Note :

• Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, voir Introduction à l' niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeurs pour les données d'identification, la location et les compartiments Oracle Cloud Infrastructure. À la fin de votre laboratoire, remplacez ces valeurs par celles propres à votre environnement en nuage.

Consolider les journaux entre les locations pour l'intégration SIEM à l'aide des centres de connecteurs interlocation et du flux OCI

Présentation

Oracle Cloud Infrastructure (OCI) est une infrastructure en tant que service (IaaS), une plate-forme en tant que service (PaaS) et un logiciel en tant que service (SaaS) approuvés par des entreprises à grande échelle. Il offre une gamme complète de services gérés comprenant l'hébergement, le stockage, le réseautage, les bases de données et bien plus encore.

La présentation proactive des journaux d'événements liés à la sécurité pour le triage aux ressources appropriées est cruciale pour détecter et prévenir les incidents de cybersécurité. De nombreuses organisations utilisent les plates-formes SIEM (Security Information and Event Management) pour corréler et analyser les journaux et les alertes des ressources pertinentes. La configuration appropriée de la saisie et de la conservation des journaux clés pendant une durée appropriée, ainsi que la surveillance et les alertes en temps quasi réel, permettent aux équipes des opérations de sécurité d'identifier les problèmes, de se concentrer sur les informations critiques en fonction du réglage du système et de prendre les mesures appropriées.

Un modèle de meilleure pratique pour l'ingestion de journaux OCI consiste à envoyer des journaux au flux OCI, qui est compatible avec Apache kafka, ce qui facilite la plate-forme SIEM tierce pour consommer les journaux en tant que consommateur Kafka. Cela réduit le délai, offre la résilience et la conservation en cas de problème temporaire de consommation de données côté SIEM.

Lors de la gestion de plusieurs locations, au lieu d'intégrer chaque région de toutes les locations à la plate-forme SIEM individuellement, vous pouvez consolider les journaux de plusieurs locations sources (SourceTenant(s)) dans une région particulière dans un flux OCI de location unique (TargetTenant) en créant des concentrateurs de connecteur interlocation. La plate-forme SIEM peut ensuite ingérer les journaux de toutes les locations de cette région au moyen du flux TargetTenant.

Note : Le service de centre de connecteurs OCI ne prend pas en charge le centre de connecteurs inter-région pour le moment.

Une représentation de haut niveau de l'architecture de la solution est présentée dans l'image suivante.

Déclarations d'endorme, d'admission et de définition

Pour accéder aux ressources et les partager, les administrateurs des deux locations (SourceTenant(s) et TargetTenant) doivent créer des énoncés de politique interlocation spéciaux indiquant explicitement les ressources accessibles et pouvant être partagées. Ces instructions spéciales utilisent les verbes Endorse, Admit et Define.

Aperçu des verbes spéciaux utilisés dans les énoncés interlocations :

• Endorse : Indique le jeu général de fonctions qu'un groupe/principal de ressource de votre propre location peut exécuter dans d'autres locations.

• Admit : Indique le type de fonction dans votre propre location que vous voulez accorder à un principal de groupe/ressource de l'autre location.

• Define : Affecte un alias à un OCID de location pour les énoncés de politique Endorse et Admit.

Les instructions Endorse et Admit fonctionnent ensemble. Sans une instruction correspondante indiquant l'accès, une instruction Endorse ou Admit particulière n'octroie aucun accès. Les deux locations doivent accepter l'accès.

Note :

• Vous devez définir des énoncés interlocation dans le compartiment racine de la location, et non dans un compartiment enfant.

• Écrivez des politiques interlocation avant de créer le connecteur. Vous devez utiliser la trousse SDK, l'interface de ligne de commande ou l'API OCI pour créer un connecteur interlocation. Dans ce tutoriel, l'interface de ligne de commande (CLI) OCI est utilisée pour créer des concentrateurs de connecteur interlocation.

Objectifs

• Consigner la consolidation entre les locations pour l'intégration SIEM à l'aide de concentrateurs de connecteur interlocation et de flux OCI.

Préalables

• Les utilisateurs dans OCI doivent disposer des politiques requises pour les services de diffusion en continu OCI, de centre de connecteurs OCI et de journalisation OCI pour gérer les ressources. Pour plus d'informations sur les références aux politiques de tous les services, voir Informations de référence sur les politiques.

Tâche 1 : Créer un flux dans TargetTenant

Le service de diffusion en continu pour OCI est une plate-forme de diffusion d'événements compatible avec Apache Kafka, en temps réel et sans serveur, destinée aux développeurs et aux spécialistes des données. Elle fournit une solution entièrement gérée, évolutive et durable pour l'ingestion et la consommation de flux de données à volume élevé en temps réel tels que des journaux. Nous pouvons utiliser le service de flux pour OCI pour tout cas d'utilisation où les données sont produites et traitées en continu et séquentiellement dans un modèle de messagerie de type publication-abonnement.

1. Allez à la console OCI, naviguez jusqu'à Analyse et intelligence artificielle, Messagerie et Diffusion en continu.

2. Cliquez sur Créer un flux pour créer un flux.

3. Entrez les informations suivantes et cliquez sur Créer.

   • Nom : Entrez le nom du flux. Pour ce tutoriel, nous utilisons TargetTenant-Stream.
   • Groupe de flux : Sélectionnez un groupe de flux existant ou créez-en un avec un point d'extrémité public.
   • Conservation (en heures) : Entrez le nombre d'heures de conservation des messages dans ce flux.
   • Nombre de partitions : Entrez le nombre de partitions pour le flux.
   • Taux total d'écriture et Taux total de lecture : Entrez une valeur en fonction de la quantité de données à traiter.

   Vous pouvez commencer par les valeurs par défaut pour les tests. Pour plus d'informations, voir Partitionnement d'un flux.

Tâche 2 : Écrire des politiques dans SourceTenant(s)

Endosser un concentrateur de connecteurs dans le compartiment spécifié de SourceTenant(s) pour accéder à n'importe quel flux dans TargetTenant.

Format de commande :

Define tenancy TargetTenant as <TargetTenant_OCID>

Endorse any-user to use stream-push in tenancy TargetTenant
    where all 
    { 
        request.principal.type='serviceconnector',
        request.principal.compartment.id= <connectorHub-Compartment_OCID> 
    }

Exemple de commande :

Define tenancy TargetTenant as ocid1.tenancy.oc1..aaaaaaaanneylhk3ibxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Endorse any-user to use stream-push in tenancy TargetTenant where all { request.principal.type='serviceconnector', request.principal.compartment.id = 'ocid1.compartment.oc1..aaaaaaaau7xlnyxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx' }

Tâche 3 : Écrire des politiques dans TargetTenant

Admettez le concentrateur de connecteurs de SourceTenant(s) pour accéder au flux dans TargetTenant.

Format de commande :

Define tenancy SourceTenantA as <SourceTenant-A_OCID>

Admit any-user of tenancy SourceTenantA to use stream-push in tenancy
   Where all
   {
   
   request.principal.type='serviceconnector'
   
   }

Exemple de commande :

Define tenancy SourceTenantA as ocid1.tenancy.oc1..aaaaaaaakxcj24xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Admit any-user of tenancy SourceTenantA to use stream-push in tenancy Where all { request.principal.type = 'serviceconnector' }

Tâche 4 : Créer un centre de connecteurs OCI à l'aide de l'interface de ligne de commande dans les SourceTenant

Une fois les politiques requises créées dans SourceTenant(s) et TargetTenant, créez un centre de connecteurs OCI à l'aide de l'interface de ligne de commande dans SourceTenant(s). L'exemple de commande d'interface de ligne de commande suivant spécifie le service de journalisation OCI en tant que source et le service de diffusion en continu OCI en tant que cible pour la création du concentrateur de connecteurs interlocation.

Centre de connecteurs interlocation pour pousser les journaux du service de vérification pour OCI de SourceTenant(s) vers le flux TargetTenant.

Format de commande :

oci sch service-connector create

--display-name <XTenancyConnectorHub-name>

--compartment-id <ConnectorHub-Compartment_OCID>

--source '{ "kind": "logging", "logSources":

[ { "compartmentId": "<SourceTenantA_OCID>",
"logGroupId": "_Audit_Include_Subcompartment" } ] }'

--target '{ "kind": "streaming", "streamId": "<TargetTenant-Stream_OCID>" }'

Exemple de commande :

oci sch service-connector create --display-name XTenancyConnectorHub --compartment-id ocid1.compartment.oc1..aaaaaaaau7xlnyxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx --source '{ "kind": "logging", "logSources": [ { "compartmentId": "ocid1.tenancy.oc1..aaaaaaaakxcj24xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx","logGroupId": "_Audit_Include_Subcompartment" } ] }' --target '{ "kind": "streaming", "streamId": "ocid1.stream.oc1.iad.amaaaaaas4n35vixxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" }'

Centre de connecteurs interlocation pour pousser les journaux de service/personnalisés de SourceTenant(S) vers le flux TargetTenant. Créez un groupe de journaux et activez les journaux requis avant d'exécuter la commande suivante.

Format de commande :

oci sch service-connector create

--display-name <XTenancyConnectorHub-Name>

--compartment-id <ConnectorHub_Compartment_OCID>

--source '{ "kind": "logging", "logSources":

[ { "compartmentId": "<SourceTenantA-LogGroup-Compartment_OCID>",
"logGroupId": "<SourceTenantA-LogGroup_OCID>" } ] }'

--target '{ "kind": "streaming", "streamId": "<TargetTenant-Stream_OCID>" }'

Note : Les énoncés de politique de la tâche 2 et de la tâche 3 et de la commande d'interface de ligne de commande de la tâche 4 sont formatés pour plus de lisibilité. Avant d'utiliser des copies de ces instructions, supprimez les nouvelles lignes, les nouveaux onglets et les nouveaux espaces.

Étapes suivantes

Ce tutoriel a montré comment consolider les journaux de plusieurs locations à l'aide des concentrateurs de connecteur interlocation et du flux OCI. Les plates-formes SIEM de tierce partie doivent être configurées pour consommer ces journaux en tant que consommateurs Kafka. Il est essentiel de configurer des tableaux de bord dans les plates-formes SIEM pour saisir des mesures critiques et configurer des alertes à déclencher lorsque les seuils prédéfinis sont dépassés. En outre, la définition d'interrogations spécifiques est cruciale pour détecter les activités malveillantes et identifier les modèles au sein de vos locations OCI. Ces actions renforceront votre sécurité et permettront une surveillance proactive de votre environnement en nuage.

Liens connexes

• Accès de connecteur interlocation

• Autoriser la collecte de journaux interlocation à partir du service de journalisation OCI

Confirmation

• Auteur - Chaitanya Chintala (service de conseils sur la sécurité en nuage)

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur la page docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal YouTube d'Oracle Learning. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.

---

Titre et droits d'auteur

Consolidate Logs Across Tenancies for SIEM Integration Using Cross-Tenancy Connector Hubs and OCI Stream

G12388-01

August 2024

Copyright ©2024,

Oracle et/ou ses sociétés affiliées.