Perguntas frequentes sobre Unified Auditing

Geral

1. Quais versões do Oracle Database oferecem suporte ao Unified Auditing?

O Unified Auditing está disponível desde o lançamento do Oracle Database 12c.

2. Como posso habilitar o Unified Auditing no Oracle Database?

O Unified Auditing está habilitado por padrão no Oracle Database 12c e versões posteriores.

3. O Unified Auditing é um recurso licenciável no Oracle Database?

O Unified Auditing está incluso em todas as versões do Oracle Database, começando com o Oracle Database 12c.

4. A auditoria tradicional pode ser usada no Oracle Database 23ai?

A auditoria tradicional não é mais compatível com o Oracle Database 23ai. Se você criar um novo Oracle Database 23ai, a auditoria tradicional não existirá.

Se você fizer upgrade de um banco de dados mais antigo para o Database 23ai, o resultado dependerá do banco de dados que for atualizado. Se o banco de dados mais antigo já utilizava o Unified Auditing e não houver mais configurações de auditoria tradicionais, o banco de dados atualizado continuará usando o Unified Auditing.

Mas, se você atualizar um banco de dados que tenha configurações de auditoria tradicionais, o banco de dados atualizado continuará aplicando essas definições de auditoria e as capturará na trilha de auditoria da versão mais antiga até que você desative essas configurações de auditoria com um comando NOAUDIT. Você não poderá criar outras configurações de auditoria tradicionais nem modificar as existentes.

A Oracle recomenda que você planeje sua transição para o Unified Auditing antes de planejar um upgrade para o Database 23ai.

5. Não tenho experiência com o Unified Auditing. Por onde começo?

Se você é novo no Unified Auditing, comece com as ferramentas e recursos de auditoria prontos para uso que cobrem a maioria das necessidades essenciais de auditoria. Confira algumas dicas.

• Aproveite o que está “sempre ativo” em seu banco de dados: o Oracle Database tem auditoria obrigatória habilitada para determinadas operações sensíveis à segurança. Essas auditorias sempre ativas são integradas e não podem ser desativadas. Portanto, você não precisa duplicá-las em suas próprias políticas.
  
  Para o Database 19c e versões posteriores, para ver os registros de auditoria das auditorias obrigatórias, consulte a exibição UNIFIED_AUDIT_TRAIL:
  
  
  SELECT * FROM UNIFIED_AUDIT_TRAIL
  WHERE UNIFIED_AUDIT_POLICIES LIKE ' ORA$MANDATORY';
• Aproveite as políticas predefinidas: a Oracle fornece políticas de auditoria integradas que abrangem os eventos mais comuns relevantes à segurança. Alguns deles são habilitados por padrão; você pode verificá-los usando a query:
  
  
  SELECT * FROM AUDIT_UNIFIED_ENABLED_POLICIES;
  
  Você pode habilitar aqueles que você precisa com um simples comando AUDIT como
  
  
  AUDIT POLICY ORA_SECURECONFIG;
  
  Observação: se você estiver usando o Oracle Autonomous Database, muitas políticas de auditoria essenciais já estarão previamente habilitadas.
• Aproveite as políticas de auditoria prontas para uso com um único clique do Oracle Data Safe e/ou Oracle Audit Vault e Database Firewall.

6. Como posso consultar registros do Unified Auditing?

Você pode consultar registros de auditoria usando a exibição UNIFIED_AUDIT_TRAIL.

Desempenho

1. A Unified Auditing afeta o desempenho do banco de dados?

Para casos típicos de auditoria de usuários privilegiados ou auditoria de operações importantes do banco de dados, o impacto no desempenho é tão baixo que nem mesmo pode ser medido devido ao baixo volume de auditoria distribuído ao longo da semana. Você poderá começar a ver um impacto de desempenho de 1% quando a carga de auditoria aumentar para alguns milhares de registros de auditoria por minuto. A maioria dos casos de uso não terá impacto no desempenho além disso, mas para casos em que as organizações desejam auditar o uso da aplicação, é melhor ajustar as políticas de auditoria.

Testes de desempenho interno usando uma carga de trabalho de aplicação misto TPC-C mostram que você pode ver uma sobrecarga de CPU entre 2% e 5% ao auditar mais de 6.000 registros de auditoria por minuto. Mesmo em casos extremos, nos quais carregamos até 36.000 registros de auditoria por minuto, a sobrecarga adicional ainda fica na casa de um dígito.

Armazenamento

1. Onde os dados de auditoria são armazenados no Unified Auditing?

Os registros de auditoria são armazenados em uma tabela interna segura AUD$UNIFIED no esquema AUDSYS. Esta tabela reside no tablespace SYSAUX por padrão.

Quando não é possível gravar no banco de dados, por exemplo, quando o banco de dados não está aberto e o tablespace está cheio, OS registros de auditoria são gravados no SO como arquivos binários spillover no diretório $ORACLE_BASE/audit/$ORACLE_SID. Os registros de auditoria são acessados ​​usando a exibição UNIFIED_AUDIT_TRAIL, que busca internamente os registros de auditoria da tabela AUDSYS.AUD$UNIFIED e os dados dos arquivos spillover.

2. Como posso gerenciar o tamanho e a retenção dos dados do Unified Auditing?

Uma prática recomendada é arquivar e limpar regularmente registros de auditoria usando a interface DBMS_AUDIT_MGMT. O pacote DBMS_AUDIT_MGMT fornece utilitários para definir o registro de data e hora do arquivo, limpar a trilha de auditoria e agendar um trabalho de limpeza.

Outra prática recomendada é definir o intervalo de partição da trilha de auditoria de modo que cada partição tenha um conjunto gerenciável de registros de auditoria.

3. Posso mover os dados de auditoria para outro tablespace?

Uma prática recomendada é mover os dados de auditoria do tablespace SYSAUX padrão para um tablespace diferente. O procedimento DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_LOCATION permite que você faça isso.

Transição

1. Como faço a transição da auditoria tradicional para o Unified Auditing?

A transição é simples na maioria dos casos. Siga as etapas abaixo:

• Aproveite o que está sempre habilitado em seu banco de dados.
• Aproveite as políticas predefinidas em seu banco de dados.
• Certifique-se de que as políticas predefinidas, como ORA_SECURECONFIG, ORA_LOGIN_LOGOUT, estejam habilitadas.
• Defina e habilite políticas do Unified Audit equivalentes para configurações de auditoria tradicionais personalizadas, se existirem. Se necessário, consulte o MOS 2909718.1 para obter o utilitário de conversão.
• Desabilite a auditoria tradicional usando NOAUDIT.
• Set AUDIT_TRAIL=None and AUDIT_SYS_OPERATIONS =False.

Configuração

1. Quais são as melhores práticas recomendadas para configurar políticas do Unified Auditing?

Crie políticas de auditoria eficazes, seletivas e direcionadas às suas necessidades, concentrando a configuração da auditoria em três fatores: atividade de usuários privilegiados, eventos relevantes para a segurança e acesso a dados confidenciais. Para obter mais detalhes, consulte Oracle Database Unified Audit: Diretrizes de melhores práticas.

2. Existe algum Oracle LiveLabs para aprender sobre Unified Auditing?

Sim, este LiveLab ajudará você a compreender como configurar e usar o Unified Auditing em até 30 minutos.

Integridade

1. Os dados do Unified Auditing são protegidos contra violações?

O Unified Auditing oferece alto grau de integridade da trilha de auditoria ao não permitir que os usuários alterem a trilha de auditoria. A trilha de auditoria é armazenada no esquema AUDSYS e ninguém tem permissão para fazer login nesse esquema no banco de dados. AUD$UNIFIED é uma tabela especializada que permite apenas a atividade INSERT. Qualquer tentativa de truncar, excluir ou atualizar diretamente o conteúdo da tabela AUD$UNIFIED falhará e gerará registros de auditoria. Os dados de auditoria são gerenciados usando o pacote de gerenciamento de dados de auditoria integrado DBMS_AUDIT_MGMT.

2. Posso impedir que DBAs ou usuários privilegiados adulterem logs de auditoria unificados?

Os dados de auditoria unificados são armazenados com segurança e não podem ser modificados. É recomendável separar responsabilidades e atribuir as funções AUDIT_ADMIN e AUDIT_VIEWER à equipe de segurança dedicada, em vez de DBAs. Use o Oracle Database Vault para reforçar a aplicação de controles operacionais e restrições de acesso.

3. Os dados de auditoria são criptografados?

Embora os registros de auditoria no banco de dados não sejam criptografados por padrão, você pode usar criptografia de dados transparente no tablespace que armazena dados de auditoria.

Use criptografia de rede (SSL/TLS) para proteger dados de auditoria em trânsito.