À propos du service de diffusion en continu des journaux OCI à l'aide du service de diffusion en continu pour OCI vers LogRhythm Kafka Beat

Transmettez les données de journalisation d'Oracle Cloud Infrastructure (OCI) à LogRhythm SIEM (gestion des informations de sécurité et des événements) pour tirer parti des capacités d'un système SIEM, telles que la corrélation des événements, la gestion des incidents de sécurité et les exigences de conformité. Dans cette solution, nous expliquons comment intégrer les journaux OCI à LogRhythm SIEM à l'aide du service de diffusion en continu pour OCI et du collecteur ouvert Kafka Beat.

Étapes préliminaires

Avant de commencer à intégrer le service de journalisation OCI à LogRhythm SIEM, validez les versions prises en charge à utiliser avec Kafka Open Collector et Kafka Beat pour LogRhythm dans le guide de l'utilisateur et de l'installation d'Open Collector.

Consulter la documentation

Avant de commencer, vérifiez que vous connaissez bien les ressources suivantes :

Centre de connecteurs OCI :

• Création d'un flux
• Création d'un groupe de flux
• Création d'un connecteur avec une source de journalisation
• Aperçu du centre de connecteurs

LogRhythm:

• LogRhythm Ouvrir l'installation et le guide de l'utilisateur du collecteur
• LogRhythm Types de source de journaux pris en charge
• Initialiser Kafka Beat

Architecture

Dans une architecture de référence SIEM de tierce partie, le service de journalisation pour OCI saisit les journaux de différentes sources, notamment les journaux de vérification, les journaux de service et les journaux personnalisés. Le service de journalisation OCI est connecté au flux à l'aide d'un concentrateur de connecteurs de service qui écrit les journaux dans le service de diffusion en continu pour OCI.

Le service de diffusion en continu pour OCI prend en charge la connexion Kafka à l'aide de l'ensemble de tests de connexion. Kafka Connect utilise des connecteurs sink et source pour déplacer des données à partir de rubriques Kafka ou pour envoyer des données vers des rubriques Kafka.

Il peut ensuite interagir avec une plate-forme SIEM de tierce partie, telle que LogRhythm, qui collecte les données en continu pour effectuer une analyse approfondie. Nous utilisons le collecteur ouvert LogRhythm pour la battement de Kafka pour déplacer des données du service de flux Oracle vers LogRhythm.

Le diagramme suivant illustre le flux de travail de cette architecture de référence.

Description de l'illustration stream-oci-logs-logrhythm-kafka-beat.png

stream-oci-logs-logrhythm-kafka-beat.zip

Le flux de l'architecture ressemble à :

1. Le centre de connecteurs OCI lit le journal dans le service de journalisation OCI.
2. Le centre de connecteurs OCI écrit les données de journal dans le service de diffusion en continu pour OCI.
3. Kafka Beat Open Collector lit les données du service de diffusion en continu pour OCI.
4. LogRhythm analyse et traite les données pour les activités opérationnelles.

Cette architecture prend en charge les composants suivants :

• Journalisation
  Le service de journalisation est un service hautement évolutif entièrement géré qui permet d'accéder aux types de journal suivants à partir de vos ressources en nuage :

  • Journaux du service de vérification : Journaux liés aux événements émis par le service de vérification.
  • Journaux de service : Journaux émis par des services individuels tels que passerelle d'API, événements, fonctions, équilibreur de charge, stockage d'objets et journaux de flux VCN.
  • Journaux personnalisés : Journaux contenant des informations de diagnostic provenant d'applications personnalisées, d'autres fournisseurs de services infonuagiques ou d'un environnement sur place.
• Connecteurs de service

  Oracle Cloud Infrastructure Connector Hub est une plate-forme de bus de messages en nuage qui orchestre le déplacement des données entre les services dans OCI. Vous pouvez utiliser des connecteurs de service pour déplacer des données d'un service source vers un service cible. Les connecteurs de service vous permettent également de spécifier une tâche (telle qu'une fonction) à exécuter sur les données avant leur transmission au service cible.

  Vous pouvez utiliser Oracle Cloud Infrastructure Connector Hub pour créer rapidement un cadre d'agrégation de journalisation pour les systèmes de gestion des informations et des événements de sécurité (SIEM).

• Flux

  Le service de flux pour Oracle Cloud Infrastructure fournit une solution de stockage entièrement gérée, évolutive et durable pour les flux de données en continu à volume élevé que vous consommez et traitez en temps réel. Vous pouvez utiliser le service de flux pour l'ingestion de gros volumes de données, tels que les journaux d'application, les données de télémétrie opérationnelle, les données de flux liés aux clics Web, ou pour d'autres cas d'utilisation où les données sont produites et traitées en continu et séquentiellement dans un modèle de messagerie de messagerie de type publication-abonnement.

À propos des services et des rôles requis

Cette solution nécessite les services suivants :

• Service de journalisation pour OCI
• Centre de connecteurs OCI
• LogRhythm Ouvrir le collecteur
• LogRhythm Kafka Beat

Il s'agit des rôles nécessaires pour chaque service.

Nom du service : Type de ressource	Obligatoire pour...
Journalisation OCI : log-groups	Créer et gérer des groupes de journaux et des objets de journal.
Centre de connecteurs OCI : ConnectorUsers	Configurer et gérer les connecteurs.
LogRhythm Ouvrir le collecteur	Installez et configurez le collecteur ouvert pour LogRhythm.
LogRhythm Kafka Beat	Configurez et initialisez Kafka Beat.

• Politiques de connexion à OCI
• Politiques du centre de connecteurs OCI

Voir Produits, solutions et services Oracle pour obtenir ce dont vous avez besoin. Voir Initialiser Kafka Beat pour en savoir plus sur les rôles requis de LogRhythm.