Features von Unified Auditing

Immer aktivierte Audits

Bestimmte sicherheitssensible Datenbankaktivitäten werden immer in Oracle Database auditiert und können nicht deaktiviert werden. Nutzen Sie sie, um das Datenbank-Auditing vom ersten Tag an zu starten. Zu diesen Aktivitäten gehören unter anderem:

• Anweisungen der obersten Ebene von Benutzern mit Administratorrechten, bis die Datenbank geöffnet wird, wie SYSDBA, SYSOPER, SYSASM, SYSBACKUP, SYSDG und SYSKM.
• Versuche, Auditdatensätze zu ändern oder zu löschen.
• Änderungen an der Oracle Database Vault-Konfiguration.
• Auditrelevante Aktivitäten, wie Änderungen an Audit-Policys und Ausführungen des Pakets DBMS_AUDIT_MGMT.

Eine vollständige Liste der obligatorischen auditierbaren Ereignisse, die Ihrer Datenbankversion entsprechen, finden Sie im Abschnitt „Obligatorisch auditierbare Aktivitäten“ im Oracle Database Security Guide.

Vordefinierte Audit-Policys

Oracle Database bietet mehrere vorgefertigte und einsatzbereite Best Practice-Policys für Unified Auditing, die allgemeine sicherheitsrelevante Auditeinstellungen abdecken, wie z. B.:

• Audits fehlgeschlagener Anmeldungen und Abmeldungen.
• Audits von Änderungen an den Oracle Database-Parametereinstellungen.
• Audits von Änderungen an Benutzeraccounts und -berechtigungen.
• Auditanforderungen für die Einhaltung der Vorschriften der Security Technical Implementation Guides (STIG).

Möglicherweise werden einige davon standardmäßig aktiviert angezeigt. Oracle Autonomous Database bietet außerdem mehrere zusätzliche Audits, die standardmäßig aktiviert sind.

Weitere Informationen finden Sie im Abschnitt Aktivitäten mit vordefinierten einheitlichen Audit-Policys auditieren im Oracle Database Security Guide. Weitere Informationen finden Sie im Abschnitt Standardaudit-Policys in Autonomous Database unter „Oracle Autonomous Database Serverless verwenden“, wenn Sie Autonomous Database verwenden. Wenn Sie Data Safe oder AVDF zur Überwachung Ihrer Datenbankziele verwenden, werden weitere vordefinierte einheitliche Audit-Policys angezeigt, die mit einem einzigen Klick bereitgestellt werden können. Weitere Informationen finden Sie im Abschnitt Bereitstellung von Unified Audit-Policys im AVDF-Auditorhandbuch. Weitere Informationen finden Sie im Abschnitt Oracle Data Safe-Audit-Policys, wenn Sie Oracle Data Safe verwenden.

Bedingtes Auditing

Mit bedingtem Auditing können Sie präzise, hochselektive und kontextbezogene Policys erstellen, die das Audit bestimmter Aktionen erleichtern und die Menge irrelevanter Auditdatensätze reduzieren. Bedingte Audits senken Ihren Speicherbedarf und bieten hochwertige Auditdatensätze, die für Auditoren, forensische Untersuchungen oder behördliche Compliance-Anforderungen nützlich sind. Bedingungen können auf Anwendungskontexten, Sessionkontext oder integrierten Funktionen basieren.

Benannte Audit-Policys können einmal erstellt und in mehreren Dimensionen, wie Benutzern und Rollen, durchgesetzt werden. Dies sorgt für mehr Flexibilität und Einfachheit. Weitere Informationen finden Sie im Abschnitt Unified Auditing mit konfigurierbaren Bedingungen im Oracle Database Security Guide.

Unified Audit Trail erweitern

Der Unified Audit Trail kann erweitert werden, um Anwendungsattribute einzuschließen, indem das Auditing für Anwendungskontextwerte konfiguriert wird. Für den Anwendungskontext-Namespace können die erforderlichen Attribute eingetragenwerdenwas in der Spalte APPLICATION_CONTEXTS des einheitlichen Audit Trail erfasst wird. Weitere Informationen finden Sie im Abschnitt Unified Auditing auf benutzerdefinierte Attribute erweitern im Oracle Database Security Guide.

Auditintegrität

Unified Auditing bietet ein hohes Maß an Integrität des Audittrails, da Benutzer diesen nicht manipulieren können. Der Audittrail wird im Schema AUDSYS gespeichert, auf das sich niemand in der Datenbank anmelden darf. UD$UNIFIED ist eine spezielle Tabelle, die ausschließlich INSERT-Aktivitäten zulässt. Jeder Versuch, den Inhalt der Tabelle AUD$UNIFIED direkt zu löschen, zu kürzen oder zu ändern, schlägt fehl und erzeugt einen zusätzlichen Audit-Eintrag. Die Verwaltung der Audit-Daten erfolgt über das integrierte Paket DBMS_AUDIT_MGMT. Darüber hinaus kann der Audit Tablespace mit Transparent Data Encryption (TDE) verschlüsselt werden. Die Unified Audit-Tabelle kann auch mit einer Oracle Database Vault-Realm geschützt werden.

Wenn der Parameter UNIFIED_AUDIT_SYSTEMLOG festgelegt ist, werden bestimmte Schlüsselfelder der einheitlichen Auditdatensätze in syslog geschrieben, während der vollständige Auditdatensatz in UNIFIED_AUDIT_TRAIL geschrieben wird. Syslog-Datensätze können nicht von Oracle Database oder den Benutzern geändert werden. Daher können Auditdaten im Unified Audit Trail mit den Auditfeldern aus syslog geprüft werden.

Konsolidierung

Unified Auditing kombiniert mehrere Legacy-Audittrails in einem einzigen Unified Audit Trail. Auditdatensätze werden von verschiedenen Auditquellen generiert, darunter:

• Quellen im Zusammenhang mit dem Auditsystem, wie z. B. Auditdatensätze, einschließlich SYS-Auditdatensätze
• Erforderliche Auditdatensätze
• Quellen im Zusammenhang mit Sicherheitskontrollen, wie Oracle Database Vault, Oracle Label Security und Oracle Real Application Security
• Quellen im Zusammenhang mit Datenbankvorgängen, wie Oracle Recovery Manager, Oracle Data Pump und Oracle SQL*Loader

Mit Unified Auditing werden Auditdatensätze aus allen Auditquellen in einen konsolidierten Audittrail geschrieben, entweder in eine AUDSYS.AUD$UNIFIED-Tabelle oder in BS-Dateien, und über die Ansicht UNIFIED_AUDIT_TRAIL angezeigt. Der Unified Audit Trail normalisiert auch das Format der Auditdatensätze, indem er standardisierte Spaltennamen und Datentypen für alle Auditquellen verwendet. Der konsolidierte, normalisierte Unified Audit Trail vereinfacht die Erfassung, Analyse und Verwaltung von Auditdatensätzen, die von den verschiedenen Auditquellen generiert werden. Die konsistente Formatierung vereinfacht die Berichterstellung und Analyse der Auditdaten.