Nota:

• Este tutorial requiere acceso a Oracle Cloud. Para registrarse en una cuenta gratuita, consulte Introducción a la capa gratuita de Oracle Cloud Infrastructure.
• Utiliza valores de ejemplo para las credenciales, el arrendamiento y los compartimentos de Oracle Cloud Infrastructure. Al finalizar el laboratorio, sustituya estos valores por otros específicos de su entorno en la nube.

Enviar logs de Oracle Cloud Infrastructure a Microsoft Azure Sentinel mediante el servicio OCI Streaming

Introducción

Los servicios de plataforma de observabilidad y gestión de Oracle permiten a los clientes supervisar, analizar y gestionar entornos de infraestructura y aplicaciones multinube con visibilidad de pila completa, análisis predefinidos y automatización. El servicio Oracle Cloud Infrastructure Streaming proporciona una solución duradera, escalable y gestionada para la ingestión y el consumo de flujos de datos de gran volumen en tiempo real. Los datos de flujo se cifran tanto estáticos como en tránsito.

Microsoft Azure Sentinel es una plataforma de gestión de eventos e información de seguridad nativa en la nube (SIEM) proporcionada por Microsoft Azure. En este tutorial, analizaremos el proceso de transferencia de logs de auditoría de OCI a Sentinel de Microsoft Azure mediante el servicio Oracle Cloud Infrastructure Streaming (OCI Streaming).

Objetivo

Transfiera logs de auditoría de OCI a Microsoft Azure Sentinel mediante el servicio OCI Streaming.

Requisitos

• Acceso al arrendamiento de OCI
• Privilegios para gestionar flujos, logs, hub de conector de servicio en OCI
• Acceso al arrendamiento de Azure
• Privilegios para activar y configurar Azure Sentinel

Tarea 1: Generación de una clave de firma de API en OCI

El par de claves pública/privada de API se puede generar mediante la consola de OCI. Si ya tiene un par de claves, puede cargar la clave pública.

• En la página de llegada de OCI, vaya a Perfil, Configuración de usuario, Claves de API, Agregar clave de API.

• Después de agregar la clave, se genera un fragmento de vista previa del archivo de configuración. Necesitaremos estos detalles para autenticar la aplicación Azure para recuperar mensajes de OCI Stream.

Tarea 2: Creación de un flujo en OCI

1. Para crear un flujo, en la página inicial de OCI, vaya a Análisis e IA, Mensajería y Flujo.

2. Haga clic en Pools de flujos y cree un pool de flujos público. Para el cifrado, puede utilizar claves gestionadas por Oracle o seleccionar una clave de un almacén al que tenga acceso.

   

   

3. Haga clic en Flujos, Crear flujo. Especifique los detalles de compartimento necesarios. Seleccione el pool de flujos que hemos creado en el paso 2. La configuración de flujo se puede dejar para utilizar valores por defecto.

   

Tarea 3: Creación de un hub de conector de servicio en OCI

OCI Service Connector Hub ayuda a transferir datos entre servicios dentro de OCI. Crearemos un conector de servicio para transferir logs de auditoría del servicio OCI Logging a OCI Streaming.

1. Haga clic en el menú de navegación y seleccione Observabilidad y gestión, Registro, Conector de servicio, Crear conector de servicio.

2. Proporcione los detalles necesarios. El origen debe ser "Registro" y el destino debe ser "Transmisión".

3. Seleccione Auditoría para el grupo de logs.

   Nota: En el ámbito de este tutorial, solo enviamos logs de auditoría a Sentinel. Los logs de auditoría están activados por defecto en cada compartimento. Si es necesario transferir otros logs del servicio OCI o logs personalizados, consulte la documentación de Registro de OCI para que el proceso los active y utilice.

4. De manera opcional, puede proporcionar un filtro de log para enviar solo los tipos de log seleccionados.

5. En Configurar destino, seleccione el flujo que hemos creado.

6. Cree las políticas por defecto que aparecen en la pantalla y haga clic en Crear.

   

   

   

El conector de servicio y el flujo en OCI están listos. A continuación, configuraremos Azure Sentinel para extraer logs de este flujo.

Tarea 4: Activar Microsoft Sentinel e instalar la solución OCI desde el hub de contenido

1. El primer paso es agregar Microsoft Sentinel a un espacio de trabajo existente o crear uno nuevo. Consulte la documentación de inicio rápido de Centinel para conocer los requisitos y permisos.

2. Conéctese al portal de Azure.

3. Busque y seleccione Microsoft Sentinel, seleccione Agregar, seleccione el espacio de trabajo Agregar Microsoft Sentinel.

4. En Sentinel, seleccione Hub de contenido. Busque la solución de Oracle Cloud Infrastructure y haga clic en Instalar.

   

Tarea 5: Configuración del conector de datos: Oracle Cloud Infrastructure (con funciones de Azure)

1. Una vez instalada la solución OCI, haga clic en Gestionar.

2. Seleccione el conector de datos Oracle Cloud Infrastructure (con funciones de Azure), abra la página de conector. Inicialmente se muestra como desconectado.

   

   

3. En el lado derecho, seleccione el botón Desplegar en Azure. Complete todos los detalles.

   • Puede encontrar ID de espacio de trabajo de Microsoft Sentinel y clave compartida en la página del conector de datos. Los valores de usuario, huella, arrendamiento y región se pueden recuperar del fragmento de vista previa del archivo de configuración de OCI.

   • Nota: En la consola de OCI, haga clic en los tres puntos situados a la derecha de la huella necesaria para obtener una vista previa del fragmento de archivo de configuración correspondiente.

   • Puede recuperar el punto final de mensaje y el ocid de flujo en la información de flujo para el flujo que hemos creado en OCI.

   • Una vez completados todos los detalles, seleccione la casilla de control: Acepto las condiciones indicadas anteriormente y haga clic en Compra para desplegar.

     

4. Tras el despliegue, se crea automáticamente una aplicación de función de Azure. Puede verificar el estado de ejecución de la aplicación. El conector de datos aparece como "conectado" después de un tiempo.

   • Para ver los logs, vaya a Sentinel, Logs, Tablas y Tablas personalizadas.

   • Haga doble clic en OCI_Logs_CL (tabla personalizada creada por la aplicación de función Azure) para que la tabla aparezca en el espacio de consulta. Seleccione el "período de tiempo" y haga clic en Ejecutar. Ahora puede ver y gestionar los logs de OCI en Sentinel.

     

Enlaces relacionados

• Oracle Cloud Infrastructure Streaming

• Hub de conector de servicio de OCI

Agradecimientos

Autor: Lasya Vadavalli (ingeniero sénior de la nube-IaaS)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre los productos, visite Oracle Help Center.

---

Título e Información de Copyright

Send Oracle Cloud Infrastructure logs to Microsoft Azure Sentinel using OCI Streaming service

F84624-01

July 2023

Copyright © 2023, Oracle and/or its affiliates.