Note :
- Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, voir Introduction à l' niveau gratuit d'Oracle Cloud Infrastructure.
- Il utilise des exemples de valeurs pour les données d'identification, la location et les compartiments Oracle Cloud Infrastructure. À la fin de votre laboratoire, remplacez ces valeurs par celles propres à votre environnement en nuage.
Déplacer des journaux d'Oracle Cloud Infrastructure vers IBM QRadar
Présentation
Oracle Cloud Infrastructure (OCI) est une infrastructure en tant que service (IaaS) et une plate-forme en tant que service (PaaS) fiables par des entreprises à grande échelle. Il offre une gamme complète de services gérés comprenant l'hébergement, le stockage, le réseau, les bases de données, etc.
La plate-forme OCI Observability and Management est conçue pour s'aligner sur les préférences de nos clients. Beaucoup ont adopté des pratiques opérationnelles établies en utilisant des outils d'observabilité tiers. Notre objectif est d'assurer une intégration transparente avec ces outils, permettant à nos clients de tirer parti de leurs investissements existants aux côtés d'OCI.
Dans ce tutoriel, nous vous expliquerons comment déplacer des journaux d'OCI vers IBM QRadar.
Examinons maintenant la représentation de haut niveau de l'architecture de la solution, comme illustré dans l'image suivante.
Le centre de connecteurs OCI lit les données de journal à partir du service de journalisation OCI et envoie les journaux au service de diffusion en continu OCI. IBM QRadar dispose d'un consommateur Kafka intégré qui peut se connecter au service de diffusion en continu OCI pour lire ces données.
Objectifs
- Déplacez des journaux d'Oracle Cloud Infrastructure vers IBM QRadar.
Préalables
- Les utilisateurs dans OCI doivent disposer des politiques requises pour les services de diffusion en continu, de centre de connecteurs OCI et de journalisation OCI pour gérer les ressources. Pour obtenir des informations de référence sur les politiques de tous les services, voir Informations de référence sur les politiques.
Tâche 1 : Configurer les journaux pour la capture
Le service de journalisation OCI offre une interface unique hautement évolutive et entièrement gérée pour tous les journaux d'une location. Le service de journalisation pour OCI permet d'accéder aux journaux à partir des ressources OCI. Un journal est une ressource OCI de première classe qui stocke et saisit les événements de journal collectés dans un contexte donné. Un groupe de journaux est une collection de journaux stockés dans un compartiment. Les groupes de journaux sont des conteneurs logiques pour les journaux. Utilisez des groupes de journaux pour organiser et rationaliser la gestion des journaux en appliquant la politique ou les journaux de regroupement d'Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) pour analyse.
Pour commencer, activez un journal pour une ressource. Les services fournissent des catégories pour les différents types de journaux disponibles pour les ressources. Par exemple, le service de stockage d'objets OCI prend en charge les catégories de journaux suivantes pour les seaux de stockage : événements d'accès en lecture et en écriture. Les événements d'accès en lecture saisissent les événements de téléchargement, tandis que les événements d'accès en écriture saisissent les événements d'écriture. Chaque service peut avoir différentes catégories de journaux pour les ressources.
-
Connectez-vous à la console OCI, naviguez jusqu'à Observabilité et gestion, Journalisation et Groupes de journaux.
-
Sélectionnez votre compartiment, cliquez sur Créer un groupe de journaux et entrez les informations suivantes.
- Nom : Entrez
QRadar_log_group
. - Description (Facultatif) : Entrez la description.
- Marqueurs (Facultatif) : Entrez les marqueurs.
- Nom : Entrez
-
Cliquez sur Créer pour créer un nouveau groupe de journaux.
-
Sous Ressources, cliquez sur Journaux.
-
Cliquez sur Créer un journal personnalisé ou sur Activer le journal du service, au besoin.
Par exemple, pour activer les journaux d'écriture pour un seau de stockage d'objets OCI, procédez comme suit :
-
Cliquez sur Activer le journal de service.
-
Sélectionnez votre compartiment de ressources et entrez Stockage d'objets dans les services de recherche.
-
Cliquez sur Activer les journaux et sélectionnez le nom du seau de stockage d'objets OCI dans la ressource.
-
Sélectionnez le groupe de journaux (
QRadar_log_group
) créé dans la tâche 1.2 et Écrire des événements d'accès dans la catégorie de journaux. Facultativement, entrezQRadar_bucket_write
comme nom du journal. -
Cliquez sur Activer pour créer votre nouveau journal OCI.
-
Tâche 2 : Créer un flux à l'aide du service de diffusion en continu pour OCI
Le service de diffusion en continu pour OCI est une plate-forme de diffusion d'événements compatible avec Apache Kafka, en temps réel et sans serveur, destinée aux développeurs et aux spécialistes des données. Elle fournit une solution entièrement gérée, évolutive et durable pour l'ingestion et la consommation de flux de données à volume élevé en temps réel tels que les journaux. Nous pouvons utiliser le service de flux pour OCI dans tous les cas d'utilisation où les données sont produites et traitées en continu et séquentiellement dans un modèle de messagerie de type publication-abonnement.
-
Allez à la console OCI, naviguez jusqu'à Analyse et intelligence artificielle, Messagerie et Diffusion en continu.
-
Cliquez sur Créer un flux pour créer un flux.
-
Entrez les informations suivantes et cliquez sur Créer.
- Nom : Entrez le nom du flux. Pour ce tutoriel, il s'agit de
Qradar_Stream
. - Groupe de flux : Sélectionnez un groupe de flux existant ou créez-en un avec un point d'extrémité public.
- Conservation (en heures) : Entrez le nombre d'heures de conservation des messages dans ce flux.
- Nombre de partitions : Entrez le nombre de partitions pour le flux.
- Taux total d'écriture et Taux total de lecture : Entrez une valeur en fonction de la quantité de données à traiter.
Vous pouvez commencer par les valeurs par défaut pour les tests. Pour plus d'informations, voir Partitionnement d'un flux.
- Nom : Entrez le nom du flux. Pour ce tutoriel, il s'agit de
Tâche 3 : Configurer un centre de connecteurs OCI
Le centre de connecteurs OCI orchestre le déplacement des données entre les services dans OCI. Le centre de connecteurs OCI fournit un emplacement central pour décrire, exécuter et surveiller les déplacements de données entre les services, tels que la journalisation OCI, le stockage d'objets OCI, le service de diffusion en continu OCI, OCI Logging Analytics et le service de surveillance OCI. Il peut également déclencher le service des fonctions pour OCI pour le traitement des données légères et le service d'avis pour OCI pour configurer des alertes.
-
Allez à la console OCI, naviguez jusqu'à Observabilité et gestion, Journalisation et Connecteurs.
-
Cliquez sur Créer un connecteur pour le créer.
-
Entrez les informations suivantes .
- Nom : Entrez
QRadar_SC
. - Description (Facultatif) : Entrez la description.
- Compartiment : Sélectionnez votre compartiment.
- Source : Sélectionnez Logging.
- Cible : Sélectionnez Flux.
- Nom : Entrez
-
Sous Configurer la connexion source, sélectionnez un nom de compartiment, un groupe de journaux et un journal (groupe de journaux et journal créés dans la tâche 1).
-
Si vous voulez également envoyer des journaux de vérification, cliquez sur +Another Journal et sélectionnez le même compartiment tout en remplaçant
_Audit
par votre groupe de journaux. -
Sous Configurer la cible, sélectionnez un compartiment et un flux (flux créé lors de la tâche 2).
-
Pour accepter les politiques par défaut, cliquez sur le lien Créer fourni pour chaque politique par défaut. Des politiques par défaut sont proposées pour toute autorisation requise pour que ce connecteur puisse accéder aux services sources, aux tâches et aux services cibles.
-
Cliquez sur Créer.
Tâche 4 : Configurer le contrôle d'accès pour IBM QRadar afin d'extraire les journaux
Pour permettre à IBM QRadar d'accéder aux données d'un flux OCI, créez un utilisateur et accordez des autorisations d'extraction de flux pour l'extraction des journaux.
-
Créez un utilisateur OCI. Pour plus d'informations, voir Gestion des utilisateurs.
-
Créez un groupe OCI nommé
QRadar_User_Group
et ajoutez l'utilisateur OCI au groupe. Pour plus d'informations, voir Gestion des groupes. -
Créez la politique IAM OCI suivante.
Allow group <QRadar_User_Group> to use stream-pull in compartment <compartment_of_stream>
Tâche 5 : Configurer IBM QRadar
-
Connectez-vous à la console IBM QRadar, cliquez sur Admin et sur QRadar Log Source Management.
-
Cliquez sur Nouvelle source de journaux et sélectionnez Une seule source de journaux.
-
Sélectionnez Type de source de journaux comme DSM universel, Type de protocole comme Apache Kafka et cliquez sur Configurer les paramètres de source de journaux.
-
Dans la fenêtre Configurer les paramètres de source de journaux, entrez les paramètres en fonction de vos besoins et de votre environnement, puis cliquez sur Configurer les paramètres de protocole. Cette étape est spécifique à votre cas d'utilisation et explicite.
-
Les paramètres de la section Configurer les paramètres de protocole se trouvent dans la console OCI. Entrez les paramètres suivants et cliquez sur Terminer.
-
Allez à la console OCI, naviguez jusqu'à Accueil, Diffusion en continu, Groupes de flux, Détails du groupe de flux et cliquez sur Paramètres de connexion Kafka. Vous pouvez trouver les détails du serveur d'amorçage et du nom d'utilisateur. Le mot de passe est le jeton d'authentification de l'utilisateur.
-
La liste de sujets est votre nom de flux.
-
Désactivez Utiliser l'authentification de client. Lors de l'utilisation de l'authentification SASL sans authentification du client, une copie du certificat du serveur doit être placée dans
/opt/qradar/conf/trusted_certificates/
.Pour copier un certificat dans le répertoire /opt/qradar/conf/trusted_certificates, sélectionnez l'une des options suivantes :
a. Utilisez SSH pour vous connecter à la console QRadar ou à l'hôte géré et extraire le certificat en entrant la commande suivante.
/opt/qradar/bin/getcert.sh <FQDN of Streaming Endpoint>
Un certificat est téléchargé à partir du nom d'hôte ou de l'adresse IP spécifié et placé dans le répertoire
/opt/qradar/conf/trusted_certificates
dans le format approprié.b. Vous pouvez également utiliser la commande suivante pour extraire le certificat du serveur et l'ajouter à l'emplacement
/opt/qradar/conf/trusted_certificates/
.openssl s_client -showcerts -connect <bootstrap_server>:9092 < /dev/null | openssl x509 -outform DER > <certificate_name>.der
-
-
Cliquez sur Déployer les modifications pour que les modifications prennent effet.
-
Dans Gestion de la source de journaux QRadar, cliquez sur Voir pour vérifier le statut de la source de journaux. Le statut doit être OK et Connecté : En attente d'événements....
-
Dans Gestion de la source de journaux QRadar, cliquez sur Événements pour voir les journaux ingérés à partir de la location OCI.
Note : Conformément à la description de la fonction dans la console IBM QRadar, lorsque la fonction Utiliser en tant que source de journaux de passerelle est activée, IBM QRadar traite les événements collectés au moyen de son moteur d'analyse du trafic, qui détecte et affecte automatiquement le nom de la source de journaux, apparaissant souvent sous Moteur de règles personnalisées - 8 : :Nom d'hôte. Lorsque cette fonction est désactivée, les événements conservent leur nom de source de journaux initial, par exemple Journaux d'Oracle Cloud Infrastructure. Assurez-vous de filtrer les deux sources de journaux lors de la vérification de l'ingestion de journaux à partir de la location OCI.
-
Après avoir effectué toutes les étapes, si les journaux n'apparaissent pas dans QRadar, vous devrez peut-être effectuer les actions suivantes :
-
Redémarrez le service entrant (si possible). Le redémarrage du service entrant peut aider à résoudre le problème. Toutefois, consultez votre administrateur ou évaluez l'impact potentiel sur votre environnement avant d'exécuter la commande suivante.
systemctl restart ecs-ec-ingress
-
Désactivez et réactivez la source de journaux.
-
Étapes suivantes
Ce tutoriel a démontré le processus d'intégration d'OCI et d'IBM QRadar. Du côté de la gestion des informations de sécurité et des événements (SIEM), il est essentiel de définir des tableaux de bord pour saisir des mesures critiques et configurer les alertes à déclencher lorsque les seuils prédéfinis sont dépassés. En outre, la définition d'interrogations spécifiques est cruciale pour détecter les activités malveillantes et identifier les modèles dans votre location OCI. Ces actions renforceront votre sécurité et permettront une surveillance proactive de votre environnement en nuage.
Liens connexes
Confirmation
- Auteur - Chaitanya Chintala (conseiller en sécurité en nuage), Gunasekar Ranganathan (architecte en nuage principal)
Autres ressources d'apprentissage
Explorez d'autres laboratoires sur la page docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal YouTube d'Oracle Learning. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.
Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.
Move Logs from Oracle Cloud Infrastructure to IBM QRadar
G10224-02
September 2024