Gegeben ist ein Log mit Wer hat Was mit Welchen Daten Wann und Wie getan. Ein Database Activity Monitoring System sollte in der Lage sein die Frage nach dem Warum zu beantworten. Database Activity Monitoring Systeme helfen Organisationen dabei:
-
- Aufspüren/Verhindern von Einbruchsversuchen in die Systeme einschließlich Privileged User
- Erstellung eines regelmäßigen Reports hinsichtliche Systemnutzung und Datenmodifikationen
- Erkennung und Wiederherstellen von Datenbanksystemen im Falle von System- und Bedienungsfehlern
Die Basisarchitektur eines Database Activity Monitoring Systems ist in der nachfolgenden Grafik dargestellt. Dannach besteht das System aus drei wesentlichen Komponenten wie einem Logger, einem Analyzer, und einem Notifier. Der Logger zeichnet Informationen auf, wobei die Art der zu speichernden Information durch die Security Policies festgelegt wird. Der Analyzer analyisert das Log in der Art, ob es Securityverstösse gibt oder ob noch weitere Informationen geloggt werden sollten. Der Notifier hat die Aufgabe die Ergebnisse an den Analysten zu reporten.
Logger
Die Definition der Loggingmethode umfaßt die Definitionen der Event-Typen und den Umfang des Monitorings. Damit bestimmt der Logger Inhalt, Zeit, Ort, Methode und Häufigkeit des Datenbankloggings sowie andere wesentliche Bereiche des Systems. Z.B. hat der Ort des Loggings einen direkten Einfluß auf die Effizienz von Analyse und Datenbereitstellung. Daneben muß das System dafür Sorge tragen, dass die Loggdaten während des Auditprozesses gegenüber unberechtigten Zugriffen geschützt sind und zudem auch ausreichend viele Informationen geloggt werden, um letztendlich ein umfassendes Monitoring sicherzustellen. Insgesamt ist der definierte Log-Umfang für ein Database Activity Monitoring System ein kritischer Faktor, weil die Möglichkeiten der Analysten, zur Rekonstruktion von auffälligen Events ganz besonders vom Inhalt und Richtigkeit des Datenbanklogs abhängen.
Analyzer
Die Analyse ist durch zwei Hauptfaktoren definiert: Das Ziel der Analyse und deren Zeiten und Wiederholungen. Das Ziel der Analyse bezieht sich auf die generellen Ziele des Monitorings, die sich wiederum auf das Aufspüren von Securityverletzungen beziehen. Der Analyseprozeß folgt typischerweise den nachfolgenden 4 großen Zielen:
-
- Entdecken von Notwendigkeiten zur Änderung von Systempolicies
- Aufspüren von definierten Problemen und Anomalien
- Bestimmung der Verantwortlichkeit von Useraktivitäten
- Erstellung eines regelmäßigen Reportings hinsichtlich Systemnutzung und Datenmodifikationen
Die Häufigkeit der Analyse wird bestimmt durch die oben genannten Ziele und kann periodisch, auf Transactionshäufigkeiten und/oder Real-time erfolgen. Häufigere Analysen erhöhen zwar die Wahrscheinlichkeit Missbräuche frühzeitig zu entdecken und die Reaktionszeit zu reduzieren, was jedoch auch steigende Kosten zur Folge hat. Real-time Analyse bietet die höchste Analysehäufigkeit und ist aber gleichzeitig auch die teuerste Alternative, die typischerweise den kritischen Systemumgebungen vorbehalten ist. Periodische Analysen werden grundsätzlich genutzt, um einen allgemeinen Systemüberblick zu erhalten oder ein regelmäßiges Reporting zu unterstützen. Die Transactionshäufigkeitsmethode erführt immer nach einer bestimmten Anzahl von Transaktionen eine Analyse durch.
Notifier
Das Notifikationsystem unterstützt die verfügbaren Recherchertechniken in der Art, dass die Daten in einer Form dargestellt werden, die den Analysten ermöglicht potentielle Bedrohungen und Verletzungen von Policies frühzeitig aufzudecken und bereinigt die Daten auf Basis der definierten Regeln und Rechteebenen der jeweiligen Betrachter.
Dies dient der Sicherheit der Daten gegenüber Änderungen der Informationen, abhängig vom jeweiligen User, dessen Informations-Level und den Ergebnissen. Der Bereinigungprozeß entfernt alle Informationen, die nicht relevant sind oder deren Informations-Level höher ist als der auf den der jeweilige User Zugriff haben darf.
Dies erfolgt durch zwei Prinzipien: 1. Getrennte Privilegien – > Trennung der Verantwortlichkeiten (Separation of duties) und 2. Minimale Privilegien. Getrennte Privilegien schützen die Daten dadurch, dass mehr als ein Key oder eine Au-thentication für den Zugriff auf sensitive Daten notwendig ist. Z.B. ist mehr als ein privilegierter User notwendig, um den Zugriff auf kritische Logs zu erhalten. Das Prinzip der Minimalen Privilegien gewährleistet, dass nur wenige Zugriffsrechte vergeben werden. Z.B. können User bei ihrer Suche und dem Datenzugriff auf einzelne Bereiche der Datenbank eingeschränkt werden, wobei keinem User gestattet ist auf alle Datenbankeinträge zuzugreifen.