ノート:

• このチュートリアルでは、Oracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
• Oracle Cloud Infrastructureの資格証明、テナンシおよびコンパートメントに例の値を使用します。演習を終える際は、これらの値をクラウド環境に固有の値に置き換えてください。

Oracle Cloud InfrastructureからIBM QRadarへのログの移動

イントロダクション

Oracle Cloud Infrastructure(OCI)は、大規模な企業によって信頼されるInfrastructure-as-a-Service(IaaS)およびPlatform-as-a-Service(PaaS)です。ホスティング、ストレージ、ネットワーキング、データベースなどを含む包括的なマネージド・サービスを提供します。

OCI Observability and Managementプラットフォームは、お客様の好みに合わせて設計されています。多くは、サードパーティの可観測性ツールを使用して確立された運用プラクティスを採用しています。オラクルの目標は、これらのツールとのシームレスな統合を保証し、お客様がOCIとともに既存の投資を活用できるようにすることです。

このチュートリアルでは、OCIからIBM QRadarにログを移動する方法を説明します。

次に、次の図に示すように、ソリューション・アーキテクチャの概要を示します。

OCIコネクタ・ハブは、OCIロギングからログ・データを読み取り、ログをOCIストリーミング・サービスに送信します。IBM QRadarには、OCIストリーミング・サービスに接続してこのデータを読み取ることができる統合されたKafkaコンシューマがあります。

目的

• Oracle Cloud InfrastructureからIBM QRadarにログを移動します。

前提条件

• OCIのユーザーは、リソースを管理するためにOCIストリーミング、OCIコネクタ・ハブおよびOCIロギング・サービスに必要なポリシーを持っている必要があります。すべてのサービスのポリシー・リファレンスは、ポリシー・リファレンスを参照してください。

タスク1: 取得するログの構成

OCIロギング・サービスは、テナンシ内のすべてのログに対応した、拡張性が高く、完全に管理された一元管理ペインです。OCI Loggingでは、OCIリソースからログにアクセスできます。ログは、特定のコンテキストで収集されたログ・イベントを格納および取得する最重要のOCIリソースです。ログ・グループは、コンパートメントに格納されたログのコレクションです。ログ・グループは、ログの論理コンテナです。ログ・グループを使用して、Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)ポリシーを適用したり、分析のためにログをグループ化したりすることで、ログを編成および効率化します。

開始するには、リソースのログを有効にします。サービスには、リソースで使用できる様々なタイプのログに対応したログ・カテゴリがあります。たとえば、OCIオブジェクト・ストレージ・サービスでは、ストレージ・バケットに対して次のログ・カテゴリがサポートされます: アクセス・イベントの読取りおよび書込み。読取りアクセス・イベントはダウンロード・イベントを取得し、書込みアクセス・イベントは書込みイベントを取得します。各サービスは、リソースに対して異なるログ・カテゴリを持つことができます。

1. OCIコンソールにログインし、「監視および管理」、「ロギング」および「ログ・グループ」に移動します。

2. コンパートメントを選択し、「ログ・グループの作成」をクリックして、次の情報を入力します。

   • 名前: QRadar_log_groupと入力します。
   • 説明(オプション):説明を入力します。
   • タグ(オプション):タグを入力します。

3. 「作成」をクリックして、新しいログ・グループを作成します。

4. 「リソース」で、「ログ」をクリックします。

5. 必要に応じて、「カスタム・ログの作成」または「サービスの有効化」ログをクリックします。

   たとえば、OCIオブジェクト・ストレージ・バケットの書込みログを有効にするには、ステップに従います:

   1. 「サービス・ログの有効化」をクリックします。

   2. リソース・コンパートメントを選択し、「サービスの検索」に「オブジェクト・ストレージ」と入力します。

   3. 「ログの有効化」をクリックし、「リソース」でOCIオブジェクト・ストレージ・バケット名を選択します。

   4. タスク1.2で作成したログ・グループ(QRadar_log_group)および「ログ・カテゴリ」で「アクセス・イベントの書込み」を選択します。必要に応じて、「ログ名」にQRadar_bucket_writeと入力します。

   5. 「有効化」をクリックして、新しいOCIログを作成します。

タスク2: OCIストリーミングを使用したストリームの作成

OCIストリーミングサービスは、開発者やデータサイエンティスト向けの、リアルタイムのサーバーレスApache Kafka互換イベントストリーミングプラットフォームです。ログなど、大量のデータ・ストリームをリアルタイムで取り込んで消費するための、完全に管理されたスケーラブルで耐久性のあるソリューションを提供します。パブリッシュ/サブスクライブ・メッセージング・モデルでデータが継続的かつ順番に生成および処理されるあらゆるユース・ケースにOCIストリーミングを使用できます。

1. OCIコンソールに移動し、アナリティクスとAI、メッセージングおよびストリーミングに移動します。

2. 「ストリームの作成」をクリックしてストリームを作成します。

3. 次の情報を入力して、「作成」をクリックします。

   • 名前:ストリーム名を入力します。このチュートリアルでは、Qradar_Streamです。
   • ストリーム・プール:既存のストリーム・プールを選択するか、パブリック・エンドポイントを含む新しいストリーム・プールを作成します。
   • 保持(時間):このストリームでメッセージを保持する時間数を入力します。
   • パーティション数:ストリームのパーティション数を入力します。
   • 合計書込み率および合計読取り率:処理する必要があるデータの量に基づいて入力します。

   テスト用のデフォルト値から始めることができます。詳細は、ストリームのパーティション化を参照してください。

タスク3: OCIコネクタ・ハブの設定

OCI Connector Hubは、OCIのサービス間でのデータ移動を調整します。OCI Connector Hubは、OCI Logging、OCI Object Storage、OCI Streaming、OCI Logging Analytics、OCI Monitoringなどのサービス間のデータ移動を記述、実行、監視するための一元的な場所を提供します。また、軽量なデータ処理のためにOCI Functionsをトリガーしたり、アラートを設定するためにOCI Notificationsをトリガーすることもできます。

1. OCIコンソールに移動し、「監視および管理」、「ロギング」および「コネクタ」に移動します。

2. 「コネクタの作成」をクリックして、コネクタを作成します。

3. 次の情報を入力します

   • 名前: QRadar_SCと入力します。
   • 説明(オプション):説明を入力します。
   • コンパートメント:コンパートメントを選択します。
   • ソース: 「ロギング」を選択します。
   • ターゲット: 「ストリーミング」を選択します。

4. 「ソース接続の構成」で、「コンパートメント名」、「ログ・グループ」および「ログ」(タスク1で作成したログ・グループおよびログ)を選択します。

5. 監査ログも送信する場合は、+Anotherログをクリックして、_Auditをログ・グループと置き換えながら同じコンパートメントを選択します。

6. 「ターゲットの構成」で、「コンパートメント」および「ストリーム」(タスク2で作成したストリーム)を選択します。

7. デフォルト・ポリシーを受け入れるには、各デフォルト・ポリシーに用意されている「作成」リンクをクリックします。デフォルト・ポリシーは、このコネクタがソース、タスクおよびターゲット・サービスにアクセスするために必要な認可のために提供されます。

8. 「作成」をクリックします。

タスク4: ログを取得するためのIBM QRadarのアクセス制御の設定

IBM QRadarがOCIストリームからデータにアクセスできるようにするには、ユーザーを作成し、ログを取得するためのストリームプル権限を付与します。

1. OCIユーザーを作成します。詳細は、ユーザーの管理を参照してください。

2. QRadar_User_Groupという名前のOCIグループを作成し、OCIユーザーをグループに追加します。詳細は、グループの管理を参照してください。

3. 次のOCI IAMポリシーを作成します。

   Allow group <QRadar_User_Group> to use stream-pull in compartment <compartment_of_stream>
   

タスク5: IBM QRadarの構成

1. IBM QRadarコンソールにログインし、「管理」およびQRadar「ログ・ソース管理」をクリックします。

   

2. 「新規ログ・ソース」をクリックし、「単一ログ・ソース」を選択します。

   

   

3. 「Universal DSM」として「ログ・ソース・タイプ」を選択し、「プロトコル・タイプ」に「Apache Kafka」を選択して、「ログ・ソース・パラメータの構成」をクリックします。

   

   

4. 「ログ・ソース・パラメータの構成」ウィンドウで、要件および環境に従ってパラメータを入力し、「プロトコル・パラメータの構成」をクリックします。このステップは、ユース・ケースおよびわかりやすい内容に固有です。

   

5. 「プロトコル・パラメータの構成」セクションのパラメータは、OCIコンソールにあります。次のパラメータを入力して、「終了」をクリックします。

   1. OCIコンソールに移動し、「ホーム」、「ストリーミング」、「ストリーム・プール」、「ストリーム・プール詳細」の順にナビゲートして、「Kafka接続設定」をクリックします。ブートストラップ・サーバーおよびユーザー名の詳細を確認できます。パスワードはユーザーの認証トークンです。

      

   2. トピック・リストは、ストリーム名です。

      

   3. 「クライアント認証の使用」を無効にします。クライアント認証なしでSASL認証を使用する場合は、サーバー証明書のコピーを/opt/qradar/conf/trusted_certificates/に配置する必要があります。

      証明書を/opt/qradar/conf/trusted_certificatesディレクトリにコピーするには、次のいずれかのオプションを選択します。

      a.SSHを使用して、QRadarコンソールまたは管理対象ホストにログインし、次のコマンドを入力して証明書を取得します。

      /opt/qradar/bin/getcert.sh <FQDN of Streaming Endpoint>
      

      証明書は、指定されたホスト名またはIPアドレスからダウンロードされ、適切な形式で/opt/qradar/conf/trusted_certificatesディレクトリに配置されます。

      b.または、次のコマンドを使用してサーバー証明書をフェッチし、/opt/qradar/conf/trusted_certificates/の場所に追加します。

      openssl s_client -showcerts -connect <bootstrap_server>:9092 < /dev/null | openssl x509 -outform DER > <certificate_name>.der
      

      

      

6. 「変更のデプロイ」をクリックして変更を有効にします。

   

7. QRadarログ・ソース管理で、「表示」をクリックしてログ・ソースのステータスを確認します。ステータスは、「OK」および「Connected: Waiting for Events」になります。

   

   

8. QRadarログ・ソース管理で、「イベント」をクリックして、OCIテナンシから収集されたログを表示します。

   

   

   ノート: IBM QRadarコンソールの機能の説明に従って、「ゲートウェイ・ログ・ソースとして使用」機能が有効になっている場合、IBM QRadarはトラフィック分析エンジンを介して収集されたイベントを処理します。これにより、ログ・ソース名が自動的に検出され、割り当てられます(通常はカスタム・ルール・エンジン-8::Hostnameとして表示されます)。この機能を無効にすると、イベントはOracle Cloud Infrastructureログなどの元のログ・ソース名を保持します。OCIテナンシからのログ取込みを検証する場合は、両方のログ・ソースを必ずフィルタ処理してください。

   

9. すべてのステップの完了後、ログがQRadarに表示されない場合は、次のアクションを実行する必要がある場合があります。

   1. イングレス・サービスを再起動します(可能な場合)。イングレス・サービスを再起動すると、問題の解決に役立つ場合があります。ただし、次のコマンドを実行する前に、管理者に問い合せるか、環境に対する潜在的な影響を評価してください。

      systemctl restart ecs-ec-ingress
      

   2. ログ・ソースを無効にして再度有効にします。

次のステップ

このチュートリアルでは、OCIとIBMのQRadarを統合するプロセスを実証しています。セキュリティ情報およびイベント管理(SIEM)側では、重要なメトリックを取得するためのダッシュボードを定義し、事前定義済のしきい値を超えた場合にトリガーするアラートを構成することが不可欠です。また、特定の問合せの定義は、悪意のあるアクティビティを検出し、OCIテナンシ内のパターンを識別するために重要です。これらのアクションにより、セキュリティ・ポスチャがさらに強化され、クラウド環境のプロアクティブな監視が可能になります。

関連リンク

• OCI Observability and Management Platformの発表

承認

• 著者 - Chaitanya Chintala (クラウド・セキュリティ・アドバイザ)、Gunasekar Ranganathan (プリンシパル・クラウド・アーキテクト)

その他の学習リソース

docs.oracle.com/learnの他のラボをご覧いただくか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。

製品ドキュメントは、Oracle Help Centerを参照してください。

---

タイトルおよび著作権情報

Move Logs from Oracle Cloud Infrastructure to IBM QRadar

G10226-02

September 2024

Copyright ©2024,

Oracle and/or its affiliates.