下面是一个示例输出: USERNAME OS_USERNAM TERMINAL USERHOST LOGON_TS
--------------- ---------- --------------- --------------- ------------------
ABCD_APP jnelson STJNELSONT40 STJNELSONT40 01/11/06 10:42:19
ABCD_APP jnelson STJNELSONT40 STJNELSONT40 01/11/06 10:42:28
ABCD_APP jnelson STJNELSONT40 STJNELSONT40 01/11/06 10:43:11
PERFSTAT oracle pts/5 stcdwhpd 01/11/06 12:05:26
ARUP jnelson STANANDAT42 STJNELSONT40 01/11/06 14:09:20
ARUP jnelson STANANDAT42 STJNELSONT40 01/11/06 14:23:41
在该输出中,您可以清楚地看到哪个用户曾尝试使用错误口令进行连接。许多尝试可能属于正常的错误,而其他尝试可能需要调查。例如,OS 用户 jnelson 在短时间内从同一客户机以 ABCD_APP 的身份重复尝试登录并失败。紧接着,jnelson 尝试以用户 ARUP 的身份登录。现在,这一点比较可疑。注意,由于大多数攻击均来自企业内部的合法用户,因此任何模式都不值得掩盖。
在相同代码行中,您可以监视使用可能已“猜中”的用户 ID 尝试进行的登录。 select username from dba_audit_trail where returncode = 1017
minus
select username from dba_users;
输出如下: USERNAME
---------------
A
SCOTT
HR
此处,某人尝试以不存在的用户身份(即 SCOTT,您已经审慎地从数据库中删除了该用户)登录。该用户的身份到底如何呢?他是错误地期望连接到开发数据库的无恶意用户,还是试探 SCOTT 是否存在的恶意用户?请再次搜索模式并标识进行此尝试的实际用户。直到您获得满意的解释为止。 可能的影响
打开审计确实会影响性能。但您在该步骤中启用的初级审计对性能的影响可以忽略不计,它的好处远远超过了不利影响。
另一个应仔细考虑的影响是审计跟踪的存储空间。审计跟踪条目存储在 SYSTEM 表空间中,其大小随审计跟踪的扩大而扩大。如果 SYSTEM 表空间已经占满并且没有可供审计记录使用的空间,则所有数据库交互将失败。因此,必须仔细留意可用空间。 操作计划
- 将初始化参数 audit_trail 设置为数据库中的 DB 并重新利用它。
- 对会话启用审计。
- 从审计跟踪中提取信息并根据这些信息分析攻击模式。
3.6 创建和分析对象访问配置文件 背景
只知道用户名和相关属性(如 OS 用户名、他们的连接源自的终端等)是不够的。要正确锁定数据库,还必须知道哪些用户正在访问。您可以通过此信息创建一个对象“访问配置文件” - 凡是不符合该信息的内容均可能表示攻击或入侵,
策略
此处将再次使用审计的强大功能。在上一步中,您启用了用于查看会话详细信息的会话级审计。现在,您必须启用对象访问审计。
例如,您可以选择对非常机密的对象(如存储信用卡卡号的表或通过加密值返回明文信用卡卡号的属性)进行的访问进行审计。
假设您要对访问 ccmaster 拥有的表 credit_cards 的任何用户进行审计。您可以发出以下命令 audit select on ccmaster.credit_cards by access;
随后,任何从该表中进行选择的用户将留下一个审计跟踪。
您可以采用两种方法记录该信息。在第一种方法(如上面的关键字 access 所示)中,每当某个用户从表中进行选择时,审计跟踪中便会出现一个记录。如果同一用户在同一会话中从表中选择两次,则审计跟踪中将出现两个记录。
如果该信息量太大,无法处理,则可以使用另一个方法,即在每个会话中只记录一次: audit select on ccmaster.credit_cards by session;
在该示例中,当用户在会话中从表中进行多次选择时,审计跟踪中将只出现一个记录。
启用审计后,可以分析审计跟踪以了解访问模式。
(编辑:aniston)
|
