Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zum Registrieren eines kostenlosen Accounts finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Wenn Sie Ihre Übung abgeschlossen haben, ersetzen Sie diese Werte durch spezifische Werte für Ihre Cloud-Umgebung.

Logs von Oracle Cloud Infrastructure zu IBM verschieben QRadar

Einführung

Oracle Cloud Infrastructure (OCI) ist ein Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (PaaS), dem große Unternehmen vertrauen. Es bietet eine umfassende Palette von verwalteten Services, die Hosting, Storage, Networking, Datenbanken usw. umfassen.

Die OCI Observability and Management-Plattform ist auf die Präferenzen unserer Kunden ausgerichtet. Viele haben etablierte Betriebspraktiken eingeführt, die Beobachtbarkeitstools von Drittanbietern verwenden. Unser Ziel ist es, eine nahtlose Integration mit diesen Tools sicherzustellen, damit unsere Kunden ihre vorhandenen Investitionen neben OCI nutzen können.

In diesem Tutorial erfahren Sie, wie Sie Logs von OCI zu IBM QRadar verschieben können.

Betrachten wir nun die allgemeine Darstellung der Lösungsarchitektur, wie in der folgenden Abbildung dargestellt.

OCI Connector Hub liest Logdaten aus OCI Logging und sendet die Logs an den OCI Streaming-Service. IBM QRadar verfügt über einen integrierten Kafka-Consumer, der sich mit dem OCI Streaming-Service verbinden kann, um diese Daten zu lesen.

Ziele

• Verschieben Sie Logs von Oracle Cloud Infrastructure in IBM QRadar.

Voraussetzungen

• Benutzer in OCI müssen über die erforderlichen Policys für OCI Streaming-, OCI Connector Hub- und OCI Logging-Services verfügen, um die Ressourcen zu verwalten. Eine Policy-Referenz aller Services finden Sie in der Policy-Referenz.

Aufgabe 1: Zu erfassende Logs konfigurieren

Der OCI Logging-Service ist eine hoch skalierbare und vollständig verwaltete zentrale Stelle für alle Logs in Ihrem Mandanten. OCI Logging bietet Zugriff auf Logs von OCI-Ressourcen. Ein Log ist eine erstklassige OCI-Ressource, die in einem bestimmten Kontext erfasste Logereignisse speichert und erfasst. Eine Loggruppe ist eine Sammlung von Logs, die in einem Compartment gespeichert sind. Loggruppen sind logische Container für Logs. Mit Loggruppen können Sie die Verwaltung von Logs organisieren und optimieren, indem Sie die Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Policy anwenden oder Logs für Analysen gruppieren.

Aktivieren Sie zu Beginn ein Log für eine Ressource. Services bieten Logkategorien für die verschiedenen Logtypen, die für Ressourcen verfügbar sind. Beispiel: Der OCI Object Storage-Service unterstützt die folgenden Logkategorien für Speicher-Buckets: Lese- und Schreibzugriffsereignisse. Lesezugriffsereignisse erfassen Downloadereignisse, während Schreibzugriffsereignisse Schreibereignisse erfassen. Jeder Service kann verschiedene Logkategorien für Ressourcen haben.

1. Melden Sie sich bei der OCI-Konsole an, und navigieren Sie zu Observability and Management, Logging und Loggruppen.

2. Wählen Sie Ihr Compartment aus, klicken Sie auf Loggruppe erstellen, und geben Sie die folgenden Informationen ein.

   • Name: Geben Sie QRadar_log_group ein.
   • Beschreibung (Optional): Geben Sie die Beschreibung ein.
   • Tags (Optional): Geben Sie die Tags ein.

3. Klicken Sie auf Erstellen, um eine neue Loggruppe zu erstellen.

4. Klicken Sie unter Ressourcen auf Logs.

5. Klicken Sie nach Bedarf auf Benutzerdefiniertes Log erstellen oder auf Servicelog aktivieren.

   Beispiel: Um Schreiblogs für einen OCI Object Storage-Bucket zu aktivieren, gehen Sie wie folgt vor:

   1. Klicken Sie auf Servicelog aktivieren.

   2. Wählen Sie Ihr Ressourcen-Compartment aus, und geben Sie Object Storage in die Suchservices ein.

   3. Klicken Sie auf Logs aktivieren, und wählen Sie Ihren OCI Object Storage-Bucket-Namen in der Ressource aus.

   4. Wählen Sie die in Aufgabe 1.2 erstellte Loggruppe (QRadar_log_group) und in der Logkategorie die Option Schreibzugriffsereignisse aus. Geben Sie optional QRadar_bucket_write als Logname ein.

   5. Klicken Sie auf Aktivieren, um das neue OCI-Log zu erstellen.

Aufgabe 2: Stream mit OCI Streaming erstellen

Der OCI Streaming-Service ist eine serverlose, Apache Kafka-kompatible Echtzeit-Event-Streaming-Plattform für Entwickler und Data Scientists. Es bietet eine vollständig verwaltete, skalierbare und dauerhafte Lösung für die Aufnahme und Nutzung von Datenstreams mit hohem Volumen in Echtzeit, wie Logs. Wir können OCI Streaming für jeden Anwendungsfall verwenden, in dem Daten kontinuierlich und sequenziell in einem Publish-Subscribe-Messagingmodell produziert und verarbeitet werden.

1. Navigieren Sie zur OCI-Konsole, und navigieren Sie zu Analysen und KI, Messaging und Streaming.

2. Klicken Sie auf Stream erstellen, um einen Stream zu erstellen.

3. Geben Sie die folgenden Informationen ein, und klicken Sie auf Erstellen.

   • Name: Geben Sie den Streamnamen ein. Für dieses Tutorial ist es Qradar_Stream.
   • Streampool: Wählen Sie einen vorhandenen Pool aus, oder erstellen Sie einen neuen Pool mit öffentlichem Endpunkt.
   • Aufbewahrung (in Stunden): Geben Sie an, wie viele Stunden Nachrichten in diesem Stream aufbewahrt werden sollen.
   • Anzahl Partitionen: Geben Sie die Anzahl der Partitionen für den Stream ein.
   • Gesamte Schreibrate und Gesamte Leserate: Geben Sie diese Option auf Basis der Datenmenge ein, die Sie verarbeiten müssen.

   Sie können mit Standardwerten für Tests beginnen. Weitere Informationen finden Sie unter Stream partitionieren.

Aufgabe 3: OCI Connector Hub einrichten

OCI Connector Hub orchestriert das Verschieben von Daten zwischen Services in OCI. OCI Connector Hub bietet einen zentralen Ort zum Beschreiben, Ausführen und Überwachen von Datenübertragungen zwischen Services, wie OCI Logging, OCI Object Storage, OCI Streaming, OCI Logging Analytics und OCI Monitoring. Außerdem kann es OCI Functions für leichte Datenverarbeitung und OCI Notifications zum Einrichten von Alerts auslösen.

1. Navigieren Sie zur OCI-Konsole, und navigieren Sie zu Observability and Management, Logging und Connectors.

2. Klicken Sie auf Connector erstellen, um den Connector zu erstellen.

3. Geben Sie folgende Informationen ein.

   • Name: Geben Sie QRadar_SC ein.
   • Beschreibung (Optional): Geben Sie die Beschreibung ein.
   • Compartment: Wählen Sie Ihr Compartment aus.
   • Quelle: Wählen Sie Logging aus.
   • Ziel: Wählen Sie Streaming aus.

4. Wählen Sie unter Quellverbindung konfigurieren einen Compartment-Namen, eine Loggruppe und ein Log aus (Loggruppe und Log in Aufgabe 1 erstellt).

5. Wenn Sie auch Auditlogs senden möchten, klicken Sie auf +Another-Log, und wählen Sie dasselbe Compartment aus, während Sie _Audit als Loggruppe ersetzen.

6. Wählen Sie unter Ziel konfigurieren ein Compartment und einen Stream (Stream, der in Aufgabe 2 erstellt wurde) aus.

7. Um Standard-Policys zu akzeptieren, klicken Sie auf den Link Erstellen, der für jede Standard-Policy bereitgestellt wird. Standard-Policys werden für jede Autorisierung angeboten, die für diesen Connector für den Zugriff auf Quell-, Aufgaben- und Zielservices erforderlich ist.

8. Klicken Sie auf Erstellen.

Aufgabe 4: Zugriffskontrolle für IBM QRadar zum Abrufen von Logs einrichten

Damit IBM QRadar auf Daten aus einem OCI-Stream zugreifen kann, erstellen Sie einen Benutzer, und erteilen Sie Stream-Pull-Berechtigungen zum Abrufen von Logs.

1. Erstellen Sie einen OCI-Benutzer. Weitere Informationen finden Sie unter Benutzer verwalten.

2. Erstellen Sie eine OCI-Gruppe mit dem Namen QRadar_User_Group, und fügen Sie den OCI-Benutzer der Gruppe hinzu. Weitere Informationen finden Sie unter Gruppen verwalten.

3. Erstellen Sie die folgende OCI-IAM-Policy.

   Allow group <QRadar_User_Group> to use stream-pull in compartment <compartment_of_stream>
   

Aufgabe 5: IBM QRadar konfigurieren

1. Melden Sie sich bei der IBM QRadar-Konsole an, und klicken Sie auf Admin und QRadar Logquellenverwaltung.

   

2. Klicken Sie auf Neue Logquelle, und wählen Sie Einzelne Logquelle aus.

   

   

3. Wählen Sie Logquelltyp als Universal-DSM, Protokolltyp als Apache Kafka aus, und klicken Sie auf Logquellparameter konfigurieren.

   

   

4. Geben Sie im Fenster Logquellparameter konfigurieren Parameter entsprechend Ihren Anforderungen und Ihrer Umgebung ein, und klicken Sie auf Protokollparameter konfigurieren. Dieser Schritt ist spezifisch für Ihren Anwendungsfall und selbsterklärend.

   

5. Die Parameter im Abschnitt Protokollparameter konfigurieren finden Sie in der OCI-Konsole. Geben Sie die folgenden Parameter ein, und klicken Sie auf Fertig stellen.

   1. Gehen Sie zur OCI-Konsole, navigieren Sie zu Home, Streaming, Streampools, Streampooldetails, und klicken Sie auf Kafka-Verbindungseinstellungen. Sie finden die Details zu Bootstrap-Server und Benutzername. Das Kennwort ist das Authentifizierungstoken des Benutzers.

      

   2. Die Themenliste ist Ihr Streamname.

      

   3. Deaktivieren Sie Clientauthentifizierung verwenden. Wenn Sie die SASL-Authentifizierung ohne Clientauthentifizierung verwenden, muss eine Kopie des Serverzertifikats in /opt/qradar/conf/trusted_certificates/ abgelegt werden.

      Um ein Zertifikat in das Verzeichnis /opt/qradar/conf/trusted_certificates zu kopieren, wählen Sie eine der folgenden Optionen:

      a. Melden Sie sich mit SSH bei der QRadar-Konsole oder dem verwalteten Host an, und rufen Sie das Zertifikat ab, indem Sie den folgenden Befehl eingeben.

      /opt/qradar/bin/getcert.sh <FQDN of Streaming Endpoint>
      

      Ein Zertifikat wird von dem angegebenen Hostnamen oder der angegebenen IP-Adresse heruntergeladen und im entsprechenden Format im Verzeichnis /opt/qradar/conf/trusted_certificates abgelegt.

      b. Alternativ können Sie das Serverzertifikat mit dem folgenden Befehl abrufen und zum Speicherort /opt/qradar/conf/trusted_certificates/ hinzufügen.

      openssl s_client -showcerts -connect <bootstrap_server>:9092 < /dev/null | openssl x509 -outform DER > <certificate_name>.der
      

      

      

6. Klicken Sie auf Änderungen bereitstellen, damit die Änderungen wirksam werden.

   

7. Klicken Sie in QRadar-Logquellenverwaltung auf Anzeigen, um den Status der Logquelle zu prüfen. Der Status muss OK und Verbunden: Warten auf Ereignisse... lauten.

   

   

8. Klicken Sie unter Verwaltung der Logquelle QRadar auf Ereignisse, um die vom OCI-Mandanten aufgenommenen Logs anzuzeigen.

   

   

   Hinweis: Gemäß der Funktionsbeschreibung in der IBM QRadar-Konsole verarbeitet IBM QRadar, wenn das Feature Als Gateway-Logquelle verwenden aktiviert ist, die erfassten Ereignisse über seine Trafficanalyse-Engine, die den Logquellennamen automatisch erkennt und zuweist, häufig als Benutzerdefinierte Regel-Engine-8::Hostname angezeigt wird. Wenn dieses Feature deaktiviert ist, behalten die Ereignisse ihren ursprünglichen Logquellennamen bei, wie Oracle Cloud Infrastructure-Logs. Stellen Sie sicher, dass Sie nach beiden Logquellen filtern, wenn Sie die Logaufnahme aus dem OCI-Mandanten prüfen.

   

9. Wenn die Logs nicht in QRadar angezeigt werden, müssen Sie nach Abschluss aller Schritte möglicherweise die folgenden Aktionen ausführen:

   1. Starten Sie den Ingress-Service neu (falls möglich). Wenn Sie den Ingress-Service neu starten, kann das Problem möglicherweise behoben werden. Wenden Sie sich jedoch an Ihren Administrator, oder bewerten Sie die möglichen Auswirkungen auf Ihre Umgebung, bevor Sie den folgenden Befehl ausführen.

      systemctl restart ecs-ec-ingress
      

   2. Deaktivieren Sie die Logquelle, und aktivieren Sie sie erneut.

Nächste Schritte

Dieses Tutorial hat den Prozess der Integration von OCI und IBM QRadar demonstriert. Auf der Seite "Sicherheitsinformationen und Ereignismanagement" (SIEM) müssen Dashboards definiert werden, um kritische Metriken zu erfassen und Alerts so zu konfigurieren, dass sie ausgelöst werden, wenn vordefinierte Schwellenwerte überschritten werden. Darüber hinaus ist die Definition bestimmter Abfragen entscheidend, um böswillige Aktivitäten zu erkennen und Muster in Ihrem OCI-Mandanten zu identifizieren. Diese Aktionen verbessern Ihren Sicherheitsstatus und ermöglichen eine proaktive Überwachung Ihrer Cloud-Umgebung.

Verwandte Links

• Ankündigung der OCI Observability and Management Platform

Danksagungen

• Autor - Chaitanya Chintala (Cloud Security Advisor), Gunasekar Ranganathan (Principal Cloud Architect)

Weitere Lernressourcen

Lernen Sie andere Übungen auf docs.oracle.com/learn kennen, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube Channel zu. Außerdem können Sie education.oracle.com/learning-explorer besuchen, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Move Logs from Oracle Cloud Infrastructure to IBM QRadar

G10223-02

September 2024

Copyright ©2024,

Oracle und/oder verbundene Unternehmen.