Conseils de conception pour l'intégration d'un système SIEM

La défense en profondeur est une approche multicouche de la sécurité qui aide à protéger les données en utilisant différents types de mesure de sécurité. Si une couche de défense échoue ou est compromise, d'autres types de mesure atténuent l'attaque et deviennent opérationnelles. Par exemple, si vous enregistrez vos données dans plusieurs coffres-forts avec différents types de mesure de sécurité tels que la biométrie, l'accès par le réseau et l'authentification, chaque couche de sécurité vous rassure quant à la protection de vos données. Pour chaque couche, il existe un système de surveillance potentiel qui fournit une vue complète de l'état de sécurité de votre coffre-fort.

De même, lors de l'application de ce concept à la protection des systèmes informatiques, la défense en profondeur protège toutes les couches de vos systèmes. Par exemple, le cadre de défense en profondeur protège les ordinateurs portables des employés, les utilisateurs et leur identité, les réseaux qui connectent les systèmes et les applications qui protègent vos données.

Une plate-forme SIEM est requise pour améliorer la réactivité face aux attaques de sécurité. Grâce aux systèmes SIEM, vous pouvez surveiller les événements de sécurité provenant de différentes sources, y compris les réseaux, les appareils et les identités. Vous pouvez également analyser ces signaux en temps réel à l'aide de l'apprentissage automatique pour corréler différents signaux et identifier les activités de piratage menaçantes et les événements de sécurité anormaux qui traversent le réseau. Plusieurs systèmes SIEM de tierce partie sont disponibles pour l'intégration avec les journaux et les événements produits dans OCI. Si votre plate-forme SIEM n'est pas prise en charge, nous vous recommandons de communiquer avec votre représentant Oracle pour obtenir du soutien.

Lorsque vous intégrez des systèmes de surveillance avec OCI, vous pouvez consolider les journaux générés dans le service de journalisation pour OCI. Le service de journalisation fournit un accès à tous les journaux des ressources OCI, gère entièrement tous les journaux de votre location et est hautement évolutif. Les journaux comprennent des informations de diagnostic critiques qui décrivent la performance des ressources et leur mode d'accès.

Les types de journal sont les suivants :

• Journaux du service de vérification : Journaux liés aux événements émis par le service Vérification pour OCI.
• Journaux de service : : Émis par les services OCI natifs, tels que Passerelle d'API, Événements, Fonctions, Équilibrage de charge, Stockage d'objets et les journaux des flux dans le réseau en nuage virtuel. Chacun de ces services pris en charge comporte des catégories de journalisation prédéfinies que vous pouvez activer ou désactiver pour vos ressources respectives.
• Journaux personnalisés : Journaux contenant des informations de diagnostic provenant d'applications personnalisées, d'autres fournisseurs de services infonuagiques ou d'un environnement sur place. Les journaux personnalisés peuvent être ingérés au moyen de l'API ou en configurant l'agent unifié de surveillance. Vous pouvez configurer une instance du service de calcul OCI pour charger directement les journaux personnalisés au moyen de l'agent de surveillance unifiée. Les journaux personnalisés sont pris en charge dans les scénarios de machine virtuelle et sans système d'exploitation.

Pour plus d'informations sur la consolidation des journaux à l'aide du service de journalisation et du centre de connecteurs de service OCI, voir Consolidation des journaux de sécurité dans la zone d'atterrissage OCI CIS.

À titre de meilleure pratique, saisissez également les événements générés par le service Protection d'infrastructure en nuage pour obtenir suffisamment de données détaillées à envoyer à votre plate-forme SIEM. Ce processus vous aide à vous préparer aux problèmes de sécurité potentiels.

Pour plus d'informations sur l'exportation des événements générés par le service de protection d'infrastructure en nuage, voir Intégrer le service de protection d'infrastructure en nuage aux systèmes externes à l'aide d'événements et de fonctions OCI.

Dans une architecture de référence SIEM de tierce partie, le service de journalisation saisit les journaux de différentes sources, notamment les journaux de vérification, les journaux de service (journaux de flux de VCN) et les journaux personnalisés. Il existe un flux distinct pour chaque journal, et chaque journal est connecté à son flux à l'aide d'un centre de connecteurs de service qui écrit les journaux dans le service de diffusion en continu pour OCI. En parallèle, les événements générés par le service de protection d'infrastructure en nuage sont collectés et normalisés au moyen d'une fonction OCI qui écrit les événements dans le service de diffusion en continu.

Le service de diffusion en continu OCI peut ensuite interagir avec une plate-forme SIEM de tierce partie, telle que Splunk ou QRadar, qui collecte les données diffusées en continu pour effectuer une analyse approfondie. Pour un exemple, voir Mettre en oeuvre un système SIEM dans Splunk à l'aide des journaux diffusés en continu depuis Oracle Cloud.

L'architecture de référence SIEM comprend les composants ci-dessous.

région

Une région OCI est une zone géographique localisée qui contient un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres, et de grandes distances peuvent séparer des régions d'un pays ou d'un continent à l'autre.

domaine de disponibilité

Les domaines de disponibilité sont des centres de données indépendants et autonomes dans une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui garantit la tolérance aux pannes. Les domaines de disponibilité ne partagent pas les éléments d'infrastructure (alimentation ou refroidissement, par exemple) ni le réseau de domaines de disponibilité interne. Par conséquent, il est peu probable qu'une défaillance qui touche un domaine de disponibilité ait une incidence sur les autres domaines de disponibilité de la région.

réseau en nuage virtuel et sous-réseaux

Un réseau en nuage virtuel (VCN) est un réseau défini par logiciel personnalisable, configuré dans une région OCI. Comme les réseaux de centre de données traditionnels, les réseaux en nuage virtuels vous offrent un contrôle complet sur votre environnement de réseau. Un VCN peut disposer de plusieurs blocs CIDR sans chevauchement que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, dont la portée peut concerner une région ou un domaine de disponibilité. Un sous-réseau est constitué d'un intervalle contigu d'adresses qui ne chevauchent pas les autres sous-réseaux dans le réseau en nuage virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

Journalisation

Le service de journalisation est un service évolutif entièrement géré qui permet d'accéder aux journaux à partir de vos ressources en nuage. Les types de journal sont les suivants : journaux de vérification, journaux de service et journaux personnalisés.

Diffusion en continu

Le service de diffusion en continu fournit un stockage entièrement géré, évolutif et durable pour l'ingestion des flux de données en continu à volume élevé que vous consommez et traitez en temps réel. Vous pouvez utiliser le service de diffusion en continu pour l'ingestion de gros volumes de données, tels que les journaux d'application, les données de télémétrie opérationnelle, les données de flux liés aux clics Web, ou pour d'autres cas d'utilisation où les données sont produites et traitées en continu et séquentiellement dans un modèle de messagerie de type publication-abonnement.

Centre de connecteurs de service

Le centre de connecteurs de service est une plate-forme de bus de messages en nuage qui orchestre le déplacement des données entre les services dans OCI. Vous pouvez utiliser cette plate-forme pour déplacer des données entre des services OCI. Les données sont déplacées à l'aide des connecteurs de service. Un connecteur de service indique le service source qui contient les données à déplacer, les tâches à effectuer sur les données et le service cible auquel les données doivent être livrées une fois les tâches terminées.

Service de protection d'infrastructure en nuage

Le service Protection d'infrastructure en nuage vous aide à surveiller, identifier, atteindre et maintenir un niveau élevé de sécurité dans Oracle Cloud. Utilisez ce service pour rechercher dans vos ressources OCI des points faibles en matière de sécurité liés à la configuration, ainsi que des activités risquées effectuées par vos opérateurs et utilisateurs. Lors de la détection, le service de protection d'infrastructure en nuage peut suggérer, aider ou prendre des mesures correctives, en fonction de votre configuration.