Oracle Audit Vault - doag.org · Oracle Audit Vault © OPITZ CONSULTING GmbH 2011 Seite 1 Oracle...

© OPITZ CONSULTING GmbH 2011 Seite 1Oracle Audit Vault

Oracle Audit Vault


Auditiert, und dann?

München, 03.03.2011

Oracle Audit Vault

Stefan Seck

OPITZ CONSULTING Essen GmbH


Märkte

Java

SOA

ORACLE

BI/DWH

Outtasking

Kunden

Branchen-

übergreifend

Über 600

Kunden

Leistungs-

angebot

IT-Strategie

Beratung

Implementierung

Betrieb

Training

Fakten

Gründung 1990

400 Mitarbeiter

8 Standorte in

D/PL/CH

Industrie / Versorger /

Telekommunikation

29%

Handel / Logistik /

Dienstleistungen

29%

42%

Öffentliche Auftraggeber /

Banken & Versicherungen /

Vereine & Verbände

© OPITZ CONSULTING GmbH 2011


Agenda

1. Warum auditieren?

2. Wie auditieren?

3. Auditiert, und dann?

4. Audit Vault?

5. Fazit


1Warum auditieren?


Externe Bedrohung

„ Mit geklonten Debit-Karten haben US-Berichten zufolge

Kriminelle innerhalb weniger Stunden neun Millionen US-

Dollar von 130 Geldautomaten in 49 Städten weltweit

abgehoben.“

06.02.2009 bei heise online


Motivation der Angreifer

Kommerzielles Interesse

„Suche nach Gerechtigkeit“ (gefeuerte oder frustrierte MA,

Grey-Hat Hacker etc.)

Mehr Wissen über Sicherheitslücken

Spezialisierung der Angreifer

Security oft keine Präventiv-Maßnahme


Vorgaben

Sarbanes-Oxley-Act

HIPAA

PCI-DSS

BASEL II

Weitere gesetzliche Vorgaben


Anforderungen und Wünsche - Management

Wer arbeitet wann mit welchen Daten? Business Need to Know

Wer greift auf „verbotene“ Daten zu?

Wie werden Auditdaten vor Manipulation geschützt?


Anforderungen und Wünsche - Auditoren

Rollentrennung (Security-Admin <-> DBA) Separation of Duty

Reporting

Alarme

Integrität der Audit-Daten


Anforderungen und Wünsche - IT

Keine Einschränkung bei der tägl. Admin-Arbeit

Keine Performanceeinbußen


Ständiges Audit

Privilegierte Benutzer Alle Operationen

Datenbankweit DDL Operationen

Missglückte Anmeldeversuche

Zugriff auf sensible Daten


Voraussetzung

KonzeptWelche Daten sollen wie überwacht werden?

Rollenverteilung muss klar sein

Und das Wichtigste:

Konzept, Konzept und Konzept


2Wie auditieren?


Auditing Methoden

Trigger

anwendungsspezifisch programmierbar

Feuern bei DML

Select-Statements werden nicht protokolliert


Auditing Methoden

LogMiner

Informationen aus den RedoLog-Dateien sichtbar machen: DML- (Insert, Update, Delete) oder DDL-Befehle (Create ... ) in Form von

Undo- und Redo-Statements

System Change Number (SCN)

Benutzer, der das Statement abgesetzt hat

Name und Schema des geänderten Objekts


Auditing Methoden

AUDIT

init.ora Parameter: audit_trail

DB Audit-Daten in SYS.AUD$

DB, EXTENDED wie DB inkl SQL Bindvariablen und Text

XML Audit-Daten als XML-File

XML, EXTENDED wie XML inkl SQL Bindvariablen und Text

OS Audit-Daten in AUDIT_FILE_DEST

init.ora Parameter: audit_sys_operations

init.ora Parameter: audit_sys_loglevel

audit_trail=db - Default in 11g


Auditing Methoden

Default Auditing instance startup

instance shutdown

connect as sysdba

Ab 11g zahlreiche Statements:


Auditing Methoden

Ein- / Ausschalten des Auditings audit / noaudit

Level des Auditings Statement Auditing

audit select by sse;

audit select table, update table by sse,swi;

Object Auditing

audit select on sse.top_verein;

Privilege Auditing

audit select table;

Optionen:

whenever sucessful

whenever not sucessful


Auditing Methoden

Auditing – ein Beispielsatz

Login nicht erfolgreich

Mon Feb 28 11:25:23 2011

SESSIONID: "180041" ENTRYID: "1" STATEMENT: "1" USERID: "SSE" USERHOST: “NLWGM100" TERMINAL: “NLWGM100" ACTION: "100" RETURNCODE: "1017" COMMENT$TEXT: "Authenticated by: DATABASE; Client address: (ADDRESS=(PROTOCOL=tcp)(HOST=192.169.163.128)(PORT=2910))" OS$USERID: “stefan“

ORA-01017: invalid username/password; logon denied


Auditing Methoden

Fine-Grained Auditing (FGA)

feiner granulierte Informationen

Audit-Policies überwachen einzelne Tabellen

Auch Select-Statements werden protokolliert

Steuerung über DBMS_FGA

Eigene Tabelle für die Audit-Informationen SYS.FGA_LOG$

DBA_FGA_AUDIT_TRAIL


Performance

Auditing

FGA

Quelle: oracle.com Whitepaper Audit Vault


Flashback / Total Recall

Basis Undo-Informationen

Ein Hintergrundprozess (fbda) erfasst asynchron Daten

CREATE FLASHBACK ARCHIVE DEFAULT FLB_ARCH TABLESPACE

FLB_ARCH_TBS QUOTA 100G RETENTION 10 YEAR;

ALTER TABLE SSE_TEST FLASHBACK ARCHIVE;

SELECT * FROM SSE_TEST AS OF TIMESTAMP

TO_TIMESTAMP(‘28.02.2011 11:55:00’,‘DD.MM.YYYY HH24:MI:SS’);

Zusätzlich gespeicherte Information rowid

startscn

endscn

xid

operation


Audit-Methoden Zusammenfassung

Trigger Programmieraufwändig

Keine SELECT‘s

LogMiner Nur DML‘s und DDL‘s

Keine SELECT‘s

Flashback / Total Recall Kein Hinweis auf den Verursacher

Auditing (auch FGA) Schlechte Auswertung

Kein Schutz vor Veränderung der gesammelten Daten

Lösung: z.B. Oracle Audit Vault


3Auditiert, und dann?


Auswertung

Daten werden in sys.aud$ / sys.fga_log$ gespeichert

Es gibt weitere Views: DBA_AUDIT_TRAIL

DBA_FGA_AUDIT_TRAIL

DBA_COMMON_AUDIT_TRAIL

DBA_STMT_AUDIT_OPTS

DBA_PRIV_AUDIT_OPTS

DBA_OBJ_AUDIT_OPTS

Daten in eigene Tabellen kopieren und auswerten Eventuell partitioniert

Zeit

User / Schema


Housekeeping

Moving AUD$ to Another Tablespace (72460.1)

DBMS_AUDIT_MGMT (731908.1) Verschieben des Audit Trail in einen anderen Tablespace

Kontrolle der Größe des OS Audit Trail

Größe

Löschen von Audit Trail Sätzen

Timestamp Management

Manuelles Löschen

Automatisches Löschen

Patch erforderlich für 10.2.0.3, 10.2.0.4

Enthalten in 10.2.0.5, 11.1.0.7, 11.2.0


4Audit Vault


Oracle Audit Vault

Konsolidierung verschiedener Audit-Trails Oracle 9.2 / 10.1 / 10.2 / 11.1 / 11.2

MS SQL Server

IBM DB2 UDB

Sybase ASE

Sichere Aufbewahrung der Audit-Daten

Zentrales Management

Zentrales Alerting

Zentrales Reporting


Oracle Audit Vault

Architektur

Source-DB

Datawarehouse

Management

Reports

Alerts

Audit Vault Server

Audit Vault Agent

Source

Collector

DBAUD

OSAUD

REDO

Source

Collector

DBAUD

OSAUD

REDO

AV_ADMIN

AV_AUDITOR


Audit Vault - Server

Verarbeitet die Audit Daten der Agenten

Legt Audit Daten in einem Datawarehouse ab

Bietet eine Oberfläche für Administration

Benachrichtigung

Reporting

Wird durch Database Vault geschützt (4 zus. User)


Datenmenge

Datenmenge ~ 1KB / Satz abhängig vom SQL-Text

Im DWH 1,5 KB / Satz + Indizes

Höhere CPU-Last bei Verdichtung


Audit Vault - Agent

Wird als zusätzliche Software installiert

Kann auf dem Audit Vault Server laufen

Idealerweise aber auf dem Server der Source-DB installiertNotwendig, wenn Auditfiles geschrieben werden.


Audit Vault- Source

Laufendes Quellsystem Liefert die Auditdaten

Logische Einheit

Benötigt einen User in der Source-DB$ORACLE_HOME/av/scripts/streams/source/zarsspriv.sql


Audit Vault - Collector

Sammelt die einzelnen Auditdaten der Datenbank

3 Kollektoren DBAUD (Rolle: RESOURCE)

Sammelt die Auditevents aus der DB

(Standard Auditing und FGA)

OSAUD (Rolle: RESOURCE)

Sammelt die Auditevents aus den Auditfiles

(z.B.: aus dem adump)

REDO (Rolle: DBA)

Nutzt LogMiner, um DML- und DDL Statements zu sammeln

supplemental logging sollte eingeschaltet sein

Parameter passend zum Release setzen (Doku)


Audit Vault - Rollen

AV_ADMIN Administration Oracle Audit Vault

Monitoring Oracle Audit Vault

Konfiguration der Kollektoren

Tools:

Audit Vault Console

Audit Vault Configuration Assistant (AVCA)

Audit Vault Control (AVCTL)

AVORCLDB, AVMSSQLDB, AVDB2DB, AVSYBDB,

AV_AUDITOR Policies erstellen

Alerts definieren und überwachen

Reports erstellen und überprüfen

Tools

Audit Vault Console


Audit Vault – Installation

Analog zur “normalen” Oracle-Installation

Passwörter müssen komplex gewählt werden

Nacharbeiten sind notwendig Standard-DB (außer Ablage der datafiles, nichts auswählbar)

Kommunikation

Kein Redo- und Controlfile Spiegel

Hinweise dazu in der Dokumentation


Audit Vault – Installation

Releasenotes zur Version 10.2.3.2 lesen

Empfehlung von Oracle:Erst 10.2.2 installieren und dann ein Upgrade auf 10.2.3

Metalink: 731081.1

Audit Vault Server Linux 32bit / 64bit

Solaris SPARC 64bit

AIX5L

HPUX Itanium

Windows


Audit Vault – Stolperfallen

Installation des Audit Vault Agenten avca kann die Angabe user/password nicht verarbeiten

Manuelles ausführen des Kmomandos aus configToolFailedCommands

Befehle müssen aus AV-Server-Home und AV-Agent-Home

abgesetzt werden Zwei Shells nutzen


Audit Vault - Oberfläche


Audit Vault - Policies

In der Source-DB ist Auditing eingeschaltet

Synchronisation der Einstellungen mit Audit Vault Server


Audit Vault - Alarme

Alarme z.B. für: Sensible Spalteninhalte

Anlegen von Benutzern

Rollenvergabe

DBA-Berechtigungen

Fehlerhafte Logins

Alarme werden schon beim

Eingang der Audit Daten

generiert

Optionale Grafik

einfügen


Audit Vault – Default Reports


Audit Vault – Compliance Reports


5Fazit


Fazit

Installation und Konfiguration manchmal trickreich

Komplex

Ermöglicht Audit Daten zentral zu sammeln

zu schützen

auszuwerten

Audit Vault auditiert „nur“, greift aber nicht ein


Fragen und Antworten


Kontakt

Stefan SeckSenior Consultant

OPITZ CONSULTING Essen GmbH

Altendorfer Str. 3, 45127 Essen

Telefon +49 201 89 29 94 - 0

[email protected]

mailto:[email protected]



Oracle Audit Vault - doag.org · Oracle Audit Vault © OPITZ CONSULTING GmbH 2011 Seite 1 Oracle...

Documents

Transcript of Oracle Audit Vault - doag.org · Oracle Audit Vault © OPITZ CONSULTING GmbH 2011 Seite 1 Oracle...