データベースに対する不審なアクティビティを監視することで、内部での不正利用、認証情報の窃盗、特権昇格、データベース特有の攻撃、監査証跡の変更、設定ミスなどを見つけることができます。 このコンテンツ パックを利用して監視を行うことで、データベースに対する攻撃イベント、言語別の SQL イベント、不審なデータベース イベントを識別し、アラートを送信することができます。 データベース イベントは、時間枠、ドメイン、ホスト、位置情報などでフィルタリングできるので、不審な利用をすぐに見分けることができます。 システム管理者は、このコンテンツ パックを利用して環境内でのドメイン ポリシーの変更や特権セキュリティ グループのメンバー変更を追跡できます。 これらの項目に対して変更を行ったユーザーを追跡することで、不審な変更を検知し、修正することができます。
コンテンツ パックのコンポーネント
ビュー
- 言語タイプ別のデータベース イベント
- サブタイプ別のデータベース イベント
- データベース攻撃アクティビティ
- データベースへのログオン失敗
- データベースへのログオン成功
レポート
レポートは、環境に合わせて調整できます。
- データベース - データベース イベント
- データベース - データベース ログオン イベント
相関分析ルール
- データベース - 会社の所在地以外で発生したアクティビティ
- データベース - リモート ホストが試みたデータベースの設定変更
- データベース - 攻撃発生後のデータの一括転送
- データベース - 攻撃発生後のデータベース イベント アクティビティ
- データベース - 単一ソースからの過剰なデータベース接続
- データベース - 攻撃の可能性があるアクティビティ
- データベース - DCL イベント数の増加
- データベース - DDL イベント数の増加
- データベース - DML イベント数の増加
- データベース - TCL イベント数の増加
- データベース - データベース アクセスの複数回の失敗
- データベース - 監査証跡に対する複数回の変更
- データベース - SQL インジェクションの可能性 - 重大度が低いクエリー
- データベース - SQL インジェクションの可能性 - クエリーの失敗 (宛先ユーザー別)
- データベース - SQL インジェクションの可能性 - クエリーの失敗 (ソース IP 別)
- データベース - ソースと宛先のユーザーが異なるログオン
必要な製品
- McAfee Enterprise Security Manager (ESM) 11.x, 10.x
- McAfee Advanced Correlation Engine (ACE) 11.x, 10.x
コンテンツ パックのダウンロード
ServicePortal にご登録の方は、ナレッジセンターにログインすると、詳しいドキュメントを入手できます。また、コンテンツ パック ファイルをダウンロードできます。
記事を読む