Hinweis:

Senden Sie Oracle Cloud Infrastructure-Logs mit dem OCI Streaming-Service an Microsoft Azure Sentinel

Einführung

Mit den Plattformservices von Oracle Observability and Management können Kunden Multi-Cloud-Anwendungen und Infrastrukturumgebungen mit Full-Stack-Transparenz, vordefinierten Analysen und Automatisierung überwachen, analysieren und verwalten. Der Oracle Cloud Infrastructure Streaming-Service bietet eine vollständig verwaltete, skalierbare und dauerhafte Lösung zum Aufnehmen und Konsumieren von hochvolumigen Datenströmen in Echtzeit. Streamingdaten werden im Ruhezustand und während der Übertragung verschlüsselt.

Microsoft Azure Sentinel ist eine cloud-native Security Information and Event Management-(SIEM-)Plattform von Microsoft Azure. In diesem Tutorial führen wir mit dem Oracle Cloud Infrastructure Streaming-(OCI Streaming-)Service die Übertragung von OCI-Auditlogs an Microsoft Azure Sentinel durch.

Schaltfläche Bearbeiten

Zielsetzung

Übertragen Sie OCI-Auditlogs mit dem OCI Streaming-Service an Microsoft Azure Sentinel.

Voraussetzungen

Aufgabe 1: API-Signaturschlüssel auf OCI generieren

Das Public/Private-Key-Paar der API kann mit der OCI-Konsole generiert werden. Wenn Sie bereits ein Schlüsselpaar haben, können Sie den Public Key hochladen.

Aufgabe 2: Stream auf OCI erstellen

  1. Um einen Stream zu erstellen, navigieren Sie auf der OCI-Homepage zu Analysen und KI, Messaging, Streaming.

  2. Klicken Sie auf Streampools, und erstellen Sie einen öffentlichen Streampool. Für die Verschlüsselung können Sie entweder von Oracle verwaltete Schlüssel verwenden oder einen Schlüssel aus einem Vault auswählen, auf den Sie Zugriff haben.

    Schaltfläche Bearbeiten

    Schaltfläche Bearbeiten

  3. Klicken Sie auf Streams, Stream erstellen. Geben Sie die erforderlichen Compartment-Details an. Wählen Sie den Streampool aus, den wir in Schritt 2 erstellt haben. Die Stream-Einstellungen können beibehalten werden, um Standardwerte zu verwenden.

    Schaltfläche Bearbeiten

Aufgabe 3: Service Connector Hub auf OCI erstellen

Mit OCI Service Connector Hub können Daten zwischen Services in OCI übertragen werden. Wir erstellen einen Service-Connector für die Übertragung von Auditlogs von OCI Logging Service zu OCI Streaming.

  1. Klicken Sie auf das Navigationsmenü, und wählen Sie Observability and Management, Logging, Service-Connector, Service-Connector erstellen aus.

  2. Geben Sie die erforderlichen Details an. Die Quelle muss "Logging" und das Ziel "Streaming" sein.

  3. Wählen Sie Audit für die Loggruppe aus.

    Hinweis: Im Rahmen dieses Tutorials senden wir nur Auditlogs an Sentinel. Auditlogs sind standardmäßig in jedem Compartment aktiviert. Wenn andere OCI-Servicelogs oder benutzerdefinierte Logs übertragen werden müssen, finden Sie in der OCI-Logging-Dokumentation Informationen zum Aktivieren und Verwenden des Prozesses.

  4. Sie können optional einen Logfilter angeben, um nur ausgewählte Logtypen zu senden.

  5. Wählen Sie unter "Ziel konfigurieren" den erstellten Stream aus.

  6. Erstellen Sie die Standard-Policys, die auf dem Bildschirm angezeigt werden, und klicken Sie auf Erstellen.

    Schaltfläche Bearbeiten

    Schaltfläche Bearbeiten

    Schaltfläche Bearbeiten

Der Service-Connector und der Stream auf OCI sind bereit. Als Nächstes konfigurieren wir Azure Sentinel, um Logs aus diesem Stream abzurufen.

Aufgabe 4: Microsoft Sentinel aktivieren und OCI-Lösung über Content Hub installieren

  1. Der erste Schritt besteht darin, Microsoft Sentinel zu einem vorhandenen Workspace hinzuzufügen oder einen neuen zu erstellen. Voraussetzungen und Berechtigungen finden Sie in der Sentinel Quickstart-Dokumentation.

  2. Melden Sie sich beim Azure-Portal an.

  3. Suchen Sie nach Microsoft Sentinel, und wählen Sie Hinzufügen, wählen Sie den Workspace Microsoft Sentinel hinzufügen aus.

  4. Wählen Sie in Sentinel Content Hub. Suchen Sie nach der Oracle Cloud Infrastructure-Lösung, und klicken Sie auf Installieren.

    Schaltfläche Bearbeiten

Aufgabe 5: Data Connector einrichten: Oracle Cloud Infrastructure (mit Azure Functions)

  1. Klicken Sie nach der Installation der OCI-Lösung auf Verwalten.

  2. Wählen Sie den Data Connector Oracle Cloud Infrastructure (mit Azure Functions) aus, und öffnen Sie die Connector-Seite. Zunächst wird die Verbindung getrennt dargestellt.

    Schaltfläche Bearbeiten

    Schaltfläche Bearbeiten

  3. Klicken Sie auf der rechten Seite auf die Schaltfläche Auf Azure bereitstellen. Geben Sie alle Details ein.

    • Sie finden Microsoft Sentinel-Workspace-ID und Shared Key auf der Seite "Daten-Connector". Benutzer, Fingerprint, Mandant und Regionswerte können aus dem Vorschau-Snippet der OCI-Konfigurationsdatei abgerufen werden.

    • Hinweis: Klicken Sie in der OCI-Konsole auf die drei Punkte rechts neben dem erforderlichen Fingerprint, um eine Vorschau des entsprechenden Konfigurationsdatei-Snippets anzuzeigen.

    • Sie können den Nachrichtenendpunkt und die Stream-OCID unter Streaminformationen für den in OCI erstellten Stream abrufen.

    • Wenn alle Details eingegeben wurden, aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Bedingungen zu, und klicken Sie auf Zum Deployment kaufen.

      Schaltfläche Bearbeiten

  4. Beim Deployment wird automatisch eine Azure-Funktionsanwendung erstellt. Sie können den Ausführungsstatus der Anwendung prüfen. Der Daten-Connector wird nach einiger Zeit als "verbunden" angezeigt.

    • Um die Logs anzuzeigen, navigieren Sie zu Sentinel, Logs, Tabellen, Benutzerdefinierte Tabellen.

    • Doppelklicken Sie auf OCI_Logs_CL (benutzerdefinierte Tabelle, die von der Azure-Funktionsanwendung erstellt wurde), damit die Tabelle im Abfragebaum angezeigt wird. Wählen Sie den "Zeitraum", und klicken Sie auf Ausführen. Sie können die OCI-Logs jetzt in Sentinel anzeigen und verwalten.

      Schaltfläche Bearbeiten

Bestätigungen

Autor - Lasya Vadavalli (Senior Cloud Engineer-IaaS)

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem die Website education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie im Oracle Help Center.