※ 本記事は、Bettina Schaeumerによる”Simplified Data Safe notifications improve data security visibility“を翻訳したものです。

2024年3月29日

OCIの通知は、運用アラートとアプリケーション統合のための、共通かつ効率的なインフラストラクチャを提供します。OCI通知は信頼性が高く低レイテンシであり、接続されたアプリケーションによるポーリングの必要性を低減する公開およびサブスクライブのパラダイムを実装します。ただし、通知を最初から設定するのは難しい場合があります。そのため、Data Safeでは通知の構成が容易になりました。通知を使用すると、Data Safe内の様々なイベントおよび条件について通知するメッセージをすばやく設定および受信できます。何よりも、作業中の機能から離れることなく、Data Safeコンソール内で通知を直接定義できるようになりました。通知は、データベース環境の変更時に電子メール、SMSメッセージまたはSlackメッセージを警告することで、運用セキュリティを向上させることができます。

通知とは?

通知をより使いやすくするために、まずOCI通知の仕組みについて少し理解する必要があります。OCI通知には、運用アラートを作成するためのOCIリソースの作成と関連付けが含まれます。これらのリソースには次のものがあります:

  • イベント –Data Safeリソースの変更を示す構造化メッセージ。
  • ルール –イベントのストリームをフィルタして、選択したイベント条件の通知などのアクションをトリガーします。
  • 通知 –ルールの条件を満たす定義済イベントがOCIで生成されたときに作成されるメッセージ。
  • トピック –通知をエンドポイントに転送するために使用される通信チャネル。
  • 購読 –通知メッセージが送信されるエンドポイント。たとえば、サブスクリプション・エンドポイントは、電子メール・アドレス、電話番号またはSlackチャネルです。

すべてをまとめると、ルールで定義された条件を満たすイベントによって、トピックサブスクライバに送信される通知がトリガーされます。

Data Safeコンソールにコンテキスト通知を追加して、ユーザーに通知を簡単に設定できるようになりました。選択したイベントが、作業中のData Safe関数のコンテキスト内に表示されるようになったため、これらのコンテキスト通知をコールしています。あなたに関連するものを見つけようとしている何百もの異なるイベントをスクロールしなくなりました!

新しい通知タブは、Data Safeのさまざまな機能で見つかり、その機能のコンテキストでの作業中にData Safe機能の通知を作成および管理できます。通知タブは、次のようなData Safeコンソールの多くの領域にあります:

  • ユーザー評価
  • セキュリティ評価
  • 検出
  • マスキング
  • アクティビティ監査
  • SQL Firewall

通知をより簡単に開始するために、最も一般的なユース・ケース用のクイックスタート・テンプレートを作成しました。シンプルですが便利な通知を作成する例を見てみましょう。

セキュリティ構成ドリフト

多くのデータ侵害は、管理者エラーの原因をトレースできます。そのエラーの頻繁な原因は、構成のドリフトです。設定またはパラメータが変更され、多くの場合、トラブルシューティングを容易にしたり、緊急の運用問題を解決したりするため、システムのセキュリティーが低下します。Data Safeは、承認済みのセキュリティ・ベースラインからこのタイプのドリフトを識別するのに役立ちます。通知により、そのドリフトが迅速に注目されるようになります。Data Safeスポット構成がドリフトした場合に、新しい通知機能を使用して電子メールを送信しましょう。まず、セキュリティ評価ページを開き、新しい通知タブをクリックします。

新しい通知タブが循環しているセキュリティ評価ダッシュボードのスクリーンショット。矢印は、「a security assessment has drifted from baseline」テンプレートを指しています。

「通知」タブには、クイック・スタート・テンプレートが表示されます。これらは、作業中の「Data Safe」領域のコンテキストで意味のある、すぐに使用できる通知ポリシーです。ベースラインからドリフトされたセキュリティ評価をクリックして、通知を作成します。

通知テンプレートの作成のスクリーンショット。スクリーンショットには、3つの吹き出し番号が1つ、2つ、および3つ追加されています。

通知を作成するには、テンプレートに次の3つの項目を追加します:

  1. 通知ルールの名前 – これは通知を呼び出すもので、セキュリティ・ドリフトが発生したときに表示されるEメールに表示されます
  2. トピック名 – 通知サブスクリプションを追加するOCIリソースをコールします。トピック名を入力する際に注意すべき点は、トピック名にスペースがないことです。
  3. サブスクリプション – 通知メッセージの送信先の場所です。サブスクリプションの最も一般的な形式はEメールであるため、Eメール・アドレスを入力します。その他のタイプのサブスクリプションには、SMSまたはSlackメッセージ、RESTful APIコール、OCI関数へのコールなどがあります。

必要なのはそれだけです – 「Create notification」をクリックすると、Data Safeが最新のセキュリティ評価がベースラインと一致しないことを次回検出したときに、通知する電子メールを受信します。

ノート: 電子メール・サブスクリプションの場合、Data Safeはまず、通知のサブスクライブを確認するように求める電子メールを入力したアドレスに送信します。サブスクリプションを確認するまで、Data Safeは実際にはそのアドレスに通知電子メールを送信しません。

Data Safe内の通知はどこにありますか?

Data Safe全体で新しい通知タブが表示されます – 作業中の画面のコンテキストで意味がある場所であれば、何かが変更されたことを事前に通知できます。次のものがあります:

  • セキュリティ評価
  • ユーザー評価
  • データ検出 – 機密データ・モデル
  • データ・マスキング – マスキング・ポリシー
  • アクティビティ監査 – 監査プロファイル、ポリシー、証跡、アーカイブ・データ取得およびレポート
  • SQL Firewall
  • アラート – レポートとターゲットポリシーのアソシエーション

通知は、アラート・コンソールのターゲット・ポリシー・アソシエーションを除き、データ・セーフ全体でも同様に機能します。次にその例を見てみましょう。

ターゲットポリシー通知

Data Safeには、SQL Firewall違反、ユーザー・プロファイルの変更、ユーザー権限の変更などの条件に対して事前定義されたアラート・ポリシーがいくつか含まれています。Data Safeがこれらのポリシーのいずれかによって定義された条件を検出すると、アラートが作成され、「All alerts」レポートで表示できます。アラートは、アラームをトリガーすることもできます。アラームは、通知をトリガーするために使用できます。ターゲット・ポリシー・アソシエーションを使用すると、Data Safeターゲット・データベースのアラート・ポリシーを有効にできます。

2つの事前定義済テンプレートが表示されている、ターゲット・ポリシー・アソシエーション通知のスクリーンショット: 1. アラートが生成されました 2. 5 分で1000を超えるアラートが生成されました

一見すると、これらは他の通知に似ています。 – 2つのクイック・スタート・テンプレートが定義されています。

  • アラートが生成されました – これにより、Data Safeが、アラート・ポリシーが関連付けられているターゲット・データベースに対してトリガーされたアラートを検出するたびに通知が送信されます
  • 5分で1000を超えるアラートが生成されました – これはまさにそうで、5分以内に1,000を超えるアラートがトリガーされると、Data Safeによって通知が送信されます。これは任意のターゲットに対して実行でき、1,000件はそれらのターゲット全体で累積されます。

これらの事前定義済テンプレートは、少数のターゲット・データベースのみを持つData Safeインスタンスにとって意味があります。ただし、ターゲット・データベースの数が増えると、システムで生成されるアラートの数も増える可能性があり、通知をより狭く定義することが意味する場合があります。一般的なユースケース(ユーザー権限)を見てみましょう。

拡張アラート通知

Data Safeがアラートを送信するためにチェックする条件を絞り込み、気にしないものに関する通知を受信しないようにします。ユーザー権限が変更された場合は、新しい権限が付与されている場合にのみ注意しますが、権限が取り消されるかどうかは気にしません。この種類のカスタム通知を作成するには、いずれかのテンプレートを使用するかわりに、「Create notification」(灰色のボタン)をクリックします。次に「Advanced alarm notification」をクリックします。これにより、拡張通知を作成できるフォームが開きます。次のスクリーンショットでは、変更内容がフォームに入力された場所を示すコールアウトを追加したことがわかります。このユース・ケースでは、それらのうち8つがあります。その数は、作成するルールの数によって異なります。

  1. アラーム名 – ベースラインからのセキュリティ評価ドリフトなど、簡略化された通知テンプレートと同様に、これは通知をコールするものです。これは、通知メッセージに説明フィールドとして表示されます。
  2. イベント・タイプ – ここで選択できるのは、Alert Generatedのみです。
  3. + Another condition」をクリックして、新しい条件を追加します。条件に「Attribute」を選択し、属性名にdisplayNameを選択します。「Attribute values」に「User entitlement changes」と入力します。これはアラート・ポリシーの名前です。アラート・ポリシー名のリストは、「Alert policies」リソース・ページで確認できます。
  4. + Another condition」をクリックして、2番目の条件を追加します。今回は、操作を選択し、検索する値としてGRANTと入力します。
  5. メトリック – DeliverySucceedEventsを選択し、残りのフィールドをデフォルト値のままにします。
  6. トリガー・ルール – ここで、通知を受ける前にアラームを何回発生させるかを選択します。この場合、誰かが新しい権限を付与するたびに通知が必要となるため、Operatorの「equal to」を選択し、Valueを1に設定し、「Trigger delay」を1分で入力します。
  7. 今、馴染みのある場所に戻っています – トピック名を入力してください(スペースは使用できません)。
  8. 通知を受信する電子メール・アドレスを入力します。

Create notification」をクリックすると完了します。Data Safeがユーザー権限の変更を検出し、その変更が権限付与である場合は常に通知されます。

様々な条件を積み重ねることで、通知のフォーカスを関心のあるアラートのみに絞り込み、不要な通知の「noise」を減らすことができます。

ノート: 条件は常に累積されます。常に「and」操作です。「or」または「not」条件を持つことはできません。

拡張アラーム通知フォームのスクリーンショット。フォームには、8つの番号付きコールアウトが追加されています

それがすべてです。Notificationsは非常に柔軟で、多様なユース・ケースに合せてカスタマイズできます。動作中の新機能をご覧になりたい場合は、いくつかの使用方法を説明する短いビデオをご紹介します。コンテキスト通知の詳細と、この機能を使用して操作セキュリティを向上させる方法については、Data Safeのドキュメントを参照してください。

次のステップを実行

Data Safeについてさらに学習するには、この短い概要ビデオを参照してください。ハンズオン・ツアーについては、Oracle LiveLabsのData Safeチュートリアルを参照してください。Oracle Autonomous Database 30日間の無料トライアルを利用することで、Data Safeを独自のデータベースとデータで使用することもできます。