Planifier le déploiement
Planifiez une architecture qui agrège les données de journal multi-région et les transmet à une plate-forme SIEM (Security Information and Event Management).
Concevoir le déploiement
Suivez les étapes de base suivantes pour déployer une architecture qui agrège les données de journal à partir d'Oracle Cloud Infrastructure (OCI).
- Concevoir l'architecture régionale
L'architecture ci-dessous regroupe les journaux, les journaux de service et les événements de sécurité d'Oracle Cloud Infrastructure Audit d'Oracle Cloud Guard et d'Oracle Data Safe à l'aide d'Oracle Cloud Infrastructure Events dans la région de génération de rapports Cloud Guard.
- Déployer l'architecture d'une région à l'autre
Pour vous assurer que vous agrégez tous les journaux et événements de sécurité, déployez une architecture similaire dans toutes les régions auxquelles votre location est abonnée. Alors qu'Oracle Cloud Guard consolide les problèmes dans la région de génération de rapports Cloud Guard, Oracle Cloud Infrastructure Logging et Oracle Data Safe sont des services régionaux qui génèrent des rapports à partir d'une région spécifique.
Voici l'architecture d'une région qui ne se trouve pas dans la région de génération de rapports Oracle Cloud Guard.
- Configurer votre SIEM pour lire le flux de données dans chaque région
Une fois chaque région configurée, vous devez configurer votre solution SIEM pour lire le flux OCI dans chaque région.
- Créer des stratégies de gestion des accès pour vos SIEM
Vous pouvez lire des données à partir d'un flux OCI à l'aide des API OCI ou à l'aide des API compatibles Kafka d'Oracle Cloud Infrastructure Streaming. Chaque API possède une méthode d'authentification spécifique :
Type d'authentification OCI API API conforme à Kafka Clé de signature d'API : paire de clés RSA au format PEM (min 2048 bits) Oui Jetons d'authentification : chaînes de jeton générées par Oracle pour l'authentification avec les API 3e parties Oui Principal d'instance : fonctionnalité du service IAM qui permet aux instances d'être des acteurs (ou des principaux) autorisés à effectuer des actions sur les ressources de service Oui Oracle recommande d'utiliser un principal d'instance, le cas échéant, pour éviter de stocker des jetons de longue durée dans votre SIEM.
Le SIEM a besoin des droits d'accès Oracle Cloud Infrastructure Identity and Access Management (IAM) suivants pour lire le flux OCI. Pour suivre un modèle de privilège minimal, utilisez la stratégie illustrée dans les exemples suivants :
- La première stratégie concerne un utilisateur OCI IAM :
Allow group SIEM to use stream-pull in compartment <compartment>
- La deuxième stratégie concerne un principal d'instance :
Allow dynamic-group SIEMInstances to use stream-pull in compartment <compartment>
- La première stratégie concerne un utilisateur OCI IAM :
Considérations
Lorsque vous implémentez cette conception d'architecture, tenez compte des points suivants :
- Si votre SIEM ne dispose pas d'une prise en charge Kafka native ou d'un module d'extension natif, vous pouvez propager des journaux vers l'adresse d'API HTTPS du SIEM à l'aide d'Oracle Functions. Pour ce faire, ajoutez un autre hub de connecteur de service Oracle Cloud Infrastructure régional qui lit le flux régional et dont la cible est une fonction.
- Afin d'assurer la collecte de tous les journaux de compartiment Oracle Cloud Infrastructure Audit, utilisez l'indicateur
Include _Audit in subcompartments
sur votre compartiment racine dans OCI Service Connector Hub. - Pour collecter les résultats Oracle Cloud Guard dans l'ensemble de la location, attachez une cible Oracle Cloud Guard au compartiment racine. Créez ensuite un événement OCI Oracle Cloud Guard au niveau du compartiment racine pour capturer tous les résultats Oracle Cloud Guard dans la location.
- Pour la conservation à long terme des journaux OCI (stockage à froid), créez un deuxième hub de connecteur de service OCI à lire à partir du flux régional avec un bucket Oracle Cloud Infrastructure Object Storage en tant que cible. En utilisant la gestion du cycle de vie des objets pour gérer vos données de stockage d'objets et de stockage d'archives, vous pouvez réduire vos coûts de stockage et la durée de gestion manuelle des données.
- Utilisez Oracle Cloud Infrastructure Monitoring et les alarmes pour surveiller la disponibilité de l'assimilation de journalisation.
- Le tableau ci-dessous présente quelques outils courants et leur modèle :
Outils API OCI (Plug-in) Conformité Kafka Code fonction Splunk Oui QRadar Oui Microsoft Sentinel Oui Chronique Google Oui Datadog Oui ELK Oui LogStash Oui