デフォルトでは、セキュリティ監査機能の新しいバージョンでは、すべての組み込みデータベース監査ルールと異常検出モデルが有効になっています。不要なルールとモデルを無効にすることができます。また、データベース、テーブル、フィールド、アクセスソース、インスタンスなど、さまざまなレベルで異常検出モデルをカスタマイズすることもできます。これにより、より柔軟なセキュリティポリシーを実装できます。
前提条件
セキュリティ監査機能の新しいバージョンが有効になっています。詳細については、「セキュリティ監査(新バージョン)を有効にする」をご参照ください。
データベース監査ルールの管理
デフォルトでは、すべての組み込みデータベース監査ルールが有効になっています。不要なルールを無効にすることができます。
DAS コンソール にログインします。
左側のナビゲーションウィンドウで、[セキュリティセンター] > [セキュリティ監査] を選択します。
[セキュリティ監査] ページで、[アラートルール] タブをクリックし、次に [データベース監査ルール] タブをクリックします。
不要なルールを無効にします。
異常検出モデルの管理
デフォルトでは、DAS はすべての組み込み異常検出モデルを有効にします。不要なモデルを無効にすることができます。
DAS コンソール にログインします。
左側のナビゲーションウィンドウで、[セキュリティセンター] > [セキュリティ監査] を選択します。
[セキュリティ監査] ページで、[アラートルール] タブをクリックし、次に [異常検出モデル] タブをクリックします。
不要なモデルを無効にします。
異常検出モデルのカスタマイズ
組み込みの異常検出モデルが要件を満たしていない場合は、異常検出モデルをカスタマイズできます。
DAS コンソール にログインします。
左側のナビゲーションウィンドウで、[セキュリティセンター] > [セキュリティ監査] を選択します。
[セキュリティ監査] ページで、[アラートルール] タブをクリックし、次に [カスタム検出モデル] タブをクリックします。
[ルールを追加] をクリックします。
[ルールを作成] ダイアログボックスで、カスタム異常検出モデルを作成するためのパラメーターを構成し、[OK] をクリックします。
パラメーター
説明
ルール名
モデルの名前を入力します。識別しやすいように、わかりやすい名前を入力することをお勧めします。
リスクレベル
ドロップダウンリストからモデルのリスクレベルを選択します。
アセットタイプ
モデルが検出するアセットのタイプを選択します。この例では、RDS が使用されています。
フィルター条件
異常イベントを検出するためのフィルター条件を指定します。
さらに作成
[さらに作成] をクリックして、複数のフィルター条件を追加します。複数のフィルター条件は、AND 論理演算子で接続されます。
アラート条件
異常イベントを検出する時間間隔と、アラートのトリガー条件を指定します。DAS は、アラート条件を満たすデータに対して異常検出を実行します。指定された時間間隔内のデータベースアクティビティが指定されたアラート条件を満たすと、異常アラートが生成されます。
モデルが作成された後、モデルリストでモデルを表示できます。ビジネス要件に基づいてモデルを変更することもできます。デフォルトでは、新しく作成されたモデルは [オフ] 状態です。モデルを有効にするには、モデルを有効にする必要があります。
[ステータス] 列のスイッチをオンにして、モデルを有効にします。