Note:

• Este tutorial requiere acceso a Oracle Cloud. Para registrarse en una cuenta gratuita, consulte Introducción a la cuenta gratuita de Oracle Cloud Infrastructure.
• Utiliza valores de ejemplo para credenciales, arrendamiento y compartimentos de Oracle Cloud Infrastructure. Al completar el laboratorio, sustituya estos valores por otros específicos de su entorno en la nube.

Traslado de logs de Oracle Cloud Infrastructure a IBM QRadar

Introducción

Oracle Cloud Infrastructure (OCI) es una infraestructura como servicio (IaaS) y una plataforma como servicio (PaaS) en las que confían las empresas a gran escala. Ofrece una amplia gama de servicios gestionados que incluyen alojamiento, almacenamiento, redes, bases de datos, etc.

La plataforma OCI Observability and Management está diseñada para alinearse con las preferencias de nuestros clientes. Muchos han adoptado prácticas operativas establecidas utilizando herramientas de observabilidad de terceros. Nuestro objetivo es garantizar una integración perfecta con estas herramientas, lo que permite a nuestros clientes aprovechar sus inversiones existentes junto con OCI.

En este tutorial, le mostraremos cómo puede mover logs de OCI a IBM QRadar.

Ahora, veamos la representación de alto nivel de la arquitectura de la solución como se muestra en la siguiente imagen.

OCI Connector Hub lee los datos de log de OCI Logging y envía los logs al servicio OCI Streaming. IBM QRadar tiene un consumidor de Kafka integrado que se puede conectar con el servicio OCI Streaming para leer estos datos.

Objetivos

• Mueva los logs de Oracle Cloud Infrastructure a IBM QRadar.

Requisitos

• Los usuarios de OCI deben tener las políticas necesarias para que los servicios OCI Streaming, OCI Connector Hub y OCI Logging gestionen los recursos. Para obtener una referencia de política de todos los servicios, consulte Referencia de política.

Tarea 1: Configuración de los logs para capturar

El servicio OCI Logging es un panel único altamente escalable y totalmente gestionado para todos los logs del arrendamiento. OCI Logging proporciona acceso a logs de recursos de OCI. Un log es un recurso de OCI de primera clase que almacena y captura eventos de log recopilados en un contexto determinado. Un grupo de logs es una recopilación de logs almacenados en un compartimento. Los grupos de logs son contenedores lógicos de logs. Utilice grupos de logs para organizar y optimizar la gestión de logs aplicando la política de Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) o agrupando logs para el análisis.

Para empezar, active un log para un recurso. Los servicios proporcionan categorías de log para los diferentes tipos de logs disponibles para los recursos. Por ejemplo, el servicio OCI Object Storage soporta las siguientes categorías de log para cubos de almacenamiento: eventos de acceso de lectura y escritura. Los eventos de acceso de lectura capturan eventos de descarga, mientras que los eventos de acceso de escritura capturan eventos de escritura. Cada servicio puede tener diferentes categorías de log para los recursos.

1. Conéctese a la consola de OCI, vaya a Observability & Management, Logging y Log Groups.

2. Seleccione el compartimento, haga clic en Crear grupo de logs e introduzca la siguiente información.

   • Nombre: introduzca QRadar_log_group.
   • Descripción (Opcional): introduzca la descripción.
   • Etiquetas (Opcional): introduzca las etiquetas.

3. Haga clic en Crear para crear un nuevo grupo de logs.

4. En Recursos, haga clic en Logs.

5. Haga clic en Crear log personalizado o en Activar log de servicio como desee.

   Por ejemplo, para activar los logs de escritura para un cubo de OCI Object Storage, siga estos pasos:

   1. Haga clic en Activar log de servicio.

   2. Seleccione el compartimento de recursos e introduzca Object Storage en Buscar servicios.

   3. Haga clic en Activar logs y seleccione el nombre del cubo de OCI Object Storage en el recurso.

   4. Seleccione el grupo de logs (QRadar_log_group) creado en la tarea 1.2 y Escribir eventos de acceso en la categoría de log. Opcionalmente, introduzca QRadar_bucket_write como Nombre de log.

   5. Haga clic en Activar para crear el nuevo log de OCI.

Tarea 2: Creación de un flujo mediante OCI Streaming

El servicio OCI Streaming es una plataforma de transmisión de eventos en tiempo real, sin servidor y compatible con Apache Kafka para desarrolladores y científicos de datos. Proporciona una solución duradera, escalable y totalmente gestionada para ingerir y consumir flujos de datos de gran volumen en tiempo real, como logs. Podemos utilizar OCI Streaming para cualquier caso de uso en el que se produzcan y procesen datos de forma continua y secuencial en un modelo de mensajería de publicación-suscripción.

1. Vaya a la consola de OCI, vaya a Análisis e IA, Mensajería y Streaming.

2. Haga clic en Crear flujo para crear el flujo.

3. Introduzca la siguiente información y haga clic en Crear.

   • Nombre: introduzca el nombre del flujo. Para este tutorial, es Qradar_Stream.
   • Pool de flujos: seleccione el pool de flujos existente o cree uno nuevo con punto final público.
   • Retención (en horas): introduzca el número de horas de retención de los mensajes en este flujo.
   • Número de particiones: introduzca el número de particiones para el flujo.
   • Ratio total de escrituras y Ratio total de lecturas: introduzca el valor en función de la cantidad de datos que necesita procesar.

   Puede comenzar con valores por defecto para la prueba. Para obtener más información, consulte Partición de un flujo.

Tarea 3: Configuración de un hub de conector de OCI

OCI Connector Hub organiza el movimiento de datos entre servicios de OCI. OCI Connector Hub proporciona un lugar central para describir, ejecutar y supervisar los movimientos de datos entre servicios, como OCI Logging, OCI Object Storage, OCI Streaming, OCI Logging Analytics y OCI Monitoring. También puede activar OCI Functions para el procesamiento de datos ligero y OCI Notifications para configurar alertas.

1. Vaya a la consola de OCI, vaya a Observación y gestión, Registro y Conectores.

2. Haga clic en Crear conector para crear el conector.

3. Introduzca la siguiente información.

   • Nombre: introduzca QRadar_SC.
   • Descripción (Opcional): introduzca la descripción.
   • Compartment: seleccione el compartimento.
   • Origen: seleccione Logging.
   • Destino: seleccione Streaming.

4. En Configurar conexión de origen, seleccione un nombre de compartimento, un grupo de logs y un log (grupo de logs y log creados en la tarea 1).

5. Si también desea enviar Logs de auditoría, haga clic en Log +Another y seleccione el mismo compartimento al sustituir _Audit como grupo de logs.

6. En Configurar destino, seleccione un compartimento y un flujo (flujo creado en la tarea 2).

7. Para aceptar políticas por defecto, haga clic en el enlace Crear proporcionado para cada política por defecto. Las políticas por defecto se ofrecen para cualquier autorización necesaria para que este conector acceda a los servicios de origen, tarea y destino.

8. Haga clic en Crear.

Tarea 4: Configuración del control de acceso para IBM QRadar para recuperar logs

Para permitir que IBM QRadar acceda a los datos de un flujo de OCI, cree un usuario y otorgue permisos de recuperación de flujos para recuperar logs.

1. Crear un usuario de OCI. Para obtener más información, consulte Gestión de usuarios.

2. Cree un grupo de OCI denominado QRadar_User_Group y agregue el usuario de OCI al grupo. Para obtener más información, consulte Gestión de Grupos.

3. Cree la siguiente política de OCI IAM.

   Allow group <QRadar_User_Group> to use stream-pull in compartment <compartment_of_stream>
   

Tarea 5: Configuración de IBM QRadar

1. Inicie sesión en la consola QRadar de IBM y haga clic en Admin (Administrador) y QRadar Log Source Management (Gestión de orígenes de log).

   

2. Haga clic en Nuevo origen de log y seleccione Origen de log único.

   

   

3. Seleccione Tipo de Origen de Log como DSM Universal, Tipo de Protocolo como Apache Kafka y haga clic en Configurar Parámetros de Origen de Log.

   

   

4. En la ventana Configurar Parámetros de Origen de Log, introduzca los parámetros según los requisitos y el entorno y haga clic en Configurar Parámetros de Protocolo. Este paso es específico de su caso de uso y se explica por sí mismo.

   

5. Los parámetros de la sección Configurar parámetros de protocolo se pueden encontrar en la consola de OCI. Introduzca los siguientes parámetros y haga clic en Finalizar.

   1. Vaya a la consola de OCI, vaya a Inicio, Flujo, Pools de flujos, Detalles de pool de flujos y haga clic en Configuración de conexión de Kafka. Puede encontrar los detalles del servidor de inicialización de datos y el nombre de usuario. La contraseña es el token de autenticación del usuario.

      

   2. La lista de temas es el nombre de flujo.

      

   3. Desactive Usar Autenticación de Cliente. Cuando se utiliza la autenticación SASL sin autenticación de cliente, es necesario colocar una copia del certificado de servidor en /opt/qradar/conf/trusted_certificates/.

      Para copiar un certificado en el directorio /opt/qradar/conf/trusted_certificates, seleccione una de las siguientes opciones:

      a. Utilice SSH para conectarse a la consola o al host gestionado QRadar y recuperar el certificado escribiendo el siguiente comando.

      /opt/qradar/bin/getcert.sh <FQDN of Streaming Endpoint>
      

      Un certificado se descarga del nombre de host o la dirección IP especificados y se coloca en el directorio /opt/qradar/conf/trusted_certificates con el formato adecuado.

      b. También puede utilizar el siguiente comando para recuperar el certificado de servidor y agregarlo a la ubicación /opt/qradar/conf/trusted_certificates/.

      openssl s_client -showcerts -connect <bootstrap_server>:9092 < /dev/null | openssl x509 -outform DER > <certificate_name>.der
      

      

      

6. Haga clic en Desplegar cambios para que se apliquen los cambios.

   

7. En Gestión de origen de log QRadar, haga clic en Ver para comprobar el estado del origen de log. El estado debe ser Aceptar y Conectado: Esperando eventos....

   

   

8. En QRadar Log Source Management, haga clic en Eventos para ver los logs ingeridos desde el arrendamiento de OCI.

   

   

   Nota: Según la descripción de la función en la consola QRadar de IBM, cuando la función Usar como origen de log de gateway está activada, IBM QRadar procesa los eventos recopilados a través de su motor de análisis de tráfico, que detecta y asigna automáticamente el nombre de origen de log, que suele aparecer como Custom Rule Engine-8::Hostname. Cuando esta función está desactivada, los eventos conservan su nombre de origen de log original, como Logs de Oracle Cloud Infrastructure. Asegúrese de filtrar por ambos orígenes de log al verificar la ingesta de logs desde el arrendamiento de OCI.

   

9. Después de completar todos los pasos, si los logs no aparecen en QRadar, puede que necesite realizar las siguientes acciones:

   1. Reinicie el servicio de entrada (si es posible). El reinicio del servicio de entrada puede ayudar a resolver el problema. Sin embargo, consulte al administrador o evalúe el posible impacto en el entorno antes de ejecutar el siguiente comando.

      systemctl restart ecs-ec-ingress
      

   2. Desactive y vuelva a activar el origen de log.

Pasos Siguientes

En este tutorial se ha demostrado el proceso de integración de OCI e IBM QRadar. En el lado de la información de seguridad y la gestión de eventos (SIEM), es esencial definir paneles de control para capturar métricas críticas y configurar alertas para que se disparen cuando se superen los umbrales predefinidos. Además, la definición de consultas específicas es crucial para detectar actividades maliciosas e identificar patrones dentro de tu arrendamiento de OCI. Estas acciones mejorarán aún más su estrategia de seguridad y permitirán un control proactivo de su entorno en la nube.

Enlaces relacionados

• Presentación de la plataforma de observación y gestión de OCI

Agradecimientos

• Autor: Chaitanya Chintala (Asesor de seguridad en la nube), Gunasekar Ranganathan (Arquitecto principal de la nube)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en Oracle Learning Explorer.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Move Logs from Oracle Cloud Infrastructure to IBM QRadar

G10231-02

September 2024

Copyright ©2024,

Oracle y/o sus filiales.