Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Oracle DB

Compatível com:

Google SecOps SIEM

Neste documento, explicamos como ingerir registros do Oracle DB no Google Security Operations usando o Bindplane. O analisador extrai campos de mensagens SYSLOG, processando vários formatos usando padrões grok e análise de chave-valor. Em seguida, ele mapeia esses campos extraídos para o modelo de dados unificado (UDM, na sigla em inglês), enriquecendo os dados com metadados estáticos, como nomes de fornecedores e produtos, e definindo dinamicamente os tipos de eventos com base em valores de campo específicos, como ACTION e USERID. O analisador também processa várias operações de limpeza de dados, como substituir caracteres e converter tipos de dados.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou mais recente ou um host Linux com systemd
Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
Acesso privilegiado (função AUDIT_SYSTEM) ao banco de dados Oracle

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'ORACLE_DB'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Ativar a auditoria do banco de dados Oracle

Conecte-se ao Oracle Database com o SQLplus.
Desative o banco de dados com o seguinte comando:
```
shutdown immediate
```
Pare o serviço de listener do Oracle digitando o seguinte comando:
```
lsnrctl stop
```

Opcional: somente se aplicável, pare o Enterprise Manager usando os seguintes comandos:

cd /u01/app/oracle/product/middleware/oms

export OMS_HOME=/u01/app/oracle/product/middleware/oms

$OMS_HOME/bin/emctl stop oms

Vincule o banco de dados Oracle com a opção uniaud usando os seguintes comandos:
```
cd $ORACLE_HOME/rdbms/lib

make -f ins_rdbms.mk uniaud_on ioracle
```
Conecte-se ao Oracle Database com o SQLplus.
Reinicie o banco de dados usando o seguinte comando:
```
startup
```
Reinicie o serviço de listener do Oracle usando o seguinte comando:
```
lsnrctl start
```

Opcional: somente se aplicável, reinicie o Enterprise Manager usando os seguintes comandos:

cd /u01/app/oracle/product/middleware/oms

export OMS_HOME=/u01/app/oracle/product/middleware/oms

$OMS_HOME/bin/emctl start oms

Verifique se a auditoria unificada está ativada, conecte-se ao banco de dados Oracle com o SQLplus e digite o seguinte comando:
```
select * from v$option where PARAMETER = 'Unified Auditing';
```
Verifique se o comando retorna uma linha com VALUE igual a "TRUE".

Configurar o Syslog para o Oracle Database

Faça login na instância do Oracle.

Abra o seguinte arquivo usando vi:

vi ${ORACLE_HOME}/dbs/init${ORACLE_SID}.ora

Insira os seguintes comandos para a configuração do syslog:
```
*.audit_trail='os'
*.audit_syslog_level='local0.info'
```
Verifique se o daemon syslog no host Oracle está configurado para encaminhar o registro de auditoria.
No Red Hat Enterprise, abra o arquivo /etc/syslog.conf usando vi e insira a seguinte linha:
```
local0.info @ <bindplane-ip>:514
```
Salve e saia do arquivo:
```
:wq
```
No Red Hat Enterprise, digite o seguinte comando para recarregar a configuração do syslog:
```
kill -HUP /var/run/syslogd.pid
```
Conecte-se ao SQLplus e faça login como sysdba para reiniciar:
```
sys as sysdba
```
Desative o banco de dados com o seguinte comando:
```
shutdown immediate
```
Reinicie o banco de dados usando o seguinte comando:
```
startup
```

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
`ACTION`	`security_result.action_details`	O valor de `ACTION` do registro bruto é mapeado diretamente para esse campo do UDM. Outra lógica é aplicada para determinar `security_result.action` e `security_result.description` com base no valor de `ACTION` (por exemplo, `100` mapeia para ALLOW e Success).
`ACTION_NAME`	`metadata.product_event_type`	Mapeado diretamente.
`ACTION_NUMBER`	`additional.fields[action_number].value.string_value`	Mapeado diretamente com a chave `Source Event`. Também usado em combinação com outros campos para derivar `metadata.event_type` e `metadata.product_event_type`.
`APPLICATION_CONTEXTS`	`additional.fields[application_contexts_label].value.string_value`	Mapeado diretamente com a chave `APPLICATION_CONTEXTS`.
`AUDIT_POLICY`	`additional.fields[audit_policy_label].value.string_value` ou `additional.fields[AUDIT_POLICY_#].value.string_value`	Se `AUDIT_POLICY` contiver uma vírgula, ele será dividido em vários rótulos com chaves como `AUDIT_POLICY_0`, `AUDIT_POLICY_1` etc. Caso contrário, ele será mapeado diretamente com a chave `AUDIT_POLICY`.
`AUDIT_TYPE`	`additional.fields[audit_type_label].value.string_value`	Mapeado diretamente com a chave `AUDIT_TYPE`.
`AUTHENTICATION_TYPE`	`metadata.event_type`, `extensions.auth.type`	Usado para derivar `metadata.event_type` como USER_LOGIN se `auth_type` (extraído de `AUTHENTICATION_TYPE`) não estiver vazio e outras condições forem atendidas. `extensions.auth.type` é definido como AUTHTYPE_UNSPECIFIED.
`CLIENT_ADDRESS`	`principal.ip`, `principal.port`, `network.ip_protocol`, `intermediary[host].user.userid`	O IP, a porta e o protocolo são extraídos usando padrões grok. Se um nome de usuário estiver presente no campo `CLIENT_ADDRESS`, ele será mapeado para `intermediary[host].user.userid`.
`CLIENT_ID`	`target.user.userid`	Mapeado diretamente.
`CLIENT_PROGRAM_NAME`	`additional.fields[client_program_name_label].value.string_value`	Mapeado diretamente com a chave `CLIENT_PROGRAM_NAME`.
`CLIENT_TERMINAL`	`additional.fields[CLIENT_TERMINAL_label].value`	Mapeado diretamente com a chave `CLIENT_TERMINAL`.
`CLIENT_USER`	`target.user.user_display_name`	Mapeado diretamente.
`COMMENT$TEXT`	`additional.fields[comment_text_label].value.string_value`	Mapeado diretamente com a chave `comment_text` após substituir "+" por ":".
`CURRENT_USER`	`additional.fields[current_user_label].value.string_value`	Mapeado diretamente com a chave `current_user`.
`CURUSER`	`additional.fields[current_user_label].value.string_value`	Mapeado diretamente com a chave `current_user`.
`DATABASE_USER`	`principal.user.user_display_name`	Mapeado diretamente se não estiver vazio ou for `/`.
`DBID`	`metadata.product_log_id`	Mapeado diretamente após a remoção de aspas simples.
`DBNAME`	`target.resource.resource_type`, `target.resource.resource_subtype`, `target.resource.name`	Define `resource_type` como DATABASE, `resource_subtype` como `Oracle Database` e mapeia `DBNAME` para `name`.
`DBPROXY_USERRNAME`	`intermediary[dbproxy].user.userid`	Mapeado diretamente.
`DBUSERNAME`	`target.user.user_display_name`	Mapeado diretamente.
`ENTRYID`	`target.resource.attribute.labels[entry_id_label].value`	Mapeado diretamente com a chave `Entry Id`.
`EXTERNAL_USERID`	`additional.fields[external_userid_label].value.string_value`	Mapeado diretamente com a chave `EXTERNAL_USERID`.
`LENGTH`	`additional.fields[length_label].value.string_value`	Mapeado diretamente com a chave `length`.
`LOGOFF$DEAD`	`target.resource.attribute.labels[LOGOFFDEAD_label].value`	Mapeado diretamente com a chave `LOGOFFDEAD`.
`LOGOFF$LREAD`	`target.resource.attribute.labels[LOGOFFLREAD_label].value`	Mapeado diretamente com a chave `LOGOFFLREAD`.
`LOGOFF$LWRITE`	`target.resource.attribute.labels[LOGOFFLWRITE_label].value`	Mapeado diretamente com a chave `LOGOFFLWRITE`.
`LOGOFF$PREAD`	`target.resource.attribute.labels[LOGOFFPREAD_label].value`	Mapeado diretamente com a chave `LOGOFFPREAD`.
`NTIMESTAMP#`	`metadata.event_timestamp`	Analisado e convertido para o formato RFC 3339 ou ISO8601.
`OBJCREATOR`	`target.resource.attribute.labels[obj_creator_label].value`	Mapeado diretamente com a chave `OBJ Creator`.
`OBJNAME`	`target.resource.attribute.labels[obj_name_label].value`	Mapeado diretamente com a chave `OBJ Name`.
`OS_USERNAME`	`principal.user.user_display_name`	Mapeado diretamente.
`OSUSERID`	`target.user.userid`	Mapeado diretamente.
`PDB_GUID`	`principal.resource.product_object_id`	Mapeado diretamente.
`PRIV$USED`	`additional.fields[privused_label].value.string_value`	Mapeado diretamente com a chave `privused`.
`PRIVILEGE`	`principal.user.attribute.permissions.name`	Mapeado diretamente.
`RETURN_CODE`	`security_result.summary`	Mapeado diretamente. A lógica é aplicada para derivar `security_result.action` e `security_result.description`.
`RETURNCODE`	`security_result.summary`	Mapeado diretamente. A lógica é aplicada para derivar `security_result.action` e `security_result.description`.
`RLS_INFO`	`additional.fields[rls_info_label].value.string_value`	Mapeado diretamente com a chave `RLS_INFO`.
`SCHEMA`	`additional.fields[schema_label].value.string_value`	Mapeado diretamente com a chave `schema`.
`SESSIONCPU`	`target.resource.attribute.labels[SESSIONCPU_label].value`	Mapeado diretamente com a chave `SESSIONCPU`.
`SESSIONID`	`network.session_id`	Mapeado diretamente.
`SESID`	`network.session_id`	Mapeado diretamente.
`SQL_TEXT`	`target.process.command_line`	Mapeado diretamente.
`SQLTEXT`	`target.process.command_line`	Mapeado diretamente.
`STATEMENT`	`target.resource.attribute.labels[statement_label].value`	Mapeado diretamente com a chave `STATEMENT`.
`STATUS`	`security_result.summary`	Mapeado diretamente. A lógica é aplicada para derivar `security_result.action` e `security_result.description`.
`SYSTEM_PRIVILEGE_USED`	`additional.fields[system_privilege_used_label].value.string_value`	Mapeado diretamente com a chave `SYSTEM_PRIVILEGE_USED`.
`TARGET_USER`	`additional.fields[target_user_label].value.string_value`	Mapeado diretamente com a chave `TARGET_USER`.
`TERMINAL`	`additional.fields[CLIENT_TERMINAL_label].value`	Mapeado diretamente com a chave `CLIENT_TERMINAL`.
`TYPE`	`additional.fields[type_label].value.string_value`	Mapeado diretamente com a chave `type`.
`USERHOST`	`principal.hostname`, `principal.administrative_domain`	O nome do host e o domínio são extraídos usando padrões grok.
`USERID`	`principal.user.userid`	Mapeado diretamente.
`device_host_name`	`target.hostname`	Mapeado diretamente.
`event_name`	`metadata.product_event_type`	Mapeado diretamente após a conversão para maiúsculas.
`file_name`	`target.file.full_path`	Mapeado diretamente.
`hostname`	`principal.hostname`	Mapeado diretamente.
`length`	`additional.fields[length_label].value.string_value`	Mapeado diretamente com a chave `length`.
`log_source_name`	`principal.application`	Mapeado diretamente.
`message`	Vários	Usado para análise grok e extração de vários campos.
`returncode`	`RETURNCODE`	Mapeado diretamente.
`src_ip`	`principal.ip`	Mapeado diretamente.
`t_hostname`	`target.hostname`	Mapeado diretamente.
(Lógica do analisador)	`metadata.vendor_name`	Fixado no código como `Oracle`.
(Lógica do analisador)	`metadata.product_name`	Fixado no código como `Oracle DB`.
(Lógica do analisador)	`metadata.event_type`	Determinado com base nos valores de `ACTION`, `ACTION_NUMBER`, `source_event`, `OSUSERID`, `USERID`, `SQLTEXT`, `AUTHENTICATION_TYPE`, `DBUSERNAME`, `device_host_name`, `database_name`. O padrão é USER_RESOURCE_ACCESS se nenhuma condição específica for atendida.
(Lógica do analisador)	`metadata.product_event_type`	Determinado com base nos valores de `ACTION`, `ACTION_NUMBER`, `source_event`, `p_event_type` e `ACTION_NAME`.
(Lógica do analisador)	`metadata.log_type`	Fixado no código como `ORACLE_DB`.
(Lógica do analisador)	`extensions.auth.mechanism`	Definido como USERNAME_PASSWORD em determinadas condições com base em `ACTION`, `ACTION_NUMBER`, `source_event` e `OSUSERID`.
(Lógica do analisador)	`extensions.auth.type`	Definido como AUTHTYPE_UNSPECIFIED em determinadas condições com base em `ACTION`, `ACTION_NUMBER` e `AUTHENTICATION_TYPE`.
(Lógica do analisador)	`security_result.description`	Derivado de `RETURNCODE` ou `STATUS`.
(Lógica do analisador)	`security_result.action`	Derivado de `RETURNCODE` ou `STATUS`.
(Lógica do analisador)	`target.resource.attribute.labels`	Vários rótulos são adicionados com base na presença e nos valores de vários campos de registro.
(Lógica do analisador)	`additional.fields`	Vários campos são adicionados como pares chave-valor com base na presença e nos valores de vários campos de registro.
(Lógica do analisador)	`intermediary`	Criado e preenchido com base na presença e nos valores de `DBPROXY_USERRNAME` e `CLIENT_ADDRESS`.
(Lógica do analisador)	`network.ip_protocol`	Derivado de `protocol` extraído de `CLIENT_ADDRESS` usando um arquivo de inclusão `parse_ip_protocol.include`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.