Oracle Audit Vault
Oracle Audit Vault 用の IBM QRadar DSM は、 Oracle Audit Vault サーバーからイベントを収集します。
| 仕様 | 値 |
|---|---|
| 製造元 | Oracle |
| DSM 名 | Oracle Audit Vault |
| RPM ファイル名 | DSM-OracleAuditvault-QRadar_version-build_number.noarch.rpm |
| サポートされるバージョン | 10.3 および 12.2 |
| プロトコル | JDBC |
| イベント・フォーマット | 名前と値のペア (NVP) |
| 記録されるイベント・タイプ | AVSYS.AV$ALERT_STORE テーブルのすべての監査レコード (V10.3 の場合)、またはカスタム AVSYS.AV_ALERT_STORE_V ビューからのすべての監査レコード (V12.2 の場合)。 監査レコードの詳細については、QRadar®と通信するためのOracle Audit Vaultの設定を参照してください。 |
| 自動的に検出? | いいえ |
| ID を含む? | いいえ |
| カスタム・プロパティーを含む? | いいえ |
| 詳細情報 | Oracle Web サイト (https://www.oracle.com/index.html) |
- 自動アップデートが有効になっていない場合は、IBM® サポート Web サイトから以下の RPM の最新バージョンをダウンロードし、QRadar
Console にインストールしてください:
- JDBC プロトコル RPM
- DSMCommon RPM
- Oracle Audit Vault DSM RPM
- ご使用の Oracle Audit Vault サーバーのデータベース情報を取得してから、着信 TCP 接続を許可するように Oracle Audit Vault データベースを構成します。
- Oracle Audit Vault のインスタンスごとに、 Oracle Audit Vault ログ・ソースを QRadar Event Collectorに追加します。 以下の表は、Oracle Audit Vault からイベントを収集するために固有の値を必要とするパラメーターについて説明します。
表 2. Oracle Audit Vault JDBC ログ・ソース・パラメーター パラメーター 値 ログ・ソース・タイプ Oracle Audit Vault プロトコル構成 JDBC ログ・ソース ID ログ・ソースの名前を入力します。 名前にスペースを含めることはできません。また、JDBC プロトコルを使用するように構成されているログ・ソース・タイプのすべてのログ・ソースで固有である必要があります。
ログ・ソースが静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからイベントを収集する場合は、「ログ・ソース ID」値のすべて、または一部として、アプライアンスの IP アドレスまたはホスト名を使用します (例: 192.168.1.1 や JDBC192.168.1.1)。 静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからログ・ソースがイベントを収集しない場合は、「ログ・ソース ID」値に任意の固有名を使用できます (例: JDBC1、JDBC2)。
データベース・タイプ Oracle Database Name Oracle Audit Vault データベースの名前。 IP またはホスト名 Oracle Audit Vault サーバーの IP アドレスまたはホスト名。 ポート Oracle Audit Vault データベースが listen しているポート。 Username AV_AUDITOR 許可を持つすべてのユーザー。 例: AVAUDITOR。 パスワード データベース・ユーザーのパスワード。 定義済み照会 なし テーブル名 Oracle Audit Vault バージョン 10.3 の場合、「テーブル名」の値は AVSYS.AV$ALERT_STORE です。
Oracle Audit Vault バージョン 12.2 の場合、「テーブル名」の値は AVSYS.AV_ALERT_STORE_V です。
選択リスト 表をポーリングしてイベントを照会するときに含めるフィールドのリスト。 コンマ区切りのリストを使用できるほか、アスタリスク (*) を入力して、表またはビューにあるすべてのフィールドを選択することができます。 コンマ区切りのリストを定義する場合は、「比較フィールド」で定義したフィールドをリストに含める必要があります。 比較フィールド Oracle Audit Vault バージョン 10.3 の場合、「比較フィールド」の値は ALERT_SEQUENCE です。 Oracle Audit Vault バージョン 12.2 の場合、「比較フィールド」の値は RECORD_ID です。
準備済みステートメントの使用 (Use Prepared Statements) 「準備済みステートメントの使用 (Use Prepared Statements)」オプションを選択する必要があります。 開始日時 (オプション) JDBC 取得の初回日時。 Oracle 暗号化の使用 (Use Oracle Encryption) Oracle の暗号化とデータ整合性の設定 は、Oracle Advanced Security とも呼ばれます。
これを選択した場合、Oracle JDBC 接続では、サーバーが同様の Oracle データ暗号化設定をクライアントとしてサポートすることが必要になります。
JDBC プロトコル・パラメーターの構成について詳しくは、 c_logsource_JDBCprotocol.htmlを参照してください。
- QRadar が正しく構成されていることを確認します。以下の表は、Oracle 監査 Vault からの構文解析された監査イベント・メッセージを示しています。重要: フォーマットの問題のため、メッセージ・フォーマットをテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。
表 3. Oracle Audit Vault サンプル・メッセージ イベント名 下位カテゴリー サンプル・ログ・メッセージ LOGON-success 3075 ALERT_SEQUENCE: "25" AV_ALERT_TIME: "2010-01-11 13:02:13.30702" ACTUAL_ALERT_TIME: "2010-01-11 12:19:36.0" TIME_CLEARED: "null" ALERT_NAME: "testing2" TARGET_OWNER: "null" TARGET_OBJECT: "null" ASSOCIATED_OBJECT_OWNER: "null" ASSOCIATED_OBJECT_NAME: "null" ALERT_SEVERITY: "1" CLIENT_HOST: "host.domain.lab" CLIENT_HOSTIP: "<client_host_IP_address>" SOURCE_HOST: "<source_host_IP_address>" SOURCE_HOSTIP: "<source_host_IP_address>" PROCESS#: "3428" OSUSER_NAME: "null" USERNAME: "<os_user_name>" INSTANCE_NAME: "null" INSTANCE_NUMBER: "null" EVENT_STATUS: "0" CONTEXTID: "1561" SUB_CONTEXTID: "null" PARENT_CONTEXTID: "null" SOURCE_NAME: "XE" RECORD_ID: "23960" MSG_NUMBER: "0" CAT_ID: "2" EVENT_ID: "95" MSG_ARG_1: "null" MSG_ARG2: "null" MSG_ARG3: "null" MSG_ARG4: "null" MSG_ARG5: "null"