Oracle 12c Unified Auditing INFOBOX – Lesen und Löschen Auf der ersten Folie kann eine Überschrift und ein optionaler Untertitel platziert werden Der/die Titel wird direkt unter den Namen geschrieben (Shift+Return) Werden mehrere Referenten genannt bitte nur die Namen untereinander schreiben (meist ist dann kein Platz für Titel, etc.) Oracle 12c Unified Auditing Axel Kraft Senior Consultant Oracle 12c Unified Auditing 06.11.2018

Unser Unternehmen Trivadis ist führend bei der IT-Beratung, der Systemintegration, dem Solution-Engineering und der Erbringung von IT-Services mit Fokussierung auf und Technologien im D-A-CH-Raum. Unsere Leistungen erbringen wir aus den strategischen Geschäftsfeldern: Trivadis Services übernimmt den korrespondierenden Betrieb Ihrer IT Systeme. B E T R I E B Oracle 12c: Unified Auditing 06.11.2018

Mit über 600 IT- und Fachexperten bei Ihnen vor Ort 11 Trivadis Niederlassungen mit über 600 Mitarbeitenden 200 Service Level Agreements Mehr als 4'000 Trainingsteilnehmer Forschungs- und Entwicklungs- budget: CHF 5.0 / EUR 4 Mio. Finanziell unabhängig und nachhaltig profitabel Erfahrung aus mehr als 1'900 Projekten pro Jahr bei über 800 Kunden Stand 12/2012 Hamburg Düsseldorf Frankfurt Stuttgart Wien Freiburg München Basel Bern Zürich Lausanne 3 Oracle 12c: Unified Auditing 3 06.11.2018 3

About me … Senior Consultant – Infrastructure Managed Services INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten About me … Senior Consultant – Infrastructure Managed Services Oracle Knowhow seit Version 7.3.4 Schwerpunkte im Oracle-Umfeld Installation, Konfiguration Migration Tuning Oracle Security Backup & Recovery Betriebsoptimierung Oracle 12c Unified Auditing 06.11.2018

INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Hinweis Analysen, Meinungen und Darstellungen, die in dieser Präsentation geäußert werden, sind die des Autors. Sie wurden nicht mit Oracle abgestimmt. Oracle 12c Unified Auditing 06.11.2018

AGENDA Einleitung Überblick Oracle 12c Unified Auditing Konfiguration INFOBOX – Lesen und Löschen Wenn die Agenda als Zwischenseite verwendet wird, bitte das betreffende Kapitel mit roter Schriftfarbe hervorheben Zum optimalen Ausrichten der Objekte die Führungslinien (mit einem Rechtsklick auf die Seite) anzeigen AGENDA Einleitung Überblick Oracle 12c Unified Auditing Konfiguration Database Auditing - Funktionstrennung Audit Polices Mehr über Unified … Housekeeping Migration Sonstiges Oracle 12c Unified Auditing 06.11.2018

Einleitung INFOBOX – Lesen und Löschen Im Kapiteltrenner wird der Text des Kapitels zentriert in das Textfeld geschrieben Achte bitte darauf die Kapitel möglichst kurz zu nennen, weniger Text und knackige Namen sind mehr ! Einleitung Oracle 12c Unified Auditing 06.11.2018

Audit-Szenarien und die Herausforderung … INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Audit-Szenarien und die Herausforderung … Erstellung komplexer Audit-Szenarien …..????? Oracle 12c Unified Auditing 06.11.2018

Audit-Szenarien und die Herausforderung … INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Audit-Szenarien und die Herausforderung … Die Erstellung komplexer Audit-Szenarien ist sehr beschwerlich. Viele Audit-Statments Die Audit-Statements können nicht einfach an- und ausgeschaltet werden. Sind die Audit-Statements für alle Benutzer gültig oder nur für einen Teil davon? Wie verfahren wir mit Benutzern, die SYSDBA-Rechte haben? Betriebsrat, Personalrat, Datenschutzbeauftragter Nicht alles ist auditierbar. Oracle RMAN Oracle Datapump Änderungen an der Audit Konfiguration. Oracle 12c Unified Auditing 06.11.2018

Audit-Szenarien und die Herausforderung … INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Audit-Szenarien und die Herausforderung … Mögliche Performanceinbußen Hochfrequentierte Objekte erzeugen viele Audit-Records. Keine durchgängige Lösung der Zugriffkontrolle auf Audit-Daten. Betriebssystemgrenze der „ADUMP“-Directory. Begrenzung des Zugriffs auf AUDIT-Views. Verschiedenes Datenmaterial Standard Datenbank Audit Audit der SYS-Benutzer Mandatory Audit (SYSDBA) Fine grained Auditing Oracle Database Vault Oracle 12c Unified Auditing 06.11.2018

Audit-Szenarien und die Herausforderung … INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Audit-Szenarien und die Herausforderung … Auditing bis Oracle 11g R2 (und ein bißchen darunter…) Oracle 12c Unified Auditing 06.11.2018

Oracle 12c Unified Auditing INFOBOX – Lesen und Löschen Im Kapiteltrenner wird der Text des Kapitels zentriert in das Textfeld geschrieben Achte bitte darauf die Kapitel möglichst kurz zu nennen, weniger Text und knackige Namen sind mehr ! Überblick Oracle 12c Unified Auditing Oracle 12c Unified Auditing 06.11.2018

INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Unified Auditing Oracle führt das UNIFIED AUDIT und das UNIFIED AUDIT TRAIL ein. Alle Audit-Informationen sind zentral an einer Stelle abgelegt. Alle Informationen sind in Oracle Secure Files gespeichert. Der unified_audit_trail View ersetzt die SYS.AUD$ und die SYS.FGA_LOG$. Auditing ist immer eingeschaltet. Keine Initialisierungsparameter mehr notwendig. Keine Notwendigkeit mehr, die Datenbank bei einer Änderung von Audit- Einstellungen durchzustarten. (Ausnahme: Einschalten der Option) Jedes Ereignis, das die Audit-Konfiguration ändert, wird mit aufgezeichnet. Jede Änderung der Einstellungen wird mit aufgezeichnet. Verbesserung der Performance. Eine schnellere Audit-Engine. Oracle 12c Unified Auditing 06.11.2018

Unified Auditing Erweiterte Sicherheit Vereinfachung INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Unified Auditing Erweiterte Sicherheit Read-Only-Audit-Trail Tabelle. Jede SYS-Aktion wird mit auditiert. Auditierung von Oracle RMAN und Oracle Datapump. Teilung der Audit-Administration Vereinfachung Gruppieren von Audit Optionen in einer Audit-Policy. Bedingsungsbasierte- und aktionsbasierte Audit-Konfiguration. Benutzer können leichter vom Auditieren befreit werden. Oracle 12c Unified Auditing 06.11.2018

Unified Auditing Zwei Modi zur Speicherung der Audit-Records: INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Unified Auditing Zwei Modi zur Speicherung der Audit-Records: Immediate, alle Audit-Records werden sofort gespeichert. Queued Write, die Audit-Records werden periodisch gespeichert. Nachteil, bei einem SHUTDOWN ABORT gehen die Informationen verloren. Oracle 12c Unified Auditing 06.11.2018

Konfiguration INFOBOX – Lesen und Löschen Im Kapiteltrenner wird der Text des Kapitels zentriert in das Textfeld geschrieben Achte bitte darauf die Kapitel möglichst kurz zu nennen, weniger Text und knackige Namen sind mehr ! Konfiguration Oracle 12c Unified Auditing 06.11.2018

Konfiguration Abfragen, ob die Option eingeschaltet ist: INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Konfiguration Abfragen, ob die Option eingeschaltet ist: Einschalten von Unified Auditing: Bemerkung: Wird in die Oracle Binaries eingelinkt. SQL> SELECT parameter, value 2 FROM v$option 3 WHERE parameter = 'Unified Auditing';   PARAMETER VALUE -------------------- -------------------- Unified Auditing TRUE $ cd $ORACLE_HOME/rdbms/lib $ make -f ins_rdbms.mk uniaud_on ioracle ORACLE_HOME=$ORACLE_HOME Oracle 12c Unified Auditing 06.11.2018

Konfiguration Default Mode ist QUEUED WRITE: INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Konfiguration Default Mode ist QUEUED WRITE: Einstellung der Queue-Size über (1MB bis 30MB) : SQL> SELECT * 2 FROM dba_audit_mgmt_config_params 3 WHERE parameter_name = 'AUDIT WRITE MODE';   PARAMETER_NAME PARAMETER_VALUE AUDIT_TRAIL ------------------------------ ----------------- ------------------ AUDIT WRITE MODE QUEUED WRITE MODE UNIFIED AUDIT TRAIL Parameter Instance Description ---------------------------- -------- ----------------------------- unified_audit_sga_queue_size 1048576 Size of Unified audit SGA Queue Oracle 12c Unified Auditing 06.11.2018

Konfiguration Queued Write Mode: Hidden-Parameter: INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Konfiguration Queued Write Mode: Audit-Records werden in der SGA gespeichert. Manipulation der Queue mit Hilfe von “hidden”-Parameter möglich. Hidden-Parameter: Parameter Instance Description ------------------------------ -------- ----------------------------- _unified_audit_flush_interval 3 Unified Audit SGA Queue Flush Interval _unified_audit_flush_threshold 85 Unified Audit SGA Queue Flush Threshold _unified_audit_policy_disabled FALSE Disable Default Unified Audit Policies on DB Create Oracle 12c Unified Auditing 06.11.2018

Konfiguration Immediate Write Mode: INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Konfiguration Immediate Write Mode: Audit-Records werden sofort geschrieben. Einschalten des Immediate Write Mode: BEGIN dbms_audit_mgmt.set_audit_trail_property( dbms_audit_mgmt.audit_trail_unified, dbms_audit_mgmt.audit_trail_write_mode, dbms_audit_mgmt.audit_trail_immediate_write); END; / SQL> SELECT * 2 FROM dba_audit_mgmt_config_params 3 WHERE parameter_name = 'AUDIT WRITE MODE'; PARAMETER_NAME PARAMETER_VALUE AUDIT_TRAIL ---------------- -------------------- ------------------- AUDIT WRITE MODE IMMEDIATE WRITE MODE UNIFIED AUDIT TRAIL Oracle 12c Unified Auditing 06.11.2018

Konfiguration Manuelles flushen der Queue auf Disk ist möglich. REM INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Konfiguration Manuelles flushen der Queue auf Disk ist möglich. REM REM Anmeldung bspw. über User mit AUDIT_ADMIN role BEGIN dbms_audit_mgmt.flush_unified_audit_trail; END; / Oracle 12c Unified Auditing 06.11.2018

Database Auditing - Funktionstrennung INFOBOX – Lesen und Löschen Im Kapiteltrenner wird der Text des Kapitels zentriert in das Textfeld geschrieben Achte bitte darauf die Kapitel möglichst kurz zu nennen, weniger Text und knackige Namen sind mehr ! Database Auditing - Funktionstrennung Oracle 12c Unified Auditing 06.11.2018

Database Auditing - Funktionstrennung INFOBOX – Lesen und Löschen Verwenden sie für konzeptionelle Seiten mit Textboxen diese Kästen. Hier ändern sich die Aufzählungs-zeichen automatisch und die Objekte sind gruppierbar (wichtig für gleiche Abstände 1) Sie können die Form aller Objekte über Format  Formen einfügen  Form ändern (2) jederzeit nach-träglich verändern 1 2 Database Auditing - Funktionstrennung DBA Verwaltung des Tablespaces der AUDIT-Tabellen AUDIT_ADMIN Definition und Verwaltung der Audit Policies. Housekeeping create audit policy ... dbms_fga ... dbms_audit_mgmt.move_dbaudit_tables dbms_audit_mgmt.init_cleanup Oracle 12c Unified Auditing 06.11.2018

Database Auditing - Funktionstrennung INFOBOX – Lesen und Löschen Verwenden sie für konzeptionelle Seiten mit Textboxen diese Kästen. Hier ändern sich die Aufzählungs-zeichen automatisch und die Objekte sind gruppierbar (wichtig für gleiche Abstände 1) Sie können die Form aller Objekte über Format  Formen einfügen  Form ändern (2) jederzeit nach-träglich verändern 1 2 Database Auditing - Funktionstrennung AUDIT_VIEWER: Sichten und Berichten der auditierten Daten Best practice: Anlage von dedizierten Benutzern. Vergabe von Rollen. GRANT audit_admin TO auditor_kraft GRANT audit_viewer TO auditor_meier Oracle 12c Unified Auditing 06.11.2018

Audit Policies INFOBOX – Lesen und Löschen Im Kapiteltrenner wird der Text des Kapitels zentriert in das Textfeld geschrieben Achte bitte darauf die Kapitel möglichst kurz zu nennen, weniger Text und knackige Namen sind mehr ! Audit Policies Oracle 12c Unified Auditing 06.11.2018

INFOBOX – Lesen und Löschen Verwenden sie für konzeptionelle Seiten mit Textboxen diese Kästen. Hier ändern sich die Aufzählungs-zeichen automatisch und die Objekte sind gruppierbar (wichtig für gleiche Abstände 1) Sie können die Form aller Objekte über Format  Formen einfügen  Form ändern (2) jederzeit nach-träglich verändern 1 2 Audit Policies Audit Policies sind sogenannte „Named Container“ für Audit-Settings. Verwendung Auditieren von Datenbank-Aktionen, Datenbank-Objekten und Datenbank- Privilegien. Basieren auf Audit-Optionen und können aktiviert oder deaktiviert werden. Können Rollen und Bedingungen beinhalten. EVALUATE PER Bedeutung der Auswertung STATEMENT Für jede Ausführung wird ein Auditeintrag erstellt. SESSION Innerhalb der Session wird nur einmal aufgezeichnet. INSTANCE Solange die Instanz läuft nur eine Aufzeichnung. CONTAINER ALL CURRENT Nur der aktuelle Container Oracle 12c Unified Auditing 06.11.2018

Audit Policies Zugriffe über SQL*Plus mitprotokollieren. INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Audit Policies Zugriffe über SQL*Plus mitprotokollieren. Ausnahmen sind Anmeldungen an das Schema: HR SQL> CREATE AUDIT POLICY logon_sqlplus_policy 2 ACTIONS LOGON 3 WHEN 'INSTR(UPPER(SYS_CONTEXT(''USERENV'', ''CLIENT_PROGRAM_NAME'')), ''SQLPLUS'') > 0' 4 EVALUATE PER SESSION; Audit policy created. SQL> AUDIT POLICY logon_sqlplus_policy EXCEPT hr; REM Gilt nicht für User hr.   Audit succeeded. SQL> SELECT * 2 FROM audit_unified_enabled_policies 3 WHERE policy_name = 'LOGON_SQLPLUS_POLICY'; USER_NAME POLICY_NAME ENABLED_OPT SUCCESS FAILURE --------- -------------------- ----------- ------- ------- HR LOGON_SQLPLUS_POLICY EXCEPT YES YES Oracle 12c Unified Auditing 06.11.2018

INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Audit Policies REM REM Nun kann man die View UNIFIED_AUDIT_TRAIL auf Vorkommen der REM Audit Policy abfragen. SQL> SELECT os_username,dbusername,event_timestamp 2 FROM unified_audit_trail 3 WHERE unified_audit_policies='LOGON_SQLPLUS_POLICY';   OS_USERNAME DBUSERNAME EVENT_TIMESTAMP ----------- ---------- ---------------------------- oracle SCOTT 02-DEC-13 10.21.37.240745 PM Oracle 12c Unified Auditing 06.11.2018

Audit Policies DML-Zugriffe mitprotokollieren. INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Audit Policies DML-Zugriffe mitprotokollieren. Zugriffe auf die Tabelle EMP im Schema SCOTT. SQL> CREATE AUDIT POLICY scott_emp_dml_policy ACTIONS 2 SELECT ON SCOTT.emp, 3 INSERT ON SCOTT.emp, 4 DELETE ON SCOTT.emp, 5 UPDATE ON SCOTT.emp; Audit policy created. SQL> AUDIT POLICY scott_emp_dml_policy;   Audit succeeded. SQL> SELECT * 2 FROM audit_unified_enabled_policies 3 WHERE policy_name = 'SCOTT_EMP_DML_POLICYY'; USER_NAME POLICY_NAME ENABLED_OPT SUCCESS FAILURE --------- -------------------- ----------- ------- ------- ALL_USERS SCOTT_EMP_DML_POLICY BY YES YES Oracle 12c Unified Auditing 06.11.2018

Audit Policies Abfrage des UNIFIED_AUDIT_TRAIL. INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Audit Policies Abfrage des UNIFIED_AUDIT_TRAIL. Zugriffe auf die Tabelle EMP im Schema SCOTT. EVENT_TIMESTAMP DBU ACTION OBJECT OBJECT SQL_TEXT ------------------------------ --- ------ ------- ------ ------------------------------ 13-JAN-14 11.10.31.612539 AM AXK SELECT SCOTT EMP select count(*) from scott.emp 13-JAN-14 11.10.36.959863 AM AXK SELECT SCOTT EMP insert into scott.emp select * from scott.emp where rownum < 3 13-JAN-14 11.10.43.802705 AM AXK UPDATE SCOTT EMP update scott.emp set city ='A' 13-JAN-14 11.10.50.208240 AM AXK DELETE SCOTT EMP delete from scott.emp where rownum < 5 Oracle 12c Unified Auditing 06.11.2018

Audit Policies – weitere Beispiele INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Audit Policies – weitere Beispiele # Überwachen des SELECT ANY TABLE Privileges. CREATE AUDIT POLICY osusers_any_table_policy    PRIVILEGES SELECT ANY TABLE    WHEN q'!SYS_CONTEXT ('USERENV', 'OS_USER') IN (‚AXK', ‚SOE')!'    EVALUATE PER SESSION; # Überwachen des CREATE/DROP ANY TABLE Privileges des Users SCOTT. CREATE AUDIT POLICY scott_table_policy PRIVILEGES    CREATE ANY TABLE,    DROP   ANY TABLE;   AUDIT POLICY table_poli BY scott; # Überwachen ob SYS, Rechte an das Package UTL_FILE vergibt. CREATE AUDIT POLICY dbms_utl_grants    ACTIONS GRANT ON UTL_FILE,   AUDIT POLICY dbms_utl_grants BY SYS; # DataPump Export überwachen. CREATE AUDIT POLICY audit_expdp_pol    ACTIONS COMPONENT=DATAPUMP EXPORT; Oracle 12c Unified Auditing 06.11.2018

Audit Policies – Default Policies INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Audit Policies – Default Policies ORA_SECURECONFIG Audit Konfiguration und Audit-Trail enabled by default ORA_ACCOUNT_MGMT Anlegen von User, Rollen und Privilegien (Grants) ORA_DATABASE_PARAMETER Änderungen an Datenbank Initialisierungsparametern. (spfile) ORA_RAS_SESSION_MGMT und ORA_RAS_POLICY_MGMT Policies für Real Application Security (Oracle 12c New Feature, Stichwort: Multi-Tier-Anwendungen, End-to-End Security, ACL’s) Oracle 12c Unified Auditing 06.11.2018

Mehr über Unified … INFOBOX – Lesen und Löschen Im Kapiteltrenner wird der Text des Kapitels zentriert in das Textfeld geschrieben Achte bitte darauf die Kapitel möglichst kurz zu nennen, weniger Text und knackige Namen sind mehr ! Mehr über Unified … Oracle 12c Unified Auditing 06.11.2018

Mehr über Unified … Unified Audit kann auch … INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Mehr über Unified … Unified Audit kann auch … Oracle Data Pump Fine Grained Audit (FGA) Oracle RMAN, ist per Default aktiviert. Oracle Label Security (OLS) Oracle Database Vault (DV) Real Application Security (RAS) auditieren. Diese Optionen können auch in einer Audit Policy verwendet werden. CREATE AUDIT POLICY audit_dp ACTIONS COMPONENT=DATAPUMP ALL; Oracle 12c Unified Auditing 06.11.2018

Mehr über Unified … Das Unified Audit Trail enthält Spalten für … INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Mehr über Unified … Das Unified Audit Trail enthält Spalten für … … basic audit information (BAI), Beispiel: ACTION_NAME … extended audit information (EAI), Beispiel: EXCLUDED_USER Neue Spalten für das Komponenten-Auditing. Komponente Spalten Beispiel FGA FGA_xyz FGA_POLICY_NAME Real Application Security XS_xyz XS_USER_NAME Database Vault changes/violations DV_xyz DV_OBJECT_STATUS Oracle Lable Security OLS_xyz OLS_NEW_VALUE Oracle RMAN operations RMAN_xyz RMAN_OPERATION Data Pump operations DP_xyz DP_TEXT_PARAMETERS1 Oracle 12c Unified Auditing 06.11.2018

Mehr über Unified … Beispiel von Oracle RMAN Operationen INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Mehr über Unified … Beispiel von Oracle RMAN Operationen SQL> SELECT event_timestamp, dbusername,rman_operation, rman_object_type,rman_device_type 2 FROM unified_audit_trail 3 WHERE action_name='RMAN ACTION' 4 ORDER BY event_timestamp; EVENT_TIMESTAMP DBUSERNAME RMAN_OPERATION RMAN_OBJECT_TYPE RMAN_DEVICE_TYPE ------------------------- ---------- --------------- ------------------- ----------------- 13-JAN-14 02.39.24.803869 PM SYS Backup DB Full Disk 13-JAN-14 02.39.24.830686 PM SYS Restore DF Full Disk 13-JAN-14 02.39.24.832482 PM SYS Recover DF Full None 13-JAN-14 02.39.24.848252 PM SYS List DB Full None Oracle 12c Unified Auditing 06.11.2018

Housekeeping INFOBOX – Lesen und Löschen Im Kapiteltrenner wird der Text des Kapitels zentriert in das Textfeld geschrieben Achte bitte darauf die Kapitel möglichst kurz zu nennen, weniger Text und knackige Namen sind mehr ! Housekeeping Oracle 12c Unified Auditing 06.11.2018

INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Housekeeping Das Housekeeping wird mit dem Package DBMS_AUDIT_MGMT durchgeführt. Verfügbar seit Oracle 11gR2, beziehungsweise als Patch für 11gR1 und 10gR2 DBMS_AUDIT_MGMT wurde für das Unified Audit erweitert. Flush SGA Queues. Verschieben der UNIFIED AUDIT Basistabelle an eine andere Stelle. Initialisierung und Aufräumen der Audit Management Infrastruktur. Erstellen von Purge Jobs für das Audit Trail. Bereitstellung neuer Views DBA_AUDIT_MGMT_CLEANUP_JOBS DBA_AUDIT_MGMT_CLEAN_EVENTS DBA_AUDIT_MGMT_CONFIG_PARAMS DBA_AUDIT_MGMT_LAST_ARCH_TS Oracle 12c Unified Auditing 06.11.2018

INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Housekeeping Verlagern der Audit-Daten aus dem Tablespace SYSAUX in den Tablespace UNIFIED_AUDIT_DATA. Purgen des Audit-Trails. (Alle Daten) BEGIN dbms_audit_mgmt.set_audit_trail_location( audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED, audit_trail_location_value => 'UNIFIED_AUDIT_DATA'); END; / BEGIN dbms_audit_mgmt.clean_audit_trail( audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED, use_last_arch_timestamp => FALSE ); END; / Oracle 12c Unified Auditing 06.11.2018

Housekeeping Planung einer Archive- und Timestamp Strategy INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Housekeeping Planung einer Archive- und Timestamp Strategy INSERT INTO aud_archive_scott SELECT * from unified_audit_trail WHERE event_timestamp < TO_TIMESTAMP('16-JAN-14 00:00:00.0','DD-MON-RR HH24:MI:SS.FF'); BEGIN dbms_audit_mgmt.set_last_archive_timestamp( audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED, last_archive_time => TO_TIMESTAMP('16-JAN-14 00:00:00.0', 'DD-MON-RR HH24:MI:SS.FF'); end; / begin dbms_audit_mgmt.clean_audit_trail( use_last_arch_timestamp => TRUE); -- >> LAST_ARCHIVE_TIMESTAMP << end; Oracle 12c Unified Auditing 06.11.2018

Housekeeping Archivierung des Audit Trail INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Housekeeping Archivierung des Audit Trail Das Audit Trail sollte periodisch archiviert und gesäubert werden. Danach sollte das Audit trail gesäubert (purge) werden. INSERT INTO table SELECT ... FROM unified_audit_trail ...; BEGIN dbms_audit_mgmt.clean_audit_trail( audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED, use_last_arch_timestamp => TRUE ); END; / Oracle 12c Unified Auditing 06.11.2018

Housekeeping Automatischer Clean Job INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Housekeeping Automatischer Clean Job BEGIN dbms_audit_mgmt.create_purge_job( audit_trail_type => DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED, audit_trail_purge_interval => 24 /* hours */, audit_trail_purge_name => 'Daily_Purge_Job', use_last_arch_timestamp => TRUE); END; / Abfrage des Clean Job im Data Dictionary SELECT job_name, job_status, audit_trail, job_frequency FROM dba_audit_mgmt_cleanup_jobs; JOB_NAME JOB_STAT AUDIT_TRAIL JOB_FREQUENCY ---------------- -------- --------------------- ------------------------- DAILY_PURGE_JOB ENABLED UNIFIED AUDIT TRAIL FREQ=HOURLY;INTERVAL=24 Oracle 12c Unified Auditing 06.11.2018

INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Housekeeping Die Audit-Informationen sind READ-Only und im Schema AUDSYS angesiedelt. Dieser Account ist speziell und es ist nicht möglich sich daran anzumelden. SQL> REM Anmeldung an die CDB SQL> connect / as sysdba Connected. SQL> ALTER USER audsys IDENTIFIED BY welcome1 ACCOUNT UNLOCK; User altered. SQL> REM Anlmeldung an die PDB SQL> connect sys/manager@localhost:1521/mm1 as sysdba SQL> connect audsys/welcome1@localhost:1521/mm1 ERROR: ORA-46370: cannot connect as AUDSYS user Oracle 12c Unified Auditing 06.11.2018

Migration INFOBOX – Lesen und Löschen Im Kapiteltrenner wird der Text des Kapitels zentriert in das Textfeld geschrieben Achte bitte darauf die Kapitel möglichst kurz zu nennen, weniger Text und knackige Namen sind mehr ! Migration Oracle 12c Unified Auditing 06.11.2018

INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Migration Standardmäßig ist UNIFIED AUDITING nach dem Upgrade einer Datenbank nicht eingeschaltet. (Alte Funktionalität bleibt erhalten.) Nach Neuanlage einer Datenbank wird standardmäßig der sogenannte Mixed-Mode verwendet. Die Mixed-Mode Möglichkeit gestattet es, das traditionelle Audit und das Unified Audit zu gleichzeit zu verwenden. => make -f ins_rdbms.mk uniaud_off ioracle; Der Mixed-Mode wird eingeschaltet, wenn wenigstens eine der vordefinierten Audit-Policies aktiviert wird. Reiner UNIFIED Modus wird aktiviert, indem die Option eingeschaltet wird. => make -f ins_rdbms.mk uniaud_on ioracle Frühere Audit-Trails und ihre Datensätze bleiben bestehen. Oracle 12c Unified Auditing 06.11.2018

INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Migration In einer Multitanent Container Datenbank (CDB) wird das Aktivieren des reinen UNIFIED AUDITING in der root durchgeführt. Das Einschalten/Relink migiriert die CDB und alle angeschlossenen PDB’s. Nach der Migration zum puren UNIFIED AUDIT können die bestehenden Daten wie im früheren Verfahren archiviert und die Logs gesäubert werden. INSERT INTO table SELECT ... FROM SYS.AUD$ ... DELETE FROM SYS.AUD$; Oracle 12c Unified Auditing 06.11.2018

Sonstiges INFOBOX – Lesen und Löschen Im Kapiteltrenner wird der Text des Kapitels zentriert in das Textfeld geschrieben Achte bitte darauf die Kapitel möglichst kurz zu nennen, weniger Text und knackige Namen sind mehr ! Sonstiges Oracle 12c Unified Auditing 06.11.2018

Sonstiges Es wird schwieriger das Audit zu beeinflussen. INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Sonstiges Es wird schwieriger das Audit zu beeinflussen. UNIFIED AUDIT ist Teil des Kernels. Ausschalten erfordert Relink/Restart Die Verwendung verschiedener Binaries ( Beispiel: SQL*PLUS) führt zu ORA-00600 Fehlern. Auditing ist teilweise verfügbar. (Siehe: uniaud_off) Der Hauptspeicher könnte manipuliert werden, bevor die Audit-Daten geflusht sind. Priorität 1 QUEUED WRITE MODE Priorität 2 IMMEDIATE WRITE MODE Selbst ORADEBUG wird mit auditiert. Oracle 12c Unified Auditing 06.11.2018

Sonstiges ORADEBUG wird mit auditiert.  INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Sonstiges ORADEBUG wird mit auditiert.  SQL> oradebug setmypid Statement processed. SQL> SQL> oradebug dumpvar sga kzaflg ub2 kzaflg_ [060031720, 060031724) = 00000000 SQL> select event_timestamp, dbusername, action_name,sql_text 2 from unified_audit_trail 3 order by event_timestamp; EVENT_TIMESTAMP DBUS ACTION_NAME SQL_TEXT -------------------- ---- ---------------- ------------------------------------------------- 04.02.2014 10:34:54 SYS ORADEBUG COMMAND [oradebug] executing command: 'setmypid' 04.02.2014 10:35:02 SYS ORADEBUG COMMAND [oradebug] executing command: 'dumpvar sga kzaflg' Oracle 12c Unified Auditing 06.11.2018

Verbesserte Geschwindigkeit. Eine Sicht auf das Audit-Trail. INFOBOX – Lesen und Löschen Aufzählungszeichen auf Textseiten fügen sie hinzu/entfernen sie durch Listenebene erhöhen /Listenebene verringern Besonders für die erste Ebene gilt, dass sie NICHT auf Aufzählungs-zeichen klicken, sondern wie oben beschrieben arbeiten Fazit… UNIFIED AUDIT erfüllt verschiedene Herausforderungen an das Datenbank-Audit. : Verbesserte Geschwindigkeit. Eine Sicht auf das Audit-Trail. Einfacher und flexibler. Oracle Security ist auf dem richtigen Weg. Oracle 12c Unified Auditing 06.11.2018

INFOBOX – Lesen und Löschen Folie wenn auf weitere Informationen verwiesen werden soll, also z.B. Bücher, Websiten, etc. Oracle Dokumentation Oracle® Database Security Guide 12c Release 1 (12.1) Trivadis eXpert Team Security http://www.trivadis.com/kompetenzen/trivadis-expert-teams/trivadis-security-expert-team.html Oracle 12c Unified Auditing 06.11.2018

Axel Kraft Senior Consultant Tel.: +49-711 - 90 36 32 30 INFOBOX – Lesen und Löschen Die Schlussfolie steht in zwei Varianten zur Verfügung, einmal für die Kontaktdaten eines Referenten, einmal in der Variante für zwei oder mehr Referenten Name, Titel und Location jeweils untereinander in eine Zeile (Shift+Return) Die Idee ist das diese Folie als letzte Folie (auch für Fragen und Antworten) am Ende der Präsentation lange stehen bleibt, somit haben die Zuhörer die Möglichkeit die Kontaktdaten aufzuschreiben  Axel Kraft Senior Consultant Tel.: +49-711 - 90 36 32 30 axel.kraft@trivadis.com Oracle 12c Unified Auditing 06.11.2018