Oracle Audit Vault and Database Firewall 常見問題

常見問題主題

一般
主要使用案例
安全性
企業功能
部署
升級
更多資訊

一般問題

Oracle Audit Vault and Database Firewall 有哪些新功能？

Oracle Audit Vault and Database Firewall (AVDF) 20 具有改良的現代化使用者介面，包括簡化的常用工作流程導覽，以及為了新目標類型而擴展的稽核收集。Oracle Audit Vault and Database Firewall 的功能已擴展到資料庫活動監控領域之外，能夠管理 Oracle Database 的安全態勢，並透過查看安全組態、使用者權利及預存程序，強化其業界頂尖的活動監控功能。AVDF 會稽核資料庫並監控網路活動，協助管理在雲端或內部部署代管的 Oracle 和非 Oracle 資料庫安全態勢。如需完整的功能清單，請參閱 AVDF 20 版本資訊。

Audit Vault 與 Database Firewall 有何關聯？我兩者都需要嗎？

AVDF 支援原生稽核收集和網路 SQL 流量監控。Database Firewall 的稽核資料和網路事件儲存於 Oracle Audit Vault Server 中。因此，您可以對活動資料建立關連，並建立報告。

Oracle 建議使用全方位的方法，並支援資料庫稽核和網路 SQL 流量監控。您可以從任一功能開始著手，並視需要擴展架構來同時納入兩者。

AVDF 支援哪些目標類型和版本？

AVDF 20 支援 Oracle Database、Microsoft SQL Server、MySQL、IBM Db2、PostgreSQL、SAP Sybase、MongoDB 及 Linux、Windows、Solaris 與 AIX 的作業系統日誌。AVDF 也支援以 XML、CSV 及 JSON 格式寫入檔案的稽核軌跡。至於將稽核軌跡寫入資料庫資料表的其他目標，則可以使用自訂收集器來收集稽核日誌，並將其傳送到 Audit Vault Server。如需詳細資料，請參閱《AVDF 20 安裝指南》中的＜平台支援矩陣＞。

AVDF 如何合併其他來源 (例如應用程式) 的稽核資料？

AVDF 可以從應用程式資料表或檔案 (XML、JSON、CSV) 收集稽核資料、對應到標準格式，然後跨所有來源納入單一報告中。如需詳細資料，請參閱 AVDF 開發人員指南。

稽核和網路監控有什麼差異？我兩者都需要嗎？

無論是直接來自 SQL 陳述式或透過預存程序呼叫，稽核通常會在特定事件之後擷取詳細資訊。監控 SQL 流量可協助您在 SQL 陳述式到達資料庫前，對其進行分析和處理，以封鎖可疑的陳述式。在這兩種情況下，都可以指定收集稽核或事件日誌的條件。這兩者可對相同的事件提供不同的角度：一個事前、一個事後。系統對兩者都可以發出警示。

Oracle 建議使用全方位的方法，並支援資料庫稽核和網路 SQL 流量監控。客戶可以從任一功能開始著手，然後擴展其架構來同時納入兩者。

如何佈建稽核和 Database Firewall 原則？

AVDF 提供檢視 Oracle 稽核原則的介面，而且只要按一下，即可在目標資料庫中佈建這些原則。若使用 Database Firewall 原則，則會在為目標設定資料庫防火牆監控點時，自動套用預設原則。在受資料庫防火牆監控的目標，均會設定該預設原則。該原則會記錄所有資料表與檢視階段作業的所有登入和登出活動，以及不重複的 DDL 與 DCL 陳述式。您也可以在 UI 中設定使用者定義的 Database Firewall 原則，以允許、記錄、警示、替代或封鎖 SQL。此外，還可以為 Oracle 資料庫設定防火牆原則，以擷取 SQL SELECT 陳述式中傳回的資料列數目，然後使用該資料來監控和警示資料外洩嘗試。如需詳細資訊，請參閱稽核者指南。

監控資料庫流量的方式有哪些？

您可以設定 Database Firewall 進行監控和封鎖，或是僅進行監控。若要實施監控和封鎖，您必須以代理主機模式設定防火牆，並使資料庫流量全都透過 Database Firewall 進行路由。若要實施網路 SQL 流量監控，您可以要求網路交換器的 SPAN 連接埠將流量傳送到 Database Firewall；也可以在資料庫機器上設定主機監控，將 SQL 流量轉送到 Database Firewall。如需詳細資料，請參閱管理員指南。

可以取得整合了稽核資料和網路日誌的報告嗎？

Audit Vault 伺服器會合併稽核資料與網路 SQL 流量，以提供稽核日誌或擷取的 SQL 流量中，所有資料庫活動的統一視野。警示與報告會依合併的資料建立。

可以在 OS 活動與資料庫活動之間建立關聯，以獲得完整資訊嗎？

可以，AVDF 會提供一份報告，顯示在 SU 或 SUDO 轉換之前，與原始 Linux OS 使用者相互關聯的資料庫事件詳細資料。

主要使用案例

AVDF 可以評估資料庫的安全態勢嗎？

AVDF 20.9 整合了適用於 Oracle 資料庫的熱門 Database Security Assessment Tool (DBSAT)，為企業導入涵蓋全機隊的集中式安全評估解決方案。包含合規對應與建議的完整功能評估，能夠協助組織在一個集中位置清楚瞭解全部 Oracle 資料庫的安全態勢。若要深入瞭解，請前往這裡。

AVDF 找得到敏感資料嗎？

從 AVDF 20.9 開始，使用者可以尋找 Oracle 資料庫的敏感資料和授權使用者。AVDF 20 擴充了使用者權利和 DBSAT 的功能，並可識別 Oracle 資料庫的授權使用者和敏感物件。此功能是透過執行和排程使用者權利與敏感物件尋找作業來實現。在找到授權使用者與敏感物件之後，即可分別新增到授權使用者與敏感物件集合。這些集合全域適用，而且可用於多個資料庫防火牆原則。

AVDF 如何協助滿足合規報告要求？

AVDF 可為 GDPR、PCI、GLBA、HIPAA、IRS 1075、SOX 及 UK DPA 提供預先建置的合規報告。例如，根據 GDPR 規範，我們會提供有權存取及目前存取敏感資料的人員相關報告。您可以自訂報告，以滿足特定目標或產業/區域專屬的合規要求。第三方報告工具也可以連線到 Audit Vault 綱要，以用於分析和報告。

AVDF 可以稽核及追蹤授權使用者的活動嗎？

您可以啟用管理員活動的稽核原則，並為使用者命名。AVDF 具有預先定義的報告 (包括授權使用者報告)，可依授權使用者顯示所有稽核的活動。

AVDF 如何協助調查濫用或未經授權的存取？

AVDF 使用者可以使用所有活動報告來分析曾被存取的物件。AVDF 可依使用者、物件、日期等項目進行篩選，並分析產生的資料，以查看未經授權的使用者是否已存取物件。此外，在 Oracle 資料庫中，使用者可以使用 SQL SELECT 陳述式傳回的資料列來調查資料外洩嘗試。

AVDF 是否能協助追蹤使用者、角色、權限及權利的變更？

AVDF 可設定為依排程檢查 Oracle 資料庫的權利，並提供自上次報告後經變更的差異報告。AVDF 會識別使用者、角色及權限的變更。

報告之前/之後的值對安全和合規有何幫助？

公司安全政策和規定 (例如 HIPAA) 要求對敏感資料的變更進行稽核，並且會擷取記錄前後的值。AVDF 會使用 Oracle GoldenGate 整合式擷取流程 (內含有限的授權) 擷取之前/之後的值，並在 AVDF 報告中提供該值以用於分析。如需詳細資料，請參閱 AVDF 管理員指南和稽核者指南。

AVDF 如何協助組織中的資料庫活動監控 (DAM) 和 SIM/SIEM 計畫？

AVDF 是一種 DAM 解決方案，提供原生稽核資料收集和網路 SQL 流量監控。AVDF 支援警示、報告及稽核資料封存。AVDF 可以將事件傳送到系統日誌，以與 SIEM 系統整合。記錄 AVDF 儲存區域綱要後，SIEM 或日誌匯總工具可加以查詢，以與大多數第三方 SIEM/日誌分析器產品輕鬆整合。

安全性

Oracle Database Firewall 會監控目標的加密流量嗎？

使用 Oracle 原生網路加密或 TLS 網路加密時，Oracle Database Firewall 會監控來往 Oracle 資料庫的流量。對於使用 TLS 網路加密的非 Oracle 資料庫，Database Firewall 無法解譯此 SQL 流量。您可以使用 SSL 或 TLS 終止解決方案，在 SQL 流量抵達 Database Firewall 之前予以終止，以解譯 SQL 流量並強制實行原則。

如何保護儲存在 AVDF 中的資料？

AVDF 會使用 Transparent Data Encryption 來加密收集到的資料，並將目標的網路流量加密。AVDF 提供管理員與稽核者之間的職責劃分，並使用 Database Vault 來限制資料的存取權。如需詳細資料，請參閱 AVDF 管理員指南中的＜一般安全準則＞。

AVDF 可以 Microsoft Active Directory 搭配進行驗證嗎？

AVDF 20 支援與 Microsoft Active Directory 整合以進行使用者驗證。您也可以將 AVDF 管理員/稽核者建立為 Microsoft Active Directory 使用者。如需詳細資料，請參閱 AVDF 管理員指南。

企業功能

AVDF 在面對大量目標或大量稽核/日誌資料時，如何進行擴展？

在依據大小調整指導原則進行設定時，Audit Vault 伺服器可以支援最多 1,000 個稽核追蹤的 AVDF 事件資料收集，且每個代理支援最多 20 個稽核追蹤。如需規模調整指引，請參閱《安裝指南》中的＜Audit Vault and Database Firewall 最佳實務和規模計算機 (MOS Note：2092683.1)＞。您可以根據環境調整 Audit Vault 伺服器、代理及 Database Firewall 所需的中央處理器 (CPU)、記憶體及磁碟大小。您會需要提供目標數目、每天產生的平均稽核資料、時限、防火牆目標數目及其他資訊，才能產生規模調整指引。

AVDF 可以處理 Oracle Exadata 和其他叢集資料庫的高負載嗎？

AVDF 可以進行擴展，以支援從 Oracle Exadata 和其他叢集資料庫收集的稽核資料。您可以根據目標總計與預期的稽核擷取率，設定代理數目。在 AVDF 20.5 (及更新版本) 中，Audit Vault 代理會自動選擇最佳的組態來改善稽核收集率。這個動態的多重執行緒收集器功能，能夠有效利用 Audit Vault 伺服器與 Audit Vault 代理的資源。如需詳細資料，請參閱《管理員指南》中的註冊目標。

AVDF 除了支援內部部署目標之外，是否還支援雲端目標？

AVDF 可以監控部署於內部部署及 Oracle Cloud 中的目標，包括 Oracle Autonomous Database 服務。Audit Vault 伺服器會從雲端或內部部署資料庫的稽核軌跡收集傳統稽核軌跡、精細稽核、Database Vault 稽核及統一稽核的資料。如需詳細資料，請參閱管理員指南中的＜Oracle Audit Vault and Database Firewall 混合式雲端部署＞。

AVDF 如何支援高可用性以實現容錯能力？

AVDF 支援所有 AVDF 元件的高可用性組態，包括 Audit Vault 伺服器、Database Firewall 及 Audit Vault 代理。如需詳細資料，請參閱管理員指南。

AVDF 是否能封存稽核/日誌資料，以符合法規的保留要求？

Audit Vault 伺服器支援以目標為單位的資料保留原則，以符合內部或外部的合規要求。稽核資料可自動封存在低成本的外部儲存區域中，並依據目標專屬的原則擷取。如需詳細資料，請參閱管理員指南。

AVDF 可以對異常活動發出警示，縮短分析時間嗎？

AVDF 具有強大的警示產生器，可依據各種條件對收集的稽核及防火牆資料設定警示。AVDF 可在儀表板上顯示警示，並以電子郵件傳送警示或傳送給系統日誌。

AVDF 如何與 Oracle 安全產品 (例如 Oracle Key Vault、Oracle Database Vault 及 Oracle Database Security Assessment Tool) 整合？

AVDF 可在 AVDF 報告中讀取和顯示 Database Vault 稽核軌跡內的稽核資料。Oracle Key Vault 可新增為 AVDF 中的目標。AVDF 會從 Oracle Key Vault 收集稽核資料，並在 AVDF 中產生所有活動報告。從 AVDF Release Update 9 開始，DBSAT 已與 AVDF 安全評估和敏感資料尋找功能整合，以評估 Oracle 資料庫的安全態勢，並在全部 Oracle 資料庫中探索敏感資料。

Oracle Enterprise Manager 可以管理 AVDF 嗎？

Enterprise Manager AVDF 外掛程式在 Oracle Enterprise Manager Cloud Control 內提供介面，讓管理員得以管理和監控 AVDF 元件。如需完整資訊，請參閱適用於 Audit Vault and Database Firewall 的監控外掛程式使用者指南。請參閱與 Oracle Enterprise Manager 的相容性，以確認 AVDF 20 支援的 Oracle Enterprise Manager 版本。

部署

我可以在哪些類型的硬體或 VM 上執行 AVDF？如何調整其大小？

您可以使用 Oracle Linux Release 8 支援的任意 Intel x86 64 位元硬體平台來部署 AVDF 元件。如需經認證硬體的完整清單，請參閱「硬體認證清單」。每個 Audit Vault 伺服器與 Database Firewall，都必須安裝在其專屬的 x86 64 位元伺服器上。請參閱安裝指南中的 2.2.1＜產品相容性矩陣＞。

AVDF 也可從 Oracle Cloud Marketplace 部署於 Oracle Cloud Infrastructure (OCI)。您可以利用市場映像檔，在幾分鐘內部署功能完整的 AVDF 系統。Oracle Cloud 可以靈活調整運算資源，以滿足不斷成長的需求。由於擴展相當容易，因此您可以選擇從小型 VM 資源配置開始，再隨著工作負載增加而擴展。

如需規模調整指引，請參閱《安裝指南》中的＜Audit Vault and Database Firewall 最佳實務和規模計算機 (MOS Note：2092683.1)＞。您可以根據環境調整 Audit Vault 伺服器、代理及 Database Firewall 所需的中央處理器 (CPU)、記憶體及磁碟大小。您會需要提供目標數目、每天產生的平均稽核資料、時限、防火牆目標數目及其他資訊，才能產生規模調整指引。

雖然 AVDF 可在虛擬化環境 (例如 Oracle VM Server 或 VMware) 上執行，但建議您安裝在實體硬體上。

安裝/部署 AVDF 需要多久時間？會需要諮詢協助嗎？

一般的概念驗證時間為兩天到兩週不等，視目標和原則的數目而定。部署共有三個主要步驟：

1. 安裝 Audit Vault 伺服器，並視需要在自選的伺服器機器上安裝 Database Firewall：使用 ISO 映像進行的整個流程相當簡單，可在幾個小時內快速完成。如果您在 OCI 租用戶中從 Oracle Cloud Marketplace 部署 AVDF，只需幾分鐘即可完成系統佈建。

2. 啟用或建立目標或 Database Firewall 的適當稽核或監控原則：只要按幾下滑鼠，AVDF 即可協助客戶快速建立預設原則。不過，不同的使用案例也可能需要更多時間。

3. 分析報告及警示：AVDF 提供數十份立即可用的報告，而且您可以進一步加以自訂，以滿足合規或安全方面的要求。

完成概念驗證之後，您通常會再花一些時間，透過 AVDF 主控台設定備份、封存、高可用性等項目。您也可以使用自訂收集器架構，為應用程式新增收集器。

我們有許多客戶在導入 AVDF 時並未使用諮詢服務。

在安裝之前，請參閱安裝指南中的安裝檢查清單，並使用規模試算表 (MOS Note: 2092683.1) 來決定適當的硬體配置。

AVDF 如何盡可能縮短部署和升級時間？

AVDF 是包含 Oracle Linux 作業系統、Oracle Database 和 AVDF 軟體的完整堆疊軟體設備，能夠一次輕鬆部署及升級全部元件。修正或升級 Audit Vault 伺服器時，也會自動下載並更新代理，藉此盡可能縮短部署和升級時間。

您也可以使用備份與還原功能，將 Oracle Audit Vault and Database Firewall 更新為新版本，縮短監控與收集資料時的停機時間。您可以使用此流程，從 Oracle AVDF 20.3 和更新版本更新為 20.9 和更新版本。若要深入瞭解，請前往這裡。

當 AVDF 上安裝了其他或第三方軟體時，Oracle 的支援政策為何？

Oracle Audit Vault and Database Firewall (AVDF) 會以設備形式出貨，且 Audit Vault 伺服器上不應安裝任何第三方軟體。如需詳細資料，請參閱 AVDF 概念指南。

升級

我目前擁有 AVDF 12.2。升級成 AVDF 20 的理由是什麼？

基於下列原因，您應該考慮升級為 AVDF 20。首先，AVDF 12.2 已於 2021 年 3 月結束 Premier Support。這表示 Oracle 不會再為該產品產生定期安全修正程式。但更重要的是，最新版的 AVDF 提供下列新功能：

透過針對不同工作流程最佳化的全新現代化 UI，提高管理員/作者生產力。
支援統一稽核，這對想要從傳統稽核改用統一稽核的客戶而言非常重要。
與舊版相比，Database Firewall 設定組態更加簡化。
加入新目標，例如 PostgreSQL、MongoDB (使用簡單的屬性對應表) 及 Oracle Cloud Autonomous Databases。
擴大自訂收集器支援，加入 JSON、REST 和 CSV。
使用支援多租用戶 Oracle Database 組態的 Oracle GoldenGate 整合擷取流程 (內含受限授權)，收集經修改記錄的之前/之後值。
與 Microsoft Active Directory 整合後，有助於集中管理 AVDF 使用者。
自動封存 Audit Vault 伺服器的稽核/網路事件資料。
與 FIPS 140-2 相容，可用於內嵌式資料庫與作業系統。
可在內部部署或在 Oracle Cloud 中部署 AVDF。適用於在 Oracle Database 目標上佈建的安全技術實施準則 (STIG) 整合式稽核原則。
使用資料庫安全態勢管理，為所有 Oracle 資料庫全面簡化與集中檢視安全組態評估。
如需 AVDF 20 和更新版本更新中引進的重要新功能和增強功能清單，請參閱這裡。如果想要查看這些功能的實際運作方式，請在這裡註冊 LiveLabs 引導式工作坊。

我可以從哪個 AVDF 版本進行升級？

您可以從 AVDF 12.2.0.9.0 或更新版本升級至 AVDF 20。如果您使用的版本低於 12.2 Bundle Patch 9，請先予以升級。如需詳細資料，請參閱 AVDF 安裝指南。

如果進行升級的話，我目前註冊的目標、自訂報告和封存的資料會一併移轉嗎？

在升級之後，您目前註冊的目標、自訂報告和封存資料將會自動移轉至 AVDF 20。