Rekord kontroli systemu RDBMS Oracle

Rekord kontroli systemu RDBMS dla produktu IBM® QRadar® DSM dla Oracle gromadzi dzienniki z bazy danych Oracle .

W poniższej tabeli opisano specyfikacje dla produktu Oracle RDBMS Audit Record DSM:

Tabela 1. Oracle RDBMS Audit Record DSM specyfikacje
Specyfikacja	Wartość
Producent	Oracle
Nazwa DSM	Rekord kontroli systemu RDBMS Oracle
Nazwa pliku RPM	DSM-OracleDbAudit-`QRadar_version-build_number`.noarch.rpm
obsługiwane wersje	9i, 10g, 11g, 12c (obejmuje zunifikowaną kontrolę)
Protokół	JDBC, Syslog
Format zdarzenia	Nazwa-para wartości
Zarejestrowane typy zdarzeń	Rekordy kontroli
Czy został automatycznie wykryty?	Tak
Czy zawiera tożsamość?	Tak
Zawiera właściwości niestandardowe?	Nie
Więcej informacji	Serwis WWW Oracle (https://www.oracle.com)

Aby zintegrować rekord kontroli systemu RDBMS Oracle z produktem QRadar, wykonaj następujące kroki:

Jeśli aktualizacje automatyczne nie są włączone, należy pobrać i zainstalować najnowszą wersję następujących pakietów RPM z serwisu WWW działu wsparciaIBM na QRadar Console:
- Protokół JDBC protokołu RPM
- DSMCommon RPM
- Oracle RDBMS Audit Record DSM RPM
Skonfiguruj urządzenie Oracle RDBMS Audit Record, aby zapisywać dzienniki kontroli.

Jeśli produkt QRadar nie wykryje automatycznie źródła dziennika, dodaj źródło dziennika rekordu kontroli systemu RDBMS Oracle w konsoli produktu QRadar . W poniższych tabelach opisano parametry, które wymagają konkretnych wartości do gromadzenia zdarzeń kontrolowanych z rekordu kontroli systemu RDBMS Oracle :

Tabela 2. Oracle RDBMS Audit Record Syslog log source parameters
Parametr	Wartość
Typ źródła dziennika	Rekord kontroli systemu RDBMS Oracle
Konfiguracja protokołu	Syslog
Identyfikator źródła dziennika	Wpisz unikalny identyfikator źródła dziennika.

Tabela 3. Parametry źródła dziennika JDBC rekordu kontroli systemu RDBMS Oracle
Parametr	Wartość
Typ źródła dziennika	Rekord kontroli systemu RDBMSOracle
Konfiguracja protokołu	JDBC
Identyfikator źródła dziennika	Wpisz nazwę źródła dziennika. Nazwa nie może zawierać spacji i musi być unikalna wśród wszystkich źródeł dzienników typu źródła dziennika, które skonfigurowano do używania protokołu JDBC . Jeśli źródło dziennika gromadzi zdarzenia z pojedynczego urządzenia, które ma statyczny adres IP lub nazwę hosta, należy użyć adresu IP lub nazwy hosta urządzenia jako całości lub części wartości Identyfikator źródła dziennika , na przykład 192.168.1.1 lub JDBC192.168.1.1. Jeśli źródło dziennika nie gromadzi zdarzeń z pojedynczego urządzenia, które ma statyczny adres IP lub nazwę hosta, można użyć dowolnej unikalnej nazwy dla wartości Identyfikator źródła dziennika , na przykład: JDBC1, JDBC2.
Typ bazy danych	Oracle
Nazwa bazy danych	Nazwa bazy danych, z której gromadzone są dzienniki kontroli.
IP lub nazwa hosta	Adres IP lub nazwa hosta bazy danych Oracle .
Port	Wprowadź port JDBC . Port JDBC musi być zgodny z portem nasłuchiwania, który jest skonfigurowany w zdalnej bazie danych. Baza danych musi zezwalać na przychodzące połączenia TCP. Poprawny zakres to liczby z zakresu od 1 do 65535. Wartości domyślne to: MSDE-1433 Postgres -5432 MySQL -3306 Sybase -1521 Oracle -1521 Informix® -9088 DB2® -50000 Jeśli instancja bazy danych jest używana z typem bazy danych MSDE, należy pozostawić pole Port puste.
Nazwa użytkownika	Konto użytkownika służące do nawiązywania połączenia z bazą danych. Użytkownik musi mieć uprawnienia AUDIT_ADMIN lub AUDIT_VIEWER .
Hasło	Hasło, które jest wymagane do nawiązania połączenia z bazą danych.
Predefiniowane zapytanie	Wybierz predefiniowane zapytanie do bazy danych dla źródła dziennika. Jeśli predefiniowane zapytanie nie jest dostępne dla typu źródła dziennika, administratorzy mogą wybrać opcję none (brak).
Nazwa tabeli	Nazwa tabeli lub widoku, która zawiera rekordy zdarzeń. Nazwa tabeli może zawierać następujące znaki specjalne: znak dolara ($), numer znaku (#), znak podkreślenia (_), znak myślnika (-) i kropka (.).
Wybierz listę	Lista pól, które mają zostać uwzględnione podczas odpytywania tabeli o zdarzenia. Można użyć listy rozdzielanej przecinkami lub wpisać gwiazdkę (*), aby wybrać wszystkie pola z tabeli lub widoku. Jeśli zdefiniowana jest lista rozdzielana przecinkami, lista musi zawierać pole zdefiniowane w polu Porównaj pole.
Porównaj pole	W przypadku bazy danych Oracle 9i lub Oracle 10g , wydanie 1, wpisz `Qradar_time`. W przypadku bazy danych Oracle 10g , wydanie 2, Oracle 11glub Oracle 12c (bez ujednoliconej kontroli), wpisz `extended_timestamp`. W przypadku bazy danych Oracle 12c (ujednolicona kontrola) wpisz `event_timestamp`.
Użyj szyfrowania Oracle	Ustawienia szyfrowania i integralności danych produktu Oracle jest również znany jako Oracle Zaawansowane zabezpieczenia. Jeśli ta opcja jest zaznaczona, połączenia Oracle JDBC wymagają, aby serwer obsługiwał podobne ustawienia szyfrowania danych produktu Oracle , co klient.

Więcej informacji na temat konfigurowania parametrów JDBC można znaleźć w sekcji Opcje konfiguracji protokołuJDBC.

Sprawdź, czy produkt QRadar jest poprawnie skonfigurowany.

Ważne: W związku z formatowaniem należy wkleić format komunikatu do edytora tekstu, a następnie usunąć znaki powrotu karetki lub znaki nowego wiersza.

W poniższej tabeli przedstawiono przykładowy znormalizowany komunikat zdarzenia z rekordu kontroli systemu RDBMS Oracle :

Nazwa zdarzenia Kategoria niskiego poziomu Przykładowy komunikat dziennika

SELECT powiodło się

Zezwolenie na działanie systemu

Tabela 4. Przykładowy komunikat programu Oracle RDBMS Audit Record
Nazwa zdarzenia	Kategoria niskiego poziomu	Przykładowy komunikat dziennika
SELECT powiodło się	Zezwolenie na działanie systemu	OS_USERNAME: "os_username" USERNAME: "username" USERHOST: "userhost" TERMINAL: "terminal" TIMESTAMP: "2017-04-05 21:04:02.0" OWNER: "owner" OBJ_NAME: "PARTIAL_ALERT" ACTION: "3" ACTION_NAME: "SELECT" NEW_OWNER: "null" NEW_NAME: "null" OBJ_PRIVILEGE: "null" SYS_PRIVILEGE: "null" ADMIN_OPTION: "null" GRANTEE: "null" AUDIT_OPTION: "null" SES_ACTIONS: "null" LOGOFF_TIME: "null" LOGOFF_LREAD: "null" LOGOFF_PREAD: "null" LOGOFF_LWRITE: "null" LOGOFF_DLOCK: "null" COMMENT_TEXT: "null" SESSIONID: "xxxxxx" ENTRYID: "2" STATEMENTID: "2" RETURNCODE: "0" PRIV_USED: "null" CLIENT_ID: "null" ECONTEXT_ID: "null" SESSION_CPU: "null" EXTENDED_TIMESTAMP: "2017-04-05 21:04:02.318133 America/Halifax" PROXY_SESSIONID: "null" GLOBAL_UID: "null" INSTANCE_NUMBER: "0" OS_PROCESS: "9276" TRANSACTIONID: "null" SCN: "3842851" SQL_BIND: "null" SQL_TEXT: "null" OBJ_EDITION_NAME: "null" DBID: "xxxxxxxxxx"
Niepowodzenie AUDIT	Niepowodzenie modyfikacji konfiguracji
		AUDIT_TYPE: "Standard" SESSIONID: "xxxxxxxxxx" PROXY_SESSIONID: "0" OS_USERNAME: "os_username" USERHOST: "userhost" TERMINAL: "terminal" INSTANCE_ID: "1" DBID: "xxxxxxxxxx" AUTHENTICATION_TYPE: "(TYPE=(DATABASE));" DBUSERNAME: "dbusername" DBPROXY_USERNAME: "null" EXTERNAL_USERID: "null" GLOBAL_USERID: "null" CLIENT_PROGRAM_NAME: "client_program_name" DBLINK_INFO: "null" XS_USER_NAME: "null" XS_SESSIONID: "000000000000000000000000000000000000000000000000000000000000000000" ENTRY_ID: "3" STATEMENT_ID: "11" EVENT_TIMESTAMP: "2017-04-05 20:44:21.29604" ACTION_NAME: "AUDIT" RETURN_CODE: "1031" OS_PROCESS: "1749" TRANSACTION_ID: "0000000000000000" SCN: "3841187" EXECUTION_ID: "null" OBJECT_SCHEMA: "null" OBJECT_NAME: "null" SQL_TEXT: "audit all" SQL_BINDS: "null" APPLICATION_CONTEXTS: "null" CLIENT_IDENTIFIER: "null" NEW_SCHEMA: "null" NEW_NAME: "null" OBJECT_EDITION: "null" SYSTEM_PRIVILEGE_USED: "null" SYSTEM_PRIVILEGE: "null" AUDIT_OPTION: "CREATE SESSION" OBJECT_PRIVILEGES: "null" ROLE: "null" TARGET_USER: "null" EXCLUDED_USER: "null" EXCLUDED_SCHEMA: "null" EXCLUDED_OBJECT: "null" ADDITIONAL_INFO: "null" UNIFIED_AUDIT_POLICIES: "null" FGA_POLICY_NAME: "null" XS_INACTIVITY_TIMEOUT: "0" XS_ENTITY_TYPE: "null" XS_TARGET_PRINCIPAL_NAME: "null" XS_PROXY_USER_NAME: "null" XS_DATASEC_POLICY_NAME: "null" XS_SCHEMA_NAME: "null" XS_CALLBACK_EVENT_TYPE: "null" XS_PACKAGE_NAME: "null" XS_PROCEDURE_NAME: "null" XS_ENABLED_ROLE: "null" XS_COOKIE: "null" XS_NS_NAME: "null" XS_NS_ATTRIBUTE: "null" XS_NS_ATTRIBUTE_OLD_VAL: "null" XS_NS_ATTRIBUTE_NEW_VAL: "null" DV_ACTION_CODE: "0" DV_ACTION_NAME: "null" DV_EXTENDED_ACTION_CODE: "0" DV_GRANTEE: "null" DV_RETURN_CODE: "0" DV_ACTION_OBJECT_NAME: "null" DV_RULE_SET_NAME: "null" DV_COMMENT: "null" DV_FACTOR_CONTEXT: "null" DV_OBJECT_STATUS: "null" OLS_POLICY_NAME: "null" OLS_GRANTEE: "null" OLS_MAX_READ_LABEL: "null" OLS_MAX_WRITE_LABEL: "null" OLS_MIN_WRITE_LABEL: "null" OLS_PRIVILEGES_GRANTED: "null" OLS_PROGRAM_UNIT_NAME: "null" OLS_PRIVILEGES_USED: "null" OLS_STRING_LABEL: "null" OLS_LABEL_COMPONENT_TYPE: "null" OLS_LABEL_COMPONENT_NAME: "null" OLS_PARENT_GROUP_NAME: "null" OLS_OLD_VALUE: "null" OLS_NEW_VALUE: "null" RMAN_SESSION_RECID: "0" RMAN_SESSION_STAMP: "0" RMAN_OPERATION: "null" RMAN_OBJECT_TYPE: "null" RMAN_DEVICE_TYPE: "null" DP_TEXT_PARAMETERS1: "null" DP_BOOLEAN_PARAMETERS1: "null" DIRECT_PATH_NUM_COLUMNS_LOADED: "0"

OS_USERNAME: "os_username" USERNAME: "username" USERHOST: "userhost" TERMINAL: "terminal" TIMESTAMP: "2017-04-05 21:04:02.0" OWNER: "owner" OBJ_NAME: "PARTIAL_ALERT" ACTION: "3" ACTION_NAME: "SELECT" NEW_OWNER: "null" NEW_NAME: "null" OBJ_PRIVILEGE: "null" SYS_PRIVILEGE: "null" ADMIN_OPTION: "null" GRANTEE: "null" AUDIT_OPTION: "null" SES_ACTIONS: "null" LOGOFF_TIME: "null" LOGOFF_LREAD: "null" LOGOFF_PREAD: "null" LOGOFF_LWRITE: "null" LOGOFF_DLOCK: "null" COMMENT_TEXT: "null" SESSIONID: "xxxxxx" ENTRYID: "2" STATEMENTID: "2" RETURNCODE: "0" PRIV_USED: "null" CLIENT_ID: "null" ECONTEXT_ID: "null" SESSION_CPU: "null" EXTENDED_TIMESTAMP: "2017-04-05 21:04:02.318133 America/Halifax" PROXY_SESSIONID: "null" GLOBAL_UID: "null" INSTANCE_NUMBER: "0" OS_PROCESS: "9276" TRANSACTIONID: "null" SCN: "3842851" SQL_BIND: "null" SQL_TEXT: "null" OBJ_EDITION_NAME: "null" DBID: "xxxxxxxxxx"

Niepowodzenie AUDIT

Niepowodzenie modyfikacji konfiguracji

AUDIT_TYPE: "Standard" SESSIONID: "xxxxxxxxxx" PROXY_SESSIONID: "0" OS_USERNAME: "os_username" USERHOST: "userhost" TERMINAL: "terminal" INSTANCE_ID: "1" DBID: "xxxxxxxxxx" AUTHENTICATION_TYPE: "(TYPE=(DATABASE));" DBUSERNAME: "dbusername" DBPROXY_USERNAME: "null" EXTERNAL_USERID: "null" GLOBAL_USERID: "null" CLIENT_PROGRAM_NAME: "client_program_name" DBLINK_INFO: "null" XS_USER_NAME: "null" XS_SESSIONID: "000000000000000000000000000000000000000000000000000000000000000000" ENTRY_ID: "3" STATEMENT_ID: "11" EVENT_TIMESTAMP: "2017-04-05 20:44:21.29604" ACTION_NAME: "AUDIT" RETURN_CODE: "1031" OS_PROCESS: "1749" TRANSACTION_ID: "0000000000000000" SCN: "3841187" EXECUTION_ID: "null" OBJECT_SCHEMA: "null" OBJECT_NAME: "null" SQL_TEXT: "audit all" SQL_BINDS: "null" APPLICATION_CONTEXTS: "null" CLIENT_IDENTIFIER: "null" NEW_SCHEMA: "null" NEW_NAME: "null" OBJECT_EDITION: "null" SYSTEM_PRIVILEGE_USED: "null" SYSTEM_PRIVILEGE: "null" AUDIT_OPTION: "CREATE SESSION" OBJECT_PRIVILEGES: "null" ROLE: "null" TARGET_USER: "null" EXCLUDED_USER: "null" EXCLUDED_SCHEMA: "null" EXCLUDED_OBJECT: "null" ADDITIONAL_INFO: "null" UNIFIED_AUDIT_POLICIES: "null" FGA_POLICY_NAME: "null" XS_INACTIVITY_TIMEOUT: "0" XS_ENTITY_TYPE: "null" XS_TARGET_PRINCIPAL_NAME: "null" XS_PROXY_USER_NAME: "null" XS_DATASEC_POLICY_NAME: "null" XS_SCHEMA_NAME: "null" XS_CALLBACK_EVENT_TYPE: "null" XS_PACKAGE_NAME: "null" XS_PROCEDURE_NAME: "null" XS_ENABLED_ROLE: "null" XS_COOKIE: "null" XS_NS_NAME: "null" XS_NS_ATTRIBUTE: "null" XS_NS_ATTRIBUTE_OLD_VAL: "null" XS_NS_ATTRIBUTE_NEW_VAL: "null" DV_ACTION_CODE: "0" DV_ACTION_NAME: "null" DV_EXTENDED_ACTION_CODE: "0" DV_GRANTEE: "null" DV_RETURN_CODE: "0" DV_ACTION_OBJECT_NAME: "null" DV_RULE_SET_NAME: "null" DV_COMMENT: "null" DV_FACTOR_CONTEXT: "null" DV_OBJECT_STATUS: "null" OLS_POLICY_NAME: "null" OLS_GRANTEE: "null" OLS_MAX_READ_LABEL: "null" OLS_MAX_WRITE_LABEL: "null" OLS_MIN_WRITE_LABEL: "null" OLS_PRIVILEGES_GRANTED: "null" OLS_PROGRAM_UNIT_NAME: "null" OLS_PRIVILEGES_USED: "null" OLS_STRING_LABEL: "null" OLS_LABEL_COMPONENT_TYPE: "null" OLS_LABEL_COMPONENT_NAME: "null" OLS_PARENT_GROUP_NAME: "null" OLS_OLD_VALUE: "null" OLS_NEW_VALUE: "null" RMAN_SESSION_RECID: "0" RMAN_SESSION_STAMP: "0" RMAN_OPERATION: "null" RMAN_OBJECT_TYPE: "null" RMAN_DEVICE_TYPE: "null" DP_TEXT_PARAMETERS1: "null" DP_BOOLEAN_PARAMETERS1: "null" DIRECT_PATH_NUM_COLUMNS_LOADED: "0"