Oracle Database: настройка источника
Данное руководство описывает процесс настройки сбора и отправки событий Oracle Database в R-Vision SIEM.
Предварительные требования
Перед началом настройки убедитесь, что выполнены следующие условия:
-
Пользователь, выполняющий настройку, имеет права администратора.
-
Создана сервисная учетная запись с правами на чтение таблицы
UNIFIED_AUDIT_TRAILи просмотр аудита (AUDIT_VIEWER).
Настройка Oracle Database
Настройка журналирования
В версиях 23ai и 26ai Unified Auditing включен по умолчанию. Проверьте статус:
+
SQL> SELECT value FROM v$option WHERE parameter = 'Unified Auditing';-
Создайте политику аудита сессий через
Unified Auditing:SQL> CREATE AUDIT POLICY audit_sessions ACTIONS LOGON,LOGOFF; -
Примените политику к пользователям:
SQL> AUDIT POLICY audit_sessions; -
Аналогично для DDL:
SQL> CREATE AUDIT POLICY audit_ddl ACTIONS CREATE TABLE, ALTER TABLE, DROP TABLE, CREATE VIEW, DROP VIEW, CREATE SYNONYM, CREATE SEQUENCE; SQL> AUDIT POLICY audit_ddl; -
Создайте политику аудита DML для каждой схемы/таблицы, действия на которых вы хотите логировать. Для SIEM важно выбрать только чувствительные таблицы, иначе объем логов будет огромный:
SQL> CREATE AUDIT POLICY audit_dml ACTIONS SELECT, INSERT, UPDATE, DELETE ON <таблица>; SQL> AUDIT POLICY audit_dml; -
Создайте политику аудита привилегий:
SQL> CREATE AUDIT POLICY audit_privileges ACTIONS GRANT, REVOKE, CREATE USER, DROP USER, ALTER USER, CREATE ROLE, DROP ROLE; SQL> AUDIT POLICY audit_privileges; -
Проверьте активные политики
Unified Auditing:SQL> SELECT policy_name, enabled_option, entity_name, success, failure FROM audit_unified_enabled_policies;
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
Скачайте драйвер
ojdbc11.jar(из состава Oracle 23ai или 26ai) с официального сайта Oracle JDBC Downloads. -
В интерфейсе R-Vision SIEM загрузите драйвер БД согласно официальной инструкции.
-
Перезагрузите коллектор, через который планируется подключение точки входа.
-
В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:
-
Перейдите в раздел Ресурсы → Секреты → Создать.
-
В раскрывшемся окне создания секрета заполните поля:
-
Название: введите название секрета.
-
Описание (опционально): опишите, для чего будет использоваться секрет.
-
Тип секрета: выберите вариант Строка подключения.
-
Строка подключения: введите строку вида:
jdbc:oracle:thin:@//<address>:<port>/<database>?user=<user>&password=<password>где:
-
<address>— адрес сервера базы данных. -
<port>— порт подключения. -
<database>— имя базы данных. -
<user>— логин пользователя базы данных. -
<password>— пароль пользователя базы данных.
-
-
-
Нажмите на кнопку Создать.
-
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Database.
-
Драйвер базы данных: выберите вариант Oracle Database.
-
Адрес подключения: выберите секрет, созданный ранее.
-
SQL-запрос: введите запрос вида:
SELECT 'oracledb' AS DATASOURCE, SYS_CONTEXT('USERENV', 'SERVER_HOST') AS DB_SERVER_NAME, EVENT_TIMESTAMP, DBUSERNAME, ACTION_NAME, OBJECT_NAME, OBJECT_SCHEMA, USERHOST, SYSTEM_PRIVILEGE_USED, RETURN_CODE, SESSIONID, SQL_TEXT, ENTRY_ID, SCN FROM UNIFIED_AUDIT_TRAIL WHERE SCN > ? ORDER BY SCN ASC -
Поле идентификатора: введите ключ
SCNсо значением0. -
Интервал запроса, секунд: введите значение
15.
-
-
Добавьте на конвейер элемент Нормализатор с правилом Oracle Database (идентификатор правила: RV-N-319).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Oracle Database.
|
Найти события Oracle Database в хранилище можно по следующему фильтру:
|
Была ли полезна эта страница?
