Remarques :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction au niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeur pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. A la fin de l'exercice, remplacez ces valeurs par des valeurs propres à votre environnement cloud.

Déplacement de journaux d'Oracle Cloud Infrastructure vers IBM QRadar

Introduction

Oracle Cloud Infrastructure (OCI) est une infrastructure en tant que service (IaaS) et une plate-forme en tant que service (PaaS) approuvées par les grandes entreprises. Il offre une gamme complète de services gérés comprenant l'hébergement, le stockage, la mise en réseau, les bases de données, etc.

La plate-forme OCI Observability and Management est conçue pour s'aligner sur les préférences de nos clients. Beaucoup ont adopté des pratiques opérationnelles établies utilisant des outils d'observabilité tiers. Notre objectif est d'assurer une intégration transparente avec ces outils, permettant à nos clients de tirer parti de leurs investissements existants aux côtés d'OCI.

Dans ce tutoriel, nous vous expliquerons comment déplacer des journaux d'OCI vers IBM QRadar.

Examinons maintenant la représentation de haut niveau de l'architecture de la solution, comme indiqué dans l'image suivante.

OCI Connector Hub lit les données de journal à partir d'OCI Logging et envoie les journaux au service OCI Streaming. IBM QRadar dispose d'un destinataire Kafka intégré qui peut se connecter au service OCI Streaming pour lire ces données.

Objectifs

• Déplacez les journaux d'Oracle Cloud Infrastructure vers IBM QRadar.

Prérequis

• Les utilisateurs dans OCI doivent disposer des stratégies requises pour les services OCI Streaming, OCI Connector Hub et OCI Logging afin de gérer les ressources. Pour obtenir la référence de stratégie de tous les services, reportez-vous à Référence de stratégie.

Tâche 1 : configurer les journaux à capturer

Le service OCI Logging est une interface unique entièrement gérée et hautement évolutive pour tous les journaux de votre location. OCI Logging permet d'accéder aux journaux à partir des ressources OCI. Un journal est une ressource OCI de première classe qui stocke et capture les événements de journal collectés dans un contexte donné. Un groupe de journaux est un ensemble de journaux stockés dans un compartiment. Les groupes de journaux sont des conteneurs logiques pour les journaux. Utilisez des groupes de logs pour organiser et rationaliser la gestion des logs en appliquant une stratégie Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) ou en regroupant les logs à des fins d'analyse.

Pour commencer, activez un journal pour une ressource. Les services fournissent des catégories de journaux pour les différents types de journal disponibles pour les ressources. Par exemple, le service OCI Object Storage prend en charge les catégories de journal suivantes pour les événements d'accès en lecture et en écriture : Les événements d'accès en lecture capturent les événements de téléchargement, tandis que les événements d'accès en écriture capturent les événements d'écriture. Chaque service peut comporter différentes catégories de journal pour les ressources.

1. Connectez-vous à la console OCI, accédez à Observation & gestion, à Journalisation et à Groupes de journaux.

2. Sélectionnez votre compartiment, cliquez sur Créer un groupe de journaux et entrez les informations suivantes.

   • Nom : entrez QRadar_log_group.
   • Description (facultatif) : saisissez la description.
   • Balises (facultatif) : entrez les balises.

3. Cliquez sur Créer pour créer un groupe de journaux.

4. Sous Ressources, cliquez sur Journaux.

5. Cliquez sur Créer un journal personnalisé ou sur Activer le journal de service selon vos besoins.

   Par exemple, afin d'activer l'écriture de journaux pour un bucket OCI Object Storage, procédez comme suit :

   1. Cliquez sur Activer le journal de service.

   2. Sélectionnez le compartiment de ressource et entrez Object Storage dans Services de recherche.

   3. Cliquez sur Activer les journaux et sélectionnez le nom du bucket OCI Object Storage dans la ressource.

   4. Sélectionnez le groupe de journaux (QRadar_log_group) créé dans la tâche 1.2 et Evénements d'accès en écriture dans la catégorie de journal. Vous pouvez éventuellement saisir QRadar_bucket_write en tant que nom de journal.

   5. Cliquez sur Activer pour créer le journal OCI.

Tâche 2 : créer un flux à l'aide d'OCI Streaming

Le service OCI Streaming est une plate-forme de diffusion en continu d'événements en temps réel, sans serveur et compatible avec Apache Kafka pour les développeurs et les data scientists. Elle fournit une solution entièrement gérée, évolutive et durable pour l'inclusion et l'utilisation de flux de données volumineux en temps réel, tels que des journaux. Nous pouvons utiliser OCI Streaming pour tout cas d'emploi dans lequel des données sont produites et traitées de manière continue et séquentielle dans un modèle d'échange de messages de type publication/abonnement.

1. Accédez à la console OCI, accédez à Analytics et IA, Messaging et Streaming.

2. Cliquez sur Créer un flux de données pour créer un flux de données.

3. Entrez les informations suivantes et cliquez sur Créer.

   • Nom : entrez le nom du flux. Pour ce tutoriel, il s'agit de Qradar_Stream.
   • Pool de flux de données : sélectionnez un pool de flux de données existant ou créez-en un avec une adresse publique.
   • Conservation (en heures) : saisissez le nombre d'heures de conservation des messages dans ce flux de données.
   • Nombre de partitions : entrez le nombre de partitions pour le flux.
   • Taux total d'écriture et Taux total de lecture : entrez une valeur en fonction de la quantité de données à traiter.

   Vous pouvez commencer par les valeurs par défaut pour le test. Pour plus d'informations, reportez-vous à la section Partitioning a Stream.

Tâche 3 : configurer OCI Connector Hub

OCI Connector Hub orchestre le déplacement de données entre des services OCI. OCI Connector Hub fournit un emplacement central pour décrire, exécuter et surveiller les mouvements de données entre les services, tels qu'OCI Logging, OCI Object Storage, OCI Streaming, OCI Logging Analytics et OCI Monitoring. Elle peut également déclencher OCI Functions pour le traitement de données léger et OCI Notifications pour configurer les alertes.

1. Accédez à la console OCI, accédez à Observation & gestion, à Journalisation et à Connecteurs.

2. Cliquez sur Créer un connecteur pour le créer.

3. Saisissez les informations suivantes .

   • Nom : entrez QRadar_SC.
   • Description (facultatif) : saisissez la description.
   • Compartiment : sélectionnez votre compartiment.
   • Source : sélectionnez Logging.
   • Cible : sélectionnez Streaming.

4. Sous Configurer une connexion source, sélectionnez un nom de compartiment, un groupe de journaux et un journal (groupe de journaux et journal créés dans la tâche 1).

5. Si vous voulez également envoyer des journaux d'audit, cliquez sur Journal +Another et sélectionnez le même compartiment tout en remplaçant _Audit en tant que groupe de journaux.

6. Sous Configurer la cible, sélectionnez un compartiment et un flux de données (flux de données créé dans la tâche 2).

7. Pour accepter les stratégies par défaut, cliquez sur le lien Créer fourni pour chaque stratégie par défaut. Des stratégies par défaut sont proposées pour toutes les autorisations requises afin que ce connecteur puisse accéder aux services source, de tâche et cible.

8. Cliquez sur Créer.

Tâche 4 : configuration du contrôle d'accès pour IBM QRadar afin d'extraire les journaux

Pour autoriser IBM QRadar à accéder aux données à partir d'un flux OCI, créez un utilisateur et accordez des droits d'accès stream-pull pour l'extraction des journaux.

1. Créez un utilisateur OCI. Pour plus d'informations, reportez-vous à Gestion des utilisateurs.

2. Créez un groupe OCI nommé QRadar_User_Group et ajoutez l'utilisateur OCI au groupe. Pour plus d'informations, reportez-vous à Gestion des groupes.

3. Créez la stratégie OCI IAM suivante.

   Allow group <QRadar_User_Group> to use stream-pull in compartment <compartment_of_stream>
   

Tâche 5 : configurer IBM QRadar

1. Connectez-vous à la console IBM QRadar, cliquez sur Admin et QRadar Log Source Management.

   

2. Cliquez sur Nouvelle source de journal et sélectionnez Source de journal unique.

   

   

3. Sélectionnez Type de source de journal comme DSM universel, Type de protocole comme Apache Kafka et cliquez sur Configurer les paramètres de source de journal.

   

   

4. Dans la fenêtre Configurer les paramètres de source de journal, entrez les paramètres en fonction de vos besoins et de votre environnement, puis cliquez sur Configurer les paramètres de protocole. Cette étape est spécifique à votre cas d'utilisation et explicite.

   

5. Les paramètres de la section Configurer les paramètres de protocole se trouvent dans la console OCI. Entrez les paramètres suivants et cliquez sur Terminer.

   1. Accédez à la console OCI, accédez à Accueil, à Streaming, à Pools de flux de données, à Détails du pool de flux de données et cliquez sur Paramètres de connexion Kafka. Vous trouverez les détails du serveur d'initialisation et du nom utilisateur. Le mot de passe est le jeton d'authentification de l'utilisateur.

      

   2. La liste des sujets est votre nom de flux de données.

      

   3. Désactivez Utiliser l'authentification client. Lorsque vous utilisez l'authentification SASL sans authentification client, une copie du certificat de serveur doit être placée dans /opt/qradar/conf/trusted_certificates/.

      Pour copier un certificat dans le répertoire /opt/qradar/conf/trusted_certificates, choisissez l'une des options suivantes :

      a. Utilisez SSH pour vous connecter à la console QRadar ou à l'hôte géré et extraire le certificat en saisissant la commande suivante.

      /opt/qradar/bin/getcert.sh <FQDN of Streaming Endpoint>
      

      Un certificat est téléchargé à partir du nom d'hôte ou de l'adresse IP spécifié et placé dans le répertoire /opt/qradar/conf/trusted_certificates au format approprié.

      b. Vous pouvez également utiliser la commande suivante pour extraire le certificat de serveur et l'ajouter à l'emplacement /opt/qradar/conf/trusted_certificates/.

      openssl s_client -showcerts -connect <bootstrap_server>:9092 < /dev/null | openssl x509 -outform DER > <certificate_name>.der
      

      

      

6. Cliquez sur Déployer les modifications pour que les modifications prennent effet.

   

7. Dans Gestion des sources de journal QRadar, cliquez sur Visualiser pour vérifier le statut de la source de journal. Le statut doit être OK et Connecté : en attente d'événements....

   

   

8. Dans Gestion des sources de journal QRadar, cliquez sur Evénements pour visualiser les journaux inclus à partir de la location OCI.

   

   

   Remarque : selon la description de la fonctionnalité dans la console IBM QRadar, lorsque la fonctionnalité Utiliser en tant que source de journal de passerelle est activée, IBM QRadar traite les événements collectés via son moteur d'analyse du trafic, qui détecte et affecte automatiquement le nom de la source de journal, qui apparaît souvent sous la forme Custom Rule Engine-8 : :Hostname. Lorsque cette fonctionnalité est désactivée, les événements conservent leur nom de source de journal d'origine, tel que Journaux Oracle Cloud Infrastructure. Veillez à filtrer les deux sources de journal lors de la vérification de l'inclusion de journaux à partir de la location OCI.

   

9. Après avoir effectué toutes les étapes, si les journaux n'apparaissent pas dans QRadar, vous devrez peut-être effectuer les actions suivantes :

   1. Redémarrez le service entrant (si possible). Le redémarrage du service entrant peut aider à résoudre le problème. Toutefois, consultez votre administrateur ou évaluez l'impact potentiel sur votre environnement avant d'exécuter la commande suivante.

      systemctl restart ecs-ec-ingress
      

   2. Désactivez et réactivez la source de journal.

Etapes suivantes

Ce tutoriel a démontré le processus d'intégration d'OCI et d'IBM QRadar. Du côté des informations de sécurité et de la gestion des événements (SIEM), il est essentiel de définir des tableaux de bord pour capturer les mesures critiques et configurer les alertes à déclencher lorsque les seuils prédéfinis sont dépassés. En outre, la définition de requêtes spécifiques est essentielle pour détecter les activités malveillantes et identifier les modèles au sein de votre location OCI. Ces actions amélioreront encore votre état de sécurité et permettront une surveillance proactive de votre environnement cloud.

Liens connexes

• Annonce de la plate-forme OCI Observability and Management

Remerciements

• Auteur - Chaitanya Chintala (Conseiller en sécurité cloud), Gunasekar Ranganathan (Architecte cloud principal)

Ressources de formation supplémentaires

Parcourez d'autres ateliers sur docs.oracle.com/learn ou accédez à davantage de contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, rendez-vous sur education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.

---

Informations relatives au titre et au copyright

Move Logs from Oracle Cloud Infrastructure to IBM QRadar

G10232-02

September 2024

Copyright ©2024,

Oracle et/ou ses affiliés.