Remarque :
- Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction au niveau gratuit d'Oracle Cloud Infrastructure.
- Il utilise des exemples de valeur pour les informations d'identification Oracle Cloud Infrastructure, la location et les compartiments. A la fin de votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.
Envoyer les journaux Oracle Cloud Infrastructure à Microsoft Azure Sentinel à l'aide du service OCI Streaming
Introduction
Les services de plate-forme Oracle Observability and Management permettent aux clients de surveiller, d'analyser et de gérer des applications et des environnements d'infrastructure multicloud avec une visibilité sur l'ensemble de la pile, des analyses prédéfinies et l'automatisation. Le service Oracle Cloud Infrastructure Streaming est une solution complète, évolutive et durable permettant d'inclure et d'utiliser en temps réel des flux de données volumineux. Les données de Streaming sont cryptées, qu'il s'agisse de données au repos ou de données en transit.
Microsoft Azure Sentinel est une plate-forme cloud native de gestion des événements et des informations de sécurité (SIEM) fournie par Microsoft Azure. Dans ce tutoriel, nous passerons en revue le processus de transfert des journaux d'audit OCI vers Microsoft Azure Sentinel à l'aide du service Oracle Cloud Infrastructure Streaming (OCI Streaming).
Objectif
Transférez les journaux d'audit OCI vers Microsoft Azure Sentinel à l'aide du service OCI Streaming.
Prérequis
- Accès à la location OCI
- Privilèges permettant de gérer les flux, les journaux et le hub de connecteur de service dans OCI
- Accès à la location Azure
- Privilèges permettant d'activer et de configurer Azure Sentinel
Tâche 1 : génération d'une clé de connexion d'API sur OCI
La paire de clés publique/privée d'API peut être générée à l'aide de la console OCI. Si vous disposez déjà d'une paire de clés, vous pouvez télécharger la clé publique.
-
Sur la page de destination OCI, accédez à Profil, Paramètres d'utilisateur, Clés d'API, Ajouter une clé d'API.
-
Une fois la clé ajoutée, un fragment de code d'aperçu de fichier de configuration est généré. Nous aurons besoin de ces détails pour authentifier l'application Azure afin d'extraire les messages du flux OCI.
Tâche 2 : création d'un flux sur OCI
-
Pour créer un flux, à partir de la page d'accueil OCI, accédez à Analytics et IA, Messagerie, Streaming.
-
Cliquez sur Pools de flux de données et créez un pool de flux de données public. Pour le cryptage, vous pouvez utiliser des clés gérées par Oracle ou choisir une clé dans un coffre auquel vous avez accès.
-
Cliquez sur Streams, Create Stream. Indiquez les détails de compartiment requis. Sélectionnez le pool de flux de données que nous avons créé à l'étape 2. Les paramètres de flux peuvent être laissés pour utiliser les valeurs par défaut.
Tâche 3 : création d'un hub de connecteur de service sur OCI
OCI Service Connector Hub permet de transférer des données entre les services au sein d'OCI. Nous allons créer un connecteur de service pour transférer les journaux d'audit du service OCI Logging vers OCI Streaming.
-
Cliquez sur le menu de navigation et sélectionnez Observabilité et gestion, Journalisation, Connecteur de service, Créer un connecteur de service.
-
Fournissez les détails requis. La source doit être "Logging" et la cible doit être "Streaming".
-
Sélectionnez Audit pour le groupe de journaux.
Remarque : dans le cadre de ce tutoriel, nous envoyons uniquement des journaux d'audit à Sentinel. Les journaux d'audit sont activés par défaut dans chaque compartiment. Si d'autres journaux de service OCI ou des journaux personnalisés doivent être transférés, reportez-vous à la documentation OCI Logging relative au processus pour les activer et les utiliser.
-
Vous pouvez éventuellement fournir un filtre de journal pour envoyer uniquement les types de journal sélectionnés.
-
Sous Configurer la cible, sélectionnez le flux que nous avons créé.
-
Créez les stratégies par défaut qui apparaissent à l'écran et cliquez sur Créer.
Le connecteur de service et le flux sur OCI sont prêts. Ensuite, nous allons configurer Azure Sentinel pour extraire les journaux de ce flux.
Tâche 4 : activez Microsoft Sentinel et installez la solution OCI à partir du hub de contenu
-
La première étape consiste à ajouter Microsoft Sentinel à un espace de travail existant ou à en créer un nouveau. Reportez-vous à la documentation de démarrage rapide de Sentinel pour connaître les prérequis et les autorisations.
-
Connectez-vous au portail Azure.
-
Recherchez et sélectionnez Microsoft Sentinel, sélectionnez Ajouter, sélectionnez l'espace de travail, Ajouter Microsoft Sentinel.
-
Dans Sentinel, sélectionnez Hub de contenu. Recherchez la solution Oracle Cloud Infrastructure et cliquez sur Installer.
Tâche 5 : configuration du connecteur de données : Oracle Cloud Infrastructure (à l'aide d'Azure Functions)
-
Une fois la solution OCI installée, cliquez sur Gérer.
-
Sélectionnez le connecteur de données Oracle Cloud Infrastructure (à l'aide d'Azure Functions), ouvrez la page du connecteur. Initialement, il apparaît comme déconnecté.
-
A droite, sélectionnez le bouton Déployer vers Azure. Entrez tous les détails.
-
Vous trouverez Microsoft Sentinel workspace id et shared key sur la page du connecteur de données. Les valeurs d'utilisateur, d'empreinte digitale, de location et de région peuvent être extraites du fragment de code d'aperçu du fichier de configuration OCI.
-
Remarque : sur la console OCI, cliquez sur les trois points situés à droite de votre empreinte digitale requise pour prévisualiser le fragment de code de fichier de configuration correspondant.
-
Vous pouvez extraire l'adresse de message et l'OCID de flux, sous Informations de flux pour le flux que nous avons créé dans OCI.
-
Une fois tous les détails renseignés, cochez la case : J'accepte les conditions générales indiquées ci-dessus et cliquez sur Achat pour déploiement.
-
-
Lors du déploiement, une application de fonction Azure est automatiquement créée. Vous pouvez vérifier le statut d'exécution de l'application. Le connecteur de données apparaît comme "connecté" après un certain temps.
-
Pour afficher les journaux, accédez à Sentinel, Journaux, Tables, Tables personnalisées.
-
Cliquez deux fois sur OCI_Logs_CL (table personnalisée créée par l'application de fonction Azure) pour que la table apparaisse dans l'espace de requête. Sélectionnez la "période" et cliquez sur Exécuter. Vous pouvez désormais afficher et gérer les journaux OCI sur Sentinel.
-
Liens connexes
Remerciements
Auteur - Lasya Vadavalli (ingénieur cloud senior-IaaS)
Ressources de formation supplémentaires
Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à davantage de contenu de formation gratuit sur le canal Oracle Learning YouTube. En outre, accédez à education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.
Pour consulter la documentation produit, consultez Oracle Help Center.
Send Oracle Cloud Infrastructure logs to Microsoft Azure Sentinel using OCI Streaming service
F84624-01
July 2023
Copyright © 2023, Oracle and/or its affiliates.