1. Aggregieren von Oracle Cloud Infrastructure-Servicelogs mit SIEMs von Drittanbietern
  2. Oracle Cloud Infrastructure-Servicelogs mit SIEMs von Drittanbietern aggregieren

Oracle Cloud Infrastructure-Servicelogs mit SIEMs von Drittanbietern aggregieren

Beim Deployment von Workloads in Oracle Cloud Infrastructure (OCI) sind die Aggregation von Oracle Cloud Infrastructure Audit-Logs, -Servicelogs und -Sicherheitsereignissen grundlegende Anforderungen.

Durch die Zentralisierung dieser Daten können Unternehmen ihre Mandanten analysieren, überwachen und sichern. In Sicherheitsanwendungsfällen können Kunden diese Logs an eine Security Information and Event Management-(SIEM-)Plattform senden. Das SIEM-System ist ein wichtiges Betriebstool, das die Sicherheit von Cloud-Ressourcen verwaltet. OCI umfasst native Funktionen zur Erkennung, Vorbeugung und Reaktion von Bedrohungen, mit denen ein effizientes SIEM implementiert werden kann.

Um das Deployment der aggregierten Loginformationen über die Regionen eines Mandanten zu optimieren, können Unternehmen Infrastructure-as-Code-(IaC-)Tools verwenden, einschließlich Terraform und Ansible. Diese IaC-Tools ermöglichen nicht nur agile Entwicklung, DevOps Best Practices sowie kontinuierliche Integration und Bereitstellung (CI/CD), sondern beseitigen auch Hindernisse, wie das manuelle Provisioning von Cloud-Infrastrukturkomponenten. Da IaC modular aufgebaut ist, kann jeder Code geteilt oder kombiniert werden, um mehrere Deployment-Anwendungsfälle zu erfüllen und gleichzeitig Softwareentwicklungszyklen effizienter zu gestalten.

Fragen Sie den Architekten

Wiedergabe der Episode Ask the Architect:

Architektur

Diese Architektur stellt eine ähnliche Topologie in verschiedenen Regionen bereit, um regionsspezifische Protokollegebnisse zu erfassen, die Ergebnisse zu aggregieren und sie auf eine Security Information and Event Management-(SIEM-)Plattform zu streamen.

Das folgende Diagramm veranschaulicht die Gesamtarchitektur. Im Abschnitt "Deployment planen" werden einzelne Ansichten für die Berichts- und Subscriber-Regionen bereitgestellt.


Beschreibung von oci-log-multistream.png folgt
Beschreibung der Abbildung oci-log-multistream.png

OCI-log-multistream-oracle.zip

Die Architektur umfasst die folgenden Komponenten:

  • Mandant

    Ein Mandant ist eine sichere und isolierte Partition, die Oracle in Oracle Cloud einrichtet, wenn Sie sich für Oracle Cloud Infrastructure registrieren. Sie können Ihre Ressourcen in Oracle Cloud in Ihrem Mandanten erstellen, organisieren und verwalten. Ein Mandant ist synonym zu einem Unternehmen oder einer Organisation. In der Regel verfügt ein Unternehmen über einen einzelnen Mandanten und spiegelt dessen Organisationsstruktur in diesem Mandanten wider. Ein einzelner Mandant ist in der Regel mit einem einzelnen Abonnement verknüpft, und ein einzelnes Abonnement hat in der Regel nur einen Mandanten.

  • Region

    Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center enthält, das als Availability-Domains bezeichnet wird. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie voneinander trennen (über Länder oder sogar Kontinente).

  • Identity and Access Management (IAM)

    Oracle Cloud Infrastructure Identity and Access Management (IAM) ist die Zugriffskontrollebene für Oracle Cloud Infrastructure (OCI) und Oracle Cloud Applications. Mit der IAM-API und der Benutzeroberfläche können Sie Identitätsdomains und die Ressourcen innerhalb der Identitätsdomain verwalten. Jede OCI-IAM-Identitätsdomain stellt eine eigenständige Identity and Access Management-Lösung oder eine andere Benutzerpopulation dar.

  • Policy

    Eine Oracle Cloud Infrastructure Identity and Access Management-Policy gibt an, wer auf welche Ressourcen zugreifen kann und wie. Der Zugriff wird auf Gruppen- und Compartment-Ebene erteilt. Sie können also eine Policy schreiben, die einer Gruppe einen bestimmten Zugriffstyp innerhalb eines bestimmten Compartments oder für den Mandanten erteilt.

  • Logging
    Logging ist ein hoch skalierbarer und vollständig verwalteter Service, der Zugriff auf die folgenden Logtypen aus Ihren Ressourcen in der Cloud ermöglicht:
    • Auditlogs: Logs für Ereignisse, die vom Auditservice ausgegeben werden.
    • Servicelogs: Von einzelnen Services ausgegebene Logs, wie API-Gateway, Events, Functions, Load Balancing, Object Storage und VCN-Flowlogs.
    • Benutzerdefinierte Logs: Logs, die Diagnoseinformationen von benutzerdefinierten Anwendungen, anderen Cloud-Providern oder einer On-Premise-Umgebung enthalten.
  • Virtuelles Cloud-Netzwerk (VCN) und Subnetze

    Ein VCN ist ein anpassbares, softwaredefiniertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten. Wie herkömmliche Data Center-Netzwerke erhalten Sie mit VCNs vollständige Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem Bereich zusammenhängender Adressen, die sich nicht mit anderen Subnetzen im VCN überschneiden. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.

  • Sicherheitsliste

    Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Typ des Traffics angeben, der in das und aus dem Subnetz zugelassen werden muss.

  • Routentabelle

    Virtuelle Routentabellen enthalten Regeln, mit denen Traffic von Subnetzen zu Zielen außerhalb eines VCN, normalerweise über Gateways, weitergeleitet wird.

  • Compute

    Mit dem Oracle Cloud Infrastructure Compute-Service können Sie Compute-Hosts in der Cloud bereitstellen und verwalten. Sie können Compute-Instanzen mit Ausprägungen starten, die Ihren Ressourcenanforderungen für CPU, Arbeitsspeicher, Netzwerkbandbreite und Speicher entsprechen. Nachdem Sie eine Compute-Instanz erstellt haben, können Sie sicher auf sie zugreifen, sie neu starten, Volumes anhängen und trennen und beenden, wenn Sie sie nicht mehr benötigen.

  • Object Storage

    Object Storage bietet schnellen Zugriff auf große Mengen strukturierter und unstrukturierter Daten eines beliebigen Inhaltstyps, darunter Datenbankbackups, Analysedaten und umfangreiche Inhalte, wie Bilder und Videos. Sie können Daten sicher und geschützt speichern und dann direkt aus dem Internet oder aus der Cloud-Plattform abrufen. Sie können den Speicher nahtlos skalieren, ohne dass sich die Performance oder Servicezuverlässigkeit verschlechtert. Verwenden Sie Standardspeicher für "Hot"-Speicher, auf den Sie schnell, sofort und häufig zugreifen müssen. Verwenden Sie Archivspeicher für "kalten" Speicher, den Sie über lange Zeiträume aufbewahren und selten oder selten darauf zugreifen.

  • Service-Connectors

    Oracle Cloud Infrastructure Service Connector Hub ist eine Cloud-Nachrichtenbusplattform, die Datenverschiebungen zwischen Services in OCI orchestriert. Sie können damit Daten zwischen Services in Oracle Cloud Infrastructure verschieben. Daten werden mit Service-Connectors verschoben. Ein Service-Connector gibt den Quellservice an, der die zu verschiebenden Daten, die Aufgaben für die Daten und den Zielservice enthält, an den die Daten geliefert werden müssen, wenn die angegebenen Aufgaben abgeschlossen sind.

    Mit Oracle Cloud Infrastructure Service Connector Hub können Sie schnell ein Loggingaggregations-Framework für SIEM-Systeme erstellen. Eine optionale Aufgabe kann eine Funktionsaufgabe sein, mit der Daten aus der Quelle verarbeitet werden, oder eine Logfilteraufgabe, mit der Logdaten aus der Quelle gefiltert werden.

  • Cloud Guard

    Mit Oracle Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in Oracle Cloud Infrastructure überwachen und verwalten. Cloud Guard verwendet Detektorrezepte, die Sie definieren können, um Ihre Ressourcen auf Sicherheitsschwächen zu untersuchen und Operatoren und Benutzer auf riskante Aktivitäten zu überwachen. Wenn eine falsche Konfiguration oder unsichere Aktivität ermittelt wird, empfiehlt Cloud Guard Korrekturmaßnahmen und unterstützt das Ausführen dieser Aktionen basierend auf Responder-Rezepten, die Sie definieren können.

  • Ereignisse

    Oracle Cloud Infrastructure-Services geben Ereignisse aus, bei denen es sich um strukturierte Nachrichten handelt, in denen die Änderungen an Ressourcen beschrieben werden. Ereignisse werden zum Erstellen, Lesen, Aktualisieren oder Löschen (CRUD-)Vorgänge, Änderungen am Lebenszyklusstatus von Ressourcen und Systemereignisse ausgegeben, die sich auf Cloud-Ressourcen auswirken.

  • Audit

    Der Oracle Cloud Infrastructure Audit-Service protokolliert automatisch Aufrufe aller unterstützten Oracle Cloud Infrastructure-Endpunkte der öffentlichen Anwendungsprogrammierschnittstelle (API) als Logereignisse. Derzeit unterstützen alle Services das Logging von Oracle Cloud Infrastructure Audit.

  • Streaming

    Oracle Cloud Infrastructure Streaming bietet eine komplett verwaltete, skalierbare und dauerhafte Speicherlösung zur Aufnahme kontinuierlicher Datenstreams mit hohem Volumen, die Sie in Echtzeit konsumieren und verarbeiten können. Sie können Streaming verwenden, um Daten mit hohem Volumen wie Anwendungslogs, betriebliche Telemetrie, Clickstream-Webdaten oder für andere Anwendungsfälle zu erfassen, bei denen kontinuierlich und nacheinander Daten in einem Publish-Subscribe-Nachrichtenmodell erzeugt und verarbeitet werden.

  • Data Safe

    Oracle Data Safe ist ein vollständig integrierter, regionaler Cloud-Service, der umfassende Funktionen zum Schutz sensibler und regulierter Daten in Oracle-Datenbanken bereitstellt. Data Safe unterstützt auch On-Premise-Datenbanken, Oracle Exadata Database Service on Cloud@Customer und Multi-Cloud-Deployments. Alle Oracle Database-Kunden können das Risiko einer Datenverletzung reduzieren und die Compliance vereinfachen, indem sie mit Oracle Data Safe Konfigurations- und Benutzerrisiken bewerten, Benutzeraktivitäten überwachen und auditieren sowie sensible Daten erkennen, klassifizieren und maskieren.