Oracle Audit Vault
IBM QRadar DSM for Oracle 감사 저장소는 Oracle 감사 저장소 서버에서 이벤트를 수집합니다.
| 스펙 | 값 |
|---|---|
| 제조업체 | Oracle |
| DSM 이름 | Oracle Audit Vault |
| RPM 파일 이름 | DSM-OracleAuditvault-QRadar_version-build_number.noarch.rpm |
| 지원되는 버전 | 10.3 및 12.2 |
| 프로토콜 | JDBC |
| 이벤트 형식 | 이름-값 쌍 (NVP, name-value pair) |
| 기록되는 이벤트 유형 | V10.3의 경우 AVSYS.AV$ALERT_STORE 테이블의 모든 감사 레코드 또는 V12.2의 경우 사용자 정의 AVSYS.AV_ALERT_STORE_V 보기의 모든 감사 레코드. 감사 기록에 대한 자세한 내용은 Oracle 감사 보관소가 QRadar®와 통신하도록 구성하기를 참조하세요. |
| 자동 감지 여부 | 아니오 |
| ID 포함 여부 | 아니오 |
| 사용자 정의 특성 포함 여부 | 아니오 |
| 자세한 정보 | Oracle 웹 사이트 (https://www.oracle.com/index.html) |
- 자동 업데이트가 활성화되어 있지 않은 경우 IBM® 지원 웹사이트에서 다음 RPM의 최신 버전을 다운로드하여 QRadar
Console에 설치합니다:
- JDBC 프로토콜 RPM
- DSMCommon RPM
- Oracle 감사 저장소 DSM RPM
- Oracle 감사 저장소 서버에 대한 데이터베이스 정보를 확보한 후 수신 TCP 연결을 허용하도록 Oracle 감사 저장소 데이터베이스를 구성하십시오.
- Oracle 감사 저장소의 각 인스턴스에 대해 QRadar Event Collector에 Oracle 감사 저장소 로그 소스를 추가하십시오. 다음 표에서는 Oracle 감사 저장소에서 이벤트를 수집하기 위해 특정 값이 필요한 매개변수에 대해 설명합니다.
표 2. Oracle Audit Vault JDBC 로그 소스 매개변수 매개변수 값 로그 소스 유형 Oracle Audit Vault 프로토콜 구성 JDBC 로그 소스 ID 로그 소스의 이름을 입력하십시오. 이 이름은 공백을 포함할 수 없으며 JDBC 프로토콜을 사용하도록 구성된 로그 소스 유형의 모든 로그 소스에서 고유해야 합니다.
로그 소스가 정적 IP 주소 또는 호스트 이름을 가진 단일 어플라이언스에서 이벤트를 수집하는 경우 어플라이언스의 IP 주소 또는 호스트 이름을 로그 소스 ID 값의 전부 또는 일부로 사용하십시오(예: 192.168.1.1 또는 JDBC192.168.1.1). 로그 소스가 정적 IP 주소 또는 호스트 이름을 가진 단일 어플라이언스에서 이벤트를 수집하지 않는 경우에는 로그 소스 ID 값에 대해 임의의 고유 이름을 사용할 수 있습니다(예: JDBC1, JDBC2).
데이터베이스 유형 Oracle 데이터베이스 이름 Oracle Audit Vault 데이터베이스의 이름입니다. IP 또는 호스트 이름 Oracle Audit Vault 서버의 IP 주소 또는 호스트 이름입니다. 포트 Oracle Audit Vault 데이터베이스가 청취하는 포트입니다. username AV_AUDITOR 권한이 있는 모든 사용자입니다. 예를 들어, AVAUDITOR입니다. 비밀번호 데이터베이스 사용자의 비밀번호입니다. 사전 정의된 조회 없음 테이블 이름 Oracle Audit Vault 버전 10.3의 경우, 테이블 이름 값은 AVSYS.AV$ALERT_STORE입니다.
Oracle Audit Vault 버전 12.2의 경우 테이블 이름 값은 AVSYS.AV_ALERT_STORE_V입니다.
선택 목록 이벤트에 대해 테이블을 폴링할 때 포함할 필드 목록입니다. 쉼표로 구분된 목록을 사용하거나 별표(*)를 입력하여 테이블 또는 보기에서 모든 필드를 선택할 수 있습니다. 쉼표로 구분된 목록이 정의되는 경우 해당 목록에는 비교 필드에서 정의되는 필드가 들어 있어야 합니다. 비교 필드 Oracle Audit Vault 버전 10.3의 경우, 비교 필드 값은 ALERT_SEQUENCE 입니다. Oracle Audit Vault 버전 12.2의 경우 비교 필드 값은 RECORD_ID입니다.
준비된 명령문 사용 준비된 명령문 사용 옵션을 선택해야 합니다. 시작 날짜 및 시간 (선택사항) JDBC 검색의 초기 날짜 및 시간입니다. Oracle 암호화 사용 Oracle 암호화 및 데이터 무결성 설정은 Oracle 고급 보안으로도 알려져 있습니다.
선택된 경우 Oracle JDBC 연결을 사용하려면 서버에서 클라이언트와 유사한 Oracle 데이터 암호화 설정을 지원해야 합니다.
JDBC 프로토콜 매개변수 구성에 대한 자세한 정보는 c_logsource_JDBCprotocol.html을 참조하십시오.
- QRadar 가 올바르게 구성되었는지 확인하십시오.다음 표는 Oracle 감사 저장소의 샘플 구문 분석된 감사 이벤트 메시지를 표시합니다.중요: 형식화 문제로 인해 메시지 형식을 텍스트 편집기에 붙여넣은 후 캐리지 리턴 또는 줄 바꾸기 문자를 제거하십시오.
표 3. Oracle Audit Vault 샘플 메시지 이벤트 이름 하위 레벨 카테고리 샘플 로그 메시지 로그온-성공 3075 ALERT_SEQUENCE: "25" AV_ALERT_TIME: "2010-01-11 13:02:13.30702" ACTUAL_ALERT_TIME: "2010-01-11 12:19:36.0" TIME_CLEARED: "null" ALERT_NAME: "testing2" TARGET_OWNER: "null" TARGET_OBJECT: "null" ASSOCIATED_OBJECT_OWNER: "null" ASSOCIATED_OBJECT_NAME: "null" ALERT_SEVERITY: "1" CLIENT_HOST: "host.domain.lab" CLIENT_HOSTIP: "<client_host_IP_address>" SOURCE_HOST: "<source_host_IP_address>" SOURCE_HOSTIP: "<source_host_IP_address>" PROCESS#: "3428" OSUSER_NAME: "null" USERNAME: "<os_user_name>" INSTANCE_NAME: "null" INSTANCE_NUMBER: "null" EVENT_STATUS: "0" CONTEXTID: "1561" SUB_CONTEXTID: "null" PARENT_CONTEXTID: "null" SOURCE_NAME: "XE" RECORD_ID: "23960" MSG_NUMBER: "0" CAT_ID: "2" EVENT_ID: "95" MSG_ARG_1: "null" MSG_ARG2: "null" MSG_ARG3: "null" MSG_ARG4: "null" MSG_ARG5: "null"