Features von Unified Auditing

Technischen Bericht abrufen (PDF)

Hauptmerkmale

Always-on-Audits

Bestimmte sicherheitssensitive Datenbankaktivitäten werden in Oracle Database stets protokolliert und können nicht deaktiviert werden. Nutzen Sie diese Vorgaben, um das Datenbank-Auditing von Anfang an effektiv einzusetzen. Zu diesen Aktivitäten gehören unter anderem:

  • Ausführung von Top-Level-Anweisungen durch Benutzer mit administrativen Rechten, bis die Datenbank geöffnet ist, wie SYSDBA, SYSOPER, SYSASM, SYSBACKUP, SYSDG und SYSKM.
  • Versuche, Auditdatensätze zu ändern oder zu löschen.
  • Änderungen an der Konfiguration von Oracle Database Vault.
  • Auditbezogene Aktionen, wie z. B. Änderungen an Audit-Policys oder Ausführungen des Pakets DBMS_AUDIT_MGMT.

Eine vollständige Übersicht aller obligatorisch zu protokollierenden Ereignisse für Ihre Datenbankversion finden Sie im Abschnitt „Aktivitäten, die obligatorisch geprüft werden“ im Oracle Database Security Guide.

Vordefinierte Audit-Policys

Oracle Database stellt mehrere vordefinierte und sofort einsetzbare Best-Practice-Policys für Unified Auditing bereit, die gängige sicherheitsrelevante Anforderungen abdecken, darunter:

  • Prüfungen fehlgeschlagener An- und Abmeldungen
  • Prüfungen von Änderungen an Oracle Database-Parametereinstellungen
  • Prüfungen von Änderungen an Benutzerkonten und Berechtigungen
  • Prüfungen gemäß den Vorgaben der Security Technical Implementation Guides (STIG)

Einige davon sind möglicherweise standardmäßig aktiviert. Oracle Autonomous Database stellt zudem mehrere weitere standardmäßig aktivierte Audits bereit.

Weitere Informationen finden Sie im Abschnitt Auditing Activities with the Predefined Unified Audit Policies im Oracle Database Security Guide. Informationen zur Verwendung von Autonomous Database finden Sie im Abschnitt Standardaudit-Policys für Autonomous Database in der Dokumentation„Oracle Autonomous Database Serverless verwenden“. Wenn Sie Data Safe oder AVDF zur Überwachung Ihrer Datenbankziele nutzen, stehen zusätzliche vordefinierte Unified Audit Policys bereit, die sich mit einem Klick bereitstellen lassen. Weitere Informationen finden Sie im Abschnitt Provisioning von Unified Audit-Policys im AVDF-Auditorhandbuch. Weitere Informationen finden Sie im Abschnitt Info zu Oracle Data Safe-Audit-Policys in „Oracle Data Safe verwenden“.

Bedingtes Auditing

Mit bedingtem Auditing erstellen Sie präzise, hochselektive und kontextbezogene Policys. Dadurch lassen sich bestimmte Aktionen gezielt überwachen, während unnötige Auditdaten reduziert werden. Dies senkt den Speicherbedarf und liefert hochwertige Auditinformationen, die für Auditoren, forensische Analysen oder regulatorische Anforderungen wertvoll sind. Bedingungen können auf Anwendungskontexten, Sitzungskontexten oder integrierten Funktionen basieren.

Benannte Audit-Policys lassen sich einmal erstellen und in mehreren Dimensionen – wie beispielsweise für Benutzer oder Rollen – anwenden. Dies erhöht die Flexibilität und vereinfacht die Verwaltung. Weitere Informationen finden Sie im Abschnitt Unified Auditing mit konfigurierbaren Bedingungen in der Oracle Database Security-Dokumentation.

Unified Audittrail erweitern

Der einheitliche Audittrail kann erweitert werden, um Anwendungsattribute einzuschließen, indem das Auditing für Anwendungskontextwerte konfiguriert wird. Der Anwendungskontext-Namespace kann mit den erforderlichen Attributen aufgefüllt werden. Dieser wird in der Spalte APPLICATION_CONTEXTS des einheitlichen Audittrails erfasst. Weitere Informationen finden Sie im Abschnitt Unified Auditing auf benutzerdefinierte Attribute erweitern in der Oracle Database Security-Dokumentation.

Integrität der Prüfung

Unified Auditing bietet ein hohes Maß an Integrität durch einen manipulationsresistenten Audittrail. Der einheitliche Audittrail wird im Schema AUDSYS gespeichert, auf das sich niemand in der Datenbank anmelden darf. Die Tabelle AUD$UNIFIED erlaubt ausschließlich INSERT-Vorgänge. Jeder Versuch, Inhalte direkt zu löschen, zu ändern oder zu kürzen, schlägt fehl und erzeugt selbst Auditdatensätze. Die Verwaltung der Audit-Daten erfolgt über das integrierte Paket DBMS_AUDIT_MGMT. Der Audittablespace kann zusätzlich mit Transparent Data Encryption (TDE) verschlüsselt werden. Die einheitliche Audittabelle lässt sich zudem durch einen Oracle Database Vault Realm schützen.

Wenn der Parameter UNIFIED_AUDIT_SYSTEMLOG aktiviert ist, werden bestimmte zentrale Felder eines Auditdatensatzes an syslog übergeben, während der vollständige Datensatz in UNIFIED_AUDIT_TRAIL gespeichert wird. Da syslog-Einträge weder von der Oracle Database noch von Benutzern verändert werden können, lassen sich die Auditdaten aus dem einheitlichen Audittrail anhand der syslog-Felder verifizieren.

Konsolidierung

Unified Auditing fasst mehrere ältere Audittrails in einem einzigen, konsolidierten Audittrail zusammen. Auditdatensätze entstehen aus verschiedenen Quellen, unter anderem aus:

  • Systembezogenen Auditquellen, z. B. allgemeinen Auditdatensätzen einschließlich SYS-Auditdatensätzen
  • Obligatorischen Auditdatensätzen
  • Sicherheitsbezogenen Quellen wie Oracle Database Vault, Oracle Label Security und Oracle Real Application Security
  • Datenbankoperationsbezogenen Quellen wie Oracle Recovery Manager, Oracle Data Pump und Oracle SQL*Loader

Mit Unified Auditing werden alle Auditdatensätze dieser Quellen in einem konsolidierten Audittrail gespeichert – entweder in der Tabelle AUDSYS.AUD$UNIFIED oder in Betriebssystemdateien – und über die Ansicht UNIFIED_AUDIT_TRAIL bereitgestellt. Der einheitliche Audittrail vereinheitlicht zudem das Format der Auditdatensätze, indem standardisierte Spaltennamen und Datentypen über alle Auditquellen hinweg verwendet werden. Der konsolidierte, normalisierte und vereinheitlichte Audittrail erleichtert das Erfassen, Analysieren und Verwalten der Auditdatensätze aus den verschiedenen Quellen. Das einheitliche Format vereinfacht darüber hinaus das Reporting und die Auswertung der Auditdaten.