oracle beveiligingsproducten, zoals Oracle Key Vault, Oracle Database Vault en Oracle Database Security Assessment Tool?

AVDF kan data van de audit-trail vanuit Database Vault lezen en weergeven in de AVDF-rapporten. Oracle Key Vault kan als doel worden toegevoegd in AVDF. AVDF verzamelt audit-data van Oracle Key Vault en genereert alle activiteitenrapporten in AVDF. Vanaf AVDF Release Update 9 is DBSAT geïntegreerd met AVDF-beveiligingsbeoordeling en detectie van gevoelige data om de beveiligingsstatus van Oracle Databases te beoordelen en gevoelige data te detecteren in Oracle Databases van het hele bedrijf.

Kan een Oracle Enterprise Manager AVDF beheren?

De Enterprise Manager AVDF plug-in biedt een interface in Oracle Enterprise Manager Cloud Control, waarmee beheerders AVDF-componenten kunnen beheren en monitoren. Raadpleeg voor de volledige informatie System Monitoring Plug-in User's Guide for Audit Vault and Database Firewall . Raadpleeg Compatibility with Oracle Enterprise Manager om de ondersteunde versies van Oracle Enterprise Manager met AVDF 20 te bekijken.

Implementatie

Op welk type hardware of VM's kan ik AVDF laten draaien? Hoe kies ik de juiste specificatie?

Om AVDF-componenten te draaien, kan elk Intel x86 64-bit hardware-platform dienen dat wordt ondersteund door Oracle Linux Release 8. Raadpleeg de Hardware Certification List voor alle gecertificeerde hardware. Elke Audit Vault and Database Firewall moet op een specifieke x86 64-bit server zijn geïnstalleerd. Raadpleeg de 2.2.1 Product Compatibility Matrix in de Installation Guide.

AVDF kan vanuit Oracle Cloud Marketplace ook wordt uitgerold in Oracle Cloud Infrastructure (OCI). Via Marketplace kan in enkele minuten een volledig functionerend AVDF-systeem worden geïmplementeerd. Oracle Cloud biedt de flexibiliteit om compute-resources te schalen, zodat de steeds zwaardere eisen worden vervuld. Opschalen is heel eenvoudig. U kunt dus beginnen met een kleine VM-vorm en opschalen naarmate de workload toeneemt.

Raadpleeg de Audit Vault and Database Firewall Best Practices and Sizing Calculator (MOS-opmerking: 2092683.1) in de installatiehandleiding om de juiste specificaties te vinden. U kunt de benodigde CPU, het geheugen en de schijf voor de Audit Vault server, agent en de Database Firewall specificeren naar gelang uw omgeving. U moet het aantal doelen, het gemiddelde dagelijkse audit-datavolume, bewaarperiode, aantal firewalldoelen en andere informatie opgeven om een richtlijn voor de specificatie te krijgen.

Hoewel AVDF in gevirtualiseerde omgevingen, zoals Oracle VM Server of VMware kan draaien, adviseren we een installatie op fysieke hardware.

Hoe lang duurt het om AVDF te installeren/implementeren? Is er advies nodig?

Een typische 'proof of concept' kan twee dagen tot twee weken duren, afhankelijk van het aantal doelen en het beleid. Er zijn drie belangrijke stappen voor de implementatie:

1. Installatie van Audit Vault en optioneel Database Firewall op servermachines van hun keuze: het hele proces waarbij de ISO-image wordt gebruikt, is vrij eenvoudig en kan vlot in enkele uren worden uitgevoerd. Als u AVDF vanuit Oracle Cloud Marketplace in een OCI-tenancy uitrolt, kan het systeem al na enkele minuten klaar zijn.

2. Het activeren of opstellen van het juiste audit- of monitorbeleid voor het doel of de Database Firewall: met AVDF kunnen klanten met een paar klikken zeer snel standaard beleidsregels maken. Dit kan wat langer duren, afhankelijk van de toepassing.

3. Analyseren van rapporten en waarschuwingen: AVDF biedt tientallen gebruiksklare rapporten, die u verder kunt afstemmen op uw nalevings- en beveiligingseisen

Zodra de 'proof of concept' klaar is, bent u doorgaans langer bezig om o.a. back-ups, archivering en de ruime beschikbaarheid in te stellen middels de AVDF-console. U kunt ook collectors voor uw applicaties toevoegen via het speciale collector-framework.

Veel van onze klanten hebben AVDF uitgerold zonder consultancy te gebruiken.

Raadpleeg vóór de installatie de installatie-checklist in de Installation Guide en gebruik de specificatie-spreadsheet (MOS-opmerking: 2092683.1) om de juiste hardware-configuratie te bepalen.

Hoe minimaliseert AVDF de duur van de implementatie en upgrade?

AVDF is een full-stack software appliance die het Oracle Linux besturingssysteem, Oracle Database en AVDF software bevat, waardoor het eenvoudig is om alle componenten tegelijk te implementeren en te upgraden. Als de Audit Vault-server patches of een upgrade krijgt, worden de agenten vanzelf gedownload en bijgewerkt, waardoor de implementatie en upgrade zo min mogelijk tijd kosten.

U kunt ook de back-up- en herstelfunctie gebruiken om Oracle Audit Vault and Database Firewall te updaten naar een nieuwe release, met een minimale downtime bij het monitoren en verzamelen van data. Via dit proces kunt u Oracle AVDF 20.3 en hoger naar release 20.9 en hoger updaten. Lees hier meer.

Wat is Oracle’s supportbeleid als er aanvullende of vreemde software is geïnstalleerd in AVDF?

Oracle Audit Vault and Database Firewall (AVDF) wordt geleverd als een appliance en er mag geen vreemde software worden geïnstalleerd op de Audit Vault-server. Zie voor meer informatie de AVDF Concepts Guide.

Upgrade

Ik heb momenteel AVDF 12.2. Waarom zou ik upgraden naar AVDF 20?

Overweeg om de volgende redenen een upgrade naar AVDF. Ten eerste is AVDF 12.2 in maart 2021 gestopt met de Premier Support. Dat betekent dat Oracle geen periodieke beveiligingspatches meer uitbrengt voor dit product. Maar wat belangrijker is, de recentste AVDF-release biedt de volgende nieuwe functies en mogelijkheden:

  • Beheerders/auteurs zijn productiever dankzij een gloednieuwe, gemoderniseerde gebruikersinterface, die is geoptimaliseerd voor diverse workflows.
  • Ondersteuning voor een gezamenlijke audit, wat belangrijk is voor klanten die van een traditionele naar een gezamenlijke audit willen overstappen.
  • Vereenvoudigde configuratie van de Database Firewall instellingen in vergelijking met eerdere releases.
  • Nieuwe doelen, zoals PostgreSQL, MongoDB (via eenvoudige tabel voor attribuut-toewijzing) en Oracle Cloud Autonomous Databases.
  • Uitgebreide aangepaste collector-ondersteuning, die JSON, REST en CSV omvat.
  • Verzameling van voor/na-waarden van gewijzigde records middels Oracle's geïntegreerde GoldenGate extractieproces (inclusief beperkte licentie), waarmee Oracle Database configuraties met meerdere eigenaren worden ondersteund.
  • Integratie met Microsoft Active Directory vergemakkelijkt centraal beheer van AVDF-gebruikers.
  • Geautomatiseerde archivering van data over audits/netwerk-events door de Audit Vault-server.
  • FIPS 140-2 compatibiliteit voor geïntegreerde database en besturingssystemen.
  • Mogelijkheid om AVDF lokaal of in Oracle Cloud te implementeren. STIG (Security Technical Implementation Guidelines) - gezamenlijk auditbeleid voor toepassing op Oracle Database doelen.
  • Bedrijfsbrede vereenvoudigde en gecentraliseerde weergave van beveiligingsbeoordelingen voor alle Oracle Databases met beheer van de bijbehorende beveiligingsstatus.
  • Hier vindt u een lijst met belangrijke nieuwe functies en verbeteringen die zijn geïntroduceerd in AVDF 20 en latere release-updates. Als u deze functies in actie wilt zien, kunt u zich hier inschrijven voor een LiveLabs begeleide workshop.

Vanuit welke AVDF-versies kan ik upgraden?

U kunt vanuit AVDF 12.2.0.9.0 en hoger upgraden naar AVDF 20. Als u een oudere versie dan 12.2 Bundel Patch 9 gebruikt, moet u deze eerst upgraden. Zie voor meer informatie de AVDF Installation Guide.

Worden mijn momenteel geregistreerde doelen, aangepaste rapporten en gearchiveerde data gemigreerd als ik een upgrade uitvoer?

Na de upgrade migreren uw momenteel geregistreerde doelen, aangepaste rapporten en archiefdata vanzelf naar AVDF 20.

Meer informatie

Hoe begin ik met AVDF? Welke hulpmiddelen zijn er voor mij?

Ga naar de Oracle Technology Network website voor meer informatie over het product en krijg toegang tot technische overzichten, infobladen en ander materiaal, of neem contact op met een lokale Oracle vertegenwoordiger.

Waar kan ik de AVDF-software en de productdocumentatie downloaden?

AVDF kan worden gedownload van Oracle Software Delivery Cloud. Zoek naar het Oracle Audit Vault and Database Firewall productpakket. AVDF is ook implementeerbaar op Oracle Cloud. Ga naar Oracle Cloud Marketplace en zoek naar Oracle Audit Vault and Database Firewall.

Productdocumentatie vindt u hier.

Is er een extern discussieforum?

Ja, het Oracle Audit Vault and Database Firewall forum biedt een platform waarop experts van de Oracle community uw productvragen beantwoorden.