1. Agregue logs de servicio de Oracle Cloud Infrastructure mediante SIEM de terceros
  2. Planificación del Despliegue

Planificación del Despliegue

Planifique una arquitectura que agregue datos de log de varias regiones y los transmita a una plataforma de gestión de eventos e información de seguridad (SIEM).

Diseñar el despliegue

Utilice los siguientes pasos básicos para desplegar una arquitectura que agregue datos de log de Oracle Cloud Infrastructure (OCI).

  1. Diseñar la arquitectura regional

    La arquitectura siguiente agrega logs, logs de servicio y eventos de seguridad de Oracle Cloud Infrastructure Audit de Oracle Cloud Guard y Oracle Data Safe mediante Oracle Cloud Infrastructure Events en la región de informes de Cloud Guard.


    A continuación se muestra la descripción de oci-log-cloud-guard.png
    Descripción de la ilustración oci-log-cloud-guard.png

    oci-log-cloud-guard-oracle.zip

  2. Despliegue la arquitectura entre regiones

    Para asegurarse de que está agregando todos los logs y eventos de seguridad, despliegue una arquitectura similar en todas las regiones a las que está suscrito su arrendamiento. Mientras Oracle Cloud Guard consolida los problemas en la región de informes de Cloud Guard, Oracle Cloud Infrastructure Logging y Oracle Data Safe son servicios regionales que informan desde una región específica.

    A continuación se muestra la arquitectura de una región que no está en la región de informes de Oracle Cloud Guard.


    A continuación se muestra la descripción de oci-log-non-cloud-guard.png
    Descripción de la ilustración oci-log-non-cloud-guard.png

    oci-log-non-cloud-guard-oracle.zip

  3. Configure el SIEM para que lea el flujo de datos en cada región

    Después de configurar cada región, deberá configurar la solución SIEM para que la lea del flujo de OCI en cada región.


    A continuación se muestra la descripción de oci-log-multistream.png
    Descripción de la ilustración oci-log-multistream.png

    oci-log-multistream-oracle.zip

  4. Crear políticas de gestión de acceso para sus SIEM

    Puede leer datos de un flujo de OCI mediante las API de OCI o mediante las API compatibles con Kafka de Oracle Cloud Infrastructure Streaming. Cada API tiene un método de autenticación específico:

    Tipo de Autenticación OCI API API compatible con Kafka
    Clave de firma de API: par de claves RSA en formato PEM (mínimo de 2048 bits) Si  
    Tokens de autenticación: cadenas de token generadas por Oracle para autenticarse con las API de 3a parte Si
    Principal de instancia: función del servicio IAM que permite que las instancias sean actores autorizados (o principales) para realizar acciones en recursos de servicio Si

    Oracle recomienda utilizar un principal de instancia, cuando corresponda, para evitar almacenar tokens de larga duración en su SIEM.

    SIEM necesita los siguientes permisos de Oracle Cloud Infrastructure Identity and Access Management (IAM) para leer desde el flujo de OCI. Para seguir un modelo de privilegio mínimo, utilice la política que se muestra en los siguientes ejemplos:

    • La primera política es para un usuario de OCI IAM:
      Allow group SIEM to use stream-pull in
            compartment      <compartment>
    • La segunda política es para un principal de instancia:
      Allow dynamic-group SIEMInstances to use
            stream-pull in      compartment <compartment>

Consideraciones

Al implantar este diseño de arquitectura, tenga en cuenta lo siguiente:

  • Si el SIEM no tiene soporte nativo de Kafka o un plugin nativo, puede transferir logs al punto final de la API HTTPS del SIEM mediante Oracle Functions. Para ello, agregue otro hub de conector de servicio de Oracle Cloud Infrastructure regional que lea del flujo regional y cuyo destino sea una función.
  • Para garantizar la recopilación de todos los logs de compartimento de Oracle Cloud Infrastructure Audit, utilice el indicador Include _Audit in subcompartments en el compartimento raíz del hub de conector de servicio de OCI.
  • Para recopilar los resultados de Oracle Cloud Guard en todo el arrendamiento, asocie un destino de Oracle Cloud Guard al compartimento raíz. A continuación, cree un evento de Oracle Cloud Guard OCI en el compartimento raíz para capturar todos los hallazgos de Oracle Cloud Guard en el arrendamiento.
  • Para la retención de logs de OCI a largo plazo (almacenamiento en frío), cree un segundo hub de conector de servicio de OCI para leer desde el flujo regional con un cubo de Oracle Cloud Infrastructure Object Storage como destino. Mediante la gestión del ciclo de vida de objetos para gestionar el almacenamiento de objetos y los datos del almacenamiento de archivos, puede reducir los costos de almacenamiento y la cantidad de tiempo que dedica a gestionar los datos manualmente.
  • Utilice Oracle Cloud Infrastructure Monitoring y alarmas para supervisar el tiempo de actividad de ingestión de registros.
  • En la siguiente tabla se muestran algunas herramientas comunes y su patrón:
    Herramientas API de OCI (plugin) Compatible con Kafka Código Función
    Splunk Si
    QRadar Si
    Microsoft Sentinel Si
    Crónica de Google Si
    Datadog Si
    ELK Si
    LogStash Si