Монитор журнала аудита ORACLE
Что это? Зачем это?
Всё началось с желания получить на OSSIM более приличный журнал доступа к СУБД ORACLE. Более приличный, чем получается по сислогу. Это значит, что нужно читать его из базы данных, из вьюхи DBA_AUDIT_TRAIL. Но, вот беда, database плагины OSSIM не умеют читать из БД ORACLE. Точнее говоря, чтобы это делать, надо прикрутить модуль cx_Oracle для питона. А для этого, в свою очередь, надо установить клиента Oracle.
Тогда мне подумалось, что будет гораздо интереснее и полезнее сделать совсем отдельную систему, которая будет не только забирать и хранить лог, но и производить некоторую собственную обработку событий, а в OSSIM отдавать уже свой собственный лог, содержащий практически полезные алерты. Тем более, что OSSIM и так нагружается очень сильно. В результате появился вот этот ORAMON.
Принцип работы
Вся система представляет собой базу данных MySQL и скрипт на питоне oramon.py, который читает DBA_AUDIT_TRAIL с сервера Oracle, помещает его в таблицу raw, в базу oramon MySQL и делает кое-какой дополнительный анализ событий. Пока анализируются только события LOGON/LOGOFF и SET ROLE. Скрипт отслеживает следующие события:
- Новый пользователь.
- Новый хост (новое место подключения к базе).
- Новая учетная запись Oracle использована для подключения.
- Новая роль использована данным пользователем.
- Одновременное подключение с двух и более хостов (отслеживаются незакрытые сессии).
- Смена пользователем хоста подключения.
- Подключение или использование роли после длительного перерыва (более трех недель)
- Много (более 10) и очень много (более 100) ошибок подключения или установки роли.
Соответственно, информация об истории различных событий накапливается в разных таблицах, где ее можно посмотреть. Для удобства сделаны несколько представлений. Главное называется ossim_log — это то, что должен читать плагин OSSIM. А еще есть failures — это информация об ошибочных событиях, userhost — это информация о том, кто, откуда и когда подключался, и аналогичные представления os_ora_users и user_roles.
Подробно всю структуру можно увидеть в файле oramon_empty.sql, в репозитарии этого проекта на bitbucket.
Как установить и запустить
Прежде всего потребуется LAMP сервер. На любой системе. Я настоятельно рекомендую установить phpMyAdmin, с ним будет удобнее, это пока очень предварительная версия. Затем необходимо установить на него клиента Oracle и модуль cx_Oracle для питона. Эта операция может оказаться не очень простой. Я делал на виртуалке с RHEL7, пришлось вручную искать пару пакетов для разрешения зависимостей. Инструкции по этому поводу давать нет смысла, поскольку в разных системах делается разными способами.
Важно, когда вы делаете LAMP в конфигурации MySQL прописать принудительную установку кодировки utf8 для клиентских подключений. Это необходимо для OSSIM, который не умеет указывать charset в параметрах соединения. Речь идет вот об этих параметрах:
[client]
default-character-set=utf8
[mysqld]
skip-character-set-client-handshake
collation-server = utf8_unicode_ci
init-connect='SET collation_connection = utf8_unicode_ci'
character-set-server = utf8
В какой конфиг это вносить, зависит от системы. В RHEL это вообще да разных конфига.
Установить саму базу данных можно скриптом oramon_empty.sql.
Кроме установки клиента Oracle, понадобится еще конфигурация путей к его библиотекам и конфигурация TNS (параметры соединения). Это опять же зависит от системы. У меня в RHEL7 это сделано так:
#!/bin/bash
LD_LIBRARY_PATH="/usr/lib/oracle/12.1/client64/lib:${LD_LIBRARY_PATH}"
export LD_LIBRARY_PATH
TNS_ADMIN="/etc/oracle"
export TNS_ADMIN
ORACLE_HOME="/usr/lib/oracle/12.1/client64/lib"
export ORACLE_HOME
И в /etc/oracle лежит файл tnsnames.ora со списком параметров соединений с серверами Oracle.
Перечень соединений вы также должны будете внести в базу oramon в таблицу connections. Структура таблицы такая:
--
-- Структура таблицы `connections`
--
DROP TABLE IF EXISTS `connections`;
CREATE TABLE IF NOT EXISTS `connections` (
`id` int(4) NOT NULL,
`user` varchar(16) DEFAULT NULL,
`passwd` varchar(16) DEFAULT NULL,
`tns_name` varchar(32) DEFAULT NULL,
`bookmark_type` enum('num','time') NOT NULL DEFAULT 'time',
`bookmark_num` int(11) DEFAULT NULL,
`bookmark_time` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
user, passwd — это параметры логона для tns_name указанного в файле tnsnames.ora. Разумется такой юзер должен быть создан в Oracle и у него должны быть права приконнектиться и прочитать таблицу (точнее вьюху) DBA_AUDIT_TRAIL.
bookmark_type — это способ отметки последней обработанной записи (по номеру или по времени), который будет использоваться для чтения из данной БД Oracle. А дальше, как понятно, текущая метка.
Прямо сейчас oramon.py не проверяет параметр bookmark_type и считает, что записи отбираются по времени. Я оставил этот параметр на будущее. Внести записи в таблицу удобно с помощью phpMyAdmin.
В MySQL надо создать пользователя oramon с правами на базу oramon (select, isnert, update, delete). Пароль надо вписать непосредственно в файл oramon.py, в строку:
# ---- init ----
(dbhost, dbuser, dbpass, dbschema, dbcharset)=('localhost', 'oramon', 'your_oramonpass', 'oramon', 'utf8') # MySQL connection params
Это в самом начале файла. Пока так.
oramon.py не демонизирует себя. Опять же, это пока. Когда я сочту эту штуку достаточно полезной, я, возможно, вставлю демонизацию. Сейчас я использую cron.
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/lib/oracle/12.1/client64/lib
TNS_ADMIN=/etc/oracle
ORACLE_HOME=/usr/lib/oracle/12.1/client64/lib
LD_LIBRARY_PATH=/usr/lib/oracle/12.1/client64/lib
MAILTO=root
# For details see man 4 crontabs
# Example of job definition:
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |
# * * * * * user-name command to be executed
*/5 * * * * oramon /home/oramon/bin/oramon.py
обратите внимание на заголовок crontab, там должны быть указаны пути необходимые для работы клиента Oracle.
И на конец, для работы с OSSIM понадобится создать в MySQL пользователя с правом коннектиться к серверу и читать вьюху ossim_log из БД oramon. А для OSSIM понадобится вот такой маленький плагин:
# Alienvault plugin
# Author: Eugene Sokolov esguardian@outlook.com
# Plugin oramon id:9009 version:-
# Last modification: 2016-05-04
#
# Plugin Selection Info:
# ESGuardian:oramon:-:n
#
#
#
[DEFAULT]
plugin_id=9009
[config]
type=detector
enable=yes
source=database
source_type=mysql
source_ip=xxx.xxx.xxx.xxx
source_port=3306
user=dbusername
password=dbuserpassword
db=oramon
sleep=60
process=
start=no
stop=no
[start_query]
query="SELECT id FROM ossim_log ORDER BY id DESC LIMIT 1"
regexp=
[query]
query="SELECT id,timestamp,alert_code,alert,uname,host,host_ip,ora_user,ora_role,message,raw_id FROM ossim_log where id > $1 ORDER BY id"
regexp=
ref=0
date={normalize_date($1)}
plugin_sid={$2}
src_ip={$6}
dst_ip=
username={$4}
userdata1={$5}
userdata2={$7}
userdata3={$8}
userdata4={$9}
# Payload
log={$0}, Time: {$1}, Alert_code: {$2}, Alert: {$3}, User: {$4}, Host: {$5}, Host_ip: {$6}, ORA_User: {$7}, ORA_Object {$8}, Message: {$9}, RAW_id: {$10}
Собственно, это всё. Дальше я буду потихоньку развивать это дело.
ESGUARDIAN 