تخطيط التوزيع
خطط لبنية تقوم بتجميع بيانات السجل متعددة المناطق وإدارتها إلى نظام أساسي لمعلومات الأمان وإدارة الأحداث (SIEM).
تصميم عملية النشر
استخدم الخطوات الأساسية التالية لنشر بنية تقوم بتجميع بيانات السجل من Oracle Cloud Infrastructure (OCI).
- تصميم البنية الإقليمية
تقوم البنية أدناه بتجميع سجلات Oracle Cloud Infrastructure Audit وسجلات الخدمة وأحداث الأمان من Oracle Cloud Guard وOracle Data Safe باستخدام Oracle Cloud Infrastructure Events في منطقة إعداد تقارير Cloud Guard.
- نشر البنية عبر المناطق
لضمان تجميع كل السجلات وأحداث الأمان، قم بنشر بنية مشابهة في كل المناطق التي تم الاشتراك فيها بعقد الإيجار الخاص بك. في حين أن Oracle Cloud Guard يدمج المشكلات في منطقة إعداد تقارير Cloud Guard، فإن Oracle Cloud Infrastructure Logging وOracle Data Safe هما خدمات إقليمية تنتمي إلى منطقة معينة.
فيما يلي البنية الخاصة بمنطقة ليست في منطقة إعداد تقارير Oracle Cloud Guard.
- تكوين SIEM لقراءة تدفق البيانات في كل منطقة
بعد إعداد كل منطقة، ستحتاج إلى تكوين حل SIEM للقراءة من تدفق OCI في كل منطقة.
- إنشاء سياسات إدارة الوصول لـ SIEM لديك
يمكنك قراءة البيانات من تدفق OCI باستخدام واجهات برمجة تطبيقات OCI أو باستخدام واجهات برمجة التطبيقات المتوافقة مع Oracle Cloud Infrastructure Streaming مع Kafka. لكل API طريقة مصادقة محددة:
نوع التصديق أوتشي أبي واجهة برمجة تطبيقات متوافقة مع Kafka مفتاح توقيع API: زوج مفاتيح RSA بتنسيق PEM (دقيقة 2048 بت) نعم رموز مصادقة: سلاسل مقاطع مكونة من Oracle للتصديق باستخدام واجهات برمجة تطبيقات الطرف الثالث نعم أصل الطبعة: ميزة خدمة IAM التي تتيح للطبعات أن تكون جهات فاعلة معتمدة (أو رئيسية) لتنفيذ إجراءات على موارد الخدمة نعم توصي Oracle باستخدام مدير المثيل، إن أمكن، لتجنب تخزين الرموز المميزة طويلة الأجل في SIEM.
تحتاج SIEM إلى أذونات Oracle Cloud Infrastructure Identity and Access Management (IAM) التالية للقراءة من تدفق OCI. لمتابعة نموذج الأقل امتيازًا، استخدم السياسة الموضحة في الأمثلة التالية:
- السياسة الأولى لمستخدم OCI IAM:
Allow group SIEM to use stream-pull in compartment <compartment> - وتتمثل السياسة الثانية في مدير الطبعة:
Allow dynamic-group SIEMInstances to use stream-pull in compartment <compartment>
- السياسة الأولى لمستخدم OCI IAM:
الاعتبارات
عند تنفيذ تصميم البنية هذا، ضع في اعتبارك ما يلي:
- إذا لم يكن لدى SIEM دعم Kafka أصلي أو برنامج إضافي أصلي، فيمكنك إرسال السجلات إلى نقطة نهاية واجهة برمجة تطبيقات HTTPS الخاصة بـ SIEM باستخدام Oracle Functions. للقيام بذلك، أضف مركز موصل خدمة Oracle Cloud Infrastructure إقليميًا آخر يقرأ من التدفق الإقليمي والذي يعد هدفه وظيفة.
- لضمان تجميع جميع سجلات مقصورة Oracle Cloud Infrastructure Audit، استخدم علامة
Include _Audit in subcompartmentsفي مقصورة الجذر الخاصة بك في مركز موصل خدمة OCI. - لجمع نتائج Oracle Cloud Guard عبر فترة الإيجار بأكملها، قم بإرفاق هدف Oracle Cloud Guard إلى قسم الجذر. وبعد ذلك، قم بإنشاء حدث Oracle Cloud Guard OCI في القسم الجذري لالتقاط جميع نتائج Oracle Cloud Guard أثناء الاستئجار.
- للاحتفاظ بسجل OCI على المدى الطويل (التخزين البارد)، قم بإنشاء مركز موصل خدمة OCI ثانٍ للقراءة من التدفق الإقليمي باستخدام فئة Oracle Cloud Infrastructure Object Storage كهدف. باستخدام إدارة دورة حياة الكائنات لإدارة تخزين الكائنات وأرشفة بيانات التخزين، يمكنك تقليل تكاليف التخزين ومقدار الوقت الذي تقضيه في إدارة البيانات يدويًا.
- استخدم Oracle Cloud Infrastructure Monitoring والتنبيهات لمراقبة وقت بدء تسجيل الدخول.
- يوضح الجدول أدناه بعض الأدوات الشائعة ونمطها:
الأدوات واجهات برمجة تطبيقات OCI (برنامج إضافي) متوافق مع Kafka كود الوظيفة Splunk نعم QRadar نعم Microsoft Sentinel نعم مجلة Google Chronicle نعم Datadog نعم إلك نعم LogStash نعم