Un artculo de Oracle

de junio de 2013

Oracle Audit Vault and

Database Firewall

Oracle Audit Vault and Database Firewall

Introduccin .................................................................................................................. 2
Descripcin de Oracle Audit Vault and Database Firewall ........................................... 3
Descripcin general de auditora y monitoreo .............................................................. 3
Audit Vault .................................................................................................................... 4
Database Firewall ........................................................................................................ 6
Cumplimiento de la poltica de la lista autorizada .................................................... 6
Cumplimiento de la poltica de la lista negra ............................................................ 6
Cumplimiento de la poltica de excepciones ............................................................ 6
Manejo de SQL no autorizado ................................................................................. 7
Informes ....................................................................................................................... 7
Informes de cumplimiento ........................................................................................ 8
Informes de actividades ........................................................................................... 8
Informes de derecho ................................................................................................ 9
Informes de auditora de procedimientos almacenados .......................................... 9
Alertas y notificaciones .............................................................................................. 10
Escalabilidad y seguridad .......................................................................................... 10
Implementacin .......................................................................................................... 11
Implementacin de la red de Database Firewall .................................................... 11
Implementacin de agentes de auditora ............................................................... 12
Creacin y administracin de polticas ................................................................... 12
Accesorios personalizados para la recopilacin de auditora .................................... 13
Integracin con soluciones de terceros ...................................................................... 13
Conclusin ................................................................................................................. 15

Oracle Audit Vault and Database Firewall

Introduccin
Las amenazas informticas, las leyes de privacidad y reglamentaciones conocidas como Sarbanes-Oxley
(SOX) y el Estndar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) han resultado
en que la proteccin de la informacin se convierta en un problema de prioridad superior para la
empresa. El Informe Data Breach Investigations de 2012 del Equipo de RIESGO de Verizon
determin que el 94 % de todos los datos comprometidos involucraban servidores. Este y diversos
estudios y encuestas realizadas por instituciones gubernamentales y acadmicas han concluido que un
porcentaje mensurable de violaciones de datos se han realizado usando la inyeccin de SQL,
credenciales robadas o por personal interno con acceso autorizado al sistema y sus datos. Proteger los
datos en los servidores requiere un enfoque de defensa profunda que involucra funciones tcnicas y
administrativas que cubren controles de prevencin, deteccin y administracin.
El principio de "confe pero verifique" no solo se aplica a usuarios privilegiados que tienen acceso
directo al servidor y la base de datos sino tambin a las aplicaciones que acceden a la base de datos.
La mayora de las aplicaciones en la actualidad funcionan como usuarios de alta confianza, usando
una cuenta grande de usuario para comunicarse con la base de datos, perteneciente a Oracle o no.
Esta arquitectura de aplicaciones, combinada con el nmero creciente de ataques en las bases de datos
a travs de la inyeccin de SQL o cuentas de usuarios privilegiados requiere que implementar controles
de deteccin sea una parte esencial de la estrategia general de defensa profunda.
Al implementar una solucin de monitoreo, es importante sealar que la calidad y precisin de la
informacin recopilada depender del nivel de visibilidad que la solucin tiene en las actividades del
sistema de destino. Tambin es importante comprender el riesgo asociado con los sistemas individuales
para poder determinar el nivel de visibilidad requerido para las actividades en esos sistemas. Una buena
analoga para comprender este concepto es considerar las cmaras o guardias en la entrada principal de
un edificio. Los dos pueden ver lo que sucede en el edificio, solo que uno puede detener lo que ingresa
en el edificio, pero ninguno puede proporcionar una vista completa de lo que sucedi dentro del
edificio. Si el edificio fuera una base de datos, la cmara o guardia podran monitorear las declaraciones
de SQL antes de que lleguen a la base de datos, pero el desafo es descubrir lo que sucede despus de
que SQL se ejecuta dentro de la base de datos. El SQL repetido distribuido por procedimientos
almacenados, SQL dinmico, operaciones de usuarios privilegiados, trabajos programados, ejecuciones
de activacin, nombres de usuario de aplicaciones y antes y despus de los valores de datos son
todos ejemplos de que la informacin es mayormente invisible desde fuera de la base de datos, pero
es visible al sistema de auditora dentro de la base de datos. Como resultado, el valor del monitoreo se
relaciona directamente con el nivel y calidad de la informacin recopilada y la funcionalidad disponible
de informes y alertas.

Oracle Audit Vault and Database Firewall

Descripcin de Oracle Audit Vault and Database Firewall

Oracle Audit Vault and Database Firewall proporciona un monitoreo integral y flexible por medio
de la consolidacin de datos de auditora de bases de datos pertenecientes y no pertenecientes a
Oracle, sistemas operativos, directorios, sistemas de archivo y datos de auditora especficos de las
aplicaciones. Al mismo tiempo Oracle Database Firewall puede actuar como primera lnea de defensa
en la red, exigiendo el cumplimiento de la conducta esperada de la aplicacin, ayudando a impedir que
la inyeccin de SQL, el desvo de aplicaciones y otra actividad maliciosa lleguen a la base de datos.
Oracle Audit Vault and Database Firewall puede consolidar los datos de auditora de miles de bases
de datos y monitorear el trfico de SQL al mismo tiempo, buscando, alertando e impidiendo
declaraciones de SQL no autorizadas o fuera de la poltica. Decenas de informes listos para usar
combinados con una interfaz de informes personalizados proporcionan una vista integral de la
actividad de la base de datos en la empresa, ya sea observada en la red o en los registros de auditora.
Oracle Audit Vault and Database Firewall admite las bases de dato Oracle database, Microsoft SQL
Server, IBM DB2 para LUW, SAP Sybase ASE y Oracle MySQL.

Figura 1: Oracle Audit Vault and Database Firewall

Descripcin general de auditora y monitoreo

La auditora se ha convertido en una importante herramienta en los ltimos 10 aos para el
cumplimiento y el anlisis forense de las violaciones a los datos. Los registros de auditora
proporcionan un registro irrefutable de las acciones tomadas cuando se generan por un directorio
de base de datos o sistema operativo. La informacin tal como tipo de evento (crear tabla, anular tabla,
crear procedimiento, truncar tabla, seleccionar, insertar, actualizar, eliminar) junto con el contexto del
evento tal como la direccin inicial de IP, hora del evento y declaracin real de SQL son apenas
algunos ejemplos de informacin de auditora comnmente necesaria en informes de cumplimiento y
forenses (consulte la Figura 2). Oracle Audit Vault and Database Firewall puede consolidar, informar
y alertar sobre informacin de auditora en bases de datos, sistemas operativos, sistemas de archivos y
directorios.

Oracle Audit Vault and Database Firewall

Figura 2: Ejemplo de inicio de sesin de auditora en Oracle Audit Vault and

Database Firewall

El monitoreo incluye el examen de los eventos iniciales (declaraciones de SQL) que generan los datos
de auditora. Como el monitoreo del trfico de SQL se realiza fuera de la base de datos, Database
Firewall puede decidir si debe permitirse, modificarse, bloquearse o alertarse sobre un evento. La
figura 3 muestra un ejemplo de un informe donde se bloquea un intento de inyeccin de SQL.

Figura 3: Monitoreo de SQL de Database Firewall

Audit Vault
Audit Vault es el repositorio central, altamente escalable y seguro que almacena los datos
consolidados de auditora y los registros de eventos generados por Database Firewall. Audit Vault
es la plataforma central para informar, alertar y para la administracin de polticas. Usando agentes
ligeros, los datos de auditora se transfieren del sistema de destino y luego opcionalmente se eliminan
del sistema de destino. Audit Vault puede consolidar informacin de auditora de todas las fuentes de
bases de datos y puede extenderse a fuentes del cliente, incluidas tablas/archivos de aplicaciones en
4

Oracle Audit Vault and Database Firewall

bases de datos pertenecientes y no pertenecientes a Oracle que registran datos personalizados de

auditora. Como se muestra en la Figura 4, los datos de informe pueden distribuirse en mltiples
bases de datos e incluir informacin del sistema de destino y la red.

Figura 4: Consolidacin desde la red, auditora de la base de datos y registros de

eventos del sistema operativo

Usando la consola de Audit Vault, se identifican mltiples objetivos (Figura 5). La consola luego
se usa para administrar las polticas de Database Firewall, programar y personalizar los informes,
configurar la aprobacin de informes y configurar las alertas.

Figura 5: Consola de Oracle Audit Vault and Database Firewall que muestra
objetivos protegidos

Oracle Audit Vault and Database Firewall

Database Firewall
Database Firewall es el componente de monitoreo de la red fuera de la base de datos que monitorea el
trfico de entrada de SQL y acta como defensa de primera lnea contra las amenazas de inyeccin de
SQL y otras declaraciones no autorizadas de SQL. Database Firewall monitorea el acceso a los datos,
exige el cumplimiento de las polticas de acceso, destaca anormalidades y ayuda a proteger contra
ataques basados en red desde fuera o dentro de la organizacin. A diferencia de los firewalls
tradicionales de SQL que se basan en identificar SQL fuera de la poltica usando excepciones regulares,
Oracle Database Firewall aplica polticas que usan un motor sofisticado de anlisis de gramtica que
proporciona la escalabilidad, precisin y simplicidad de administracin requerida.
Las organizaciones pueden elegir implementar Database Firewall en el modo de monitoreo activo para
proteger sus activos de la base de datos o en modo de monitoreo pasivo para alertar al personal de
operaciones de seguridad sobre actividades inesperadas y/o auditora adicional para cubrir los requisitos
de cumplimiento. En el modo de monitoreo masivo, Database Firewall observa el trfico de la base de
datos y analiza las interacciones de SQL. La informacin de Database Firewall se registra en Audit
Vault, permitiendo que los informes incluyan informacin observada en la red junto con informacin
de auditora de la base de datos, sistemas operativos y directorios.
En el modo de monitoreo activo, Database Firewall intercepta de forma trasparente el trfico de SQL
que proviene de clientes de la base de datos que actan como firewall de la capa de aplicaciones, analiza
la seguridad de la carga de SQL en paquetes de TCP antes de reenviarla a la base de datos. Los ataques
que incluyen inyeccin de SQL pueden bloquearse comparando el SQL de entrada contra la lista
aprobada de SQL de aplicaciones. El soporte para polticas basadas en la lista autorizada, lista negra y
lista de excepciones ofrece un alto grado de flexibilidad en la implementacin.

Cumplimiento de la poltica de la lista autorizada

La poltica de lista autorizada aplica la seguridad usando un conjunto de declaraciones aprobadas de
SQL junto con las condiciones en que se ejecutan, incluido el nombre de usuario, direccin de IP, hora
del da y nombre del programa. Database Firewall compara el trfico de SQL con la lista autorizada
aprobada y luego de acuerdo con la poltica, elige alertar, sustituir o bloquear la declaracin de SQL.
El SQL aprobado o la lista autorizada se aprende a lo largo del tiempo por medio del monitoreo del
trfico de la base de datos. Este perodo de monitoreo necesario para establecer la lista autorizada
variar de acuerdo con la aplicacin y el ciclo de negocio.

Cumplimiento de la poltica de la lista negra

Adems del modelo de cumplimiento positivo de la seguridad basado en la lista autorizada, Database
Firewall tambin admite un modelo de lista negra que bloquea declaraciones especficas de SQL. Al
igual que con las polticas de listas autorizadas, las polticas de lista negra pueden evaluar diversos
factores tales como el nombre de usuario, direccin de IP, hora del da y programa, antes de tomar la
decisin.

Cumplimiento de la poltica de excepciones

Las polticas de listas de excepciones cancelan las polticas de lista autorizada y lista negra permitiendo
que se creen polticas de desvos personalizados para actividades especficas. Por ejemplo, las polticas
de lista de excepciones podran usarse para habilitar a un administrador remoto especfico que proviene
de una direccin predeterminada de IP para diagnosticar un problema particular de rendimiento de las
6

Oracle Audit Vault and Database Firewall

aplicaciones sin estar obligado por la lista de autorizacin o la lista negra.

Manejo de SQL no autorizado

Cuando Oracle Database Firewall encuentra una declaracin no autorizada, maneja la declaracin de
una de las formas siguientes:
Se suspende la conexin: As se bloquea el trfico de la conexin de esa base de datos especfica
para el ingreso al servidor ya que cancela la conexin. Es la accin ms agresiva y si la aplicacin
usa grupos de conexiones, esto puede afectar a todos los usuarios que usan el grupo.
Se bloquea la declaracin de SQL: Esta declaracin especfica se detiene para que no llegue al
servidor de base de datos. La experiencia real del usuario final dependera de cmo la aplicacin
maneja este caso donde el servidor no responde. La conexin del cliente con la base de datos
puede configurarse para mantenerse o cancelarse.
Modifique la solicitud usando la sustitucin de declaracin de SQL reemplazando una
declaracin fuera de la poltica por una nueva declaracin inofensiva que no devuelva ningn
dato ni devuelva un error (como se muestra en la Tabla 1 siguiente). La sustitucin de
declaraciones es ms transparente para la aplicacin existente.
Alertar sobre todas las declaraciones de SQL fuera de la poltica, adems o en lugar de bloquear

DECLARACIN ORIGINAL (FRAUDULENTA)

DECLARACIN SUSTITUIDA

RESPUESTA DE LA BASE DE
DATOS (RESULTADO)

SELECCIONAR * ENTRE tbl_users;

SELECCIONAR * ENTRE tbl_users

DONDE 'a' = 'b';

No se ha encontrado ningn
registro

ANULAR TABLA tbl_accounts;

SELECCIONAR * DE aaabbbccc;

Error. Tabla desconocida

ACTUALIZAR tbl_accounts

SELECCIONAR CONJUNTO
DOBLE 'Fred';

Error. Sintaxis incorrecta.

CONFIGURAR cuentas = '123'

DONDE usuario = 'Fred';

Tabla 1: Ejemplos de sustitucin de declaraciones de SQL en Oracle Audit Vault and Database
Firewall

Informes
Los informes de Oracle Audit Vault and Database Firewall pueden usarse para monitorear un amplio
rango de actividades, incluida la actividad de usuarios privilegiados en el servidor de la base de datos,
cambios a las estructuras de la base de datos y datos en declaraciones entrantes de SQL en la red. Los
informes pueden mostrar informacin consolidada de auditora de las bases de datos, sistemas
operativos y directorios, proporcionando una imagen completa de las actividades en la empresa.
Asimismo, los informes pueden incluir informacin sobre funciones y privilegios de administracin
de cuentas de la base de datos, administracin de objetos y cambios a procedimientos almacenados.
Los auditores pueden acceder a informes interactivamente a travs de una interfaz web en la
Consola del Auditor, o a travs de archivos de informe en PDF o XLS. La exploracin interactiva
fcil de usar se basa en la tecnologa Oracle Application Express, con capacidad de crear cuadros y
grficos con cdigos de colores. Las columnas de informe pueden clasificarse, filtrarse, reordenarse,
7

Oracle Audit Vault and Database Firewall

agregarse o eliminarse. Las reglas pueden destacar automticamente filas especficas para que los
usuarios puedan detectar rpidamente una actividad sospechosa o no autorizada.
Las definiciones de los informes en PDF y XLS pueden usarse para programar la generacin
automtica de informes. Los informes pueden programarse y entregarse por medio de documentos
adjuntos en un correo electrnico o URL. Tambin pueden definirse informes que requieren la
aprobacin de mltiples auditores. Los usuarios pueden utilizar Oracle BI Publisher para crear
nuevas plantillas de informes en PDF o XLS o personalizarlas para cumplir con requisitos especficos
de cumplimiento y seguridad. Asimismo, el esquema del repositorio de Audit Vault es documentado,
permitiendo la integracin con soluciones de informes de terceros.

Informes de cumplimiento
Los informes estndar de evaluacin de auditora listos para usar se clasifican para ayudar a cumplir
con reglamentaciones estndar tales como el Estndar de Seguridad de Datos de la Industria de
Tarjetas de Pago (PCI-DSS), la Ley Gramm-Leach-Bliley (GLBA), la Ley de Portabilidad y
Responsabilidad de Seguros de Salud (HIPAA), la Ley Sarbanes-Oxley (SOX) y la Ley de Proteccin
de Datos de la Unin Europea (DPA).

Figura 6: Informes de cumplimiento incorporados en Oracle Audit Vault and Database Firewall

Informes de actividades
Los informes de actividades cubren temas tales como inicios de sesin fallidos, cambios a las tablas
de aplicaciones, cambios al esquema de la base de datos o derechos de usuario (consulte la Figura 7).
Por ejemplo, si desea auditar cada vez que un usuario realiza una declaracin de SQL de lenguaje de
definicin de datos (DDL) como ANULAR o ALTERAR, el Informe de cambios al esquema de la
base de datos predefinido destaca filas de ese usuario en particular y desglosa los detalles de eventos
individuales. Tambin puede obtener una descripcin de todos los eventos de auditora que pueden
filtrarse incluso ms por sistema de destino, usuario, operacin, hora, etc.

Oracle Audit Vault and Database Firewall

Figura 7: Informes de actividad incorporados en Oracle Audit Vault and Database Firewall

Informes de derecho
Los informes de derecho describen los tipos de acceso que los usuarios tienen a Oracle Database.
Proporcionan informacin sobre los usuarios, funciones, perfiles y privilegios usados. Estos informes
son tiles para seguir el acceso innecesario a los datos, encontrar privilegios duplicados y simplificar el
otorgamiento de privilegios. Despus de generar una instantnea del derecho, puede comparar
diferentes instantneas para descubrir cmo la informacin del derecho ha cambiado a lo largo del
tiempo. Esto es particularmente til para identificar el cambio de un nivel inicial de derechos ya
aprobados para la base de datos.

Informes de auditora de procedimientos almacenados

Para numerosas organizaciones, los procedimientos almacenados forman la mayor parte de la lgica
de aplicaciones para numerosas aplicaciones y pueden contener fallas que pueden ser explotadas para
ataques maliciosos, incluida la inyeccin de SQL. Los administradores de bases de datos con
frecuencia escriben activadores personalizados o almacenan procedimientos para automatizar los
trabajos o para mejorar la seguridad. Es importante que estos procedimientos almacenados no sean
manipulados una vez que son definidos. Con Audit Vault and Database Firewall, puede ejecutar el
Informe de Auditora de Procedimientos Almacenados para controlar los cambios realizados a los
Procedimientos almacenados en las bases de datos protegidas. Este informe muestra todas las
operaciones de procedimientos almacenados, procedimientos eliminados y creados y el historial de
modificaciones.

Oracle Audit Vault and Database Firewall

Alertas y notificaciones
Audit Vault ofrece la capacidad de detectar y alertar sobre actividades que pueden indicar intentos
de obtener acceso no autorizado y/o abusar de los privilegios del sistema. Las polticas de Database
Firewall pueden configurarse para generar alertas sobre la actividad en la red, proporcionando un
control de deteccin con advertencia temprana para actividad maliciosa potencial. Asimismo Audit
Vault monitorea continuamente los eventos recopilados, evaluando las actividades en funcin de las
condiciones definidas de alerta. Las alertas pueden asociarse con cualquier evento de la base de datos
que incluya eventos del sistema tales como cambios a tablas de aplicaciones, la creacin de usuarios
privilegiados o eventos en que alguien intenta acceder a informacin de negocios sensible y es
bloqueado por una poltica de Oracle Database Vault.
Como se muestra en la Figura 8, las alertas tambin pueden configurarse para que se basen en
umbrales y en plazos de tiempo. Por ejemplo, si ocurren 10 intentos fallidos en el inicio de sesin en
un plazo de 1 minuto, posiblemente indicando un ataque de fuerza bruta, se genera una alerta.

Figura 8: Definicin de alertas de Oracle Audit Vault and Database Firewall

La interfaz de Audit Vault proporciona resmenes grficos de las alertas. Incluyen un resumen de la
actividad de alertas y fuentes principales por nmero de alertas. Los usuarios pueden hacer clic en los
grficos resumidos y acceder a un informe ms detallado. Para los fines de los informes, las alertas
pueden agruparse por fuente, categora de evento y gravedad (advertencia o crtico).

Escalabilidad y seguridad
Los datos de auditora son un registro importante de la actividad de negocios, y deben protegerse
contra modificaciones para asegurar la integridad de los informes e investigaciones. Audit Vault
almacena datos de auditora en un repositorio seguro construido usando la tecnologa de bases de
10

Oracle Audit Vault and Database Firewall

datos de Oracle lder en la industria. La transferencia puntual de datos de auditora desde sistemas de
origen a Audit Vault Server es esencial para cerrar la ventana a intrusos que pueden intentar modificar
los datos de auditora y cubrir sus huellas. Audit Vault puede configurarse para transferir datos de
auditora en casi tiempo real. Audit Vault tambin puede configurarse para cifrar datos durante la
transmisin.
El repositorio se construye en una base de datos incorporada de Oracle Enterprise Edition que
incluye numerosas tecnologas de Oracle, incluida la compresin, particin, cifrado y controles de
usuarios privilegiados. El uso de la compresin es particularmente importante para el almacenamiento
optimizado de datos consolidados. La combinacin de estas tecnologas y la base de datos Oracle
Enterprise Edition resulta en un repositorio con escalabilidad masiva.
Un nico Audit Vault puede escalar para admitir cientos de agentes de auditora y Database Firewalls,
y cada uno de ellos a su vez puede alojar mltiples caminos de auditora y cientos de bases de datos
correspondientes. La consola integrada del administrador puede configurar todo el sistema, monitorear
la implementacin, arrancar/apagar Database Firewalls y agentes, configurar la operacin del Database
Firewall HA y administrar las operaciones de copia de seguridad y restablecimiento.
La interfaz de Audit Vault admite dos amplias categoras de usuarios: Auditores y administradores.
Los auditores configuran las polticas de auditora y monitoreo, definen, generan y acceden a informes
de auditora y alertas. Los administradores configuran ajustes bsicos de la red y el servidor para los
objetivos protegidos, arrancan y detienen agentes y Database Firewalls, y configuran y monitorean la
operacin de Audit Vault Server. Los administradores no tienen acceso a la informacin de auditora.
Dentro de las dos categoras de funciones, puede definirse una posterior separacin de deberes.
Puede asignarse un subconjunto de activos protegidos a los auditores y administradores individuales,
asegurando que pueda implementarse un nico repositorio para admitir a toda una empresa que posee
mltiples organizaciones, subsidiarias o regiones geogrficas. Las autorizaciones detalladas son
particularmente importantes cuando la informacin puede cubrir mltiples pases con diferentes
reglamentaciones sobre privacidad y requisitos de puerto seguro.

Implementacin
Implementacin de la red de Database Firewall
Database Firewall puede implementarse como un puente de red transparente, simplemente insertado
en la red en un segmento entre los clientes de la base de datos/servidores de aplicaciones y las bases
de datos protegidas (como se muestra en la figura 10). Esta arquitectura de puente 'en lnea' no
requiere cambios de configuracin a la base de datos, aplicaciones o la misma base de datos, y
proporciona la flexibilidad para un monitoreo activo y pasivo. Si solo se requiere un monitoreo pasivo
de la actividad de la base de datos, tambin es posible reenviar el trfico a Database Firewall usando el
puerto de expansin.
En escenarios donde es difcil agregar un nuevo puente de red, o si los servidores de la base de datos
se encuentran en algunos lugares remotos, Database Firewall tambin puede configurarse como proxy
de forma tal que todo el trfico al servidor de la base de datos se dirija a travs de Database Firewall.
Esto requiere una direccin de IP/puerto de Database Server en el cliente de la base de datos o en la
aplicacin a cambiar a la direccin de IP/puerto para el proxy de Database Firewall, junto con
cambios al receptor de la base de datos para rechazar las conexiones directas. La mayora de los
11

Oracle Audit Vault and Database Firewall

interruptores de red empresarial y firewalls tradicionales tambin pueden usarse para redirigir el trfico
de la base de datos en un puerto de proxy de Oracle Database Firewall, permitiendo que el trfico de
SQL sea protegido sin cambios a los clientes de la base de datos o aplicaciones. El firewall de una base
de datos dada puede operar como puente transparente para algunas bases de datos y como proxy para
otras.
Database Firewall admite un agente del lado del servidor local, solo de monitoreo para garantizar la
flexibilidad en la eleccin de un punto de red en que se controla el trfico. Host Monitor, parte del
agente de auditora, captura el trfico de SQL que llega al servidor de la base de datos y lo reenva de
forma segura a Database Firewall. Puede usarse para monitorear de forma remota servidores de base
de datos ejecutados en plataformas Linux y Windows.

Figura 9: Implementacin de Oracle Audit Vault and Database Firewall

Implementacin de agentes de auditora

Los agentes de auditora se distribuyen como archivos JAR en los sistemas de destino y no requieren
configuracin manual adicional ni actualizaciones una vez que han sido distribuidos. Los agentes
recopilan los datos de auditora de diferentes fuentes, que incluyen sistemas operativos y directorios
pertenecientes y no pertenecientes a Oracle. Para bases de datos Oracle SE o EE, los agentes trabajan
independientemente de cmo se configura la auditora. Por ejemplo, la auditora puede configurarse
para escribir datos de auditora en el sistema operativo o la base de datos. Asimismo, para bases de
datos de Oracle, los agentes pueden consolidar los valores antes y despus para campos
especficos usando los registros de transacciones o REHACER y la informacin de derechos de la base
de datos.

Creacin y administracin de polticas

Audit Vault proporciona una interfaz integrada de administracin para las polticas de Database
Firewall. Los usuarios pueden definir una lista autorizada, una lista negra o una lista de excepciones
de declaraciones de SQL para una base de datos dada. La interfaz de creacin de polticas de Database
12

Oracle Audit Vault and Database Firewall

Firewall puede analizar todas las declaraciones capturadas de SQL dentro de un plazo de tiempo para
que puedan especificarse polticas apropiadas. Tambin permite que se asocien factores tales como
nombres de usuario, direcciones de IP, programas del cliente y hora del da con polticas para
declaraciones de SQL.
Audit Vault puede definir centralmente y proporcionar ajustes de auditora para las bases de datos de
Oracle. Esto proporciona a los auditores internos y a seguridad de TI una forma mucho ms sencilla
de administrar la configuracin de auditora en toda la empresa y demostrar el cumplimiento y
controles repetibles a los auditores externos.

Accesorios personalizados para la recopilacin de auditora

Los desarrolladores y proveedores independientes pueden construir accesorios personalizados de
recopilacin para recopilar datos de auditora de un nuevo tipo de objetivo protegido o un nuevo
sendero de auditora donde los datos de auditora se almacenan en tablas de bases de datos y archivos
XML. El tipo de objetivo protegido puede ser una base de datos relacional, sistemas operativos,
sistemas de nivel intermedio o aplicaciones empresariales. No se requiere codificacin ya que se puede
definir fcilmente un archivo de mapeo XML basado en una plantilla para describir los datos de
auditora recopilados y si almacenar los datos auditora en tablas de la base de datos o archivos XML.
El ejemplo 1 siguiente muestra un ejemplo de archivo de manifiesto para un accesorio de recopilacin
de archivos XML.

Ejemplo 1 : Ejemplo de archivo de manifiesto para un accesorio de recopilacin de

archivos XML

Integracin con soluciones de terceros

Oracle Audit Vault and Database Firewall se integra con F5 BIG-IP Application Security Manager. La
combinacin de Database Firewall y F5 BIG-IP Application Security Manager (ASM) permite la
13

Oracle Audit Vault and Database Firewall

seguridad y el monitoreo de servidores de aplicaciones y bases de datos dentro de una empresa. Si se

origina un ataque desde el usuario de la web, los informes de Database Firewall proporcionan la
direccin real de IP y el usuario de aplicaciones obtenidos de BIG-IP ASM permitindole detectar la
fuente del ataque.
El sistema HP ArcSight Security Information Event Management (SIEM) es un sistema centralizado
para registrar, analizar y administrar mensajes de registro de diferentes fuentes. HP ArcSight puede
extraer alertas de seguridad de Oracle Audit Vault and Database Firewall.

14

Oracle Audit Vault and Database Firewall

Conclusin
Oracle Audit Vault and Database Firewall ayuda a las organizaciones a aumentar la seguridad
monitoreando de forma proactiva la actividad de la base de datos en la red y dentro de la base de
datos, protegiendo contra las amenazas de inyeccin de SQL y automatizando la consolidacin de los
datos de auditora en un repositorio seguro y escalable. Los amplias capacidades de informe y alerta
proporcionan a los auditores y al personal de seguridad acceso a informacin detallada y alertas de
advertencia temprana sobre actividad maliciosa potencial. Pueden controlarse fuentes ms all de las
bases de datos, con soporte listo para usar para la consolidacin de datos de auditora de diferentes
sistemas operativos y servicios de directorio. Una arquitectura extensible de accesorios permite que se
agreguen fuentes personalizadas de auditora al marco de recopilacin, permitiendo acumular datos de
auditora especficos de las aplicaciones y generar informes conjuntos con otros datos de eventos en el
repositorio. Los controles de deteccin y prevencin para las bases de datos pueden utilizarse de
acuerdo con los requisitos de seguridad de bases de datos pertenecientes y no pertenecientes a Oracle.

15

Oracle est comprometida con el desarrollo de prcticas y productos que ayuden a proteger el medio ambiente

Oracle Audit Vault and Database

Copyright 2012, Oracle y/o sus filiales. Todos los derechos reservados. Este documento se proporciona nicamente con fines

Firewall, junio de 2013

informativos y su contenido est sujeto a cambios sin previo aviso. No se garantiza que este documento est libre de errores, ni

Autor: Oracle

sujeto a ninguna otra garanta o condicin, ya sea formulada verbalmente o implcita en la ley, incluidas garantas y condiciones

Autores participantes: Oracle

implcitas de comerciabilidad o aptitud para un propsito especfico. En especial, excluimos cualquier responsabilidad con respecto
a este documento y tampoco se establece una relacin contractual directa o indirectamente mediante este documento. Este

Oficinas centrales
mundiales de

documento no se puede reproducir ni transmitir de cualquier forma o por cualquier medio, electrnico o mecnico, para cualquier
propsito, sin nuestro permiso previo y por escrito.

Oracle: 500 Oracle

Parkway
Redwood Shores, CA 94065

Oracle y Java son marcas registradas de Oracle y/o sus filiales. Otros nombres pueden ser marcas comerciales de sus respectivos
propietarios.

EE. UU.
Consultas a nivel mundial:
Telfono:
+1.650.506.7000
Fax: +1.650.506.7200
oracle.com

Intel e Intel Xeon son marcas comerciales o marcas comerciales registradas de Intel Corporation. Todas las marcas comerciales de
SPARC se usan con licencia y son marcas comerciales o marcas comerciales registradas de SPARC International, Inc. AMD,
Opteron, el logotipo de AMD y el logotipo de AMD Opteron son marcas comerciales o marcas comerciales registradas de Advanced
Micro Devices. UNIX es una marca comercial registrada de The Open Group. 0612