Perguntas frequentes sobre o Oracle Audit Vault and Database Firewall

Perguntas gerais

Qual é a versão mais recente do Audit Vault and Database Firewall?

A versão mais recente do AVDF (Oracle Audit Vault and Database Firewall) é a Atualização de Versão 11 (AVDF 20.11). Leia o blog e a nota de versão do anúncio para obter mais detalhes.

O que há de novo no Oracle Audit Vault and Database Firewall?

O Oracle Audit Vault and Database Firewall agora se expande além do monitoramento de atividades do banco de dados para gerenciar a postura de segurança do Oracle Database, aprimorando seus melhores recursos de monitoramento de atividades com visibilidade da configuração de segurança, direitos do usuário e procedimentos armazenados. Ele fornece uma interface de usuário moderna com navegação simplificada para fluxos de trabalho comuns e coleta de auditoria expandida para muitos tipos de destinos populares. O AVDF audita bancos de dados e monitora atividades SQL baseadas em rede para ajudar a gerenciar a postura de segurança de bancos de dados Oracle e não Oracle hospedados na nuvem ou on-premises. Consulte as Notas de versão do AVDF para obter uma lista completa de recursos.

Como o Audit Vault and Database Firewall estão relacionados? Preciso dos dois?

O AVDF dá suporte a coleta de auditoria nativa e monitoramento de tráfego SQL baseado em rede. Todos os eventos de auditoria são armazenados no Oracle Audit Vault Server. Isso permite correlacionar os dados da atividade e criar relatórios. A Oracle recomenda uma abordagem holística e suporta auditoria de banco de dados e monitoramento de tráfego SQL baseado em rede. Você pode começar com qualquer um dos recursos e expandir sua arquitetura para incluir ambos, se necessário.

Quais tipos e versões de destino são suportados pelo AVDF?

O AVDF suporta Oracle Database, Microsoft SQL Server, MySQL, IBM Db2, PostgreSQL, SAP Sybase, MongoDB e logs de sistema operacional para Linux, Windows, Solaris e AIX. O AVDF também oferece suporte a trilhas de auditoria gravadas em arquivos nos formatos XML, CSV e JSON. Você pode usar coletores personalizados para coletar os logs de auditoria e enviá-los ao servidor do vault de auditoria para todos os outros destinos onde as trilhas de auditoria são gravadas nas tabelas de banco de dados. Consulte a Matriz de Suporte da Plataforma no Guia de Instalação do AVDF para saber mais.

Como o AVDF consolida dados de auditoria de outras fontes, como aplicações?

O AVDF pode coletar dados de auditoria de tabelas de aplicação ou arquivos (XML, JSON, CSV). O AVDF mapeia os dados em um formato padronizado e os armazena no repositório AVDF. Os dados coletados estão disponíveis para geração de relatórios, geração de alertas e análise. Como o formato é padronizado em todas as origens, é possível consolidar informações de todos os tipos de origens em um único relatório. Para saber mais, consulte o Guia do Desenvolvedor do AVDF.

Qual é a diferença entre auditoria e monitoramento de rede? Preciso dos dois?

A auditoria geralmente captura informações detalhadas após um determinado evento, seja diretamente de uma instrução SQL ou por meio de uma chamada de procedimento armazenado. O monitoramento do tráfego SQL ajuda você a analisar e agir sobre a instrução SQL antes que ela chegue ao banco de dados, possibilitando o bloqueio de instruções suspeitas. Em ambos os casos, você pode especificar as condições sob as quais deseja coletar os logs de auditoria ou de eventos. Os dois métodos dão visões diferentes sobre o mesmo evento: um depois e outro antes. Alertas podem ser gerados em ambos. A Oracle recomenda uma abordagem holística e suporta auditoria de banco de dados e monitoramento de tráfego SQL baseado em rede. Os clientes podem começar com qualquer uma das capacidades e expandir sua arquitetura para incluir ambas.

Como provisiono auditoria e políticas do Database Firewall?

O AVDF fornece uma interface para visualizar suas políticas de auditoria Oracle e, com um único clique, provisioná-las no banco de dados de destino. Para a política de firewall de banco de dados, quando um ponto de monitoramento de é configurado para o destino, a política padrão é aplicada automaticamente. Essa política padrão é configurada para todos os destinos monitorados pelo firewall de banco de dados. Todos os logins e logouts e instruções DDL e DCL exclusivas são capturados nas sessões para todas as tabelas e exibições. As políticas definidas pelo usuário do Database Firewall também podem ser configuradas para permitir, registrar, alertar, substituir ou bloquear o SQL. Além disso, as políticas de firewall podem ser configuradas para bancos de dados Oracle para capturar o número retornado de linhas de uma instrução SQL SELECT e usar esses dados para monitorar e alertar sobre tentativas de exfiltração de dados. Para saber mais, consulte o Guia do Auditor.

Quais são as diferentes maneiras de monitorar o tráfego do banco de dados?

Você pode configurar o Database Firewall para monitoramento e bloqueio ou apenas para monitoramento. Para implementar o monitoramento e o bloqueio, você deve configurar o firewall no modo proxy, onde o tráfego do banco de dados é roteado pelo Database Firewall. Para implementar o monitoramento de tráfego SQL baseado em rede, você pode fazer com que a porta span dos comutadores de rede envie o tráfego para o Database Firewall ou pode configurar o monitor de host nas máquinas do banco de dados para encaminhar o tráfego SQL para o Database Firewall. Para saber mais, consulte o Guia do Administrador.

Posso obter um relatório unificado com dados de auditoria e logs de rede?

Sim. O servidor do Audit Vault consolida os dados de auditoria e o tráfego SQL da rede para fornecer uma visão unificada de todas as atividades do banco de dados a partir dos logs de auditoria ou do tráfego SQL capturado. Alertas e relatórios são criados a partir dos dados consolidados.

Posso correlacionar a atividade do sistema operacional com as atividades do banco de dados para obter uma visão completa?

Sim. O AVDF fornece um relatório que exibe detalhes de eventos do banco de dados correlacionados com o usuário original do sistema operacional Linux antes da transição SU ou SUDO.

Principais casos de uso

O AVDF pode avaliar a postura de segurança dos bancos de dados?

O AVDF 20.9 apresenta uma solução de avaliação de segurança centralizada que abrange toda a empresas ao integrar a popular ferramenta Database Security Assessment Tool (DBSAT) para Oracle Databases. A avaliação completa, com mapeamentos e recomendações de conformidade, ajudará as organizações a entender claramente a postura de segurança de todos os Oracle Databases em um local central. Você também pode definir uma linha de base de avaliação e determinar o desvio dessa linha de base visualizando relatórios de divergência de avaliação de segurança. Saiba mais sobre isso aqui.

O AVDF consegue descobrir dados confidenciais e usuários privilegiados?

A partir da versão AVDF 20.9, os usuários podem descobrir dados confidenciais e usuários privilegiados em Oracle Databases. O AVDF estende a capacidade dos direitos do usuário e do DBSAT e identifica usuários privilegiados e objetos confidenciais no Oracle Database. Isso é ativado ao executar e agendar os direitos do usuário e os jobs de descoberta de objetos confidenciais. Depois que os usuários privilegiados e os objetos confidenciais forem descobertos, eles poderão ser adicionados a seus respectivos conjuntos. Esses conjuntos são globais e podem ser usados em várias políticas de firewall de banco de dados. Conjuntos globais também podem incluir informações de contexto da sessão, como Endereço IP, Usuário do SO, Programa Cliente e Usuário do Banco de Dados, simplificando ainda mais o gerenciamento de políticas do Database Firewall.

Como o AVDF ajuda a atender aos requisitos de relatórios de conformidade?

O AVDF fornece relatórios de conformidade predefinidos para GDPR, PCI, GLBA, HIPAA, IRS 1075, SOX e DPA do Reino Unido. Por exemplo, em conformidade com o GDPR, fornecemos relatórios sobre quem tem acesso e quem está acessando seus dados confidenciais. Você pode personalizar os relatórios para atender aos seus objetivos específicos ou requisitos de conformidade específicos da indústria/região. As ferramentas de relatórios de terceiros também podem se conectar ao esquema do Audit Vault para análises e relatórios.

O AVDF pode auditar e rastrear as atividades dos usuários privilegiados?

Sim. Você pode habilitar políticas de auditoria para atividades administrativas e nomear usuários. O AVDF tem relatórios predefinidos, incluindo relatórios de usuários privilegiados, que mostram todas as atividades auditadas por eles.

Como o AVDF ajuda na investigação de uso indevido ou acesso não autorizado?

Use o relatório de todas as atividades para analisar quais objetos foram acessados. AVDF pode filtrar por usuário, objeto, datas e muito mais, e analisar os dados resultantes para ver se usuários não autorizados acessaram os objetos. Além disso, você pode usar a contagem de linhas retornadas de instruções SQL SELECT em Oracle Databases para identificar possíveis tentativas de exfiltração de dados.

O AVDF pode ajudar no rastreamento de alterações em usuários, funções, privilégios e autorizações?

Sim. O AVDF pode ser configurado para verificar os direitos dos bancos de dados Oracle de forma programada e fornecer relatórios diferenciados sobre o que mudou desde o último relatório. O AVDF identifica alterações em usuários, funções e privilégios.

Como o relatório de valores anteriores/posteriores ajuda na segurança e na conformidade?

As políticas e regulamentações de segurança corporativa, como HIPAA, exigem que as alterações feitas em dados confidenciais sejam auditadas e que os valores anteriores e posteriores do registro sejam capturados. O AVDF captura os valores anteriores/posteriores usando o processo de extração integrado do Oracle GoldenGate (licença restrita incluída) e os disponibiliza nos relatórios do AVDF. Essa capacidade está disponível para bancos de dados Oracle e MS SQL Server. Veja o Guia do Administrador e o Guia do Auditor do AVDF para saber mais.

Como o AVDF ajuda com iniciativas de monitoramento de atividade de banco de dados (Database Activity Monitoring, DAM) e SIM/SIEM na minha organização?

O AVDF é uma solução de DAM que fornece coleta de dados de auditoria nativa e monitoramento de tráfego SQL baseado em rede. O AVDF dá suporte a alertas, relatórios e arquivamento de dados de auditoria. O AVDF pode enviar eventos para syslog para integração com sistemas SIEM. O esquema do repositório do AVDF é documentado e pode ser consultado por um SIEM ou agregador de log, permitindo fácil integração com a maioria dos produtos SIEM/analisadores de log de terceiros.

Segurança

O Oracle Database Firewall monitora o tráfego criptografado para os destinos?

O Oracle Database Firewall monitora o tráfego de e para um banco de dados Oracle quando a criptografia de rede nativa da Oracle ou a criptografia de rede TLS é usada. Para bancos de dados não Oracle que usam criptografia de rede TLS, o Database Firewall não pode interpretar esse tráfego SQL. Você pode usar soluções de terminação SSL ou TLS para encerrar o tráfego SQL antes que ele chegue ao Database Firewall para que ele possa interpretar o tráfego SQL e aplicar as políticas.

Como os dados armazenados no AVDF são protegidos?

O AVDF criptografa os dados coletados usando criptografia de dados transparente e também o tráfego de rede dos destinos. O AVDF fornece uma separação de funções entre o administrador e o auditor e usa o Database Vault para restringir o acesso aos dados. Consulte as Diretrizes Gerais de Segurança no Guia do Administrador do AVDF para saber mais.

O AVDF pode funcionar com o Microsoft Active Directory para autenticação?

Sim. O AVDF oferece suporte à integração do Microsoft Active Directory para autenticação do usuário. Você também pode criar administradores/auditores do AVDF como usuários do Microsoft Active Directory. Para saber mais, consulte o Guia do Adminitrador do AVDF.

Recursos corporativos

Como o AVDF escala com inúmeros destinos ou um alto volume de dados de auditoria/log?

Quando configurado de acordo com a orientação de dimensionamento, um servidor do Audit Vault pode oferecer suporte à coleta de dados de eventos de até 1.000 trilhas de auditoria e cada agente pode oferecer suporte a até 20 trilhas de auditoria. Para obter orientação sobre dimensionamento, consulte as Práticas Recomendadas do Audit Vault and Database Firewall e a Calculadora de Dimensionamento (MOS Note: 2092683.1) no Guia de Instalação. Você pode dimensionar a CPU, a memória e o disco necessários para o servidor do Audit Vault, agente e Firewall Database com base em seu ambiente. Você precisará fornecer o número de destinos, média de dados de auditoria gerados por dia, período de retenção, número de destinos de firewall e outras informações para gerar a orientação de dimensionamento.

O AVDF pode lidar com a alta carga do Oracle Exadata e de outros bancos de dados em cluster?

Sim. O AVDF pode ser dimensionado para oferecer suporte à coleta de dados de auditoria do Oracle Exadata e de outros bancos de dados em cluster. Você pode configurar o número de agentes com base nos destinos totais e na taxa de ingestão de auditoria esperada. No AVDF 20.5 (e posterior), os agentes do Audit Vault escolhem automaticamente a melhor configuração possível para melhorar a taxa de coleta de auditoria. Essa funcionalidade de coletor dinâmica e multithread utiliza efetivamente os recursos do servidor e do agente do Audit Vault. Para saber mais, consulte o Registro de Destinos no Guia do Administrador.

O AVDF oferece suporte a destinos de nuvem além de destinos on-premises?

Sim. O AVDF pode monitorar destinos implementados on-premises e na nuvem, incluindo os serviços do Oracle Autonomous Database. O servidor do Audit Vault coleta dados para trilhas de auditoria tradicionais, auditorias refinadas, auditorias do Database Vault e auditorias unificadas de trilhas de auditoria na nuvem ou em bancos de dados on-premises. Consulte Implementação em Nuvem Híbrida do Oracle Audit Vault And Database Firewall no Guia do Administrador para saber mais.

Como o AVDF suporta alta disponibilidade para tolerância a falhas?

O AVDF oferece suporte à configuração de alta disponibilidade para todos os componentes do AVDF, incluindo o servidor do Audit Vault, o Database Firewall e o agente do Audit Vault. Consulte o Guia do Administrador para saber mais.

O AVDF pode arquivar dados de auditoria/log para atender aos requisitos regulatórios de retenção?

O servidor do Audit Vault oferece suporte a políticas de retenção de dados por destino, tornando possível atender a requisitos de conformidade internos ou externos. Os dados de auditoria podem ser arquivados automaticamente em um repositório externo de baixo custo e recuperados de acordo com a política específica do destino. Consulte o Guia do Administrador para saber mais.

O AVDF pode gerar alertas sobre atividades anômalas para minimizar o tempo de análise?

O AVDF possui um poderoso criador de alertas que configura alertas nos dados coletados de auditoria e firewall com base em várias condições. O AVDF pode exibir o alerta no painel e enviá-lo como um email ou para o syslog.

Como o AVDF é integrado aos produtos de segurança da Oracle, como Oracle Key Vault, Oracle Database Vault e Oracle Database Security Assessment Tool (DBSAT)?

O AVDF pode ler e exibir dados da trilha de auditoria do Database Vault nos relatórios do AVDF. O Oracle Key Vault pode ser adicionado como um destino no AVDF. O AVDF coletará dados de auditoria do Oracle Key Vault e gerará todos os relatórios de atividades no AVDF. A partir da Atualização da Versão do AVDF 9, o DBSAT é integrado à avaliação de segurança do AVDF e à descoberta de dados confidenciais para avaliar a postura de segurança e descobrir dados confidenciais em Oracle Databases.

Um Oracle Enterprise Manager pode gerenciar o AVDF?

O plug-in Enterprise Manager AVDF fornece uma interface no Oracle Enterprise Manager Cloud Control para que os administradores gerenciem e monitorem os componentes do AVDF. Consulte o Guia do Usuário do Plug-in de Monitoramento do Sistema para o Audit Vault and Database Firewall para obter informações completas. Confira a Compatibilidade o com Oracle Enterprise Manager para verificar as versões suportadas do Oracle Enterprise Manager com AVDF.

Implementação

Posso executar o AVDF em que tipo de hardware ou VMs? Como faço para dimensioná-los?

Qualquer plataforma de hardware Intel x86 de 64 bits suportada pelo Oracle Linux Release 8 pode ser usada para implementar os componentes do AVDF. Consulte a Lista de Certificação de Hardware para obter uma lista completa de hardware certificado. Cada servidor do Audit Vault and Database Firewall deve ser instalado em seu servidor x86 de 64 bits dedicado. Consulte a 2.2.1 Matriz de Compatibilidade do Produto no Guia de Instalação.

O AVDF também pode ser implementado na Oracle Cloud Infrastructure (OCI) a partir do Oracle Cloud Marketplace. Com a imagem do marketplace, é possível implementar um sistema do AVDF totalmente funcional em poucos minutos. A Oracle Cloud oferece flexibilidade para dimensionar recursos de computação para atender a requisitos crescentes. A facilidade de expansão oferece a opção de começar com uma pequena forma de VM e aumentar conforme a carga de trabalho cresce.

Para obter orientação sobre dimensionamento, consulte as Práticas Recomendadas do Audit Vault and Database Firewall e a Calculadora de Dimensionamento (MOS Note: 2092683.1) no Guia de Instalação. Você pode dimensionar a CPU, a memória e o disco necessários para o servidor do Audit Vault, agente e Firewall Database com base em seu ambiente. Você precisará fornecer o número de destinos, média de dados de auditoria gerados por dia, período de retenção, número de destinos de firewall e outras informações para gerar a orientação de dimensionamento.

Embora o AVDF possa ser executado em ambientes virtualizados, como Oracle VM Server ou VMware, recomendamos instalá-lo em hardware físico.

Quanto tempo leva para instalar/implementar o AVDF? A consultoria é necessária?

Uma prova de conceito típica pode variar de dois dias a duas semanas, dependendo do número de destinos e políticas. Há três etapas principais para a implementação.

1. Instalação do servidor do Audit Vault e, opcionalmente, do Database Firewall nas máquinas servidoras de sua preferência: Todo o processo utilizando a imagem ISO é bastante simples e pode ser realizado rapidamente em poucas horas. Se você implementar o AVDF do Oracle Cloud Marketplace em uma tenancy da OCI, o sistema poderá ser provisionado em apenas alguns minutos.

2. Ativando ou criando as políticas de auditoria ou monitoramento apropriadas no destino ou no Firewall de Banco de Dados. O AVDF ajuda você a criar políticas padrão muito rapidamente, com apenas alguns cliques. No entanto, dependendo do caso de uso, isso pode levar mais tempo.

3. Analisando os relatórios e alertas. O AVDF fornece várias dezenas de relatórios prontos para uso e você pode personalizá-los ainda mais para atender aos seus requisitos de conformidade ou segurança.

Quando a prova de conceito é feita, a configuração de backup, arquivamento, alta disponibilidade e outras opções de configuração no console AVDF geralmente leva mais tempo. Você também pode adicionar coletores para suas aplicações usando a estrutura de coletor personalizada.

Muitos de nossos clientes implementaram o AVDF sem usar serviços de consultoria. Antes da instalação, consulte a lista de verificação no Guia de Instalação e use a planilha de dimensionamento (Nota MOS: 2092683.1) para determinar a configuração de hardware apropriada.

Como o AVDF minimiza o tempo de implementação e atualização?

O AVDF é um dispositivo de software completo que inclui o sistema operacional Oracle Linux, o Oracle Database e o software AVDF, facilitando a implementação e o upgrade de todos os componentes de uma só vez. Quando o servidor do Audit Vault é corrigido ou atualizado, os agentes são baixados e atualizados automaticamente, minimizando assim o tempo de implementação e atualização.

Você também pode usar a funcionalidade de backup e restauração para atualizar o Oracle Audit Vault and Database Firewall para uma nova versão que oferece tempo de inatividade mínimo para monitoramento e coleta de dados. Você pode usar esse processo para atualizar do Oracle AVDF 20.3 e posterior para a versão 20.9 e posterior. Leia mais aqui.

Qual é a política de suporte da Oracle quando software adicional ou de terceiros é instalado no AVDF?

O Oracle Audit Vault and Database Firewall é fornecido como um dispositivo e nenhum software de terceiros deve ser instalado no servidor do Audit Vault. Veja o Guia de Conceitos do AVDF para saber mais.

Atualização

Atualmente, tenho o AVDF 12.2. Por que devo atualizar para o AVDF 20?

Considere a atualização para o AVDF 20 pelos seguintes motivos. Primeiro, o AVDF 12.2 encerrou o Premier Support em março de 2021. Isso significa que a Oracle não produz mais patches de segurança periódicos para o produto. Porém, o mais importante é que a versão mais recente do AVDF oferece os seguintes novos recursos e capacidades:

  • Aumento da produtividade do administrador/autor a partir de uma interface de usuário totalmente nova, modernizada e otimizada para diferentes fluxos de trabalho.
  • Suporte para auditoria unificada, que é importante para clientes que desejam migrar da auditoria tradicional para uma unificada.
  • A configuração simplificada do Database Firewall em comparação com versões anteriores.
  • Novos destinos, como PostgreSQL, MongoDB (usando uma tabela simples de mapeamento de atributos) e Oracle Cloud Autonomous Databases.
  • Suporte de coletor personalizado estendido para incluir JSON, REST e CSV.
  • Coleta de valores anteriores/posteriores de registros modificados usando o processo de extração integrado do Oracle GoldenGate (licença restrita incluída) que suporta bancos de dados Oracle e Microsoft SQL Server.
  • A integração com o Microsoft Active Directory facilita o gerenciamento centralizado dos usuários do AVDF.
  • Arquivamento automatizado de dados de eventos de auditoria/rede do servidor do Audit Vault.
  • Compatibilidade com FIPS 140-2 para banco de dados e sistemas operacionais incorporados.
  • Capacidade de implementar o AVDF on-premises ou na Oracle Cloud. O AVDF segue a política de auditoria unificada das Diretrizes de Implementação Técnica de Segurança (Security Technical Implementation Guidelines, STIG) para provisionamento em destinos de Oracle Databases.
  • Visão simplificada e centralizada em todo o conjunto de avaliações de configuração de segurança para todos os bancos de dados Oracle com gerenciamento de postura de segurança.

Uma lista dos novos recursos e aprimoramentos significativos introduzidos no AVDF 20 e atualizações de versões posteriores pode ser encontrada aqui. Se quiser ver esses recursos em ação, inscreva-se em um workshop guiado do LiveLabs aqui.

De quais versões do AVDF posso atualizar?

Você pode atualizar do AVDF 12.2.0.9.0 e superior para o AVDF 20. Se você estiver em uma versão anterior à 12.2 Bundle Patch 9, atualize-a primeiro. Veja o Guia de Instalação do AVDF para saber mais.

Meus destinos atualmente registrados, relatórios personalizados e dados arquivados migrariam se eu atualizasse?

Sim. Após a atualização, seus destinos atualmente registrados, relatórios personalizados e dados de arquivo serão migrados automaticamente para o AVDF 20.

Mais Informações

Como faço para começar a usar o AVDF? Quais recursos estão disponíveis para me ajudar?

Visite o site da Oracle Technology Network para saber mais sobre o produto e acessar resumos técnicos, folhas de dados e outros materiais, ou entre em contato com um representante da Oracle perto de você.

Onde posso baixar o software do AVDF e a documentação do produto?

O AVDF está disponível para download na Oracle Software Delivery Cloud. Procure pelo pacote de produtos do Oracle Audit Vault and Database Firewall. O AVDF também pode ser implementado na Oracle Cloud. Vá para o Oracle Cloud Marketplace e procure por Oracle Audit Vault and Database Firewall.

Há um fórum de discussão externo?

Sim. Sim, o fórum Oracle Audit Vault and Database Firewall fornece uma plataforma onde você pode tirar suas dúvidas sobre os produtos com especialistas da comunidade Oracle.