Oracle Cloud Infrastructure - Dokumentation

Oracle Data Safe-Ereignisse im Events-Service

Mit dem Events-Service in Oracle Cloud Infrastructure (OCI) können Administratoren den Oracle Data Safe-Service so konfigurieren, dass Ereignisse in OCI ausgegeben werden. Ereignisse sind strukturierte Nachrichten, die Änderungen an Ressourcen angeben.

Um Ereignisse zu konfigurieren, erstellen Sie Regeln, die angeben, welche Ereignisse Aktionen auslösen können. Zu den Aktionen gehören das Veröffentlichen von Nachrichten in einem Stream über den Streaming-Service, das Übertragen einer Benachrichtigungsnachricht an Abonnenten über den Notifications-Service oder das Aufrufen von Funktionen in Oracle Functions. Beispiel: Sie können eine Benachrichtigung auslösen, wenn ein Benutzer eine Zieldatenbank bei Oracle Data Safe registriert.

Hinweis

Hinweis: Alle Oracle Data Safe-Ereignisse für die Benutzerbewertung oder Sicherheitsbewertung, die Sie in der Vergangenheit erstellt haben und einen alten Ereignistypnamen verwenden, z.B. com.oraclecloud.datasafe.securityassessmentrefresh.begin, müssen gelöscht und neu erstellt werden, damit der neue benutzerfreundliche Name verwendet wird, z.B. "Sicherheitsbewertung aktualisieren - Beginn". Andernfalls funktioniert das Ereignis nicht.

Weitere Informationen zu Ereignissen finden Sie unter Überblick über Ereignisse in der Oracle Cloud Infrastructure-Dokumentation.

Regelbedingungen

Wenn Sie eine Regel erstellen, konfigurieren Sie zunächst eine Bedingung. Die erste Bedingung gibt die Ereignistypen an, für die Sie benachrichtigt werden möchten. Wenn Sie Filter für die Ereignistypen festlegen möchten, können Sie weitere Bedingungen hinzufügen, die Attribute und Tags angeben.

Schauen wir uns ein einfaches Beispiel an. Angenommen, Sie möchten benachrichtigt werden, wenn ein Alert in Oracle Data Safe generiert wird. Dazu wählen Sie in der Ereignisregel den Ereignistyp Alert generiert für die erste Bedingung aus. Da Sie an einer bestimmten Datenbank interessiert sind, fügen Sie der Regel eine zweite Bedingung mit einem Filter für das Attribut targetId hinzu. Geben Sie als Wert die OCID der Zieldatenbank ein. Wenn nun ein Alert für die Zieldatenbank generiert wird, werden Sie benachrichtigt. Der folgende Screenshot zeigt die Seite Regel erstellen in Oracle Cloud Infrastructure, auf der diese Bedingungen konfiguriert sind.

Beispiel für Regelbedingungen

Beschreibung der Abbildung s-create-rule.png

Benachrichtigungstext

Benachrichtigungstext hat das JSON-Format. Auf der Seite Regel erstellen in Oracle Cloud Infrastructure können Sie eine Vorschau des Textes anzeigen. Klicken Sie einfach auf den Link Beispielereignisse anzeigen (JSON), und wählen Sie einen Oracle Data Safe-Ereignistyp aus. Im Folgenden finden Sie ein Beispiel für den Ereignistyp Alert generiert:

{
  "eventType": "com.oraclecloud.datasafe.generateauditalert",
  "cloudEventsVersion": "0.1",
  "eventTypeVersion": "2.0",
  "source": "DataSafe",
  "eventTime": "2020-09-29T16:03:41.293Z",
  "contentType": "application/json",
  "data": {
    "compartmentId": "ocid1.compartment.oc1..unique_ID",
    "compartmentName": "example_compartment",
    "resourceName": "alerts",
    "resourceId": "ocid1.datasafealert.oc1.phx.unique_ID",
    "availabilityDomain": "availability_domain",
    "additionalDetails": {
      "status": "OPEN",
      "displayName": "Failed logon by Admin user",
      "description": "Failed logon by Admin user was detected",
      "severity": "HIGH",
      "targetId": "ocid1.datasafetargetdatabase.oc1.phx.unique_ID",
      "targetName": "target_sa",
      "policyId": "ocid1.datasafealertpolicy.oc1.iad.unique_ID",
      "ruleName": "Failed-logon-by-Admin-user-Rule",
      "timeCreated": "2020-09-29T16:03:31.293Z",
      "timeUpdated": "2020-09-29T16:03:42.736Z",
      "osUserName": "dscs",
      "operationTime": "2020-09-29T15:29:51.404Z",
      "operation": "Login on target database",
      "operationStatus": "Success",
      "clientHostname": "jobsvm3002.jobsvm.stestvcn.oraclevcn.com",
      "clientIPs": "...",
      "clientId": "ORACLE$_DATA_SAFE#",
      "clientProgram": "JDBC Thin Client",
      "userName": "user1",
      "violationType": "SQL",
      "objectType": "UNIFIED_AUDIT_TRAIL",
      "object": "MY_TABLE",
      "targetOwner": "SYS",
      "commandText": "SELECT * FROM AUDSYS.UNIFIED_AUDIT_TRAIL WHERE "EVENT_TIMESTAMP"<=:1 AND "EVENT_TIMESTAMP">:2 \u0000",
      "commandParam": " #1(31):02-JUL-21 12.42.15.044000000 PM #2(31):02-JUL-21 12.34.22.509000000 PM",
      "eventCategory": "Failed Logins by Admin User",
      "alertURLInConsole": "https://console.$region.oraclecloud.com/data-safe/alerts/reports/ocid1.datasafereportdefinition.oc1..unique_ID/alert/ocid1.datasafealert.oc1..unique_ID/true"
    }
  },
  "eventID": "unique_ID",
  "extensions": {
    "compartmentId": "ocid1.compartment.oc1..unique_ID"
  }
}

Jeder Ereignistyp hat einen eigenen Satz zusätzlicher Details, und einige haben keine. Im obigen Beispiel werden auf dem Knoten additionalDetails der Name und das Startdatum der Zieldatenbank angezeigt.