Nota

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriverti a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Consolida i log tra le tenancy per l'integrazione SIEM mediante hub connettore tra tenancy e flusso OCI

Introduzione

Oracle Cloud Infrastructure (OCI) è un Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) e Software-as-a-Service (SaaS) di cui le grandi aziende si fidano. Offre una gamma completa di servizi gestiti che comprendono hosting, storage, networking, database e altro ancora.

Presentare in modo proattivo i registri degli eventi relativi alla sicurezza per il triage alle risorse appropriate è fondamentale per rilevare e prevenire gli incidenti di sicurezza informatica. Molte organizzazioni utilizzano le piattaforme SIEM (Security Information and Event Management) per correlare e analizzare log e avvisi provenienti da asset pertinenti. La configurazione corretta dell'acquisizione e della conservazione dei log chiave per un periodo di tempo appropriato, insieme al monitoraggio e agli avvisi quasi in tempo reale, consente ai team addetti alle operazioni di sicurezza di identificare i problemi, concentrarsi sulle informazioni critiche in base all'ottimizzazione del sistema e intraprendere le azioni appropriate.

Un pattern di best practice per l'inclusione dei log OCI consiste nell'invio dei log al flusso OCI, che è compatibile con kafka Apache che facilita la piattaforma SIEM di terze parti per utilizzare i log come consumer Kafka, riducendo i ritardi, fornendo resilienza e retention nel caso in cui si verifichi un problema temporaneo che consuma dati sul lato SIEM.

Quando si gestiscono più tenancy, anziché integrare ogni area di tutte le tenancy con la piattaforma SIEM singolarmente, è possibile consolidare i log di più tenancy di origine (SourceTenant(s)) all'interno di una determinata area in un singolo flusso OCI della tenancy (TargetTenant) creando hub di connettori cross-tenancy. La piattaforma SIEM può quindi includere i log di tutte le tenancy in tale area tramite il flusso TargetTenant.

Nota: al momento il servizio Hub connettore OCI non supporta l'hub connettore tra più aree.

Nella seguente immagine è illustrata una rappresentazione di alto livello dell'architettura della soluzione.

Dichiarazioni di approvazione, ammissione e definizione

Per accedere e condividere le risorse, gli amministratori di entrambe le tenancy (SourceTenant/e e TargetTenant) devono creare istruzioni speciali dei criteri cross-tenancy che indichino in modo esplicito le risorse a cui è possibile accedere e condividere. Queste istruzioni speciali utilizzano l'approvazione, l'ammissione e la definizione dei verbi.

Una panoramica dei verbi speciali utilizzati nelle istruzioni cross-tenancy:

• Approva: indica il set generale di abilità che un principal di gruppo/risorsa nella propria tenancy può eseguire in altre tenancy.

• Ammetti: indica il tipo di capacità nella propria tenancy che si desidera concedere a un principal di gruppo/risorsa dall'altra tenancy.

• Definisci: assegna un alias a un OCID tenancy per le istruzioni dei criteri di approvazione e ammissione.

Le dichiarazioni di approvazione e ammissione funzionano insieme. Senza un'istruzione corrispondente che specifica l'accesso, una specifica dichiarazione di approvazione o ammissione non concede alcun accesso. Entrambe le tenancy devono concordare l'accesso.

Nota:

• È necessario definire le istruzioni cross-tenancy nel compartimento radice della tenancy, non in alcun compartimento figlio.

• Scrivere i criteri cross-tenancy prima di creare il connettore. Per creare un connettore cross-tenancy, è necessario utilizzare OCI Software Development Kit (SDK), CLI o API. In questa esercitazione l'interfaccia CLI (Command Line Interface) OCI viene utilizzata per creare hub di connettori cross-tenancy.

Obiettivi

• Registra il consolidamento tra le tenancy per l'integrazione SIEM utilizzando hub connettore cross-tenancy e flussi OCI.

Prerequisiti

• Gli utenti in OCI devono disporre dei criteri necessari per i servizi di streaming OCI, hub connettore OCI e log OCI per gestire le risorse. Per ulteriori informazioni sul riferimento ai criteri di tutti i servizi, vedere Riferimento ai criteri.

Task 1: Creare un flusso in TargetTenant

Il servizio di streaming OCI è una piattaforma di streaming di eventi in tempo reale, serverless e compatibile con Apache Kafka per sviluppatori e data scientist. Offre una soluzione completamente gestita, scalabile e duratura per l'inclusione e l'utilizzo di flussi di dati ad alto volume in tempo reale, come i log. Possiamo utilizzare lo streaming OCI per qualsiasi caso d'uso in cui i dati vengono prodotti ed elaborati in modo continuo e sequenziale in un modello di messaggistica di pubblicazione/sottoscrizione.

1. Andare alla console OCI, andare a Analytics e AI, Messaggistica e Streaming.

2. Fare clic su Crea flusso per creare il flusso.

3. Immettere le informazioni seguenti e fare clic su Crea.

   • Nome: immettere il nome del flusso. Per questo tutorial, stiamo usando TargetTenant-Stream.
   • Pool di streaming: selezionare un pool di flussi esistente o crearne uno nuovo con un endpoint pubblico.
   • Conservazione (in ore): immettere il numero di ore di conservazione dei messaggi in questo flusso.
   • Numero di partizioni: immettere il numero di partizioni per il flusso.
   • Tasso di scrittura totale e Tasso di lettura totale: immettere il valore in base alla quantità di dati da elaborare.

   È possibile iniziare con i valori predefiniti per i test. Per ulteriori informazioni, vedere Partizionamento di un flusso.

Task 2: scrivere i criteri in SourceTenant

Approvare qualsiasi hub connettore nel compartimento specificato di SourceTenant per accedere a qualsiasi flusso in TargetTenant.

Formato del comando:

Define tenancy TargetTenant as <TargetTenant_OCID>

Endorse any-user to use stream-push in tenancy TargetTenant
    where all 
    { 
        request.principal.type='serviceconnector',
        request.principal.compartment.id= <connectorHub-Compartment_OCID> 
    }

Comando Sample:

Define tenancy TargetTenant as ocid1.tenancy.oc1..aaaaaaaanneylhk3ibxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Endorse any-user to use stream-push in tenancy TargetTenant where all { request.principal.type='serviceconnector', request.principal.compartment.id = 'ocid1.compartment.oc1..aaaaaaaau7xlnyxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx' }

Task 3: scrivere i criteri in TargetTenant

Ammettere l'hub connettore di SourceTenant per accedere al flusso in TargetTenant.

Formato del comando:

Define tenancy SourceTenantA as <SourceTenant-A_OCID>

Admit any-user of tenancy SourceTenantA to use stream-push in tenancy
   Where all
   {
   
   request.principal.type='serviceconnector'
   
   }

Comando Sample:

Define tenancy SourceTenantA as ocid1.tenancy.oc1..aaaaaaaakxcj24xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Admit any-user of tenancy SourceTenantA to use stream-push in tenancy Where all { request.principal.type = 'serviceconnector' }

Task 4: creare l'hub connettore OCI utilizzando l'interfaccia CLI in SourceTenant(s)

Dopo aver creato i criteri necessari in SourceTenant e TargetTenant, creare un hub connettore OCI utilizzando l'interfaccia CLI in SourceTenant. Il seguente comando CLI di esempio specifica OCI Logging come origine e OCI Streaming come destinazione per la creazione dell'hub connettore cross-tenancy.

Hub connettore cross-tenancy per il push dei log di audit OCI dal flusso SourceTenant o dai log TargetTenant.

Formato del comando:

oci sch service-connector create

--display-name <XTenancyConnectorHub-name>

--compartment-id <ConnectorHub-Compartment_OCID>

--source '{ "kind": "logging", "logSources":

[ { "compartmentId": "<SourceTenantA_OCID>",
"logGroupId": "_Audit_Include_Subcompartment" } ] }'

--target '{ "kind": "streaming", "streamId": "<TargetTenant-Stream_OCID>" }'

Comando Sample:

oci sch service-connector create --display-name XTenancyConnectorHub --compartment-id ocid1.compartment.oc1..aaaaaaaau7xlnyxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx --source '{ "kind": "logging", "logSources": [ { "compartmentId": "ocid1.tenancy.oc1..aaaaaaaakxcj24xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx","logGroupId": "_Audit_Include_Subcompartment" } ] }' --target '{ "kind": "streaming", "streamId": "ocid1.stream.oc1.iad.amaaaaaas4n35vixxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" }'

Hub connettore cross-tenancy per il push dei log servizio/personalizzati dal flusso SourceTenant(S) al flusso TargetTenant. Creare un gruppo di log e abilitare i log necessari prima di eseguire il comando seguente.

Formato del comando:

oci sch service-connector create

--display-name <XTenancyConnectorHub-Name>

--compartment-id <ConnectorHub_Compartment_OCID>

--source '{ "kind": "logging", "logSources":

[ { "compartmentId": "<SourceTenantA-LogGroup-Compartment_OCID>",
"logGroupId": "<SourceTenantA-LogGroup_OCID>" } ] }'

--target '{ "kind": "streaming", "streamId": "<TargetTenant-Stream_OCID>" }'

Nota: le istruzioni dei criteri nei comandi Task 2 e Task 3 e CLI nel Task 4 sono formattate per la leggibilità. Prima di utilizzare copie di queste istruzioni, rimuovere nuove righe, tabulazioni e spazi.

Passi successivi

Questa esercitazione ha dimostrato come consolidare i log di più tenancy utilizzando gli hub connettore cross-tenancy e il flusso OCI. Le piattaforme SIEM di terze parti devono essere configurate per utilizzare questi log come consumer Kafka. È essenziale impostare dashboard nelle piattaforme SIEM per acquisire metriche critiche e configurare gli avvisi da attivare quando vengono superate le soglie predefinite. Inoltre, la definizione di query specifiche è fondamentale per rilevare attività dannose e identificare i pattern all'interno delle tenancy OCI. Queste azioni miglioreranno il livello di sicurezza e consentiranno il monitoraggio proattivo dell'ambiente cloud.

Collegamenti correlati

• Accesso al connettore cross-tenancy

• Consenti raccolta log cross-tenancy dal servizio di log OCI

conferme

• Autore - Chaitanya Chintala (Cloud Security Advisor)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione del prodotto, visita l'Oracle Help Center.

---

Titolo e informazioni sul copyright

Consolidate Logs Across Tenancies for SIEM Integration Using Cross-Tenancy Connector Hubs and OCI Stream

G12390-01

August 2024

Copyright ©2024,

Oracle e/o relative consociate.