Nota

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriverti a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Sposta i log da Oracle Cloud Infrastructure a IBM QRadar

Introduzione

Oracle Cloud Infrastructure (OCI) è un Infrastructure-as-a-Service (IaaS) e Platform-as-a-Service (PaaS) di cui le grandi aziende si fidano. Offre una gamma completa di servizi gestiti che comprendono hosting, storage, networking, database e così via.

La piattaforma OCI Observability and Management è progettata per allinearsi alle preferenze dei nostri clienti. Molti hanno adottato pratiche operative consolidate utilizzando strumenti di osservabilità di terze parti. Il nostro obiettivo è garantire una perfetta integrazione con questi strumenti, consentendo ai nostri clienti di sfruttare i loro investimenti esistenti insieme a OCI.

In questa esercitazione verrà descritto come spostare i log da OCI a IBM QRadar.

Ora, diamo un'occhiata alla rappresentazione di alto livello dell'architettura della soluzione, come mostrato nella seguente immagine.

OCI Connector Hub legge i dati di log da OCI Logging e invia i log al servizio di streaming OCI. IBM QRadar dispone di un consumer Kafka integrato in grado di connettersi al servizio di streaming OCI per leggere questi dati.

Obiettivi

• Sposta i log da Oracle Cloud Infrastructure a IBM QRadar.

Prerequisiti

• Gli utenti in OCI devono disporre dei criteri necessari per i servizi di streaming OCI, hub connettore OCI e log OCI per gestire le risorse. Per il riferimento ai criteri di tutti i servizi, vedere Riferimento ai criteri.

Task 1: configurare i log da acquisire

Il servizio OCI Logging è un singolo pannello di controllo altamente scalabile e completamente gestito per tutti i log nella tenancy. OCI Logging fornisce l'accesso ai log dalle risorse OCI. Un log è una risorsa OCI di prima classe che memorizza e acquisisce gli eventi di log raccolti in un determinato contesto. Un gruppo di log è una raccolta di log memorizzati in un compartimento. I gruppi di log sono contenitori logici per i log. Utilizza i gruppi di log per organizzare e semplificare la gestione dei log applicando i criteri Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) o i log di raggruppamento per l'analisi.

Per iniziare, abilitare un log per una risorsa. I servizi forniscono categorie di log per i diversi tipi di log disponibili per le risorse. Ad esempio, il servizio di storage degli oggetti OCI supporta le seguenti categorie di log per i bucket di storage: eventi di accesso in lettura e scrittura. Gli eventi di accesso in lettura acquisiscono gli eventi di download, mentre gli eventi di accesso in scrittura acquisiscono gli eventi di scrittura. Ogni servizio può avere categorie di log diverse per le risorse.

1. Eseguire il login a OCI Console, passare a Osservabilità e gestione, Log e Gruppi di log.

2. Selezionare il compartimento, fare clic su Crea gruppo di log e immettere le informazioni riportate di seguito.

   • Nome: immettere QRadar_log_group.
   • Descrizione (Facoltativo): immettere la descrizione.
   • Tag (Facoltativo): immettere le tag.

3. Fare clic su Crea per creare un nuovo gruppo di log.

4. In Risorse, fare clic su Log.

5. Fare clic sul log Crea log personalizzato o Abilita servizio in base alle esigenze.

   Ad esempio, per abilitare i log di scrittura per un bucket di storage degli oggetti OCI, attenersi alla procedura riportata di seguito.

   1. Fare clic su Abilita log servizio.

   2. Selezionare il compartimento delle risorse e immettere Storage degli oggetti nei servizi di ricerca.

   3. Fare clic su Abilita log e selezionare il nome del bucket di storage degli oggetti OCI nella risorsa.

   4. Selezionare il gruppo di log (QRadar_log_group) creato nel task 1.2 e Scrivi eventi di accesso nella categoria di log. Se si desidera, immettere QRadar_bucket_write come nome log.

   5. Fare clic su Abilita per creare il nuovo log OCI.

Task 2: Creare un flusso utilizzando OCI Streaming

Il servizio di streaming OCI è una piattaforma di streaming di eventi in tempo reale, serverless e compatibile con Apache Kafka per sviluppatori e data scientist. Fornisce una soluzione completamente gestita, scalabile e duratura per l'inclusione e il consumo di flussi di dati ad alto volume in tempo reale, ad esempio i log. Possiamo utilizzare lo streaming OCI per qualsiasi caso d'uso in cui i dati vengono prodotti ed elaborati in modo continuo e sequenziale in un modello di messaggistica di pubblicazione/sottoscrizione.

1. Andare alla console OCI, andare a Analytics e AI, Messaggistica e Streaming.

2. Fare clic su Crea flusso per creare il flusso.

3. Immettere le informazioni seguenti e fare clic su Crea.

   • Nome: immettere il nome del flusso. Per questo tutorial, è Qradar_Stream.
   • Pool di streaming: selezionare un pool di flussi esistente o crearne uno nuovo con un endpoint pubblico.
   • Conservazione (in ore): immettere il numero di ore di conservazione dei messaggi in questo flusso.
   • Numero di partizioni: immettere il numero di partizioni per il flusso.
   • Tasso di scrittura totale e Tasso di lettura totale: immettere il valore in base alla quantità di dati da elaborare.

   È possibile iniziare con i valori predefiniti per i test. Per ulteriori informazioni, vedere Partizionamento di un flusso.

Task 3: impostare un hub connettore OCI

OCI Connector Hub orchestra lo spostamento dei dati tra i servizi in OCI. OCI Connector Hub offre un luogo centrale per descrivere, eseguire e monitorare gli spostamenti di dati tra servizi, come OCI Logging, OCI Object Storage, OCI Streaming, OCI Logging Analytics e OCI Monitoring. Può anche attivare OCI Functions per un'elaborazione più leggera dei dati e OCI Notifications per impostare gli avvisi.

1. Andare alla console OCI, andare a Osservabilità e gestione, Log e Connettori.

2. Fare clic su Crea connettore per creare il connettore.

3. Immettere le informazioni riportate di seguito.

   • Nome: immettere QRadar_SC.
   • Descrizione (Facoltativo): immettere la descrizione.
   • Compartimento: selezionare il compartimento.
   • Origine: selezionare Log.
   • Destinazione: selezionare Streaming.

4. In Configura connessione di origine, selezionare un nome compartimento, un gruppo di log e un log (gruppo di log e log creati nel task 1).

5. Se si desidera anche inviare i log di audit, fare clic su +Another log e selezionare lo stesso compartimento durante la sostituzione di _Audit del gruppo di log.

6. In Configura destinazione, selezionare un compartimento e Via (flusso creato nel task 2).

7. Per accettare i criteri predefiniti, fare clic sul collegamento Crea fornito per ogni criterio predefinito. I criteri predefiniti vengono offerti per consentire a questo connettore di accedere ai servizi di origine, task e destinazione.

8. Fare clic su Crea.

Task 4: Impostare il controllo dell'accesso per IBM QRadar per recuperare i log

Per consentire a IBM QRadar di accedere ai dati da un flusso OCI, creare un utente e concedere autorizzazioni stream-pull per il recupero dei log.

1. Creare un utente OCI. Per ulteriori informazioni, vedere Gestione degli utenti.

2. Creare un gruppo OCI denominato QRadar_User_Group e aggiungere l'utente OCI al gruppo. Per ulteriori informazioni, vedere Gestione dei gruppi.

3. Creare il criterio IAM OCI seguente.

   Allow group <QRadar_User_Group> to use stream-pull in compartment <compartment_of_stream>
   

Task 5: configurare IBM QRadar

1. Eseguire il login alla console IBM QRadar, fare clic su Amministrazione e su QRadar Gestione origine log.

   

2. Fare clic su Nuova origine log e selezionare Origine log singola.

   

   

3. Selezionare Log Source Type come Universal DSM, Protocol Type come Apache Kafka e fare clic su Configure Log source parameters.

   

   

4. Nella finestra Configura parametri origine log, immettere i parametri in base ai requisiti e all'ambiente e fare clic su Configura parametri protocollo. Questo passo è specifico per il tuo caso d'uso e autoesplicativo.

   

5. I parametri nella sezione Configura parametri di protocollo sono disponibili in OCI Console. Immettere i seguenti parametri e fare clic su Finish.

   1. Andare alla console OCI, andare alla Home, Streaming, Pool di streaming, Dettagli pool di streaming e fare clic su Impostazioni connessione Kafka. È possibile trovare i dettagli relativi al server Bootstrap e al nome utente. La password è il token di autenticazione dell'utente.

      

   2. L'elenco argomenti è il nome dell'oggetto.

      

   3. Disabilitare Use Client Authentication. Quando si utilizza l'autenticazione SASL senza autenticazione client, è necessario inserire una copia del certificato server in /opt/qradar/conf/trusted_certificates/.

      Per copiare un certificato nella directory /opt/qradar/conf/trusted_certificates, scegliere una delle seguenti opzioni:

      a. Utilizzare SSH per eseguire il login alla console QRadar o all'host gestito e recuperare il certificato digitando il comando seguente.

      /opt/qradar/bin/getcert.sh <FQDN of Streaming Endpoint>
      

      Un certificato viene scaricato dal nome host o dall'indirizzo IP specificato e inserito nella directory /opt/qradar/conf/trusted_certificates nel formato appropriato.

      b. In alternativa, utilizzare il comando seguente per recuperare il certificato del server e aggiungerlo alla posizione /opt/qradar/conf/trusted_certificates/.

      openssl s_client -showcerts -connect <bootstrap_server>:9092 < /dev/null | openssl x509 -outform DER > <certificate_name>.der
      

      

      

6. Fare clic su Distribuisci modifiche per rendere effettive le modifiche.

   

7. In Gestione origine log QRadar, fare clic su Visualizza per controllare lo stato dell'origine log. Lo stato deve essere OK e Connesso: In attesa di eventi....

   

   

8. In QRadar Gestione origine log, fare clic su Eventi per visualizzare i log inclusi dalla tenancy OCI.

   

   

   Nota: in base alla descrizione della funzione nella console QRadar IBM, quando la funzione Usa come origine log gateway è abilitata, IBM QRadar elabora gli eventi raccolti tramite il motore di analisi del traffico, che rileva e assegna automaticamente il nome dell'origine log, spesso visualizzato come Motore regole personalizzato-8::Nome host. Quando questa funzione è disabilitata, gli eventi conservano il nome origine log originale, ad esempio Log di Oracle Cloud Infrastructure. Assicurarsi di filtrare per entrambe le origini log durante la verifica dell'inclusione dei log dalla tenancy OCI.

   

9. Dopo aver completato tutti i passi, se i log non vengono visualizzati in QRadar, potrebbe essere necessario eseguire le azioni riportate di seguito.

   1. Riavviare il servizio in entrata (se possibile). Il riavvio del servizio in entrata potrebbe contribuire a risolvere il problema. Tuttavia, consultare l'amministratore o valutare il potenziale impatto sull'ambiente prima di eseguire il comando seguente.

      systemctl restart ecs-ec-ingress
      

   2. Disabilitare e riabilitare l'origine log.

Passi successivi

Questo tutorial ha dimostrato il processo di integrazione di OCI e IBM QRadar. Sul lato Security Information and Event Management (SIEM), è essenziale definire i dashboard per acquisire le metriche critiche e configurare gli avvisi da attivare quando vengono superate le soglie predefinite. Inoltre, la definizione di query specifiche è fondamentale per rilevare attività dannose e identificare i pattern all'interno della tenancy OCI. Queste azioni miglioreranno ulteriormente il livello di sicurezza e consentiranno il monitoraggio proattivo dell'ambiente cloud.

Collegamenti correlati

• Annuncio della piattaforma OCI Observability and Management

Conferme

• Autore - Chaitanya Chintala (Cloud Security Advisor), Gunasekar Ranganathan (Principal Cloud Architect)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione del prodotto, visita l'Oracle Help Center.

---

Titolo e informazioni sul copyright

Move Logs from Oracle Cloud Infrastructure to IBM QRadar

G10225-02

September 2024

Copyright ©2024,

Oracle e/o relative consociate.