Weitere ähnliche Inhalte Ähnlich wie Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING - Stefan Seck (20) Mehr von OPITZ CONSULTING Deutschland (20) Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING - Stefan Seck1. Oracle Audit Vault.
Auditiert, und dann?
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 1
2. Oracle Audit Vault
Auditiert, und dann?
Stefan Seck
OPITZ CONSULTING Essen GmbH
Regionales DOAG-Treffen bei OPITZ CONSULTING Essen,
13. Juli 2011
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 2
3. Märkte Kunden Leistungs- Fakten
angebot
Java Branchen- IT-Strategie Gründung 1990
SOA übergreifend Beratung 400 Mitarbeiter
ORACLE Über 600 Implementierung 8 Standorte in
BI/DWH Kunden Betrieb D/PL
Outtasking Training
Industrie / Versorger / Handel / Logistik /
Telekommunikation Dienstleistungen
29% 29%
42%
Öffentliche Auftraggeber /
Banken & Versicherungen /
Vereine & Verbände
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 3
4. Agenda
1. Warum auditieren?
2. Wie auditieren?
3. Auditiert, und dann?
4. Audit Vault
5. Fazit
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 4
5. 1 Warum auditieren?
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 5
6. Externe Bedrohung
„ Mit geklonten Debit-Karten haben US-Berichten zufolge
Kriminelle innerhalb weniger Stunden neun Millionen US-
Dollar von 130 Geldautomaten in 49 Städten weltweit
abgehoben.“
06.02.2009 bei heise online
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 6
7. Motivation der Angreifer
Kommerzielles Interesse
„Suche nach Gerechtigkeit“
(gefeuerte oder frustrierte Mitarbeiter, Grey-Hat Hacker etc.)
Mehr Wissen über Sicherheitslücken
Spezialisierung der Angreifer
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 7
8. Vorgaben
Sarbanes-Oxley-Act
HIPAA
PCI-DSS
BASEL II
Weitere gesetzliche Vorgaben
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 8
9. Anforderungen und Wünsche des Management
Wer arbeitet wann mit welchen Daten?
„Business Need to Know“
Wer greift auf „verbotene“ Daten zu?
Wie werden Auditdaten vor Manipulation geschützt?
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 9
10. Anforderungen und Wünsche der Auditoren
Rollentrennung (Security-Admin <-> DBA)
Separation of Duty
Reporting
Alarme
Integrität der Audit-Daten
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 10
11. Anforderungen und Wünsche der IT
Keine Einschränkung bei der tägl. Admin-Arbeit
Keine Performanceeinbußen
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 11
12. Voraussetzung
Konzept
Welche Daten sollen wie überwacht werden?
Rollenverteilung muss klar sein
Und das Wichtigste:
Konzept, Konzept und Konzept!
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 12
13. 2 Wie auditieren?
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 13
14. Ständiges Audit
Privilegierte Benutzer
Alle Operationen
Datenbankweit
DDL-Operationen
Missglückte Anmeldeversuche
Zugriff auf sensible Daten
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 14
15. Auditing-Methoden
Trigger
anwendungsspezifisch programmierbar
Feuern bei DML
Select-Statements werden nicht protokolliert
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 15
16. Auditing-Methoden
LogMiner
Informationen aus den RedoLog-Dateien sichtbar machen:
DML- (Insert, Update, Delete) oder DDL-Befehle (Create ... ) in Form von
Undo- und Redo-Statements
System Change Number (SCN)
Benutzer, der das Statement abgesetzt hat
Name und Schema des geänderten Objekts
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 16
17. Auditing-Methoden
AUDIT
init.ora Parameter: audit_trail
DB Audit-Daten in SYS.AUD$
DB, EXTENDED wie DB inkl SQL Bindvariablen und Text
XML Audit-Daten als XML-File
XML, EXTENDED wie XML inkl SQL Bindvariablen und Text
OS Audit-Daten in AUDIT_FILE_DEST
init.ora Parameter: audit_sys_operations
init.ora Parameter: audit_sys_loglevel
audit_trail=db - Default in 11g
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 17
18. Auditing-Methoden
Default Auditing
instance startup
instance shutdown
connect as sysdba
Ab 11g zahlreiche Statements zusätzlich:
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 18
19. Auditing-Methoden
Ein- / Ausschalten des Auditings
audit / noaudit
Level des Auditings
Statement Auditing
audit select by sse;
audit select table, update table by sse,swi;
Object Auditing
audit select on sse.top_verein;
Privilege Auditing
audit select table;
Optionen:
whenever sucessful
whenever not sucessful
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 19
20. Auditing-Methoden
Auditing – ein Beispielsatz
Login nicht erfolgreich
Mon Feb 28 11:25:23 2011
SESSIONID: "180041" ENTRYID: "1" STATEMENT: "1" USERID:
"SSE" USERHOST: “NLWGM100" TERMINAL: “NLWGM100"
ACTION: "100" RETURNCODE: "1017" COMMENT$TEXT:
"Authenticated by: DATABASE; Client address:
(ADDRESS=(PROTOCOL=tcp)(HOST=192.169.163.128)(PORT=2910)
)" OS$USERID: “stefan“
ORA-01017: invalid username/password; logon denied
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 20
21. Auditing-Methoden
Fine-Grained Auditing (FGA)
Feiner granulierte Informationen
Einzelne Tabellen werden nach Bedingungen überwacht
Auch Select-Statements werden protokolliert
Steuerung über DBMS_FGA
Eigene Tabelle für die Audit-Informationen
SYS.FGA_LOG$
DBA_FGA_AUDIT_TRAIL
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 21
22. Performance
Auditing
FGA
Quelle: oracle.com Whitepaper Audit Vault
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 22
23. Flashback / Total Recall
Basis Undo-Informationen
Ein Hintergrundprozess (fbda) erfasst asynchron Daten
CREATE FLASHBACK ARCHIVE DEFAULT FLB_ARCH TABLESPACE
FLB_ARCH_TBS QUOTA 100G RETENTION 10 YEAR;
ALTER TABLE SSE_TEST FLASHBACK ARCHIVE;
SELECT * FROM SSE_TEST AS OF TIMESTAMP
TO_TIMESTAMP(‘28.02.2011 11:55:00’,‘DD.MM.YYYY HH24:MI:SS’);
Zusätzlich gespeicherte Information
rowid
startscn
endscn
xid
operation
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 23
24. Audit-Methoden – Zusammenfassung
Trigger
Programmieraufwändig
Keine SELECT‘s
LogMiner
Nur DML‘s und DDL‘s
Keine SELECT‘s
Flashback / Total Recall
Kein Hinweis auf den Verursacher
Auditing (auch FGA)
Schlechte Auswertung
Kein Schutz vor Veränderung der gesammelten Daten
Lösung: z. B. Oracle Audit Vault
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 24
25. 3 Auditiert, und dann?
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 25
26. Auswertung
Daten werden in sys.aud$ / sys.fga_log$ gespeichert
Es gibt weitere Views:
DBA_AUDIT_TRAIL
DBA_FGA_AUDIT_TRAIL
DBA_COMMON_AUDIT_TRAIL
DBA_STMT_AUDIT_OPTS
DBA_PRIV_AUDIT_OPTS
DBA_OBJ_AUDIT_OPTS
Daten in eigene Tabellen kopieren und auswerten
Eventuell partitioniert
Zeit
User / Schema
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 26
27. Housekeeping
Moving AUD$ to Another Tablespace (72460.1)
DBMS_AUDIT_MGMT (731908.1)
Verschieben des Audit Trail in einen anderen Tablespace
Kontrolle der Größe des OS Audit Trail
Größe
Löschen von Audit-Trail-Sätzen
Timestamp Management
Manuelles Löschen
Automatisches Löschen
Patch erforderlich für 10.2.0.3, 10.2.0.4
Enthalten in 10.2.0.5, 11.1.0.7, 11.2.0
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 27
28. 4 Audit Vault
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 28
29. Oracle Audit Vault
Konsolidierung verschiedener Audit-Trails
Oracle 9.2 / 10.1 / 10.2 / 11.1 / 11.2
MS SQL Server
IBM DB2 UDB
Sybase ASE
Sichere Aufbewahrung der Audit-Daten
Zentrales Management
Zentrales Alerting
Zentrales Reporting
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 29
30. Oracle Audit Vault
Architektur
AV_AUDITOR
AV_ADMIN
Audit Vault Agent
Source
Source
Collector
Audit Vault Server
Collector
DBAUD
OSAUD
DBAUD
REDO
OSAUD Datawarehouse
REDO Management
Reports
Alerts
Source-DB
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 30
31. Audit Vault – Server
Verarbeitet die Audit Daten der Agenten
Legt Audit Daten in einem Datawarehouse ab
Bietet eine Oberfläche für
Administration
Benachrichtigung
Reporting
Wird durch Database Vault geschützt (zus. User)
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 31
32. Datenmenge
Datenmenge ~ 1KB / Satz
abhängig vom SQL-Text
Im DWH
1,5 KB / Satz + Indizes
Höhere CPU-Last bei Verdichtung
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 32
33. Audit Vault – Agent
Wird als zusätzliche Software installiert
Kann auf dem Audit-Vault-Server laufen
Idealerweise aber auf dem Server der Source-DB installiert
Notwendig, wenn Auditfiles geschrieben werden.
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 33
34. Audit Vault – Source
Laufendes Quellsystem
Liefert die Auditdaten
Logische Einheit
Benötigt einen User in der Source-DB
$ORACLE_HOME/av/scripts/streams/source/zarsspriv.sql
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 34
35. Audit Vault – Collector
Sammelt die einzelnen Auditdaten der Datenbank
3 Kollektoren
DBAUD (Rolle: RESOURCE)
Sammelt die Auditevents aus der Datenbank
(Standard Auditing und FGA)
OSAUD (Rolle: RESOURCE)
Sammelt die Auditevents aus den Auditfiles
(z.B.: aus dem adump)
REDO (Rolle: DBA)
Nutzt LogMiner, um DML- und DDL Statements zu sammeln
supplemental logging sollte eingeschaltet sein
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 35
36. Audit Vault – Rollen
AV_ADMIN
Administration Oracle Audit Vault
Monitoring Oracle Audit Vault
Konfiguration der Kollektoren
Tools:
Audit Vault Console
Audit Vault Configuration Assistant (AVCA)
Audit Vault Control (AVCTL)
AVORCLDB, AVMSSQLDB, AVDB2DB, AVSYBDB,
AV_AUDITOR
Policies erstellen
Alerts definieren und überwachen
Reports erstellen und überprüfen
Tools
Audit Vault Console
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 36
37. Audit Vault – Installation
Analog zur “normalen” Oracle Installation
Passwörter müssen komplex gewählt werden
Nacharbeiten sind notwendig
Standard-DB (außer Ablage der Datafiles, nichts auswählbar)
Kommunikation
Kein Redo- und Controlfile Spiegel
Hinweise dazu in der Dokumentation
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 37
38. Audit Vault – Installation
Releasenotes zur Version 10.2.3.2 lesen
Audit Vault Server
Linux 32bit / 64bit
Solaris SPARC 64bit
AIX5L
HPUX Itanium
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 38
39. Audit Vault – Stolperfallen
Installation des Audit-Vault-Agenten
avca kann die Angabe user/password nicht verarbeiten
Manuelles ausführen des Kommandos aus configToolFailedCommands
Befehle müssen aus AV-Server-Home und AV-Agent-Home
abgesetzt werden
Zwei Shells nutzen
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 39
40. Audit Vault – Oberfläche
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 40
41. Audit Vault - Policies
In der Source-DB ist Auditing eingeschaltet
Synchronisation der Einstellungen mit Audit-Vault-Server
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 41
42. Audit Vault – Alarme
Alarme z.B. für:
Sensible Spalteninhalte
Anlegen von Benutzern
Rollenvergabe
DBA-Berechtigungen
Fehlerhafte Logins Optionale Grafik
einfügen
Alarme werden schon beim
Eingang der Audit-Daten
generiert
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 42
43. Audit Vault – Default Reports
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 43
44. Audit Vault – Compliance Reports
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 44
45. 5 Fazit
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 45
46. Fazit
Installation und Konfiguration
manchmal trickreich
Komplex
Ermöglicht Audit Daten zentral
zu sammeln
zu schützen
auszuwerten
Audit Vault auditiert „nur“, greift aber nicht ein
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 46
47. Fragen und Antworten
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 47
48. Kontakt
Stefan Seck
Senior Consultant
OPITZ CONSULTING Essen GmbH
Altendorfer Str. 3, 45127 Essen
Telefon +49 201 89 29 94 - 0
stefan.seck@opitz-consulting.com
Besuchen Sie uns im Internet:
www.opitz-consulting.com
Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 48