データベース監査ツールとそのアプリケーション
データベース監査の作成、収集、分析に使用できる基本的なプラットフォームは 4 つあります。ローカル データベース プラットフォーム、システム情報/イベントです。管理とそのログ管理、データベースアクティビティ監視、およびデータベース監査プラットフォーム。
1. ローカル監査: データの取得にはローカル データベースを使用しますが、イベントの保存、分類、フィルター、レポートにはデータベース システム自体を使用します。 IBM、Microsoft、Oracle、Sybase はすべて、この状況に対して異なるソリューションを提供していますが、基本的にはすべて同じ情報を取得しようとしています。通常、データはデータベースに保存されますが、プレーン テキスト ファイルにエクスポートしたり、XML データとして他のアプリケーションに提供したりすることができます。ネイティブ機能を使用すると、専用の監査ツールの取得、展開、管理に関連するコストが節約されますが、データベースに追加のパフォーマンス オーバーヘッドがかかり、基本的なコレクションとストレージの管理が制限され、手動管理が必要になります。ローカル監査はデータベース全体で発生し、単一の施設内にあるデータベースの分析にのみ適用されます。
2. SIEM とログ管理: セキュリティ情報およびイベント管理 (SIEM) および同様のログ管理ツールには監査ファイルを収集する機能がありますが、ローカル データベース ツール以上の機能を提供します。これらのツールは、データベースの保存と処理に専用のサーバーを必要とするローカル監査のオーバーヘッドを発生させないため、データベースの負荷を大幅に軽減することに留意してください。これらのツールは、データベース監査ログに加えて、ネットワーク デバイス、オペレーティング システム、ファイアウォール、アプリケーションから情報を収集します。 SIEM とログ管理は、包括的なレポート作成、データ収集、異種データベースのサポート、データ集約および圧縮機能を提供できます。これらの機能は、ローカル データベース監査にはない利点です。 LogLogic や Splunk などの企業が発売したログ管理システムは、大量のデータに対応できるように特別に設計されており、管理とレポートに重点を置いています。 ArcSight や EMC のセキュリティ部門 RSA などのベンダーが発表した SIEM は、ネットワーク セキュリティ デバイスのほぼリアルタイムの監視により適したように設計されており、イベントとセキュリティ アラームやその他の情報との相関関係をより詳細に分析できます。ただし、ほとんどのベンダーが両方のプラットフォームを提供しているため、SIEM とログ管理の区別は曖昧になる可能性がありますが、この 2 つは完全には統合されていません。
3. DAM: データベース アクティビティ監視プラットフォームは、データベース アクティビティの脅威を監視し、ルール コンプライアンス制御を強制するように設計されています。 Application Security、Fortinet、IBM、Netezza、Oracle などのベンダーは、異種データベースからのイベント取得を提供しています。ほとんどのベンダーは、ネットワーク、データベースが配置されているオペレーティング システム、データベース監査ログなどの複数の関係者から情報を収集するなど、情報を取得するための複数の方法を提供しています。 DAM ツールは、高速なデータ取得とリアルタイムのポリシー適用を目的として設計されています。 SIEM ツールと同様に、DAM ツールは異種データベースや複数のデータ ソースからデータを収集でき、分析とアラート向けに設計されています。 SIEM とは異なり、DAM はデータベース専用に設計されておらず、ネットワークやシステム レベルではなく、アプリケーション レベルでのデータベース分析に重点を置いています。 DAM は、データベース操作のフォレンジック分析に加えて、アクティブ ブロッキング、仮想パッチ適用、フィルタリング、評価などの高度な機能も提供します。
4. データベース監査プラットフォーム: 一部のデータベース ベンダーは、ログ管理サーバーによく似た特殊なデータベースを提供しています。これらのデータベースは、ローカル データベース監査から取得したログ ファイルを保存し、複数のデータベースからログ ファイルを中央の場所に収集する専用プラットフォームで構成されています。これらのプラットフォームの中には、異種データベース ログ ファイル コレクターも提供するものもあります。レポート作成、フォレンジック分析、共通形式へのログ ファイルの集約、安全なストレージはすべて、このようなプラットフォームがもたらす利点です。これらのプラットフォームは、DAMのように複数のデータソースを提供したり、詳細な分析を行ったりすることはなく、SIEMのような関連付けや分析機能を備えておらず、ログ管理ほどシンプルで使いやすいものではありませんが、データベースを中心としたIT運用に適しています。監査。これは、セキュリティ レポートを生成し、フォレンジック セキュリティ データを保存するためのコスト効率の高い方法です。
データベース監査の選択プロセス
データベース監査の選択プロセスを支援するには、各プラットフォームの種類の次の特性と、それぞれのプラットフォームの特性を考慮する必要があります。ベンダーソリューション。重要な順に次のとおりです。
データ ソース: この記事で説明する情報の主なソースは、データベース エンジンによって作成されるデータベース監査ログです。ただし、監査ログはデータベースごとに異なり、場合によっては、さまざまな情報が監査ログ カテゴリに分類されることがあります。さらに、一部のプラットフォームでは、ユーザーのデータベース操作のアクティビティ ログを作成できます。このログはネイティブ プラットフォームで作成されたものほど正確ではありませんが、すべての SELECT ステートメントが含まれており、ブート パフォーマンスが向上しています。さまざまなデータ ソースからどのようなデータが利用可能であるかを慎重に調査し、その情報がセキュリティ、運用、およびコンプライアンスの要件を満たすのに十分であるかどうかを確認する必要があります。
規制への準拠: 業界および政府の規制への準拠がデータベース監査ソリューションを導入する主な推進要因であるため、ベンダーが提供するポリシーと製品レポートを確認する必要があります。これらのレポートは、コンプライアンス要件を迅速に満たし、カスタマイズ コストを削減するのに役立ちます。
導入: すべてのソリューションの説明***に関するユーザーの不満は、導入時に多くの困難に直面する必要があるというものです。インストール、構成、ポリシー管理、誤検知の削減、カスタム レポートまたはデータ管理も、ユーザーが解決する必要がある問題です。このため、ツールの長所と短所を評価するために現場での比較を行うことにリソースを集中する必要があります。さらに、1 つまたは 2 つのデータベースの展開に対するテストだけでは十分ではないため、現実世界のシナリオをシミュレートするには、複数のデータベースにわたるスケーラビリティ テストを計画する必要があります。もちろん、これにより概念実証プロセスの負担が増加しますが、ベンダーが持つ UI の問題、ポリシー管理、アーキテクチャの選択は実際のテストによってのみ影響を受けるため、長期的には価値があります。真ん中に現れます。
パフォーマンス: ベンダー プラットフォームとはほとんど関係がありませんが、データベース自体のデータ監査オプションとより密接に関連しています。複数のバージョンとオプションがあり、ローカル監査のパフォーマンスはすぐに変化するため、いくつかのテストを実行する必要があります。また、収集したいデータと必要なデータのバランスをとり、ニーズを満たすために導入するポリシーを最小限にする方法を探す必要がある場合もあります。これは、ポリシーが増えるとすべてのシステムに費やす費用が増えることを意味するためです。
統合: 作業プロセス、トラブルチケット発行、システムおよびポリシー管理製品とパートナー サプライヤーとの統合を検証する必要があります。
監査ログには、監査人、セキュリティ専門家、データベース管理者にとって役立つ情報が多数含まれていますが、パフォーマンスに影響を与える可能性があります。データベース監査によって新たな機能が得られるとしても、追加される可能性のある負担を理解する必要があります。監査ではパフォーマンスに多少のペナルティが発生し、実装方法によってはペナルティが重大になる可能性があります。ただし、これらの問題は軽減することができ、一部のビジネス上の問題では、コンプライアンスとセキュリティ分析のためにデータベース監査ログが不可欠です。
ローカル データベース監査 (データベース リソース上に位置する) を除いて、ここで説明するすべてのツールはスタンドアロン アプライアンスまたはソフトウェアとして展開されます。すべてのデータベース監査は、一元的なポリシーとデータ管理、レポート、およびデータ集計機能を提供します。 SIEM (セキュリティ情報およびイベント管理)、ログ管理、およびデータベース アクティビティ監視のベンダーは、ユーザー エクスペリエンスとストレージのニーズを向上させるために、複数のサーバーまたはデバイスが大規模な IT 組織全体に分散される、スケーラビリティのための階層型展開モデルを提供しています。
集約されたデータにより、収集された膨大な量のデータの管理とレポートが簡単になります。さらに、トランザクション ログを改ざんから保護するために、情報収集は中央サーバーに配置されます。
どちらのアプローチがあなたにとってより良いかは、あなたのニーズ、解決する必要があるビジネス上の問題、そして問題の解決にどれだけの時間とお金を投資できるかによって決まります。幸いなことに、データベース管理者にデータベースのローカル監査を実行して基本情報を取得するように依頼したり、数千台のデバイスにわたるデータを集約したりするなど、多くのオプションがあることです。
以上がデータベース監査とはの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。