• Save
Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING - Stefan Seck
 

Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING - Stefan Seck

on

  • 1,034 views

In diesem Vortrag werden verschiedene Möglichkeiten beschrieben, Zugriffe auf Daten in einer Datenbank zu protokollieren. Es werden Möglichkeiten aufgezeigt, die gesammelten Daten auszuwerten. Der ...

In diesem Vortrag werden verschiedene Möglichkeiten beschrieben, Zugriffe auf Daten in einer Datenbank zu protokollieren. Es werden Möglichkeiten aufgezeigt, die gesammelten Daten auszuwerten. Der Schwerpunkt liegt auf der Beschreibung von Oracle Audit Vault. Audit Vault bietet eine Plattform, Auditdaten zentral zu sammeln, zu schützen und auszuwerten.

Statistics

Views

Total Views
1,034
Slideshare-icon Views on SlideShare
1,030
Embed Views
4

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 4

http://wwwtest.opitz-consulting.com 4

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING - Stefan Seck Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING - Stefan Seck Presentation Transcript

    • Oracle Audit Vault. Auditiert, und dann?Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 1
    • Oracle Audit VaultAuditiert, und dann?Stefan SeckOPITZ CONSULTING Essen GmbHRegionales DOAG-Treffen bei OPITZ CONSULTING Essen,13. Juli 2011 Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 2
    • Märkte Kunden Leistungs- Fakten angebot Java Branchen- IT-Strategie Gründung 1990 SOA übergreifend Beratung 400 Mitarbeiter ORACLE Über 600 Implementierung 8 Standorte in BI/DWH Kunden Betrieb D/PL Outtasking Training Industrie / Versorger / Handel / Logistik / Telekommunikation Dienstleistungen 29% 29% 42% Öffentliche Auftraggeber / Banken & Versicherungen / Vereine & Verbände Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 3
    • Agenda1. Warum auditieren?2. Wie auditieren?3. Auditiert, und dann?4. Audit Vault5. Fazit Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 4
    • 1 Warum auditieren? Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 5
    • Externe Bedrohung„ Mit geklonten Debit-Karten haben US-Berichten zufolge Kriminelle innerhalb weniger Stunden neun Millionen US- Dollar von 130 Geldautomaten in 49 Städten weltweit abgehoben.“06.02.2009 bei heise online Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 6
    • Motivation der Angreifer Kommerzielles Interesse „Suche nach Gerechtigkeit“ (gefeuerte oder frustrierte Mitarbeiter, Grey-Hat Hacker etc.) Mehr Wissen über Sicherheitslücken Spezialisierung der Angreifer Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 7
    • Vorgaben Sarbanes-Oxley-Act HIPAA PCI-DSS BASEL II Weitere gesetzliche Vorgaben Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 8
    • Anforderungen und Wünsche des Management Wer arbeitet wann mit welchen Daten? „Business Need to Know“ Wer greift auf „verbotene“ Daten zu? Wie werden Auditdaten vor Manipulation geschützt? Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 9
    • Anforderungen und Wünsche der Auditoren Rollentrennung (Security-Admin <-> DBA) Separation of Duty Reporting Alarme Integrität der Audit-Daten Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 10
    • Anforderungen und Wünsche der IT Keine Einschränkung bei der tägl. Admin-Arbeit Keine Performanceeinbußen Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 11
    • Voraussetzung Konzept Welche Daten sollen wie überwacht werden? Rollenverteilung muss klar seinUnd das Wichtigste: Konzept, Konzept und Konzept! Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 12
    • 2 Wie auditieren? Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 13
    • Ständiges Audit Privilegierte Benutzer Alle Operationen Datenbankweit DDL-Operationen Missglückte Anmeldeversuche Zugriff auf sensible Daten Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 14
    • Auditing-MethodenTrigger anwendungsspezifisch programmierbar Feuern bei DML Select-Statements werden nicht protokolliert Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 15
    • Auditing-MethodenLogMiner Informationen aus den RedoLog-Dateien sichtbar machen: DML- (Insert, Update, Delete) oder DDL-Befehle (Create ... ) in Form von Undo- und Redo-Statements System Change Number (SCN) Benutzer, der das Statement abgesetzt hat Name und Schema des geänderten Objekts Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 16
    • Auditing-MethodenAUDIT init.ora Parameter: audit_trail DB Audit-Daten in SYS.AUD$ DB, EXTENDED wie DB inkl SQL Bindvariablen und Text XML Audit-Daten als XML-File XML, EXTENDED wie XML inkl SQL Bindvariablen und Text OS Audit-Daten in AUDIT_FILE_DEST init.ora Parameter: audit_sys_operations init.ora Parameter: audit_sys_loglevel audit_trail=db - Default in 11g Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 17
    • Auditing-Methoden Default Auditing instance startup instance shutdown connect as sysdba Ab 11g zahlreiche Statements zusätzlich: Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 18
    • Auditing-Methoden Ein- / Ausschalten des Auditings audit / noaudit Level des Auditings Statement Auditing audit select by sse; audit select table, update table by sse,swi; Object Auditing audit select on sse.top_verein; Privilege Auditing audit select table; Optionen: whenever sucessful whenever not sucessful Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 19
    • Auditing-MethodenAuditing – ein Beispielsatz Login nicht erfolgreichMon Feb 28 11:25:23 2011SESSIONID: "180041" ENTRYID: "1" STATEMENT: "1" USERID: "SSE" USERHOST: “NLWGM100" TERMINAL: “NLWGM100" ACTION: "100" RETURNCODE: "1017" COMMENT$TEXT: "Authenticated by: DATABASE; Client address: (ADDRESS=(PROTOCOL=tcp)(HOST=192.169.163.128)(PORT=2910) )" OS$USERID: “stefan“ORA-01017: invalid username/password; logon denied Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 20
    • Auditing-MethodenFine-Grained Auditing (FGA) Feiner granulierte Informationen Einzelne Tabellen werden nach Bedingungen überwacht Auch Select-Statements werden protokolliert Steuerung über DBMS_FGA Eigene Tabelle für die Audit-Informationen SYS.FGA_LOG$ DBA_FGA_AUDIT_TRAIL Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 21
    • Performance Auditing FGA Quelle: oracle.com Whitepaper Audit Vault Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 22
    • Flashback / Total Recall Basis Undo-Informationen Ein Hintergrundprozess (fbda) erfasst asynchron DatenCREATE FLASHBACK ARCHIVE DEFAULT FLB_ARCH TABLESPACE FLB_ARCH_TBS QUOTA 100G RETENTION 10 YEAR;ALTER TABLE SSE_TEST FLASHBACK ARCHIVE;SELECT * FROM SSE_TEST AS OF TIMESTAMPTO_TIMESTAMP(‘28.02.2011 11:55:00’,‘DD.MM.YYYY HH24:MI:SS’); Zusätzlich gespeicherte Information rowid startscn endscn xid operation Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 23
    • Audit-Methoden – Zusammenfassung Trigger Programmieraufwändig Keine SELECT‘s LogMiner Nur DML‘s und DDL‘s Keine SELECT‘s Flashback / Total Recall Kein Hinweis auf den Verursacher Auditing (auch FGA) Schlechte Auswertung Kein Schutz vor Veränderung der gesammelten DatenLösung: z. B. Oracle Audit Vault Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 24
    • 3 Auditiert, und dann? Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 25
    • Auswertung Daten werden in sys.aud$ / sys.fga_log$ gespeichert Es gibt weitere Views: DBA_AUDIT_TRAIL DBA_FGA_AUDIT_TRAIL DBA_COMMON_AUDIT_TRAIL DBA_STMT_AUDIT_OPTS DBA_PRIV_AUDIT_OPTS DBA_OBJ_AUDIT_OPTS Daten in eigene Tabellen kopieren und auswerten Eventuell partitioniert Zeit User / Schema Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 26
    • Housekeeping Moving AUD$ to Another Tablespace (72460.1) DBMS_AUDIT_MGMT (731908.1) Verschieben des Audit Trail in einen anderen Tablespace Kontrolle der Größe des OS Audit Trail Größe Löschen von Audit-Trail-Sätzen Timestamp Management Manuelles Löschen Automatisches Löschen Patch erforderlich für 10.2.0.3, 10.2.0.4 Enthalten in 10.2.0.5, 11.1.0.7, 11.2.0 Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 27
    • 4 Audit Vault Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 28
    • Oracle Audit Vault Konsolidierung verschiedener Audit-Trails Oracle 9.2 / 10.1 / 10.2 / 11.1 / 11.2 MS SQL Server IBM DB2 UDB Sybase ASE Sichere Aufbewahrung der Audit-Daten Zentrales Management Zentrales Alerting Zentrales Reporting Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 29
    • Oracle Audit Vault Architektur AV_AUDITOR AV_ADMIN Audit Vault Agent Source Source Collector Audit Vault Server Collector DBAUD OSAUD DBAUD REDO OSAUD Datawarehouse REDO Management Reports Alerts Source-DB Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 30
    • Audit Vault – Server Verarbeitet die Audit Daten der Agenten Legt Audit Daten in einem Datawarehouse ab Bietet eine Oberfläche für Administration Benachrichtigung Reporting Wird durch Database Vault geschützt (zus. User) Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 31
    • Datenmenge Datenmenge ~ 1KB / Satz abhängig vom SQL-Text Im DWH 1,5 KB / Satz + Indizes Höhere CPU-Last bei Verdichtung Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 32
    • Audit Vault – Agent Wird als zusätzliche Software installiert Kann auf dem Audit-Vault-Server laufen Idealerweise aber auf dem Server der Source-DB installiert Notwendig, wenn Auditfiles geschrieben werden. Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 33
    • Audit Vault – Source Laufendes Quellsystem Liefert die Auditdaten Logische Einheit Benötigt einen User in der Source-DB $ORACLE_HOME/av/scripts/streams/source/zarsspriv.sql Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 34
    • Audit Vault – Collector Sammelt die einzelnen Auditdaten der Datenbank 3 Kollektoren DBAUD (Rolle: RESOURCE) Sammelt die Auditevents aus der Datenbank (Standard Auditing und FGA) OSAUD (Rolle: RESOURCE) Sammelt die Auditevents aus den Auditfiles (z.B.: aus dem adump) REDO (Rolle: DBA) Nutzt LogMiner, um DML- und DDL Statements zu sammeln supplemental logging sollte eingeschaltet sein Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 35
    • Audit Vault – Rollen AV_ADMIN Administration Oracle Audit Vault Monitoring Oracle Audit Vault Konfiguration der Kollektoren Tools: Audit Vault Console Audit Vault Configuration Assistant (AVCA) Audit Vault Control (AVCTL) AVORCLDB, AVMSSQLDB, AVDB2DB, AVSYBDB, AV_AUDITOR Policies erstellen Alerts definieren und überwachen Reports erstellen und überprüfen Tools Audit Vault Console Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 36
    • Audit Vault – Installation Analog zur “normalen” Oracle Installation Passwörter müssen komplex gewählt werden Nacharbeiten sind notwendig Standard-DB (außer Ablage der Datafiles, nichts auswählbar) Kommunikation Kein Redo- und Controlfile Spiegel Hinweise dazu in der Dokumentation Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 37
    • Audit Vault – Installation Releasenotes zur Version 10.2.3.2 lesen Audit Vault Server Linux 32bit / 64bit Solaris SPARC 64bit AIX5L HPUX Itanium Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 38
    • Audit Vault – Stolperfallen Installation des Audit-Vault-Agenten avca kann die Angabe user/password nicht verarbeiten Manuelles ausführen des Kommandos aus configToolFailedCommands Befehle müssen aus AV-Server-Home und AV-Agent-Home abgesetzt werden Zwei Shells nutzen Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 39
    • Audit Vault – Oberfläche Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 40
    • Audit Vault - Policies In der Source-DB ist Auditing eingeschaltet Synchronisation der Einstellungen mit Audit-Vault-Server Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 41
    • Audit Vault – Alarme Alarme z.B. für: Sensible Spalteninhalte Anlegen von Benutzern Rollenvergabe DBA-Berechtigungen Fehlerhafte Logins Optionale Grafik einfügen Alarme werden schon beim Eingang der Audit-Daten generiert Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 42
    • Audit Vault – Default Reports Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 43
    • Audit Vault – Compliance Reports Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 44
    • 5 Fazit Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 45
    • Fazit Installation und Konfiguration manchmal trickreich Komplex Ermöglicht Audit Daten zentral zu sammeln zu schützen auszuwerten Audit Vault auditiert „nur“, greift aber nicht ein Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 46
    • Fragen und Antworten Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 47
    • KontaktStefan SeckSenior ConsultantOPITZ CONSULTING Essen GmbHAltendorfer Str. 3, 45127 EssenTelefon +49 201 89 29 94 - 0stefan.seck@opitz-consulting.comBesuchen Sie uns im Internet:www.opitz-consulting.com Stefan Seck, OPITZ CONSULTING: „Audit Vault. Auditiert, und dann?“ © OPITZ CONSULTING GmbH 2011 Seite 48