Registro de Auditoria RDBMS Oracle

O DSM IBM QRadar para o Oracle RDBMS Audit Record coleta logs de um banco de dados Oracle .

A tabela a seguir descreve as especificações para o DSM do Oracle RDBMS Audit Record:

Tabela 1. Especificações do DSM do Oracle RDBMS Audit Record
Especificação	Valor
Fabricante	Oracle
Nome do DSM	Registro de Auditoria RDBMS Oracle
Nome do arquivo RPM	DSM-OracleDbAudit-`QRadar_version-build_number`.noarch.rpm
Versões Suportadas	9i, 10g, 11g, 12c (inclui auditoria unificada), 19c
Protocolo	JDBC, Syslog
Formato de evento	Par nome-valor
Tipos de eventos registrados	Registros de Auditoria
Descobertos automaticamente?	Sim
Inclui identidade?	Sim
Inclui propriedades customizadas?	Não
Informações adicionais	website doOracle (https://www.oracle.com)

Para integrar o Oracle RDBMS Audit Record com o QRadar, conclua as etapas a seguir:

Se as atualizações automáticas não estiverem ativadas, baixe e instale a versão mais recente dos seguintes RPMs do IBM® em seu QRadar Console:
- RPM do protocolo JDBC
- RPM DSMCommon
- RPM do DSM do Oracle RDBMS Audit Record
Configure seu dispositivo Oracle RDBMS Audit Record para gravar logs de auditoria.

Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Oracle RDBMS Audit Record no QRadar Console. As tabelas a seguir descrevem os parâmetros que requerem valores específicos para coletar eventos de auditoria do Oracle RDBMS Audit Record:

Tabela 2. Parâmetros de origem de log do Syslog do Oracle RDBMS Audit Record
Parâmetro	Valor
Tipo de origem de log	Registro de Auditoria RDBMS Oracle
Configuração de protocolo	Syslog
Identificador de Fonte de Log	Digite um identificador exclusivo para a origem de log.

Tabela 3. Parâmetros de origem de log JDBC do Oracle RDBMS Audit Record
Parâmetro	Valor
Tipo de origem de log	Registro de Auditoria RDBMS Oracle
Configuração de protocolo	JDBC
Identificador de Fonte de Log	Digite um nome para a origem de log. O nome não pode conter espaços e deve ser exclusivo entre todas as origens de log do tipo de origem de log configurado para usar o protocolo JDBC. Se a origem de log coletar eventos de um único dispositivo que tenha um endereço IP estático ou um nome de host, use o endereço IP ou o nome de host do dispositivo como todo ou parte do valor Identificador de origem de log, por exemplo, 192.168.1.1 ou JDBC192.168.1.1. Se a origem de log não coletar eventos de um único dispositivo que tenha um endereço IP estático ou um nome de host, será possível usar qualquer nome exclusivo para o valor Identificador de origem de log, por exemplo, JDBC1 ou JDBC2.
Tipo do Banco de Dados	Oracle
Nome do Banco de Dados	O nome do banco de dados do qual os logs de auditoria serão coletados.
IP ou Nome do Host	O IP ou o nome do host do banco de dados Oracle.
Porta	Insira a porta JDBC. A porta JDBC deve corresponder à porta do listener que está configurada no banco de dados remoto. O banco de dados deve permitir conexões TCP recebidas. O intervalo válido é de 1 a 65535. Os padrões são: MSDE - 1433 Postgres - 5432 MySQL - 3306 Sybase - 1521 Oracle - 1521 Informix® -9088 DB2® -50000 Se uma instância de banco de dados for usada com o tipo de banco de dados MSDE, deve-se deixar o campo Porta em branco.
Nome de usuário	Uma conta do usuário para se conectar ao banco de dados. O usuário deve ter permissões AUDIT_ADMIN ou AUDIT_VIEWER .
Senha	A senha que é necessária para se conectar ao banco de dados.
Consulta Predefinida	Selecione uma consulta de banco de dados predefinido para a origem do log. Se uma consulta predefinida não estiver disponível para o tipo de origem de log, os administradores poderão selecionar a opção none.
Nome da tabela	O nome da tabela ou visualização que incluem os registros de eventos. O nome da tabela pode incluir os seguintes caracteres especiais: cifrão ($), cerquilha (#), sublinhado (_), hífen (-) e ponto (.).
Selecionar Lista	A lista de campos a serem incluídos quando a tabela for pesquisada em busca de eventos. É possível usar uma lista separada por vírgulas ou digitar um asterisco (*) para selecionar todos os campos da tabela ou visualização. Se uma lista separada por vírgulas for definida, a lista deverá conter o campo que está definido em Comparar Campo.
Comparar Campo	Para Oracle 9i ou Oracle 10g Release 1, digite `Qradar_time`. Para o Oracle 10g liberação 2, o Oracle 11g ou o Oracle 12c (auditoria não unificada), digite `extended_timestamp`. Para o Oracle 12c (auditoria unificada), digite `event_timestamp`.
Usar criptografia do Oracle	Configurações de criptografia e integridade de dados do Oracle também é conhecido como Oracle Advanced Security. Se selecionadas, as conexões JDBC do Oracle irão requerer que o servidor suporte configurações de Criptografia de dados do Oracle semelhantes às do cliente.

Para obter mais informações sobre a configuração de parâmetros JDBC , consulte JDBC opções de configuração de protocolo.

Verifique se o QRadar está configurado corretamente

Importante: Devido a questões de formatação, cole o formato de mensagem em um editor de texto e, em seguida, remova qualquer retorno de carro ou caracteres de alimentação de linha.

A tabela a seguir mostra uma mensagem de evento de amostra normalizado do Oracle RDBMS Audit Record:

Nome do evento Categoria de baixo Nível Mensagem de log de amostra

SELECT com sucesso

Permissão de Ação do Sistema

Tabela 4. Mensagem de amostra do Oracle RDBMS Audit Record
Nome do evento	Categoria de baixo Nível	Mensagem de log de amostra
SELECT com sucesso	Permissão de Ação do Sistema	OS_USERNAME: "os_username" USERNAME: "username" USERHOST: "userhost" TERMINAL: "terminal" TIMESTAMP: "2017-04-05 21:04:02.0" OWNER: "owner" OBJ_NAME: "PARTIAL_ALERT" ACTION: "3" ACTION_NAME: "SELECT" NEW_OWNER: "null" NEW_NAME: "null" OBJ_PRIVILEGE: "null" SYS_PRIVILEGE: "null" ADMIN_OPTION: "null" GRANTEE: "null" AUDIT_OPTION: "null" SES_ACTIONS: "null" LOGOFF_TIME: "null" LOGOFF_LREAD: "null" LOGOFF_PREAD: "null" LOGOFF_LWRITE: "null" LOGOFF_DLOCK: "null" COMMENT_TEXT: "null" SESSIONID: "xxxxxx" ENTRYID: "2" STATEMENTID: "2" RETURNCODE: "0" PRIV_USED: "null" CLIENT_ID: "null" ECONTEXT_ID: "null" SESSION_CPU: "null" EXTENDED_TIMESTAMP: "2017-04-05 21:04:02.318133 America/Halifax" PROXY_SESSIONID: "null" GLOBAL_UID: "null" INSTANCE_NUMBER: "0" OS_PROCESS: "9276" TRANSACTIONID: "null" SCN: "3842851" SQL_BIND: "null" SQL_TEXT: "null" OBJ_EDITION_NAME: "null" DBID: "xxxxxxxxxx"
AUDIT com falha	Modificação de Configuração com Falha
		AUDIT_TYPE: "Standard" SESSIONID: "xxxxxxxxxx" PROXY_SESSIONID: "0" OS_USERNAME: "os_username" USERHOST: "userhost" TERMINAL: "terminal" INSTANCE_ID: "1" DBID: "xxxxxxxxxx" AUTHENTICATION_TYPE: "(TYPE=(DATABASE));" DBUSERNAME: "dbusername" DBPROXY_USERNAME: "null" EXTERNAL_USERID: "null" GLOBAL_USERID: "null" CLIENT_PROGRAM_NAME: "client_program_name" DBLINK_INFO: "null" XS_USER_NAME: "null" XS_SESSIONID: "000000000000000000000000000000000000000000000000000000000000000000" ENTRY_ID: "3" STATEMENT_ID: "11" EVENT_TIMESTAMP: "2017-04-05 20:44:21.29604" ACTION_NAME: "AUDIT" RETURN_CODE: "1031" OS_PROCESS: "1749" TRANSACTION_ID: "0000000000000000" SCN: "3841187" EXECUTION_ID: "null" OBJECT_SCHEMA: "null" OBJECT_NAME: "null" SQL_TEXT: "audit all" SQL_BINDS: "null" APPLICATION_CONTEXTS: "null" CLIENT_IDENTIFIER: "null" NEW_SCHEMA: "null" NEW_NAME: "null" OBJECT_EDITION: "null" SYSTEM_PRIVILEGE_USED: "null" SYSTEM_PRIVILEGE: "null" AUDIT_OPTION: "CREATE SESSION" OBJECT_PRIVILEGES: "null" ROLE: "null" TARGET_USER: "null" EXCLUDED_USER: "null" EXCLUDED_SCHEMA: "null" EXCLUDED_OBJECT: "null" ADDITIONAL_INFO: "null" UNIFIED_AUDIT_POLICIES: "null" FGA_POLICY_NAME: "null" XS_INACTIVITY_TIMEOUT: "0" XS_ENTITY_TYPE: "null" XS_TARGET_PRINCIPAL_NAME: "null" XS_PROXY_USER_NAME: "null" XS_DATASEC_POLICY_NAME: "null" XS_SCHEMA_NAME: "null" XS_CALLBACK_EVENT_TYPE: "null" XS_PACKAGE_NAME: "null" XS_PROCEDURE_NAME: "null" XS_ENABLED_ROLE: "null" XS_COOKIE: "null" XS_NS_NAME: "null" XS_NS_ATTRIBUTE: "null" XS_NS_ATTRIBUTE_OLD_VAL: "null" XS_NS_ATTRIBUTE_NEW_VAL: "null" DV_ACTION_CODE: "0" DV_ACTION_NAME: "null" DV_EXTENDED_ACTION_CODE: "0" DV_GRANTEE: "null" DV_RETURN_CODE: "0" DV_ACTION_OBJECT_NAME: "null" DV_RULE_SET_NAME: "null" DV_COMMENT: "null" DV_FACTOR_CONTEXT: "null" DV_OBJECT_STATUS: "null" OLS_POLICY_NAME: "null" OLS_GRANTEE: "null" OLS_MAX_READ_LABEL: "null" OLS_MAX_WRITE_LABEL: "null" OLS_MIN_WRITE_LABEL: "null" OLS_PRIVILEGES_GRANTED: "null" OLS_PROGRAM_UNIT_NAME: "null" OLS_PRIVILEGES_USED: "null" OLS_STRING_LABEL: "null" OLS_LABEL_COMPONENT_TYPE: "null" OLS_LABEL_COMPONENT_NAME: "null" OLS_PARENT_GROUP_NAME: "null" OLS_OLD_VALUE: "null" OLS_NEW_VALUE: "null" RMAN_SESSION_RECID: "0" RMAN_SESSION_STAMP: "0" RMAN_OPERATION: "null" RMAN_OBJECT_TYPE: "null" RMAN_DEVICE_TYPE: "null" DP_TEXT_PARAMETERS1: "null" DP_BOOLEAN_PARAMETERS1: "null" DIRECT_PATH_NUM_COLUMNS_LOADED: "0"

OS_USERNAME: "os_username" USERNAME: "username" USERHOST: "userhost" TERMINAL: "terminal" TIMESTAMP: "2017-04-05 21:04:02.0" OWNER: "owner" OBJ_NAME: "PARTIAL_ALERT" ACTION: "3" ACTION_NAME: "SELECT" NEW_OWNER: "null" NEW_NAME: "null" OBJ_PRIVILEGE: "null" SYS_PRIVILEGE: "null" ADMIN_OPTION: "null" GRANTEE: "null" AUDIT_OPTION: "null" SES_ACTIONS: "null" LOGOFF_TIME: "null" LOGOFF_LREAD: "null" LOGOFF_PREAD: "null" LOGOFF_LWRITE: "null" LOGOFF_DLOCK: "null" COMMENT_TEXT: "null" SESSIONID: "xxxxxx" ENTRYID: "2" STATEMENTID: "2" RETURNCODE: "0" PRIV_USED: "null" CLIENT_ID: "null" ECONTEXT_ID: "null" SESSION_CPU: "null" EXTENDED_TIMESTAMP: "2017-04-05 21:04:02.318133 America/Halifax" PROXY_SESSIONID: "null" GLOBAL_UID: "null" INSTANCE_NUMBER: "0" OS_PROCESS: "9276" TRANSACTIONID: "null" SCN: "3842851" SQL_BIND: "null" SQL_TEXT: "null" OBJ_EDITION_NAME: "null" DBID: "xxxxxxxxxx"

AUDIT com falha

Modificação de Configuração com Falha

AUDIT_TYPE: "Standard" SESSIONID: "xxxxxxxxxx" PROXY_SESSIONID: "0" OS_USERNAME: "os_username" USERHOST: "userhost" TERMINAL: "terminal" INSTANCE_ID: "1" DBID: "xxxxxxxxxx" AUTHENTICATION_TYPE: "(TYPE=(DATABASE));" DBUSERNAME: "dbusername" DBPROXY_USERNAME: "null" EXTERNAL_USERID: "null" GLOBAL_USERID: "null" CLIENT_PROGRAM_NAME: "client_program_name" DBLINK_INFO: "null" XS_USER_NAME: "null" XS_SESSIONID: "000000000000000000000000000000000000000000000000000000000000000000" ENTRY_ID: "3" STATEMENT_ID: "11" EVENT_TIMESTAMP: "2017-04-05 20:44:21.29604" ACTION_NAME: "AUDIT" RETURN_CODE: "1031" OS_PROCESS: "1749" TRANSACTION_ID: "0000000000000000" SCN: "3841187" EXECUTION_ID: "null" OBJECT_SCHEMA: "null" OBJECT_NAME: "null" SQL_TEXT: "audit all" SQL_BINDS: "null" APPLICATION_CONTEXTS: "null" CLIENT_IDENTIFIER: "null" NEW_SCHEMA: "null" NEW_NAME: "null" OBJECT_EDITION: "null" SYSTEM_PRIVILEGE_USED: "null" SYSTEM_PRIVILEGE: "null" AUDIT_OPTION: "CREATE SESSION" OBJECT_PRIVILEGES: "null" ROLE: "null" TARGET_USER: "null" EXCLUDED_USER: "null" EXCLUDED_SCHEMA: "null" EXCLUDED_OBJECT: "null" ADDITIONAL_INFO: "null" UNIFIED_AUDIT_POLICIES: "null" FGA_POLICY_NAME: "null" XS_INACTIVITY_TIMEOUT: "0" XS_ENTITY_TYPE: "null" XS_TARGET_PRINCIPAL_NAME: "null" XS_PROXY_USER_NAME: "null" XS_DATASEC_POLICY_NAME: "null" XS_SCHEMA_NAME: "null" XS_CALLBACK_EVENT_TYPE: "null" XS_PACKAGE_NAME: "null" XS_PROCEDURE_NAME: "null" XS_ENABLED_ROLE: "null" XS_COOKIE: "null" XS_NS_NAME: "null" XS_NS_ATTRIBUTE: "null" XS_NS_ATTRIBUTE_OLD_VAL: "null" XS_NS_ATTRIBUTE_NEW_VAL: "null" DV_ACTION_CODE: "0" DV_ACTION_NAME: "null" DV_EXTENDED_ACTION_CODE: "0" DV_GRANTEE: "null" DV_RETURN_CODE: "0" DV_ACTION_OBJECT_NAME: "null" DV_RULE_SET_NAME: "null" DV_COMMENT: "null" DV_FACTOR_CONTEXT: "null" DV_OBJECT_STATUS: "null" OLS_POLICY_NAME: "null" OLS_GRANTEE: "null" OLS_MAX_READ_LABEL: "null" OLS_MAX_WRITE_LABEL: "null" OLS_MIN_WRITE_LABEL: "null" OLS_PRIVILEGES_GRANTED: "null" OLS_PROGRAM_UNIT_NAME: "null" OLS_PRIVILEGES_USED: "null" OLS_STRING_LABEL: "null" OLS_LABEL_COMPONENT_TYPE: "null" OLS_LABEL_COMPONENT_NAME: "null" OLS_PARENT_GROUP_NAME: "null" OLS_OLD_VALUE: "null" OLS_NEW_VALUE: "null" RMAN_SESSION_RECID: "0" RMAN_SESSION_STAMP: "0" RMAN_OPERATION: "null" RMAN_OBJECT_TYPE: "null" RMAN_DEVICE_TYPE: "null" DP_TEXT_PARAMETERS1: "null" DP_BOOLEAN_PARAMETERS1: "null" DIRECT_PATH_NUM_COLUMNS_LOADED: "0"