AVDF12.1安装配置（2）

1. 输入Audit Vault服务器IP地址，从Audit Vault Server的设置/证书处复制服务器证书，点击应用：

1. 1. Audit Vault Sever 配置
      1. 设定时间、日期和键盘
2. 使用管理员账户avadmin，登陆Audit Vault Server Web控制台: https://AVServer_IP
3. 在设置Tab页面中，点击系统/管理：

1. 设置相应的时间、日期，选择键盘布局，点击保存。
   1. 1. 设置网络服务

1) 使用管理员账户avadmin，登陆Audit Vault Server Web控制台: https://AVServer_IP

2）在设置Tab页面中，点击服务：

3）将SSH访问、SNMP访问都设置为“全部”，点击保存：

1. 1. 1. 注册防火墙

1）使用管理员账户avadmin，登陆Audit Vault Server Web控制台: https://AVServer_IP

2）在防火墙Tab页面中，点击注册：

1. 输入名称及防火墙的IP地址，点击保存：

确保在注册之前已向防火墙提供此系统的证书。

1. 1. 1. 添加受保护目标
2. 使用管理员账户avadmin，登陆Audit Vault Server Web控制台: https://AVServer_IP
3. 在受保护目标Tab页面中，点击目标/注册

1. 添加相应的信息，注册受保护目标：

参数说明：

  新受保护目标名称：输入受保护目标的名称

受保护目标位置：JDBC连接串，例如jdbc:oracle:thin:@//192.168.0.12:1521/orcl

         受保护目标类型：选择Oracle Database

     用户名：输入用于URA,SPA审计的用户名

        添加受保护目标地址：输入IP地址、端口号、服务名之后，点击添加

     最后点击保存

1. 1. 1. 创建强制点(Enforcement Point)

1）使用管理员账户avadmin，登陆Audit Vault Server Web控制台: https://AVServer_IP

2） 在受保护目标Tab页面中，选择监视/强制点，点击创建：

3）输入强制点名称、选择监视模式、要监控的受保护目标、选择防火墙及通信端口，点击保存：

4）启动强制点：选择ORCLEP，点击启动

1. 1. 1. 更改防火墙策略
2. 使用审计账户avauditor，登陆Audit Vault Server Web控制台: https://AVServer_IP
3. 在受保护目标Tab页面中，点击orcl:

3）点击防火墙策略，点击更改：

4）选择相应的防火墙策略，例如Log all，点击保存。

1. 1. 1. 注册目标主机及部署代理
         1. 注册目标主机
2. 使用审计账户avadmin，登陆Audit Vault Server Web控制台: https://AVServer_IP

2）在主机Tab页面中，点击注册：

3）输入主机名及主机IP，点击保存：

1. 1. 1. 1. 在受保护主机上下载代理
2. 使用oracle用户登录192.168.0.12（ORCLDB）
3. 创建一个avagent目录：

cd /u01/app/oracle/product

mkdir avagent

1. 在avagent目录下从Audit Vault Server上下载avagent:

cd /u01/app/oracle/product/avagent

scp support@192.168.0.11:/var/lib/oracle/dbfw/av/jlib/agent.jar .

1. 1. 1. 1. 在受保护主机上安装代理
2. 使用oracle用户登录192.168.0.12（ORCLDB）
3. 进入avagent目录，安装代理：

 cd /u01/app/oracle/product/avagent

 java -jar agent.jar

1. 激活avagent:

 cd /u01/app/oracle/product/avagent/bin

 ./agentctl activate

1. 1. 1. 1. 激活并启动代理

1）使用管理员账户avadmin，登录Audit Vault Server https://AVServer_IP

1. 在主机Tab页面中，选择主机，勾选相应的主机名，再点击激活：

   激活后，代理激活状态变为Approved：

  

1. 在ORCLDB（192.168.0.12）主机上，使用oracle账号启动代理：

  cd /u01/app/oracle/product/avagent

  ./agentctl start -k 5FZG-QU3K-YYJK-ZGI0-NNF1 (agentctl start –k key，这里的key是上图中的代理激活密钥)

1. 刷新Audit Vault Server页面，查看代理状态：

在主机Tab页面中，选择主机，查看代理状态是否为Running:

1. 1. 1. 1. 在受保护主机上为监控审计创建数据库账户

AVDF需要在受保护主机上创建数据库账户，并赋予相应权限，才能做到：收集审计数据，管理审计策略，SPA，URA，及DDI(数据加密for Oracle)。

1. 使用oracle账户，进入受保护主机的avagent/av/plugins/com.oracle.av.plugin.oracle/config/目录

  cd /u01/app/oracle/product/avagent/av/plugins/com.oracle.av.plugin.oracle/config/

1. 创建数据库账户avaudituser

  sqlplus / as sysdba

  SQL> create user avaudituser identified by oracle account unlock;

1. 运行下面的脚本：

SQL> @oracle_user_setup.sql avaudituser setup; (为avaudituser赋予管理审计策略、从非Redo日志中收集数据的权限)

sqlplus / as sysdba @oracle_user_setup.sql avaudituser REDO_COLL (为avaudituser赋予从Redo日志中收集数据的权限)

sqlplus / as sysdba @oracle_user_setup.sql avaudituser SPA (SPA权限)

sqlplus / as sysdba @oracle_user_setup.sql avaudituser ENTITLEMENT (URA权限)

4）在受保护目标Tab页面中，添加数据库用户名avaudituser及密码等信息，点击保存：（这步非常有必要，否则会导致后面的审计线索启动不了）

  

1. 1. 1. 1. 在受保护目标数据库上开启审计设置

1）使用oracle用户登录192.168.0.12（ORCLDB）

2）查看数据库的audit参数：

sqlplus / as sysdba

show parameter audit

1. 如果audit_sys_operations为Fasle or audit_trail 不为DB, EXTENDED，则：

  SQL> alter system set audit_sys_operations=true scope=spfile;

  SQL> alter system set audit_trail=DB, EXTENDED scope=spfile;

  SQL> shutdown immediate;

  SQL>startup;

1. 1. 1. 1. 配置审计线索
2. 使用管理员账户avadmin登录Audit Vault Server https://AVServer_IP
3. 在受保护目标Tab页面中，选择审计线索，点击添加：

1. 选择收集主机，受保护目标名称，审计线索类型为TABLE，线索位置为SYS.AUD$，点击保存。

4）启动新添加的审计线索：

1. 添加另一个审计线索：

点击保存，并启动这个审计线索。

1. 查看审计线索状态：

  

1. 1. 1. 1. 配置审计策略
2. 使用审计账户avauditor登录Audit Vault Server https://AVServer_IP
3. 在策略Tab页面中，选择审计设置，选中受保护目标orcl，点击检索审计设置：

1. 在设置Tab页面中，选择系统/作业，可以看到检索审计设置是否完成：

4）在策略Tab页面中，选择审计设置，可以看到当前的审计设置状态：

  

1. 点击orcl，查看具体的审计设置：

1. 点击Object，可以看到正在使用的Object审计设置：

点击右上角的创建：
选择对象类型为TABLE，

对象SH.COSTS(TABLE)，

对象执行条件：两者（成功或失败），

DML审计粒度：访问，

语句审计类型：ALTER,DELETE,INSERT,SELECT,UPDATE，

点击保存。

1. 在策略Tab页面，策略/审计设置中查看现在的审计设置：

1. 点击Object，查看具体的对象审计设置：

1. 选中新添加的5个Object规则，点击右上角的“设置为需要”，然后选择Object，点击导出/预配：

输入用户名avaudituser及密码，点击预配：

9）完成之后，查看现在审计设置：

1. 1. 1. 1. 配置防火墙策略

使用审计者账户avauditor登录Audit Vault Server https://AVServer_IP

在策略Tab页面中，选择策略/防火墙策略，点击创建策略：

3）点击修改SQL，针对SQL语句定义策略：

4）选择受保护目标ORCL ，点击下角的应用：

5）选择某几条SQL，点击右上角的设置策略：

6）设置策略控制：操作Warn,日记记录级别：始终，威胁严重性：中等，点击保存。

7）可以在搜索框中输入过滤条件，比如SQL语句包含DUAL，点击开始进行搜索:

显示只包含DUAL的SQL:

  选中这些SQL，设置策略控制：

8）设置默认规则：点击Default Rule

编辑默认策略，点击应用更改：

    

9）添加新规则：所有未见过的有关于BONUS，EMP,EMPLOYEES的DDL,DCL,DML语句都进行告警、每次都记录，威胁严重性为主要。

10）在策略控制/设置里面设置登录失败告警、无效语句策略等设置：

   30s内连续2次登录失败，第三次将告警；针对无效的SQL语句进行告警：

   注意：登录失败告警及无效SQL告警设置要生效，必须先激活数据库响应。（以管理账户avadmin登陆Audit Vault Server，在受保护目标Tab页面中，选择强制点/ORCLEP，启用数据库响应）