Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Oracle DB

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux de base de données Oracle dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les champs des messages SYSLOG, en gérant plusieurs formats à l'aide de modèles Grok et de l'analyse de paires clé-valeur. Il mappe ensuite ces champs extraits au modèle de données unifié (UDM), en enrichissant les données avec des métadonnées statiques telles que les noms de fournisseur et de produit, et en définissant dynamiquement les types d'événements en fonction de valeurs de champ spécifiques telles que ACTION et USERID. L'analyseur gère également diverses opérations de nettoyage des données, comme le remplacement de caractères et la conversion de types de données.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Instance Google SecOps
Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
Accès privilégié (rôle AUDIT_SYSTEM) à la base de données Oracle

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'ORACLE_DB'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Activer l'audit pour Oracle Database

Connectez-vous à la base de données Oracle avec SQL*Plus.
Arrêtez la base de données à l'aide de la commande suivante :
```
shutdown immediate
```
Arrêtez le service d'écoute Oracle en saisissant la commande suivante :
```
lsnrctl stop
```

Facultatif : Si applicable, arrêtez Enterprise Manager à l'aide des commandes suivantes :

cd /u01/app/oracle/product/middleware/oms

export OMS_HOME=/u01/app/oracle/product/middleware/oms

$OMS_HOME/bin/emctl stop oms

Associez Oracle DB à l'option uniaud à l'aide des commandes suivantes :
```
cd $ORACLE_HOME/rdbms/lib

make -f ins_rdbms.mk uniaud_on ioracle
```
Connectez-vous à la base de données Oracle avec SQL*Plus.
Redémarrez la base de données à l'aide de la commande suivante :
```
startup
```
Redémarrez le service d'écouteur Oracle à l'aide de la commande suivante :
```
lsnrctl start
```

Facultatif : Si nécessaire, redémarrez Enterprise Manager à l'aide des commandes suivantes :

cd /u01/app/oracle/product/middleware/oms

export OMS_HOME=/u01/app/oracle/product/middleware/oms

$OMS_HOME/bin/emctl start oms

Vérifiez que l'audit unifié est activé, connectez-vous à la base de données Oracle avec SQLplus, puis saisissez la commande suivante :
```
select * from v$option where PARAMETER = 'Unified Auditing';
```
Vérifiez que la commande renvoie une ligne avec la valeur "TRUE".

Configurer Syslog pour la base de données Oracle

Connectez-vous à l'instance Oracle.

Ouvrez le fichier suivant à l'aide de vi :

vi ${ORACLE_HOME}/dbs/init${ORACLE_SID}.ora

Saisissez les commandes suivantes pour la configuration de syslog :
```
*.audit_trail='os'
*.audit_syslog_level='local0.info'
```
Assurez-vous que le daemon syslog sur l'hôte Oracle est configuré pour transférer le journal d'audit.
Sur Red Hat Enterprise, ouvrez le fichier /etc/syslog.conf à l'aide de vi et saisissez la ligne suivante :
```
local0.info @ <bindplane-ip>:514
```
Enregistrez et quittez le fichier :
```
:wq
```
Sur Red Hat Enterprise, saisissez la commande suivante pour recharger la configuration syslog :
```
kill -HUP /var/run/syslogd.pid
```
Connectez-vous à SQLplus et connectez-vous en tant que sysdba pour redémarrer :
```
sys as sysdba
```
Arrêtez la base de données à l'aide de la commande suivante :
```
shutdown immediate
```
Redémarrez la base de données à l'aide de la commande suivante :
```
startup
```

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`ACTION`	`security_result.action_details`	La valeur de `ACTION` du journal brut est directement mappée sur ce champ UDM. Une logique supplémentaire est appliquée pour déterminer `security_result.action` et `security_result.description` en fonction de la valeur de `ACTION` (par exemple, `100` correspond à ALLOW et à "Success" (Autorisation et Réussite).
`ACTION_NAME`	`metadata.product_event_type`	Mappé directement.
`ACTION_NUMBER`	`additional.fields[action_number].value.string_value`	Mappé directement avec la clé `Source Event`. Également utilisé en combinaison avec d'autres champs pour dériver `metadata.event_type` et `metadata.product_event_type`.
`APPLICATION_CONTEXTS`	`additional.fields[application_contexts_label].value.string_value`	Mappé directement avec la clé `APPLICATION_CONTEXTS`.
`AUDIT_POLICY`	`additional.fields[audit_policy_label].value.string_value` ou `additional.fields[AUDIT_POLICY_#].value.string_value`	Si `AUDIT_POLICY` contient une virgule, il est divisé en plusieurs libellés avec des clés telles que `AUDIT_POLICY_0`, `AUDIT_POLICY_1`, etc. Sinon, il est mappé directement avec la clé `AUDIT_POLICY`.
`AUDIT_TYPE`	`additional.fields[audit_type_label].value.string_value`	Mappé directement avec la clé `AUDIT_TYPE`.
`AUTHENTICATION_TYPE`	`metadata.event_type`, `extensions.auth.type`	Utilisé pour dériver `metadata.event_type` en tant que USER_LOGIN si `auth_type` (extrait de `AUTHENTICATION_TYPE`) n'est pas vide et si d'autres conditions sont remplies. `extensions.auth.type` est défini sur AUTHTYPE_UNSPECIFIED.
`CLIENT_ADDRESS`	`principal.ip`, `principal.port`, `network.ip_protocol`, `intermediary[host].user.userid`	L'adresse IP, le port et le protocole sont extraits à l'aide de modèles Grok. Si un nom d'utilisateur est présent dans le champ `CLIENT_ADDRESS`, il est mappé à `intermediary[host].user.userid`.
`CLIENT_ID`	`target.user.userid`	Mappé directement.
`CLIENT_PROGRAM_NAME`	`additional.fields[client_program_name_label].value.string_value`	Mappé directement avec la clé `CLIENT_PROGRAM_NAME`.
`CLIENT_TERMINAL`	`additional.fields[CLIENT_TERMINAL_label].value`	Mappé directement avec la clé `CLIENT_TERMINAL`.
`CLIENT_USER`	`target.user.user_display_name`	Mappé directement.
`COMMENT$TEXT`	`additional.fields[comment_text_label].value.string_value`	Directement mappé avec la clé `comment_text` après avoir remplacé "+" par ":".
`CURRENT_USER`	`additional.fields[current_user_label].value.string_value`	Mappé directement avec la clé `current_user`.
`CURUSER`	`additional.fields[current_user_label].value.string_value`	Mappé directement avec la clé `current_user`.
`DATABASE_USER`	`principal.user.user_display_name`	Mappé directement s'il n'est pas vide ou si la valeur est `/`.
`DBID`	`metadata.product_log_id`	Mappé directement après la suppression des guillemets simples.
`DBNAME`	`target.resource.resource_type`, `target.resource.resource_subtype`, `target.resource.name`	Définit `resource_type` sur DATABASE, `resource_subtype` sur `Oracle Database` et mappe `DBNAME` sur `name`.
`DBPROXY_USERRNAME`	`intermediary[dbproxy].user.userid`	Mappé directement.
`DBUSERNAME`	`target.user.user_display_name`	Mappé directement.
`ENTRYID`	`target.resource.attribute.labels[entry_id_label].value`	Mappé directement avec la clé `Entry Id`.
`EXTERNAL_USERID`	`additional.fields[external_userid_label].value.string_value`	Mappé directement avec la clé `EXTERNAL_USERID`.
`LENGTH`	`additional.fields[length_label].value.string_value`	Mappé directement avec la clé `length`.
`LOGOFF$DEAD`	`target.resource.attribute.labels[LOGOFFDEAD_label].value`	Mappé directement avec la clé `LOGOFFDEAD`.
`LOGOFF$LREAD`	`target.resource.attribute.labels[LOGOFFLREAD_label].value`	Mappé directement avec la clé `LOGOFFLREAD`.
`LOGOFF$LWRITE`	`target.resource.attribute.labels[LOGOFFLWRITE_label].value`	Mappé directement avec la clé `LOGOFFLWRITE`.
`LOGOFF$PREAD`	`target.resource.attribute.labels[LOGOFFPREAD_label].value`	Mappé directement avec la clé `LOGOFFPREAD`.
`NTIMESTAMP#`	`metadata.event_timestamp`	Analysée et convertie au format RFC 3339 ou ISO 8601.
`OBJCREATOR`	`target.resource.attribute.labels[obj_creator_label].value`	Mappé directement avec la clé `OBJ Creator`.
`OBJNAME`	`target.resource.attribute.labels[obj_name_label].value`	Mappé directement avec la clé `OBJ Name`.
`OS_USERNAME`	`principal.user.user_display_name`	Mappé directement.
`OSUSERID`	`target.user.userid`	Mappé directement.
`PDB_GUID`	`principal.resource.product_object_id`	Mappé directement.
`PRIV$USED`	`additional.fields[privused_label].value.string_value`	Mappé directement avec la clé `privused`.
`PRIVILEGE`	`principal.user.attribute.permissions.name`	Mappé directement.
`RETURN_CODE`	`security_result.summary`	Mappé directement. Une logique est appliquée pour dériver `security_result.action` et `security_result.description`.
`RETURNCODE`	`security_result.summary`	Mappé directement. Une logique est appliquée pour dériver `security_result.action` et `security_result.description`.
`RLS_INFO`	`additional.fields[rls_info_label].value.string_value`	Mappé directement avec la clé `RLS_INFO`.
`SCHEMA`	`additional.fields[schema_label].value.string_value`	Mappé directement avec la clé `schema`.
`SESSIONCPU`	`target.resource.attribute.labels[SESSIONCPU_label].value`	Mappé directement avec la clé `SESSIONCPU`.
`SESSIONID`	`network.session_id`	Mappé directement.
`SESID`	`network.session_id`	Mappé directement.
`SQL_TEXT`	`target.process.command_line`	Mappé directement.
`SQLTEXT`	`target.process.command_line`	Mappé directement.
`STATEMENT`	`target.resource.attribute.labels[statement_label].value`	Mappé directement avec la clé `STATEMENT`.
`STATUS`	`security_result.summary`	Mappé directement. Une logique est appliquée pour dériver `security_result.action` et `security_result.description`.
`SYSTEM_PRIVILEGE_USED`	`additional.fields[system_privilege_used_label].value.string_value`	Mappé directement avec la clé `SYSTEM_PRIVILEGE_USED`.
`TARGET_USER`	`additional.fields[target_user_label].value.string_value`	Mappé directement avec la clé `TARGET_USER`.
`TERMINAL`	`additional.fields[CLIENT_TERMINAL_label].value`	Mappé directement avec la clé `CLIENT_TERMINAL`.
`TYPE`	`additional.fields[type_label].value.string_value`	Mappé directement avec la clé `type`.
`USERHOST`	`principal.hostname`, `principal.administrative_domain`	Le nom d'hôte et le domaine sont extraits à l'aide de modèles Grok.
`USERID`	`principal.user.userid`	Mappé directement.
`device_host_name`	`target.hostname`	Mappé directement.
`event_name`	`metadata.product_event_type`	Mappé directement après la conversion en majuscules.
`file_name`	`target.file.full_path`	Mappé directement.
`hostname`	`principal.hostname`	Mappé directement.
`length`	`additional.fields[length_label].value.string_value`	Mappé directement avec la clé `length`.
`log_source_name`	`principal.application`	Mappé directement.
`message`	Diverses	Utilisé pour l'analyse grok afin d'extraire plusieurs champs.
`returncode`	`RETURNCODE`	Mappé directement.
`src_ip`	`principal.ip`	Mappé directement.
`t_hostname`	`target.hostname`	Mappé directement.
(Logique de l'analyseur)	`metadata.vendor_name`	Codé en dur sur `Oracle`.
(Logique de l'analyseur)	`metadata.product_name`	Codé en dur sur `Oracle DB`.
(Logique de l'analyseur)	`metadata.event_type`	Déterminée en fonction des valeurs de `ACTION`, `ACTION_NUMBER`, `source_event`, `OSUSERID`, `USERID`, `SQLTEXT`, `AUTHENTICATION_TYPE`, `DBUSERNAME`, `device_host_name` et `database_name`. La valeur par défaut est USER_RESOURCE_ACCESS si aucune condition spécifique n'est remplie.
(Logique de l'analyseur)	`metadata.product_event_type`	Déterminé en fonction des valeurs de `ACTION`, `ACTION_NUMBER`, `source_event`, `p_event_type` et `ACTION_NAME`.
(Logique de l'analyseur)	`metadata.log_type`	Codé en dur sur `ORACLE_DB`.
(Logique de l'analyseur)	`extensions.auth.mechanism`	Défini sur USERNAME_PASSWORD dans certaines conditions en fonction de `ACTION`, `ACTION_NUMBER`, `source_event` et `OSUSERID`.
(Logique de l'analyseur)	`extensions.auth.type`	Défini sur AUTHTYPE_UNSPECIFIED dans certaines conditions en fonction de `ACTION`, `ACTION_NUMBER` et `AUTHENTICATION_TYPE`.
(Logique de l'analyseur)	`security_result.description`	Dérivé de `RETURNCODE` ou `STATUS`.
(Logique de l'analyseur)	`security_result.action`	Dérivé de `RETURNCODE` ou `STATUS`.
(Logique de l'analyseur)	`target.resource.attribute.labels`	Plusieurs libellés sont ajoutés en fonction de la présence et des valeurs de différents champs de journaux.
(Logique de l'analyseur)	`additional.fields`	Plusieurs champs sont ajoutés sous forme de paires clé/valeur en fonction de la présence et des valeurs de différents champs de journaux.
(Logique de l'analyseur)	`intermediary`	Créé et rempli en fonction de la présence et des valeurs de `DBPROXY_USERRNAME` et `CLIENT_ADDRESS`.
(Logique de l'analyseur)	`network.ip_protocol`	Dérivé de `protocol` extrait de `CLIENT_ADDRESS` à l'aide d'un fichier d'inclusion `parse_ip_protocol.include`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.