SlideShare ist ein Scribd-Unternehmen logo
Oracle Audit Vault.
              Auditiert, und dann?




Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 1
Oracle Audit Vault
Auditiert, und dann?



Stefan Seck
OPITZ CONSULTING Essen GmbH
Regionales DOAG-Treffen bei OPITZ CONSULTING Essen,

13. Juli 2011




                 Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 2
Märkte                    Kunden                                            Leistungs-            Fakten
                                                                            angebot
 Java                          Branchen-                                     IT-Strategie            Gründung 1990
 SOA                           übergreifend                                  Beratung                400 Mitarbeiter
 ORACLE                        Über 600                                      Implementierung         8 Standorte in
 BI/DWH                        Kunden                                        Betrieb                 D/PL
 Outtasking                                                                  Training
                      Industrie / Versorger /         Handel / Logistik /
                        Telekommunikation             Dienstleistungen
                                        29%           29%




                                               42%
                                    Öffentliche Auftraggeber /
                                    Banken & Versicherungen /
                                       Vereine & Verbände




              Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“         © OPITZ CONSULTING GmbH 2011   Seite 3
Agenda
1.   Warum auditieren?

2.   Wie auditieren?

3.   Auditiert, und dann?

4.   Audit Vault

5.   Fazit




             Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 4
1   Warum auditieren?




        Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 5
Externe Bedrohung
„ Mit geklonten Debit-Karten haben US-Berichten zufolge
 Kriminelle innerhalb weniger Stunden neun Millionen US-
 Dollar von 130 Geldautomaten in 49 Städten weltweit
 abgehoben.“




06.02.2009 bei heise online




              Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 6
Motivation der Angreifer

  Kommerzielles Interesse

  „Suche nach Gerechtigkeit“

  (gefeuerte oder frustrierte Mitarbeiter, Grey-Hat Hacker etc.)

  Mehr Wissen über Sicherheitslücken

  Spezialisierung der Angreifer




            Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 7
Vorgaben

 Sarbanes-Oxley-Act

 HIPAA

 PCI-DSS

 BASEL II

 Weitere gesetzliche Vorgaben




            Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 8
Anforderungen und Wünsche des Management


 Wer arbeitet wann mit welchen Daten?
   „Business Need to Know“



 Wer greift auf „verbotene“ Daten zu?


 Wie werden Auditdaten vor Manipulation geschützt?




            Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 9
Anforderungen und Wünsche der Auditoren


 Rollentrennung (Security-Admin <-> DBA)
   Separation of Duty



 Reporting


 Alarme


 Integrität der Audit-Daten



             Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 10
Anforderungen und Wünsche der IT



 Keine Einschränkung bei der tägl. Admin-Arbeit


 Keine Performanceeinbußen




          Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 11
Voraussetzung


  Konzept
  Welche Daten sollen wie überwacht werden?

  Rollenverteilung muss klar sein

Und das Wichtigste:


       Konzept, Konzept und Konzept!


            Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 12
2   Wie auditieren?




        Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 13
Ständiges Audit
 Privilegierte Benutzer
   Alle Operationen


 Datenbankweit
   DDL-Operationen
   Missglückte Anmeldeversuche


 Zugriff auf sensible Daten




             Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 14
Auditing-Methoden


Trigger

  anwendungsspezifisch programmierbar
  Feuern bei DML
  Select-Statements werden nicht protokolliert




            Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 15
Auditing-Methoden


LogMiner

  Informationen aus den RedoLog-Dateien sichtbar machen:
   DML- (Insert, Update, Delete) oder DDL-Befehle (Create ... ) in Form von
   Undo- und Redo-Statements
   System Change Number (SCN)
   Benutzer, der das Statement abgesetzt hat
   Name und Schema des geänderten Objekts




             Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 16
Auditing-Methoden
AUDIT
 init.ora Parameter: audit_trail
   DB                                          Audit-Daten in SYS.AUD$
   DB, EXTENDED                                wie DB inkl SQL Bindvariablen und Text
   XML                                         Audit-Daten als XML-File
   XML, EXTENDED                               wie XML inkl SQL Bindvariablen und Text
   OS                                          Audit-Daten in AUDIT_FILE_DEST


 init.ora Parameter: audit_sys_operations
 init.ora Parameter: audit_sys_loglevel
 audit_trail=db - Default in 11g


          Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 17
Auditing-Methoden
 Default Auditing
   instance startup
   instance shutdown
   connect as sysdba
   Ab 11g zahlreiche Statements zusätzlich:




             Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 18
Auditing-Methoden
 Ein- / Ausschalten des Auditings
   audit / noaudit

 Level des Auditings
   Statement Auditing
      audit select                by sse;
      audit select                table, update table by sse,swi;
   Object Auditing
      audit select                on sse.top_verein;
   Privilege Auditing
      audit select                table;

   Optionen:
                 whenever sucessful
                 whenever not sucessful


               Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 19
Auditing-Methoden
Auditing – ein Beispielsatz

  Login nicht erfolgreich
Mon Feb 28 11:25:23 2011
SESSIONID: "180041" ENTRYID: "1" STATEMENT: "1" USERID:
  "SSE" USERHOST: “NLWGM100" TERMINAL: “NLWGM100"
  ACTION: "100" RETURNCODE: "1017" COMMENT$TEXT:
  "Authenticated by: DATABASE; Client address:
  (ADDRESS=(PROTOCOL=tcp)(HOST=192.169.163.128)(PORT=2910)
  )" OS$USERID: “stefan“
ORA-01017: invalid username/password; logon denied


            Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 20
Auditing-Methoden

Fine-Grained Auditing (FGA)

  Feiner granulierte Informationen
  Einzelne Tabellen werden nach Bedingungen überwacht
  Auch Select-Statements werden protokolliert
  Steuerung über DBMS_FGA
  Eigene Tabelle für die Audit-Informationen
    SYS.FGA_LOG$
    DBA_FGA_AUDIT_TRAIL




            Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 21
Performance
 Auditing




 FGA




                                                              Quelle: oracle.com Whitepaper Audit Vault
            Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 22
Flashback / Total Recall
  Basis Undo-Informationen
  Ein Hintergrundprozess (fbda) erfasst asynchron Daten
CREATE FLASHBACK ARCHIVE DEFAULT FLB_ARCH TABLESPACE
   FLB_ARCH_TBS QUOTA 100G RETENTION 10 YEAR;
ALTER TABLE SSE_TEST FLASHBACK ARCHIVE;
SELECT * FROM SSE_TEST AS OF TIMESTAMP
TO_TIMESTAMP(‘28.02.2011 11:55:00’,‘DD.MM.YYYY HH24:MI:SS’);

  Zusätzlich gespeicherte Information
    rowid
    startscn
    endscn
    xid
    operation

                Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 23
Audit-Methoden – Zusammenfassung
 Trigger
   Programmieraufwändig
   Keine SELECT‘s

 LogMiner
   Nur DML‘s und DDL‘s
   Keine SELECT‘s

 Flashback / Total Recall
   Kein Hinweis auf den Verursacher

 Auditing (auch FGA)
   Schlechte Auswertung
   Kein Schutz vor Veränderung der gesammelten Daten

Lösung: z. B. Oracle Audit Vault

             Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 24
3   Auditiert, und dann?




        Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 25
Auswertung
 Daten werden in sys.aud$ / sys.fga_log$ gespeichert
 Es gibt weitere Views:
   DBA_AUDIT_TRAIL
   DBA_FGA_AUDIT_TRAIL
   DBA_COMMON_AUDIT_TRAIL

   DBA_STMT_AUDIT_OPTS
   DBA_PRIV_AUDIT_OPTS
   DBA_OBJ_AUDIT_OPTS


 Daten in eigene Tabellen kopieren und auswerten
   Eventuell partitioniert
     Zeit
     User / Schema


              Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 26
Housekeeping
 Moving AUD$ to Another Tablespace (72460.1)
 DBMS_AUDIT_MGMT (731908.1)
   Verschieben des Audit Trail in einen anderen Tablespace
   Kontrolle der Größe des OS Audit Trail
     Größe
   Löschen von Audit-Trail-Sätzen
     Timestamp Management
     Manuelles Löschen
     Automatisches Löschen

   Patch erforderlich für 10.2.0.3, 10.2.0.4
   Enthalten in 10.2.0.5, 11.1.0.7, 11.2.0




              Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 27
4   Audit Vault




         Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 28
Oracle Audit Vault

  Konsolidierung verschiedener Audit-Trails
    Oracle 9.2 / 10.1 / 10.2 / 11.1 / 11.2
    MS SQL Server
    IBM DB2 UDB
    Sybase ASE

  Sichere Aufbewahrung der Audit-Daten
  Zentrales Management
  Zentrales Alerting
  Zentrales Reporting



               Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 29
Oracle Audit Vault
  Architektur
                                                                                                         AV_AUDITOR


                                                                                                              AV_ADMIN


                    Audit Vault Agent

                               Source
                        Source
                                      Collector
                                                                          Audit Vault Server
                                Collector
                                    DBAUD
                                    OSAUD
                                DBAUD
                                    REDO
                                OSAUD                                       Datawarehouse
                                REDO                                         Management
                                                                               Reports
                                                                                Alerts
 Source-DB



             Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“        © OPITZ CONSULTING GmbH 2011   Seite 30
Audit Vault – Server

 Verarbeitet die Audit Daten der Agenten


 Legt Audit Daten in einem Datawarehouse ab


 Bietet eine Oberfläche für
     Administration
     Benachrichtigung
     Reporting


 Wird durch Database Vault geschützt (zus. User)


             Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 31
Datenmenge
 Datenmenge ~ 1KB / Satz
  abhängig vom SQL-Text


 Im DWH
  1,5 KB / Satz + Indizes


 Höhere CPU-Last bei Verdichtung




            Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 32
Audit Vault – Agent


  Wird als zusätzliche Software installiert


  Kann auf dem Audit-Vault-Server laufen


  Idealerweise aber auf dem Server der Source-DB installiert
    Notwendig, wenn Auditfiles geschrieben werden.




             Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 33
Audit Vault – Source


  Laufendes Quellsystem
   Liefert die Auditdaten



  Logische Einheit


  Benötigt einen User in der Source-DB
   $ORACLE_HOME/av/scripts/streams/source/zarsspriv.sql




              Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 34
Audit Vault – Collector

  Sammelt die einzelnen Auditdaten der Datenbank


  3 Kollektoren
    DBAUD       (Rolle: RESOURCE)
      Sammelt die Auditevents aus der Datenbank
      (Standard Auditing und FGA)
    OSAUD       (Rolle: RESOURCE)
      Sammelt die Auditevents aus den Auditfiles
      (z.B.: aus dem adump)
    REDO        (Rolle: DBA)
      Nutzt LogMiner, um DML- und DDL Statements zu sammeln
      supplemental logging sollte eingeschaltet sein




             Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 35
Audit Vault – Rollen
  AV_ADMIN
   Administration Oracle Audit Vault
   Monitoring Oracle Audit Vault
   Konfiguration der Kollektoren
   Tools:
     Audit Vault Console
     Audit Vault Configuration Assistant (AVCA)
     Audit Vault Control (AVCTL)
     AVORCLDB, AVMSSQLDB, AVDB2DB, AVSYBDB,

  AV_AUDITOR
   Policies erstellen
   Alerts definieren und überwachen
   Reports erstellen und überprüfen
   Tools
     Audit Vault Console


             Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 36
Audit Vault – Installation
  Analog zur “normalen” Oracle Installation


  Passwörter müssen komplex gewählt werden


  Nacharbeiten sind notwendig
      Standard-DB (außer Ablage der Datafiles, nichts auswählbar)
      Kommunikation
      Kein Redo- und Controlfile Spiegel

    Hinweise dazu in der Dokumentation




               Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 37
Audit Vault – Installation
  Releasenotes zur Version 10.2.3.2 lesen

  Audit Vault Server
    Linux 32bit / 64bit
    Solaris SPARC 64bit
    AIX5L
    HPUX Itanium




             Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 38
Audit Vault – Stolperfallen
  Installation des Audit-Vault-Agenten
    avca kann die Angabe user/password nicht verarbeiten
      Manuelles ausführen des Kommandos aus configToolFailedCommands


  Befehle müssen aus AV-Server-Home und AV-Agent-Home
  abgesetzt werden
    Zwei Shells nutzen




              Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 39
Audit Vault – Oberfläche




          Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 40
Audit Vault - Policies
  In der Source-DB ist Auditing eingeschaltet
  Synchronisation der Einstellungen mit Audit-Vault-Server




            Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 41
Audit Vault – Alarme


  Alarme z.B. für:
    Sensible Spalteninhalte
    Anlegen von Benutzern
    Rollenvergabe
    DBA-Berechtigungen
    Fehlerhafte Logins                                                  Optionale Grafik
                                                                           einfügen
  Alarme werden schon beim
  Eingang der Audit-Daten
  generiert


             Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 42
Audit Vault – Default Reports




          Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 43
Audit Vault – Compliance Reports




         Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 44
5   Fazit




            Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 45
Fazit

  Installation und Konfiguration
    manchmal trickreich
    Komplex

  Ermöglicht Audit Daten zentral
    zu sammeln
    zu schützen
    auszuwerten

  Audit Vault auditiert „nur“, greift aber nicht ein




              Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 46
Fragen und Antworten




         Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 47
Kontakt
Stefan Seck
Senior Consultant


OPITZ CONSULTING Essen GmbH
Altendorfer Str. 3, 45127 Essen
Telefon +49 201 89 29 94 - 0
stefan.seck@opitz-consulting.com

Besuchen Sie uns im Internet:
www.opitz-consulting.com




                Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“   © OPITZ CONSULTING GmbH 2011   Seite 48

Weitere ähnliche Inhalte

Ähnlich wie Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING - Stefan Seck

Thorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mk
Thorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mkThorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mk
Thorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mk
Informatik Aktuell
 
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
NETWAYS
 
[DE] Vortrag: eAkte - Das ECM-System ist nur die halbe Wahrheit | Dr. Ulrich ...
[DE] Vortrag: eAkte - Das ECM-System ist nur die halbe Wahrheit | Dr. Ulrich ...[DE] Vortrag: eAkte - Das ECM-System ist nur die halbe Wahrheit | Dr. Ulrich ...
[DE] Vortrag: eAkte - Das ECM-System ist nur die halbe Wahrheit | Dr. Ulrich ...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Service oriented alerting
Service oriented alertingService oriented alerting
Service oriented alerting
geekQ
 
Agile BI in der Praxis - Agiles Testen
Agile BI in der Praxis - Agiles TestenAgile BI in der Praxis - Agiles Testen
Agile BI in der Praxis - Agiles Testen
OPITZ CONSULTING Deutschland
 
Analytics as a Service - Microsoft Azure
Analytics as a Service  - Microsoft Azure Analytics as a Service  - Microsoft Azure
Analytics as a Service - Microsoft Azure
OPITZ CONSULTING Deutschland
 
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
OPITZ CONSULTING Deutschland
 
Forms 12c und der Oracle SB
Forms 12c und der Oracle SBForms 12c und der Oracle SB
Forms 12c und der Oracle SB
OPITZ CONSULTING Deutschland
 
OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...
OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...
OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...
OPITZ CONSULTING Deutschland
 
Automatisierung im DWH - Sich das Leben erleichern mit dem ODI
Automatisierung im DWH - Sich das Leben erleichern mit dem ODIAutomatisierung im DWH - Sich das Leben erleichern mit dem ODI
Automatisierung im DWH - Sich das Leben erleichern mit dem ODI
OPITZ CONSULTING Deutschland
 
Historisierung und Analyse von Daten aus Oracle Enterprise Manager Cloud Cont...
Historisierung und Analyse von Daten aus Oracle Enterprise Manager Cloud Cont...Historisierung und Analyse von Daten aus Oracle Enterprise Manager Cloud Cont...
Historisierung und Analyse von Daten aus Oracle Enterprise Manager Cloud Cont...
OPITZ CONSULTING Deutschland
 
Den Usern mehr bieten: Business Objects Tools als Teil der Business Analytics...
Den Usern mehr bieten: Business Objects Tools als Teil der Business Analytics...Den Usern mehr bieten: Business Objects Tools als Teil der Business Analytics...
Den Usern mehr bieten: Business Objects Tools als Teil der Business Analytics...
Wiiisdom
 
OC|Weekly Talk The Power of DevOps…
OC|Weekly Talk  The Power of DevOps…OC|Weekly Talk  The Power of DevOps…
OC|Weekly Talk The Power of DevOps…
OPITZ CONSULTING Deutschland
 
Modernizing Oracle Forms - DOAG 2012
Modernizing Oracle Forms - DOAG 2012Modernizing Oracle Forms - DOAG 2012
Modernizing Oracle Forms - DOAG 2012
OPITZ CONSULTING Deutschland
 
Gerhard Jungwirth (mobilkom austria), Andreas Icha (Aschauer EDV)
Gerhard Jungwirth (mobilkom austria), Andreas Icha (Aschauer EDV)Gerhard Jungwirth (mobilkom austria), Andreas Icha (Aschauer EDV)
Gerhard Jungwirth (mobilkom austria), Andreas Icha (Aschauer EDV)
Praxistage
 
Wüstenrot Webinar
Wüstenrot Webinar Wüstenrot Webinar
Wüstenrot Webinar
Dynatrace
 
Linked Open Data Pilot Österreich - Beta Launch
Linked Open Data Pilot Österreich - Beta LaunchLinked Open Data Pilot Österreich - Beta Launch
Linked Open Data Pilot Österreich - Beta Launch
Martin Kaltenböck
 
2020 oracle lizenznews
2020 oracle lizenznews2020 oracle lizenznews
2020 oracle lizenznews
OPITZ CONSULTING Deutschland
 
Splunk Webinar: Maschinendaten anreichern mit Informationen
Splunk Webinar: Maschinendaten anreichern mit InformationenSplunk Webinar: Maschinendaten anreichern mit Informationen
Splunk Webinar: Maschinendaten anreichern mit Informationen
Georg Knon
 
Global Sourcing und Global Delivery
Global Sourcing und Global DeliveryGlobal Sourcing und Global Delivery
Global Sourcing und Global Delivery
pliXos GmbH
 

Ähnlich wie Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING - Stefan Seck (20)

Thorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mk
Thorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mkThorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mk
Thorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mk
 
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
 
[DE] Vortrag: eAkte - Das ECM-System ist nur die halbe Wahrheit | Dr. Ulrich ...
[DE] Vortrag: eAkte - Das ECM-System ist nur die halbe Wahrheit | Dr. Ulrich ...[DE] Vortrag: eAkte - Das ECM-System ist nur die halbe Wahrheit | Dr. Ulrich ...
[DE] Vortrag: eAkte - Das ECM-System ist nur die halbe Wahrheit | Dr. Ulrich ...
 
Service oriented alerting
Service oriented alertingService oriented alerting
Service oriented alerting
 
Agile BI in der Praxis - Agiles Testen
Agile BI in der Praxis - Agiles TestenAgile BI in der Praxis - Agiles Testen
Agile BI in der Praxis - Agiles Testen
 
Analytics as a Service - Microsoft Azure
Analytics as a Service  - Microsoft Azure Analytics as a Service  - Microsoft Azure
Analytics as a Service - Microsoft Azure
 
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
 
Forms 12c und der Oracle SB
Forms 12c und der Oracle SBForms 12c und der Oracle SB
Forms 12c und der Oracle SB
 
OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...
OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...
OC|Weekly Talk: "Das müsste man mal digitalisieren" - Mit Low-Code schnell zu...
 
Automatisierung im DWH - Sich das Leben erleichern mit dem ODI
Automatisierung im DWH - Sich das Leben erleichern mit dem ODIAutomatisierung im DWH - Sich das Leben erleichern mit dem ODI
Automatisierung im DWH - Sich das Leben erleichern mit dem ODI
 
Historisierung und Analyse von Daten aus Oracle Enterprise Manager Cloud Cont...
Historisierung und Analyse von Daten aus Oracle Enterprise Manager Cloud Cont...Historisierung und Analyse von Daten aus Oracle Enterprise Manager Cloud Cont...
Historisierung und Analyse von Daten aus Oracle Enterprise Manager Cloud Cont...
 
Den Usern mehr bieten: Business Objects Tools als Teil der Business Analytics...
Den Usern mehr bieten: Business Objects Tools als Teil der Business Analytics...Den Usern mehr bieten: Business Objects Tools als Teil der Business Analytics...
Den Usern mehr bieten: Business Objects Tools als Teil der Business Analytics...
 
OC|Weekly Talk The Power of DevOps…
OC|Weekly Talk  The Power of DevOps…OC|Weekly Talk  The Power of DevOps…
OC|Weekly Talk The Power of DevOps…
 
Modernizing Oracle Forms - DOAG 2012
Modernizing Oracle Forms - DOAG 2012Modernizing Oracle Forms - DOAG 2012
Modernizing Oracle Forms - DOAG 2012
 
Gerhard Jungwirth (mobilkom austria), Andreas Icha (Aschauer EDV)
Gerhard Jungwirth (mobilkom austria), Andreas Icha (Aschauer EDV)Gerhard Jungwirth (mobilkom austria), Andreas Icha (Aschauer EDV)
Gerhard Jungwirth (mobilkom austria), Andreas Icha (Aschauer EDV)
 
Wüstenrot Webinar
Wüstenrot Webinar Wüstenrot Webinar
Wüstenrot Webinar
 
Linked Open Data Pilot Österreich - Beta Launch
Linked Open Data Pilot Österreich - Beta LaunchLinked Open Data Pilot Österreich - Beta Launch
Linked Open Data Pilot Österreich - Beta Launch
 
2020 oracle lizenznews
2020 oracle lizenznews2020 oracle lizenznews
2020 oracle lizenznews
 
Splunk Webinar: Maschinendaten anreichern mit Informationen
Splunk Webinar: Maschinendaten anreichern mit InformationenSplunk Webinar: Maschinendaten anreichern mit Informationen
Splunk Webinar: Maschinendaten anreichern mit Informationen
 
Global Sourcing und Global Delivery
Global Sourcing und Global DeliveryGlobal Sourcing und Global Delivery
Global Sourcing und Global Delivery
 

Mehr von OPITZ CONSULTING Deutschland

OC|Webcast: Grundlagen der Oracle Lizenzierung
OC|Webcast: Grundlagen der Oracle LizenzierungOC|Webcast: Grundlagen der Oracle Lizenzierung
OC|Webcast: Grundlagen der Oracle Lizenzierung
OPITZ CONSULTING Deutschland
 
OC|Webcast "Java heute" vom 28.09.2021
OC|Webcast "Java heute" vom 28.09.2021OC|Webcast "Java heute" vom 28.09.2021
OC|Webcast "Java heute" vom 28.09.2021
OPITZ CONSULTING Deutschland
 
OC|Webcast "Java heute" vom 24.08.2021
OC|Webcast "Java heute" vom 24.08.2021OC|Webcast "Java heute" vom 24.08.2021
OC|Webcast "Java heute" vom 24.08.2021
OPITZ CONSULTING Deutschland
 
OC|Webcast "Daten wirklich nutzen"
OC|Webcast "Daten wirklich nutzen"OC|Webcast "Daten wirklich nutzen"
OC|Webcast "Daten wirklich nutzen"
OPITZ CONSULTING Deutschland
 
Architecture Room Stuttgart - "Cloud-native ist nur ein Teil des Spiels!"
Architecture Room Stuttgart - "Cloud-native ist nur ein Teil des Spiels!"Architecture Room Stuttgart - "Cloud-native ist nur ein Teil des Spiels!"
Architecture Room Stuttgart - "Cloud-native ist nur ein Teil des Spiels!"
OPITZ CONSULTING Deutschland
 
OC|Webcast "Willkommen in der Cloud!"
OC|Webcast "Willkommen in der Cloud!"OC|Webcast "Willkommen in der Cloud!"
OC|Webcast "Willkommen in der Cloud!"
OPITZ CONSULTING Deutschland
 
OC|Webcast "Die neue Welt der Virtualisierung"
OC|Webcast "Die neue Welt der Virtualisierung"OC|Webcast "Die neue Welt der Virtualisierung"
OC|Webcast "Die neue Welt der Virtualisierung"
OPITZ CONSULTING Deutschland
 
10 Thesen zur professionellen Softwareentwicklung
10 Thesen zur professionellen Softwareentwicklung10 Thesen zur professionellen Softwareentwicklung
10 Thesen zur professionellen Softwareentwicklung
OPITZ CONSULTING Deutschland
 
OC|Webcast: Oracle Lizenzierung - Lizenznews 2021
OC|Webcast: Oracle Lizenzierung - Lizenznews 2021OC|Webcast: Oracle Lizenzierung - Lizenznews 2021
OC|Webcast: Oracle Lizenzierung - Lizenznews 2021
OPITZ CONSULTING Deutschland
 
OC|Webcast: Oracle Lizenzierung - Die größten Fallen in der Praxis
OC|Webcast: Oracle Lizenzierung - Die größten Fallen in der PraxisOC|Webcast: Oracle Lizenzierung - Die größten Fallen in der Praxis
OC|Webcast: Oracle Lizenzierung - Die größten Fallen in der Praxis
OPITZ CONSULTING Deutschland
 
OC|Webcast: Oracle Lizenzierung - Virtualisierung und Cloud
OC|Webcast: Oracle Lizenzierung - Virtualisierung und CloudOC|Webcast: Oracle Lizenzierung - Virtualisierung und Cloud
OC|Webcast: Oracle Lizenzierung - Virtualisierung und Cloud
OPITZ CONSULTING Deutschland
 
OC|Webcast: Grundlagen der Oracle-Lizenzierung
OC|Webcast: Grundlagen der Oracle-LizenzierungOC|Webcast: Grundlagen der Oracle-Lizenzierung
OC|Webcast: Grundlagen der Oracle-Lizenzierung
OPITZ CONSULTING Deutschland
 
OC|Weekly Talk: Inspect’n’Adapt – Make Change come true!
OC|Weekly Talk: Inspect’n’Adapt – Make Change come true!OC|Weekly Talk: Inspect’n’Adapt – Make Change come true!
OC|Weekly Talk: Inspect’n’Adapt – Make Change come true!
OPITZ CONSULTING Deutschland
 
OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...
OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...
OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...
OPITZ CONSULTING Deutschland
 
OC|Weekly Talk: Service Management – Was hat sich durch Corona geändert?
OC|Weekly Talk: Service Management – Was hat sich durch Corona geändert?OC|Weekly Talk: Service Management – Was hat sich durch Corona geändert?
OC|Weekly Talk: Service Management – Was hat sich durch Corona geändert?
OPITZ CONSULTING Deutschland
 
OC|Weekly Talk - Digitales Coaching & Smart Sparring
OC|Weekly Talk - Digitales Coaching & Smart Sparring OC|Weekly Talk - Digitales Coaching & Smart Sparring
OC|Weekly Talk - Digitales Coaching & Smart Sparring
OPITZ CONSULTING Deutschland
 
OC|Weekly Talk - Beratung remote
OC|Weekly Talk - Beratung remoteOC|Weekly Talk - Beratung remote
OC|Weekly Talk - Beratung remote
OPITZ CONSULTING Deutschland
 
Effiziente Betriebsoptimierung durch Cloud Nutzung
Effiziente Betriebsoptimierung durch Cloud NutzungEffiziente Betriebsoptimierung durch Cloud Nutzung
Effiziente Betriebsoptimierung durch Cloud Nutzung
OPITZ CONSULTING Deutschland
 
OC|Weekly Talk - Mitarbeiterführung in Zeiten von Social Distance
OC|Weekly Talk - Mitarbeiterführung in Zeiten von Social DistanceOC|Weekly Talk - Mitarbeiterführung in Zeiten von Social Distance
OC|Weekly Talk - Mitarbeiterführung in Zeiten von Social Distance
OPITZ CONSULTING Deutschland
 
OC|Weekly Talk Remote Design Thinking
OC|Weekly Talk Remote Design ThinkingOC|Weekly Talk Remote Design Thinking
OC|Weekly Talk Remote Design Thinking
OPITZ CONSULTING Deutschland
 

Mehr von OPITZ CONSULTING Deutschland (20)

OC|Webcast: Grundlagen der Oracle Lizenzierung
OC|Webcast: Grundlagen der Oracle LizenzierungOC|Webcast: Grundlagen der Oracle Lizenzierung
OC|Webcast: Grundlagen der Oracle Lizenzierung
 
OC|Webcast "Java heute" vom 28.09.2021
OC|Webcast "Java heute" vom 28.09.2021OC|Webcast "Java heute" vom 28.09.2021
OC|Webcast "Java heute" vom 28.09.2021
 
OC|Webcast "Java heute" vom 24.08.2021
OC|Webcast "Java heute" vom 24.08.2021OC|Webcast "Java heute" vom 24.08.2021
OC|Webcast "Java heute" vom 24.08.2021
 
OC|Webcast "Daten wirklich nutzen"
OC|Webcast "Daten wirklich nutzen"OC|Webcast "Daten wirklich nutzen"
OC|Webcast "Daten wirklich nutzen"
 
Architecture Room Stuttgart - "Cloud-native ist nur ein Teil des Spiels!"
Architecture Room Stuttgart - "Cloud-native ist nur ein Teil des Spiels!"Architecture Room Stuttgart - "Cloud-native ist nur ein Teil des Spiels!"
Architecture Room Stuttgart - "Cloud-native ist nur ein Teil des Spiels!"
 
OC|Webcast "Willkommen in der Cloud!"
OC|Webcast "Willkommen in der Cloud!"OC|Webcast "Willkommen in der Cloud!"
OC|Webcast "Willkommen in der Cloud!"
 
OC|Webcast "Die neue Welt der Virtualisierung"
OC|Webcast "Die neue Welt der Virtualisierung"OC|Webcast "Die neue Welt der Virtualisierung"
OC|Webcast "Die neue Welt der Virtualisierung"
 
10 Thesen zur professionellen Softwareentwicklung
10 Thesen zur professionellen Softwareentwicklung10 Thesen zur professionellen Softwareentwicklung
10 Thesen zur professionellen Softwareentwicklung
 
OC|Webcast: Oracle Lizenzierung - Lizenznews 2021
OC|Webcast: Oracle Lizenzierung - Lizenznews 2021OC|Webcast: Oracle Lizenzierung - Lizenznews 2021
OC|Webcast: Oracle Lizenzierung - Lizenznews 2021
 
OC|Webcast: Oracle Lizenzierung - Die größten Fallen in der Praxis
OC|Webcast: Oracle Lizenzierung - Die größten Fallen in der PraxisOC|Webcast: Oracle Lizenzierung - Die größten Fallen in der Praxis
OC|Webcast: Oracle Lizenzierung - Die größten Fallen in der Praxis
 
OC|Webcast: Oracle Lizenzierung - Virtualisierung und Cloud
OC|Webcast: Oracle Lizenzierung - Virtualisierung und CloudOC|Webcast: Oracle Lizenzierung - Virtualisierung und Cloud
OC|Webcast: Oracle Lizenzierung - Virtualisierung und Cloud
 
OC|Webcast: Grundlagen der Oracle-Lizenzierung
OC|Webcast: Grundlagen der Oracle-LizenzierungOC|Webcast: Grundlagen der Oracle-Lizenzierung
OC|Webcast: Grundlagen der Oracle-Lizenzierung
 
OC|Weekly Talk: Inspect’n’Adapt – Make Change come true!
OC|Weekly Talk: Inspect’n’Adapt – Make Change come true!OC|Weekly Talk: Inspect’n’Adapt – Make Change come true!
OC|Weekly Talk: Inspect’n’Adapt – Make Change come true!
 
OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...
OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...
OC|Webcast: Schnell und clever in die AWS Cloud – Migrationsszenarien und Han...
 
OC|Weekly Talk: Service Management – Was hat sich durch Corona geändert?
OC|Weekly Talk: Service Management – Was hat sich durch Corona geändert?OC|Weekly Talk: Service Management – Was hat sich durch Corona geändert?
OC|Weekly Talk: Service Management – Was hat sich durch Corona geändert?
 
OC|Weekly Talk - Digitales Coaching & Smart Sparring
OC|Weekly Talk - Digitales Coaching & Smart Sparring OC|Weekly Talk - Digitales Coaching & Smart Sparring
OC|Weekly Talk - Digitales Coaching & Smart Sparring
 
OC|Weekly Talk - Beratung remote
OC|Weekly Talk - Beratung remoteOC|Weekly Talk - Beratung remote
OC|Weekly Talk - Beratung remote
 
Effiziente Betriebsoptimierung durch Cloud Nutzung
Effiziente Betriebsoptimierung durch Cloud NutzungEffiziente Betriebsoptimierung durch Cloud Nutzung
Effiziente Betriebsoptimierung durch Cloud Nutzung
 
OC|Weekly Talk - Mitarbeiterführung in Zeiten von Social Distance
OC|Weekly Talk - Mitarbeiterführung in Zeiten von Social DistanceOC|Weekly Talk - Mitarbeiterführung in Zeiten von Social Distance
OC|Weekly Talk - Mitarbeiterführung in Zeiten von Social Distance
 
OC|Weekly Talk Remote Design Thinking
OC|Weekly Talk Remote Design ThinkingOC|Weekly Talk Remote Design Thinking
OC|Weekly Talk Remote Design Thinking
 

Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING - Stefan Seck

  • 1. Oracle Audit Vault. Auditiert, und dann? Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 1
  • 2. Oracle Audit Vault Auditiert, und dann? Stefan Seck OPITZ CONSULTING Essen GmbH Regionales DOAG-Treffen bei OPITZ CONSULTING Essen, 13. Juli 2011 Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 2
  • 3. Märkte Kunden Leistungs- Fakten angebot Java Branchen- IT-Strategie Gründung 1990 SOA übergreifend Beratung 400 Mitarbeiter ORACLE Über 600 Implementierung 8 Standorte in BI/DWH Kunden Betrieb D/PL Outtasking Training Industrie / Versorger / Handel / Logistik / Telekommunikation Dienstleistungen 29% 29% 42% Öffentliche Auftraggeber / Banken & Versicherungen / Vereine & Verbände Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 3
  • 4. Agenda 1. Warum auditieren? 2. Wie auditieren? 3. Auditiert, und dann? 4. Audit Vault 5. Fazit Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 4
  • 5. 1 Warum auditieren? Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 5
  • 6. Externe Bedrohung „ Mit geklonten Debit-Karten haben US-Berichten zufolge Kriminelle innerhalb weniger Stunden neun Millionen US- Dollar von 130 Geldautomaten in 49 Städten weltweit abgehoben.“ 06.02.2009 bei heise online Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 6
  • 7. Motivation der Angreifer Kommerzielles Interesse „Suche nach Gerechtigkeit“ (gefeuerte oder frustrierte Mitarbeiter, Grey-Hat Hacker etc.) Mehr Wissen über Sicherheitslücken Spezialisierung der Angreifer Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 7
  • 8. Vorgaben Sarbanes-Oxley-Act HIPAA PCI-DSS BASEL II Weitere gesetzliche Vorgaben Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 8
  • 9. Anforderungen und Wünsche des Management Wer arbeitet wann mit welchen Daten? „Business Need to Know“ Wer greift auf „verbotene“ Daten zu? Wie werden Auditdaten vor Manipulation geschützt? Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 9
  • 10. Anforderungen und Wünsche der Auditoren Rollentrennung (Security-Admin <-> DBA) Separation of Duty Reporting Alarme Integrität der Audit-Daten Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 10
  • 11. Anforderungen und Wünsche der IT Keine Einschränkung bei der tägl. Admin-Arbeit Keine Performanceeinbußen Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 11
  • 12. Voraussetzung Konzept Welche Daten sollen wie überwacht werden? Rollenverteilung muss klar sein Und das Wichtigste: Konzept, Konzept und Konzept! Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 12
  • 13. 2 Wie auditieren? Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 13
  • 14. Ständiges Audit Privilegierte Benutzer Alle Operationen Datenbankweit DDL-Operationen Missglückte Anmeldeversuche Zugriff auf sensible Daten Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 14
  • 15. Auditing-Methoden Trigger anwendungsspezifisch programmierbar Feuern bei DML Select-Statements werden nicht protokolliert Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 15
  • 16. Auditing-Methoden LogMiner Informationen aus den RedoLog-Dateien sichtbar machen: DML- (Insert, Update, Delete) oder DDL-Befehle (Create ... ) in Form von Undo- und Redo-Statements System Change Number (SCN) Benutzer, der das Statement abgesetzt hat Name und Schema des geänderten Objekts Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 16
  • 17. Auditing-Methoden AUDIT init.ora Parameter: audit_trail DB Audit-Daten in SYS.AUD$ DB, EXTENDED wie DB inkl SQL Bindvariablen und Text XML Audit-Daten als XML-File XML, EXTENDED wie XML inkl SQL Bindvariablen und Text OS Audit-Daten in AUDIT_FILE_DEST init.ora Parameter: audit_sys_operations init.ora Parameter: audit_sys_loglevel audit_trail=db - Default in 11g Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 17
  • 18. Auditing-Methoden Default Auditing instance startup instance shutdown connect as sysdba Ab 11g zahlreiche Statements zusätzlich: Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 18
  • 19. Auditing-Methoden Ein- / Ausschalten des Auditings audit / noaudit Level des Auditings Statement Auditing audit select by sse; audit select table, update table by sse,swi; Object Auditing audit select on sse.top_verein; Privilege Auditing audit select table; Optionen: whenever sucessful whenever not sucessful Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 19
  • 20. Auditing-Methoden Auditing – ein Beispielsatz Login nicht erfolgreich Mon Feb 28 11:25:23 2011 SESSIONID: "180041" ENTRYID: "1" STATEMENT: "1" USERID: "SSE" USERHOST: “NLWGM100" TERMINAL: “NLWGM100" ACTION: "100" RETURNCODE: "1017" COMMENT$TEXT: "Authenticated by: DATABASE; Client address: (ADDRESS=(PROTOCOL=tcp)(HOST=192.169.163.128)(PORT=2910) )" OS$USERID: “stefan“ ORA-01017: invalid username/password; logon denied Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 20
  • 21. Auditing-Methoden Fine-Grained Auditing (FGA) Feiner granulierte Informationen Einzelne Tabellen werden nach Bedingungen überwacht Auch Select-Statements werden protokolliert Steuerung über DBMS_FGA Eigene Tabelle für die Audit-Informationen SYS.FGA_LOG$ DBA_FGA_AUDIT_TRAIL Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 21
  • 22. Performance Auditing FGA Quelle: oracle.com Whitepaper Audit Vault Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 22
  • 23. Flashback / Total Recall Basis Undo-Informationen Ein Hintergrundprozess (fbda) erfasst asynchron Daten CREATE FLASHBACK ARCHIVE DEFAULT FLB_ARCH TABLESPACE FLB_ARCH_TBS QUOTA 100G RETENTION 10 YEAR; ALTER TABLE SSE_TEST FLASHBACK ARCHIVE; SELECT * FROM SSE_TEST AS OF TIMESTAMP TO_TIMESTAMP(‘28.02.2011 11:55:00’,‘DD.MM.YYYY HH24:MI:SS’); Zusätzlich gespeicherte Information rowid startscn endscn xid operation Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 23
  • 24. Audit-Methoden – Zusammenfassung Trigger Programmieraufwändig Keine SELECT‘s LogMiner Nur DML‘s und DDL‘s Keine SELECT‘s Flashback / Total Recall Kein Hinweis auf den Verursacher Auditing (auch FGA) Schlechte Auswertung Kein Schutz vor Veränderung der gesammelten Daten Lösung: z. B. Oracle Audit Vault Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 24
  • 25. 3 Auditiert, und dann? Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 25
  • 26. Auswertung Daten werden in sys.aud$ / sys.fga_log$ gespeichert Es gibt weitere Views: DBA_AUDIT_TRAIL DBA_FGA_AUDIT_TRAIL DBA_COMMON_AUDIT_TRAIL DBA_STMT_AUDIT_OPTS DBA_PRIV_AUDIT_OPTS DBA_OBJ_AUDIT_OPTS Daten in eigene Tabellen kopieren und auswerten Eventuell partitioniert Zeit User / Schema Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 26
  • 27. Housekeeping Moving AUD$ to Another Tablespace (72460.1) DBMS_AUDIT_MGMT (731908.1) Verschieben des Audit Trail in einen anderen Tablespace Kontrolle der Größe des OS Audit Trail Größe Löschen von Audit-Trail-Sätzen Timestamp Management Manuelles Löschen Automatisches Löschen Patch erforderlich für 10.2.0.3, 10.2.0.4 Enthalten in 10.2.0.5, 11.1.0.7, 11.2.0 Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 27
  • 28. 4 Audit Vault Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 28
  • 29. Oracle Audit Vault Konsolidierung verschiedener Audit-Trails Oracle 9.2 / 10.1 / 10.2 / 11.1 / 11.2 MS SQL Server IBM DB2 UDB Sybase ASE Sichere Aufbewahrung der Audit-Daten Zentrales Management Zentrales Alerting Zentrales Reporting Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 29
  • 30. Oracle Audit Vault Architektur AV_AUDITOR AV_ADMIN Audit Vault Agent Source Source Collector Audit Vault Server Collector DBAUD OSAUD DBAUD REDO OSAUD Datawarehouse REDO Management Reports Alerts Source-DB Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 30
  • 31. Audit Vault – Server Verarbeitet die Audit Daten der Agenten Legt Audit Daten in einem Datawarehouse ab Bietet eine Oberfläche für Administration Benachrichtigung Reporting Wird durch Database Vault geschützt (zus. User) Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 31
  • 32. Datenmenge Datenmenge ~ 1KB / Satz abhängig vom SQL-Text Im DWH 1,5 KB / Satz + Indizes Höhere CPU-Last bei Verdichtung Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 32
  • 33. Audit Vault – Agent Wird als zusätzliche Software installiert Kann auf dem Audit-Vault-Server laufen Idealerweise aber auf dem Server der Source-DB installiert Notwendig, wenn Auditfiles geschrieben werden. Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 33
  • 34. Audit Vault – Source Laufendes Quellsystem Liefert die Auditdaten Logische Einheit Benötigt einen User in der Source-DB $ORACLE_HOME/av/scripts/streams/source/zarsspriv.sql Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 34
  • 35. Audit Vault – Collector Sammelt die einzelnen Auditdaten der Datenbank 3 Kollektoren DBAUD (Rolle: RESOURCE) Sammelt die Auditevents aus der Datenbank (Standard Auditing und FGA) OSAUD (Rolle: RESOURCE) Sammelt die Auditevents aus den Auditfiles (z.B.: aus dem adump) REDO (Rolle: DBA) Nutzt LogMiner, um DML- und DDL Statements zu sammeln supplemental logging sollte eingeschaltet sein Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 35
  • 36. Audit Vault – Rollen AV_ADMIN Administration Oracle Audit Vault Monitoring Oracle Audit Vault Konfiguration der Kollektoren Tools: Audit Vault Console Audit Vault Configuration Assistant (AVCA) Audit Vault Control (AVCTL) AVORCLDB, AVMSSQLDB, AVDB2DB, AVSYBDB, AV_AUDITOR Policies erstellen Alerts definieren und überwachen Reports erstellen und überprüfen Tools Audit Vault Console Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 36
  • 37. Audit Vault – Installation Analog zur “normalen” Oracle Installation Passwörter müssen komplex gewählt werden Nacharbeiten sind notwendig Standard-DB (außer Ablage der Datafiles, nichts auswählbar) Kommunikation Kein Redo- und Controlfile Spiegel Hinweise dazu in der Dokumentation Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 37
  • 38. Audit Vault – Installation Releasenotes zur Version 10.2.3.2 lesen Audit Vault Server Linux 32bit / 64bit Solaris SPARC 64bit AIX5L HPUX Itanium Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 38
  • 39. Audit Vault – Stolperfallen Installation des Audit-Vault-Agenten avca kann die Angabe user/password nicht verarbeiten Manuelles ausführen des Kommandos aus configToolFailedCommands Befehle müssen aus AV-Server-Home und AV-Agent-Home abgesetzt werden Zwei Shells nutzen Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 39
  • 40. Audit Vault – Oberfläche Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 40
  • 41. Audit Vault - Policies In der Source-DB ist Auditing eingeschaltet Synchronisation der Einstellungen mit Audit-Vault-Server Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 41
  • 42. Audit Vault – Alarme Alarme z.B. für: Sensible Spalteninhalte Anlegen von Benutzern Rollenvergabe DBA-Berechtigungen Fehlerhafte Logins Optionale Grafik einfügen Alarme werden schon beim Eingang der Audit-Daten generiert Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 42
  • 43. Audit Vault – Default Reports Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 43
  • 44. Audit Vault – Compliance Reports Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 44
  • 45. 5 Fazit Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 45
  • 46. Fazit Installation und Konfiguration manchmal trickreich Komplex Ermöglicht Audit Daten zentral zu sammeln zu schützen auszuwerten Audit Vault auditiert „nur“, greift aber nicht ein Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 46
  • 47. Fragen und Antworten Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 47
  • 48. Kontakt Stefan Seck Senior Consultant OPITZ CONSULTING Essen GmbH Altendorfer Str. 3, 45127 Essen Telefon +49 201 89 29 94 - 0 stefan.seck@opitz-consulting.com Besuchen Sie uns im Internet: www.opitz-consulting.com Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 48