Planifier le déploiement

Planifiez une architecture qui agrège les données de journal multi-région et les transmet à une plate-forme SIEM (Security Information and Event Management).

Concevoir le déploiement

Suivez les étapes de base suivantes pour déployer une architecture qui agrège les données de journal à partir d'Oracle Cloud Infrastructure (OCI).

  1. Concevoir l'architecture régionale

    L'architecture ci-dessous regroupe les journaux, les journaux de service et les événements de sécurité d'Oracle Cloud Infrastructure Audit d'Oracle Cloud Guard et d'Oracle Data Safe à l'aide d'Oracle Cloud Infrastructure Events dans la région de génération de rapports Cloud Guard.



    oci-log-cloud-guard-oracle.zip

  2. Déployer l'architecture d'une région à l'autre

    Pour vous assurer que vous agrégez tous les journaux et événements de sécurité, déployez une architecture similaire dans toutes les régions auxquelles votre location est abonnée. Alors qu'Oracle Cloud Guard consolide les problèmes dans la région de génération de rapports Cloud Guard, Oracle Cloud Infrastructure Logging et Oracle Data Safe sont des services régionaux qui génèrent des rapports à partir d'une région spécifique.

    Voici l'architecture d'une région qui ne se trouve pas dans la région de génération de rapports Oracle Cloud Guard.



    oci-log-non-cloud-guard-oracle.zip

  3. Configurer votre SIEM pour lire le flux de données dans chaque région

    Une fois chaque région configurée, vous devez configurer votre solution SIEM pour lire le flux OCI dans chaque région.



    oci-log-multistream-oracle.zip

  4. Créer des stratégies de gestion des accès pour vos SIEM

    Vous pouvez lire des données à partir d'un flux OCI à l'aide des API OCI ou à l'aide des API compatibles Kafka d'Oracle Cloud Infrastructure Streaming. Chaque API possède une méthode d'authentification spécifique :

    Type d'authentification OCI API API conforme à Kafka
    Clé de signature d'API : paire de clés RSA au format PEM (min 2048 bits) Oui  
    Jetons d'authentification : chaînes de jeton générées par Oracle pour l'authentification avec les API 3e parties Oui
    Principal d'instance : fonctionnalité du service IAM qui permet aux instances d'être des acteurs (ou des principaux) autorisés à effectuer des actions sur les ressources de service Oui

    Oracle recommande d'utiliser un principal d'instance, le cas échéant, pour éviter de stocker des jetons de longue durée dans votre SIEM.

    Le SIEM a besoin des droits d'accès Oracle Cloud Infrastructure Identity and Access Management (IAM) suivants pour lire le flux OCI. Pour suivre un modèle de privilège minimal, utilisez la stratégie illustrée dans les exemples suivants :

    • La première stratégie concerne un utilisateur OCI IAM :
      Allow group SIEM to use stream-pull in
                  compartment      <compartment>
    • La deuxième stratégie concerne un principal d'instance :
      Allow dynamic-group SIEMInstances to use
                  stream-pull in      compartment <compartment>

Considérations

Lorsque vous implémentez cette conception d'architecture, tenez compte des points suivants :

  • Si votre SIEM ne dispose pas d'une prise en charge Kafka native ou d'un module d'extension natif, vous pouvez propager des journaux vers l'adresse d'API HTTPS du SIEM à l'aide d'Oracle Functions. Pour ce faire, ajoutez un autre hub de connecteur de service Oracle Cloud Infrastructure régional qui lit le flux régional et dont la cible est une fonction.
  • Afin d'assurer la collecte de tous les journaux de compartiment Oracle Cloud Infrastructure Audit, utilisez l'indicateur Include _Audit in subcompartments sur votre compartiment racine dans OCI Service Connector Hub.
  • Pour collecter les résultats Oracle Cloud Guard dans l'ensemble de la location, attachez une cible Oracle Cloud Guard au compartiment racine. Créez ensuite un événement OCI Oracle Cloud Guard au niveau du compartiment racine pour capturer tous les résultats Oracle Cloud Guard dans la location.
  • Pour la conservation à long terme des journaux OCI (stockage à froid), créez un deuxième hub de connecteur de service OCI à lire à partir du flux régional avec un bucket Oracle Cloud Infrastructure Object Storage en tant que cible. En utilisant la gestion du cycle de vie des objets pour gérer vos données de stockage d'objets et de stockage d'archives, vous pouvez réduire vos coûts de stockage et la durée de gestion manuelle des données.
  • Utilisez Oracle Cloud Infrastructure Monitoring et les alarmes pour surveiller la disponibilité de l'assimilation de journalisation.
  • Le tableau ci-dessous présente quelques outils courants et leur modèle :
    Outils API OCI (Plug-in) Conformité Kafka Code fonction
    Splunk Oui
    QRadar Oui
    Microsoft Sentinel Oui
    Chronique Google Oui
    Datadog Oui
    ELK Oui
    LogStash Oui