Audit Vault y Database Firewall

Descripción general

 Detecta y bloquea con exactitud actividad no autorizada en la base de datos incluidos los ataques de inyección
de SQL al monitorear el tráfico de bases de datos Oracle a bases de datos no Oracle.

 Consolida datos de auditoría y registros generados por bases de datos, operando sistemas, directorios,
sistemas de archivos y fuentes personalizadas en un repositorio centralizado y seguro

 Proporciona inteligencia de seguridad comercial y cumplimiento eficiente reportado por una combinación de
monitoreo y datos de auditoría

 Utiliza un motor único de análisis gramatical de SQL y listas de permitidos y no permitidos fáciles de definir para
asegurar mayor precisión y rendimiento

 Brinda escalabilidad horizontal y vertical a través de "aplicaciones de software" fáciles de implementar

 Beneficios
 Primera línea de defensa: Detecta y bloquea claramente ataques de inyección de SQL, escala privilegios y otras
amenazas contra bases de datos de Oracle, Microsoft SQL Server, IBM DB2, SAP Sybase y MySQL

 Respuesta más rápida: Detecta automáticamente actividades no autorizadas en la base de datos que violan las
políticas de seguridad e impide que los perpetradores cubran sus huellas

 Informe de cumplimiento simplificado: Analiza datos de eventos y auditoría fácilmente y actúa de manera
oportuna con informes de cumplimiento inmediatos

Preguntas

Consideraciones

Audit Vault puede collectar información de los siguientes motores de Base de Datos, Oracle RDBMS, Microsoft SQL
Server, IBM DB2 UDB y Sybase ASE.

Se puede configurar para la recolección de datos de sistema operativo, file systems, directorios y o tras fuentes que
se pueden personalizar.

 ¿Qué se va a auditar (Bases de Datos, sistemas operativos, directorios, file systems, etc.)?
 Detalle de numero y descripción de objetos a auditar (versión, arquitectura, plataforma)
 ¿Se va implementar Audit Vault ó Database firewall o los dos?
 ¿Si se implementa Audit Vault que se auditará? Ver tabla 1
 ¿En qué plataforma se va instalar Audit Vault y/o Dtabase Firewall?
 ¿Se necesita configurar un sistema de alta disponibilidad?

Tabla 1

Table B-13 Audit Trail Types Supported for Each Secured Target Type

Secured
Target
Type Trail Type Description
Oracle TABLE Collects from the following audit trails:
Secured
Target
Type Trail Type Description
Database Releases 10.1.x,  Oracle Database audit trail, where standard
10.2.x, 11.x, and audit events are written to the SYS.AUD$
12.x dictionary table
 Oracle Database fine-grained audit trail, where
audit events are written to the
SYS.FGA_LOG$ dictionary table
 Oracle Database Vault audit trail, where audit
events are written to the
DVSYS.AUDIT_TRAIL$ dictionary table
Oracle DIRECTORY Collects data from the following audit trails:
Database Releases 10.1.x,  On Linux and UNIX platforms: The Oracle
10.2.x, and 11.x database audit files written to the operating
system (.aud) files, and syslog files (but not
compressed syslog files)
 On Windows platforms: The operating
system Windows Event Log and operating
system logs (audit logs) XML (.xml) files
Oracle TRANSACTION Collects audit data from logical change records (LCRs)
Database LOG from the REDO logs. If you plan to use this audit trail
Enterprise Edition type, you can define the data to audit by creating
Releases 10.2.0.3 capture rules for the tables from which the
and later, 11.1.0.6 Transaction Log trail type will capture audit
and later information. See Oracle Audit Vault and Database
11.2 for REDO Firewall Auditor's Guide for more information.
connection Note: For Oracle Database 12c, the Transaction Log
audit trail is only supported when not using a
PDB/CDB.
Oracle SYSLOG Collects Oracle audit records from syslog files on
Database Linux and Unix platforms only
Oracle EVENT LOG Collects Oracle audit records from Microsoft Windows
Database Event Log on Windows platforms only
Oracle NETWORK Collects network traffic (all database operations using
Database a TCP connection). Used for host monitor.
Microsoft DIRECTORY Collects audit data from C2 audit logs, server-side
SQL Server trace logs, and sqlaudit log files
Microsoft EVENT LOG Collects audit data from Windows Event Logs. For
Secured
Target
Type Trail Type Description
SQL Server Microsoft SQL Server 2008 and 2012, collection from
the Security Event Log is also supported.
Microsoft NETWORK Collects network traffic (all database operations using
SQL Server a TCP connection). Used for host monitor.
Sybase ASE TABLE Collects audit data from system audit tables
(sysaudits_01 through sysaudits_08) in the
sybsecurity database
Sybase ASE NETWORK Collects network traffic (all database operations using
a TCP connection). Used for host monitor.
Sybase SQL NETWORK (For host monitoring only) Collects network traffic (all
Anywhere database operations using a TCP connection).
IBM DB2 DIRECTORY Collects audit data from ASCII text files extracted
for LUW from the binary audit log (db2audit.log). These
files are located in the security subdirectory of
the DB2 database instance.
IBM DB2 NETWORK Collects network traffic (all database operations using
for LUW a TCP connection). Used for host monitor.
MySQL DIRECTORY Collects XML-based audit data from a specified
location
MySQL NETWORK Collects network traffic (all database operations using
a TCP connection). Used for host monitor.
Oracle DIRECTORY Collects Solaris Audit records (version 2) generated
Solaris by the audit_binfile plug-in of Solaris Audit
Linux DIRECTORY Collects audit data from audit.log
Windows EVENT LOG Collects audit data from Windows Security Event Log
OS
Microsoft EVENT LOG Collects audit data from Windows Directory Service,
Active and Security Event Logs
Directory
Oracle DIRECTORY Collects audit data from ACFS encryption and ACFS
ACFS security sources.
Oracle Database Vault

Consideración.

Este producto solo funciona sobre motores Oracle RDBMS.

Descripción General

 Implementa controles preventivos sobre el acceso de datos del negocio a usuarios con privilegios (ej DBAs).

 Controlar el acceso a la BD con diferentes políticas que pueden estar basadas en Fecha, IP, Aplicación y
método de autenticación.

 Descubrir y reportar en tiempo de ejecución los privilegios y roles usados en la BD.

 Beneficios
 Proactivamente salvaguardar el acceso a la información almacenada en la base de Datos.

 Usar distintas políticas que aseguran una alta seguridad al acceso de datos con mínimo impacto en el
desempeño.

 Políticas por defecto certificadas para productos como: Oracle E-Business Suite; Oracle’s PeopleSoft, Siebel
CRM y aplicaciones SAP.

 Permite la reducción de puntos de vulnerabilidad sin interrumpir la actividad del negocio.

 Con Database Vault se reduce uno de los principales riesgos de seguridad existentes actualmente el de la
protección contra amenazas internas.

 Database Vault puede prevenir el acceso y/o modificación de datos sensibles a pesar que el usuario que intente
acceder tenga la capacidad para ello debido a roles o privilegios asignados.

 Data Vault permite la segregación de funciones, lo que quiere decir que súper usuarios como DBAs están
divididos en varios roles asegurando que ningún usuario tenga control total de datos y configuración del sistema.

Preguntas

 ¿Sobre qué tablas se implementara el control de acceso?

 ¿Qué política de acceso y modificación se implementara para cada uno de los objetos?
 ¿Qué usuarios serán los restringidos?
 ¿Qué nivel de segregación de funciones se desea implementar?