Oracle Registro di audit RDBMS

Il record di controllo RDBMS di IBM QRadar DSM per Oracle raccoglie i log da un database Oracle .

La seguente tabella descrive le specifiche per l' Oracle RDBMS Audit Record DSM:

Tabella 1. Oracle RDBMS Audit Record DSM specifiche
Specifica	Valore
Produttore	Oracle
Nome DSM	Oracle Registro di audit RDBMS
Nome file RPM	DSM-OracleDbAudit-`QRadar_version-build_number`.noarch.rpm
Versioni supportate	9i, 10g, 11g, 12c (include revisione contabile unificata), 19c
Protocollo	JDBC, Syslog
Formato dell'evento	Nome - Valore Paria
Tipi di eventi registrati	record controllo
Scoperto automaticamente?	Sì
Include l'identità?	Sì
Include proprietà personalizzate?	N
Ulteriori informazioni	Oracle (https://www.oracle.com)

Per integrare Oracle RDBMS Audit Record con QRadar, completare la seguente procedura:

Se gli aggiornamenti automatici non sono abilitati, scaricare e installare la versione più recente dei seguenti RPM dal sito web di supporto IBM® sul vostro QRadar Console:
- Protocollo JDBC RPM
- DSMCommon RPM
- Oracle RDBMS Registro di audit DSM RPM
Configurare il proprio dispositivo Oracle RDBMS Audit Record per scrivere i log di verifica.

Se QRadar non rileva automaticamente l'origine log, aggiungere un'origine log Oracle RDBMS Audit Record su QRadar Console. Le seguenti tabelle descrivono i parametri che richiedono valori specifici per raccogliere gli eventi di audit da Oracle RDBMS Audit Record:

Tabella 2. Oracle RDBMS Audit Record di origine log Syslog
Parametro	Valore
Tipo di origine log	Oracle Registro di audit RDBMS
Configurazione protocollo	Syslog
Identificativo origine log	Digitare un identificativo univoco per l'origine log.

Tabella 3. Oracle RDBMS Audit Record JDBC parametri di origine log
Parametro	Valore
Tipo di origine log	Oracle Registro di audit RDBMS
Configurazione protocollo	JDBC
Identificativo origine log	Digitare un nome per l'origine log. Il nome non può contenere spazi e deve essere univoco tra tutte le origini log del tipo di origine log configurato per utilizzare il protocollo JDBC . Se l'origine log raccoglie gli eventi da un singolo dispositivo che ha un indirizzo IP statico o un nome host, utilizzare l'indirizzo IP o il nome host del dispositivo come valore completo o parte del valore Identificativo origine log ; ad esempio, 192.168.1.1 o JDBC192.168.1.1. Se l'origine log non raccoglie gli eventi da un singolo dispositivo che ha un indirizzo IP statico o un nome host, è possibile utilizzare qualsiasi nome univoco per il valore Identificativo origine log ; ad esempio, JDBC1, JDBC2.
Tipo di database	Oracle
Nome database	Il nome del database da dove si raccolgono i log di verifica.
IP o nome host	Il nome IP o host del database Oracle .
Porta	Inserire la porta JDBC . La porta JDBC deve corrispondere alla porta listener configurata sul database remoto. Il database deve consentire connessioni TCP in entrata. La gamma valida è di 1 - 65535. I valori predefiniti sono: MSDE - 1433 Postgres - 5432 MySQL - 3306 Sybase - 1521 Oracle - 1521 Informix® - 9088 DB2® - 50000 Se un'istanza di database viene utilizzata con il tipo di database MSDE, è necessario lasciare il campo Porta vuoto.
Nome utente	Un account utente per connettersi al database. L'utente deve avere i permessi AUDIT_ADMIN o AUDIT_VIEWER .
Password	La password necessaria per connettersi al database.
Query predefinita	Selezionare una query database predefinita per l'origine log. Se una query predefinita non è disponibile per il tipo di origine log, gli amministratori possono selezionare l'opzione none .
Nome tabella	Il nome della tabella o della vista che include i record di eventi. Il nome della tabella può includere i seguenti caratteri speciali: segno del dollaro ($), segno del numero (#), sottolineatura (_), en dash (-) e periodo (.).
Seleziona elenco	L'elenco dei campi da includere quando la tabella è polling per gli eventi. È possibile utilizzare un elenco separato da virgole o digitare un asterisco (*) per selezionare tutti i campi dalla tabella o dalla vista. Se viene definito un elenco separato da virgola, l'elenco deve contenere il campo definito nel Campo Confronta.
Campo di confronto	Per Oracle 9i o Oracle 10g Release 1, immettere `Qradar_time`. Per Oracle 10g Release 2, Oracle 11go Oracle 12c (controllo non unificato), immettere `extended_timestamp`. Per Oracle 12c (controllo unificato), immettere `event_timestamp`.
Utilizzo Oracle Encryption	Oracle Encryption e impostazioni di Data Integrity è anche noto come Oracle Advanced Security. Se selezionate, le connessioni Oracle JDBC richiedono che il server supporti le impostazioni di Data Encryption di Oracle come il client.

Per ulteriori informazioni sulla configurazione dei parametri JDBC , consultare le opzioni di configurazione del protocollo JDBC.

Verificare che QRadar sia configurato correttamente.

Importante: A causa di formattazione dei problemi, incollare il formato del messaggio in un editor di testo e quindi rimuovere qualsiasi ritorno di trasporto o caratteri di alimentazione di linea.

La seguente tabella mostra un messaggio di evento normalizzato di esempio da Oracle RDBMS Audit Record:

Nome evento Categoria di livello basso Messaggio di log di esempio

SELECT riuscito

Azione di sistema Consenti

Tabella 4. Oracle RDBMS Audit Record di esempio
Nome evento	Categoria di livello basso	Messaggio di log di esempio
SELECT riuscito	Azione di sistema Consenti	OS_USERNAME: "os_username" USERNAME: "username" USERHOST: "userhost" TERMINAL: "terminal" TIMESTAMP: "2017-04-05 21:04:02.0" OWNER: "owner" OBJ_NAME: "PARTIAL_ALERT" ACTION: "3" ACTION_NAME: "SELECT" NEW_OWNER: "null" NEW_NAME: "null" OBJ_PRIVILEGE: "null" SYS_PRIVILEGE: "null" ADMIN_OPTION: "null" GRANTEE: "null" AUDIT_OPTION: "null" SES_ACTIONS: "null" LOGOFF_TIME: "null" LOGOFF_LREAD: "null" LOGOFF_PREAD: "null" LOGOFF_LWRITE: "null" LOGOFF_DLOCK: "null" COMMENT_TEXT: "null" SESSIONID: "xxxxxx" ENTRYID: "2" STATEMENTID: "2" RETURNCODE: "0" PRIV_USED: "null" CLIENT_ID: "null" ECONTEXT_ID: "null" SESSION_CPU: "null" EXTENDED_TIMESTAMP: "2017-04-05 21:04:02.318133 America/Halifax" PROXY_SESSIONID: "null" GLOBAL_UID: "null" INSTANCE_NUMBER: "0" OS_PROCESS: "9276" TRANSACTIONID: "null" SCN: "3842851" SQL_BIND: "null" SQL_TEXT: "null" OBJ_EDITION_NAME: "null" DBID: "xxxxxxxxxx"
AUDIT non riuscito	Modifica configurazione non riuscita
		AUDIT_TYPE: "Standard" SESSIONID: "xxxxxxxxxx" PROXY_SESSIONID: "0" OS_USERNAME: "os_username" USERHOST: "userhost" TERMINAL: "terminal" INSTANCE_ID: "1" DBID: "xxxxxxxxxx" AUTHENTICATION_TYPE: "(TYPE=(DATABASE));" DBUSERNAME: "dbusername" DBPROXY_USERNAME: "null" EXTERNAL_USERID: "null" GLOBAL_USERID: "null" CLIENT_PROGRAM_NAME: "client_program_name" DBLINK_INFO: "null" XS_USER_NAME: "null" XS_SESSIONID: "000000000000000000000000000000000000000000000000000000000000000000" ENTRY_ID: "3" STATEMENT_ID: "11" EVENT_TIMESTAMP: "2017-04-05 20:44:21.29604" ACTION_NAME: "AUDIT" RETURN_CODE: "1031" OS_PROCESS: "1749" TRANSACTION_ID: "0000000000000000" SCN: "3841187" EXECUTION_ID: "null" OBJECT_SCHEMA: "null" OBJECT_NAME: "null" SQL_TEXT: "audit all" SQL_BINDS: "null" APPLICATION_CONTEXTS: "null" CLIENT_IDENTIFIER: "null" NEW_SCHEMA: "null" NEW_NAME: "null" OBJECT_EDITION: "null" SYSTEM_PRIVILEGE_USED: "null" SYSTEM_PRIVILEGE: "null" AUDIT_OPTION: "CREATE SESSION" OBJECT_PRIVILEGES: "null" ROLE: "null" TARGET_USER: "null" EXCLUDED_USER: "null" EXCLUDED_SCHEMA: "null" EXCLUDED_OBJECT: "null" ADDITIONAL_INFO: "null" UNIFIED_AUDIT_POLICIES: "null" FGA_POLICY_NAME: "null" XS_INACTIVITY_TIMEOUT: "0" XS_ENTITY_TYPE: "null" XS_TARGET_PRINCIPAL_NAME: "null" XS_PROXY_USER_NAME: "null" XS_DATASEC_POLICY_NAME: "null" XS_SCHEMA_NAME: "null" XS_CALLBACK_EVENT_TYPE: "null" XS_PACKAGE_NAME: "null" XS_PROCEDURE_NAME: "null" XS_ENABLED_ROLE: "null" XS_COOKIE: "null" XS_NS_NAME: "null" XS_NS_ATTRIBUTE: "null" XS_NS_ATTRIBUTE_OLD_VAL: "null" XS_NS_ATTRIBUTE_NEW_VAL: "null" DV_ACTION_CODE: "0" DV_ACTION_NAME: "null" DV_EXTENDED_ACTION_CODE: "0" DV_GRANTEE: "null" DV_RETURN_CODE: "0" DV_ACTION_OBJECT_NAME: "null" DV_RULE_SET_NAME: "null" DV_COMMENT: "null" DV_FACTOR_CONTEXT: "null" DV_OBJECT_STATUS: "null" OLS_POLICY_NAME: "null" OLS_GRANTEE: "null" OLS_MAX_READ_LABEL: "null" OLS_MAX_WRITE_LABEL: "null" OLS_MIN_WRITE_LABEL: "null" OLS_PRIVILEGES_GRANTED: "null" OLS_PROGRAM_UNIT_NAME: "null" OLS_PRIVILEGES_USED: "null" OLS_STRING_LABEL: "null" OLS_LABEL_COMPONENT_TYPE: "null" OLS_LABEL_COMPONENT_NAME: "null" OLS_PARENT_GROUP_NAME: "null" OLS_OLD_VALUE: "null" OLS_NEW_VALUE: "null" RMAN_SESSION_RECID: "0" RMAN_SESSION_STAMP: "0" RMAN_OPERATION: "null" RMAN_OBJECT_TYPE: "null" RMAN_DEVICE_TYPE: "null" DP_TEXT_PARAMETERS1: "null" DP_BOOLEAN_PARAMETERS1: "null" DIRECT_PATH_NUM_COLUMNS_LOADED: "0"

OS_USERNAME: "os_username" USERNAME: "username" USERHOST: "userhost" TERMINAL: "terminal" TIMESTAMP: "2017-04-05 21:04:02.0" OWNER: "owner" OBJ_NAME: "PARTIAL_ALERT" ACTION: "3" ACTION_NAME: "SELECT" NEW_OWNER: "null" NEW_NAME: "null" OBJ_PRIVILEGE: "null" SYS_PRIVILEGE: "null" ADMIN_OPTION: "null" GRANTEE: "null" AUDIT_OPTION: "null" SES_ACTIONS: "null" LOGOFF_TIME: "null" LOGOFF_LREAD: "null" LOGOFF_PREAD: "null" LOGOFF_LWRITE: "null" LOGOFF_DLOCK: "null" COMMENT_TEXT: "null" SESSIONID: "xxxxxx" ENTRYID: "2" STATEMENTID: "2" RETURNCODE: "0" PRIV_USED: "null" CLIENT_ID: "null" ECONTEXT_ID: "null" SESSION_CPU: "null" EXTENDED_TIMESTAMP: "2017-04-05 21:04:02.318133 America/Halifax" PROXY_SESSIONID: "null" GLOBAL_UID: "null" INSTANCE_NUMBER: "0" OS_PROCESS: "9276" TRANSACTIONID: "null" SCN: "3842851" SQL_BIND: "null" SQL_TEXT: "null" OBJ_EDITION_NAME: "null" DBID: "xxxxxxxxxx"

AUDIT non riuscito

Modifica configurazione non riuscita

AUDIT_TYPE: "Standard" SESSIONID: "xxxxxxxxxx" PROXY_SESSIONID: "0" OS_USERNAME: "os_username" USERHOST: "userhost" TERMINAL: "terminal" INSTANCE_ID: "1" DBID: "xxxxxxxxxx" AUTHENTICATION_TYPE: "(TYPE=(DATABASE));" DBUSERNAME: "dbusername" DBPROXY_USERNAME: "null" EXTERNAL_USERID: "null" GLOBAL_USERID: "null" CLIENT_PROGRAM_NAME: "client_program_name" DBLINK_INFO: "null" XS_USER_NAME: "null" XS_SESSIONID: "000000000000000000000000000000000000000000000000000000000000000000" ENTRY_ID: "3" STATEMENT_ID: "11" EVENT_TIMESTAMP: "2017-04-05 20:44:21.29604" ACTION_NAME: "AUDIT" RETURN_CODE: "1031" OS_PROCESS: "1749" TRANSACTION_ID: "0000000000000000" SCN: "3841187" EXECUTION_ID: "null" OBJECT_SCHEMA: "null" OBJECT_NAME: "null" SQL_TEXT: "audit all" SQL_BINDS: "null" APPLICATION_CONTEXTS: "null" CLIENT_IDENTIFIER: "null" NEW_SCHEMA: "null" NEW_NAME: "null" OBJECT_EDITION: "null" SYSTEM_PRIVILEGE_USED: "null" SYSTEM_PRIVILEGE: "null" AUDIT_OPTION: "CREATE SESSION" OBJECT_PRIVILEGES: "null" ROLE: "null" TARGET_USER: "null" EXCLUDED_USER: "null" EXCLUDED_SCHEMA: "null" EXCLUDED_OBJECT: "null" ADDITIONAL_INFO: "null" UNIFIED_AUDIT_POLICIES: "null" FGA_POLICY_NAME: "null" XS_INACTIVITY_TIMEOUT: "0" XS_ENTITY_TYPE: "null" XS_TARGET_PRINCIPAL_NAME: "null" XS_PROXY_USER_NAME: "null" XS_DATASEC_POLICY_NAME: "null" XS_SCHEMA_NAME: "null" XS_CALLBACK_EVENT_TYPE: "null" XS_PACKAGE_NAME: "null" XS_PROCEDURE_NAME: "null" XS_ENABLED_ROLE: "null" XS_COOKIE: "null" XS_NS_NAME: "null" XS_NS_ATTRIBUTE: "null" XS_NS_ATTRIBUTE_OLD_VAL: "null" XS_NS_ATTRIBUTE_NEW_VAL: "null" DV_ACTION_CODE: "0" DV_ACTION_NAME: "null" DV_EXTENDED_ACTION_CODE: "0" DV_GRANTEE: "null" DV_RETURN_CODE: "0" DV_ACTION_OBJECT_NAME: "null" DV_RULE_SET_NAME: "null" DV_COMMENT: "null" DV_FACTOR_CONTEXT: "null" DV_OBJECT_STATUS: "null" OLS_POLICY_NAME: "null" OLS_GRANTEE: "null" OLS_MAX_READ_LABEL: "null" OLS_MAX_WRITE_LABEL: "null" OLS_MIN_WRITE_LABEL: "null" OLS_PRIVILEGES_GRANTED: "null" OLS_PROGRAM_UNIT_NAME: "null" OLS_PRIVILEGES_USED: "null" OLS_STRING_LABEL: "null" OLS_LABEL_COMPONENT_TYPE: "null" OLS_LABEL_COMPONENT_NAME: "null" OLS_PARENT_GROUP_NAME: "null" OLS_OLD_VALUE: "null" OLS_NEW_VALUE: "null" RMAN_SESSION_RECID: "0" RMAN_SESSION_STAMP: "0" RMAN_OPERATION: "null" RMAN_OBJECT_TYPE: "null" RMAN_DEVICE_TYPE: "null" DP_TEXT_PARAMETERS1: "null" DP_BOOLEAN_PARAMETERS1: "null" DIRECT_PATH_NUM_COLUMNS_LOADED: "0"