Oracle Audit Vault
IBM QRadar DSM für Oracle Audit Vault erfasst Ereignisse von einem Oracle Audit Vault-Server.
| Spezifikation | Wert |
|---|---|
| Hersteller | Oracle |
| DSM-Name | Oracle Audit Vault |
| Name der RPM-Datei | DSM-OracleAuditvault-QRadar_version-build_number.noarch.rpm |
| Unterstützte Versionen | 10.3 und 12.2 |
| Protokoll | JDBC |
| Ereignisformat | Name/Wert-Paar (NVP) |
| Aufgezeichnete Ereignistypen | Alle Prüfdatensätze aus AVSYS.AV$ALERT_STORE-Tabelle für V10.3oder aus dem angepassten AVSYS.AV_ALERT_STORE_V für V12.2. Weitere Informationen zu Audit-Aufzeichnungen finden Sie unter Konfiguration von Oracle Audit Vault für die Kommunikation mit QRadar®. |
| Automatisch erkannt? | Nein |
| Enthält Identität? | Nein |
| Angepasste Eigenschaften einschließen? | Nein |
| Weitere Informationen | WebsiteOracle (https://www.oracle.com/index.html) |
- Wenn automatische Updates nicht aktiviert sind, laden Sie die neueste Version der folgenden RPMs von der IBM® Support Website herunter und installieren Sie sie auf Ihrem QRadar
Console:
- JDBC -Protokoll-RPM
- DSMCommon-RPM
- Oracle Audit-Tresor DSM RPM
- Rufen Sie die Datenbankinformationen für Ihren Oracle Audit Vault-Server ab und konfigurieren Sie anschließend Ihre Oracle Audit Vault-Datenbank so, dass eingehende TCP-Verbindungen zugelassen werden.
- Fügen Sie für jede Instanz von Oracle Audit Vault eine Oracle Audit Vault-Protokollquelle auf dem QRadar Event Collectorhinzu. In der folgenden Tabelle werden die Parameter beschrieben, für die bestimmte Werte erforderlich sind, um Ereignisse aus Oracle Audit Vault zu erfassen:
Tabelle 2. Oracle Audit Vault JDBC -Protokollquellenparameter Parameter Wert Protokollquellentyp Oracle Audit Vault Protokollkonfiguration JDBC Log Source Identifier (Protokollquellenkennung) Geben Sie einen Namen für die Protokollquelle ein. Der Name darf keine Leerzeichen enthalten und muss unter allen Protokollquellen des Protokollquellentyps, der für die Verwendung des JDBC -Protokolls konfiguriert ist, eindeutig sein.
Wenn die Protokollquelle Ereignisse von einer einzelnen Appliance erfasst, die über eine statische IP-Adresse oder einen Hostnamen verfügt, verwenden Sie die IP-Adresse oder den Hostnamen der Appliance als Wert für die Protokollquellenkennung , z. B. 192.168.1.1 oder JDBC192.168.1.1. Wenn die Protokollquelle keine Ereignisse von einer einzelnen Appliance mit einer statischen IP-Adresse oder einem Hostnamen erfasst, können Sie einen beliebigen eindeutigen Namen als Wert für Protokollquellenkennung verwenden, z. B. JDBC1, JDBC2.
Datenbanktyp Oracle Datenbankname Der Name der Oracle -Prüfvault-Datenbank. IP-Managementadresse oder Hostname Die IP-Adresse oder der Hostname des Oracle -Prüfvaultservers. Port Der Port, an dem die Oracle -Prüfvault-Datenbank empfangsbereit ist. Username Jeder Benutzer mit der Berechtigung AV_AUDITOR. Beispiel: AVAUDITOR. Password Das Kennwort für den Datenbankbenutzer. vordefinierte Abfrage Keine Tabellenname Für Oracle Audit Vault Version 10.3lautet der Wert für Tabellenname AVSYS.AV$ALERT_STORE.
Für Oracle Audit Vault Version 12.2lautet der Wert für Tabellenname AVSYS.AV_ALERT_STORE_V.
Auswahlliste Die Liste der einzuschließenden Felder, wenn die Tabelle nach Ereignissen abgefragt wird. Sie können eine durch Kommas getrennte Liste verwenden oder einen Stern (*) eingeben, um alle Felder aus der Tabelle oder Sicht auszuwählen. Wenn eine durch Kommas getrennte Liste definiert ist, muss die Liste das Feld enthalten, das im Vergleichsfelddefiniert ist. Feld vergleichen Für Oracle Audit Vault Version 10.3lautet der Wert für Vergleichsfeld ALERT_SEQUENCE Für Oracle Audit Vault Version 12.2lautet der Wert für Vergleichsfeld RECORD_ID.
Verwenden Sie vorbereitete Anweisungen Sie müssen die Option Vorbereitete Anweisungen verwenden auswählen. Startdatum und -zeit (optional) Das Anfangsdatum und die Anfangszeit für den JDBC -Abruf. Oracle -Verschlüsselung verwenden Einstellungen fürOracle Encryption and Data Integrity werden auch als Oracle Advanced Securitybezeichnet.
Wenn diese Option ausgewählt ist, muss der Server für Oracle JDBC -Verbindungen ähnliche Oracle -Datenverschlüsselungseinstellungen wie der Client unterstützen.
Weitere Informationen zur Konfiguration von JDBC -Protokollparametern finden Sie unter c_logsource_JDBCprotocol.html.
- Überprüfen Sie, ob QRadar ordnungsgemäß konfiguriert ist.Die folgende Tabelle zeigt ein Beispiel für eine analysierte Prüfereignisnachricht aus Oracle Audit Vault:Wichtig: Fügen Sie aufgrund von Formatierungsproblemen das Nachrichtenformat in einen Texteditor ein und entfernen Sie dann alle Rücklauf-und Zeilenvorschubzeichen.
Tabelle 3. Oracle Audit Vault-Beispielnachricht Ereignisname Untergeordnete Kategorie Beispielprotokollnachricht LOGON-Erfolg 3075 ALERT_SEQUENCE: "25" AV_ALERT_TIME: "2010-01-11 13:02:13.30702" ACTUAL_ALERT_TIME: "2010-01-11 12:19:36.0" TIME_CLEARED: "null" ALERT_NAME: "testing2" TARGET_OWNER: "null" TARGET_OBJECT: "null" ASSOCIATED_OBJECT_OWNER: "null" ASSOCIATED_OBJECT_NAME: "null" ALERT_SEVERITY: "1" CLIENT_HOST: "host.domain.lab" CLIENT_HOSTIP: "<client_host_IP_address>" SOURCE_HOST: "<source_host_IP_address>" SOURCE_HOSTIP: "<source_host_IP_address>" PROCESS#: "3428" OSUSER_NAME: "null" USERNAME: "<os_user_name>" INSTANCE_NAME: "null" INSTANCE_NUMBER: "null" EVENT_STATUS: "0" CONTEXTID: "1561" SUB_CONTEXTID: "null" PARENT_CONTEXTID: "null" SOURCE_NAME: "XE" RECORD_ID: "23960" MSG_NUMBER: "0" CAT_ID: "2" EVENT_ID: "95" MSG_ARG_1: "null" MSG_ARG2: "null" MSG_ARG3: "null" MSG_ARG4: "null" MSG_ARG5: "null"