Guida alla progettazione per l'integrazione SIEM

La difesa approfondita è un approccio multilivello alla sicurezza che aiuta a proteggere i dati utilizzando diversi tipi di difese di sicurezza. Se uno strato di difesa fallisce o viene compromesso, altri tipi di difesa mitigano l'attacco e diventano operativi. Ad esempio, se si salvano i dati all'interno di più casseforti con tipi di difesa diversi come biometrico, accesso alla rete e autenticazione, ogni livello di sicurezza aumenta la sicurezza dei dati. Per ogni livello c'è un potenziale sistema di monitoraggio che fornisce una visione completa dello stato di sicurezza per la tua sicurezza.

Allo stesso modo, quando si applica questo concetto alla difesa dei sistemi IT, l'approccio di difesa in profondità protegge tutti i livelli dei sistemi. Ad esempio, il framework DiD offre protezione su computer portatili dei dipendenti, utenti e relative identità, reti che connettono sistemi e applicazioni che proteggono i dati.

Per aumentare la reattività agli attacchi alla sicurezza è necessaria una piattaforma SIEM. Tramite i sistemi SIEM, è possibile monitorare gli eventi di sicurezza da diverse origini, ad esempio reti, dispositivi e identità. Puoi anche analizzare questi segnali in tempo reale utilizzando il machine learning per correlare vari segnali e identificare attività minacciose di hacking e eventi di sicurezza irregolari che viaggiano attraverso la rete. Sono disponibili diversi SIEM di terze parti per l'integrazione con log ed eventi prodotti in OCI. Se la tua piattaforma SIEM non è coperta, ti consigliamo di contattare il tuo rappresentante Oracle per ricevere assistenza.

Quando integri i sistemi di monitoraggio con OCI, puoi consolidare i log generati in OCI Logging. Il log fornisce l'accesso a tutti i log dalle risorse OCI, gestisce completamente tutti i log nella tenancy ed è altamente scalabile. I log includono informazioni di diagnostica critiche che descrivono le prestazioni e l'accesso alle risorse.

Di seguito sono riportati i tipi di log.

• Log di audit: log correlati agli eventi emessi dal servizio di audit OCI.
• Log del servizio: log emessi dai servizi nativi OCI, come gateway API, eventi, funzioni, bilanciamento del carico, storage degli oggetti e log di flusso VCN. Ciascuno di questi servizi supportati dispone di categorie di log predefinite che è possibile abilitare o disabilitare nelle rispettive risorse.
• Log personalizzati: log che contengono informazioni di diagnostica provenienti da applicazioni personalizzate, altri provider cloud o da un ambiente in locale. I log personalizzati possono essere inclusi tramite l'API o configurando l'agente di monitoraggio unificato. Puoi configurare un'istanza di OCI Compute per caricare direttamente i log personalizzati tramite l'agente di monitoraggio unificato. I log personalizzati sono supportati negli scenari di virtual machine e bare metal.

Per ulteriori informazioni su come consolidare i log utilizzando Logging e OCI Service Connector Hub, vedere Consolidamento dei log di sicurezza nella zona di arrivo OCI CIS).

Come best practice, acquisisci anche gli eventi generati da Cloud Guard per ottenere dati dettagliati sufficienti da inviare alla tua piattaforma SIEM. Questo processo consente di prepararsi a potenziali problemi di sicurezza.

Per informazioni su come esportare gli eventi generati da Cloud Guard, vedere Integrare Oracle Cloud Guard con i sistemi esterni utilizzando eventi e funzioni OCI.

In un'architettura di riferimento SIEM di terze parti, Logging acquisisce i log da origini diverse, ad esempio log di audit, log di servizio (log di flusso VCN) e log personalizzati. È disponibile un flusso separato per ogni log e ogni log è connesso al relativo flusso con un hub connettore servizio che scrive i log all'interno del servizio di streaming OCI. In parallelo, gli eventi generati da Cloud Guard vengono raccolti e normalizzati tramite una funzione OCI che scrive gli eventi in OCI Streaming.

OCI Streaming può quindi interfacciarsi con una piattaforma SIEM di terze parti, come Splunk o QRadar, che raccoglie i dati in streaming per ulteriori analisi. Per un esempio, vedere implementare un sistema SIEM in Splunk utilizzando i log trasmessi in streaming da Oracle Cloud.

L'architettura di riferimento del SIEM include i seguenti componenti dell'architettura.

regione

Un'area geografica OCI è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separare le regioni tra paesi o continenti.

dominio di disponibilità

I domini di disponibilità sono data center standalone e indipendenti all'interno di un'area geografica. Le risorse fisiche in ciascun dominio di disponibilità sono isolate dalle risorse negli altri domini di disponibilità, il che fornisce tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio l'alimentazione o il raffreddamento, o la rete del dominio di disponibilità interno. Di conseguenza, è improbabile che l'errore in un dominio di disponibilità influenzi gli altri domini di disponibilità nell'area.

rete cloud virtuale e sottoreti

Una rete cloud virtuale (VCN) è una rete personalizzabile definita dal software impostata in un'area geografica OCI. Come le tradizionali reti di data center, le reti VCN offrono un controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi segmentare una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. È possibile modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

Log

Logging è un servizio scalabile e completamente gestito che fornisce l'accesso ai log delle risorse nel cloud. I tipi di log includono log di audit, log di servizio e log personalizzati.

Streaming

Lo streaming offre una soluzione di storage completamente gestita, scalabile e duratura dedicata all'inclusione di flussi di dati continui e a elevato volume che puoi utilizzare ed elaborare in tempo reale. Puoi utilizzare la funzionalità Streaming per l'inclusione di dati a elevato volume, quali i log dell'applicazione, la telemetria operativa, i dati di click-stream Web o per altri casi d'uso in cui i dati vengono prodotti ed elaborati in modo continuo e sequenziale in un modello di messaggistica di tipo pubblicazione/iscrizione.

Hub connettore servizio

Service Connector Hub è una piattaforma di bus di messaggi cloud che orchestra lo spostamento dei dati tra i servizi in OCI. Puoi utilizzare la piattaforma per spostare i dati tra i servizi OCI. I dati vengono spostati utilizzando i connettori del servizio. Un connettore servizio specifica il servizio di origine che contiene i dati da spostare, i task da eseguire sui dati e il servizio di destinazione a cui devono essere consegnati i dati al termine dei task.

Oracle Cloud Guard

Cloud Guard ti aiuta a monitorare, identificare, ottenere e mantenere una postura della sicurezza solida su Oracle Cloud. Utilizza il servizio per esaminare le risorse OCI per individuare i punti deboli della sicurezza relativi alla configurazione e per individuare attività rischiose per operatori e utenti. Al momento del rilevamento, Cloud Guard può suggerire, fornire assistenza o intraprendere azioni correttive in base alla configurazione.