ノート:

OCIストリーミングサービスを使用して、Microsoft Azure SentinelにOracle Cloud Infrastructureログを送信します

イントロダクション

Oracle Observability and Managementプラットフォーム・サービスにより、フルスタックの可視性、事前構築済みの分析、自動化により、マルチクラウド・アプリケーションとインフラストラクチャ環境を監視、分析、および管理できます。Oracle Cloud Infrastructure Streamingは、大量のデータ・ストリームをリアルタイムで収集および消費するためのスケーラブルで耐久性の高いフルマネージド・ソリューションを提供します。ストリーミング・データは、停止中も転送中も暗号化されます。

Microsoft Azure Sentinelは、Microsoft Azureが提供するクラウドネイティブのセキュリティ情報およびイベント管理(SIEM)プラットフォームです。このチュートリアルでは、Oracle Cloud Infrastructure Streaming (OCI Streaming)サービスを使用して、OCI AuditログをMicrosoft Azure Sentinelに転送するプロセスについて説明します。

「編集」ボタン

目標

OCIストリーミングサービスを使用して、OCI監査ログをMicrosoft Azure Sentinelに転送します。

前提条件

タスク1: OCIでのAPI署名キーの生成

API公開/秘密キーのペアは、OCIコンソールを使用して生成できます。すでにキー・ペアがある場合は、公開キーをアップロードできます。

タスク2: OCIでのストリームの作成

  1. ストリームを作成するには、OCIホーム・ページから、「アナリティクスとAI」「メッセージング」「ストリーミング」にナビゲートします。

  2. 「ストリーム・プール」をクリックし、パブリック・ストリーム・プールを作成します。暗号化の場合は、Oracle管理キーを使用するか、アクセスできるボールトからキーを選択できます。

    「編集」ボタン

    「編集」ボタン

  3. 「ストリーム」「ストリームの作成」の順にクリックします。必要なコンパートメントの詳細を指定します。ステップ2で作成したストリーム・プールを選択します。ストリーム設定は、デフォルト値を使用するために残すことができます。

    「編集」ボタン

タスク3: OCIでのサービス・コネクタ・ハブの作成

OCI Service Connector Hubは、OCI内のサービス間でデータを転送するのに役立ちます。OCI LoggingサービスからOCIストリーミングに監査ログを転送するサービス・コネクタを作成します。

  1. ナビゲーション・メニューをクリックし、「監視および管理」「ロギング」「サービス・コネクタ」「サービス・コネクタの作成」の順に選択します。

  2. 必要な詳細を指定します。ソースは「ロギング」で、ターゲットは「ストリーミング」である必要があります。

  3. ログ・グループの「監査」を選択します。

    ノート: このチュートリアルの範囲では、Sentinelに監査ログのみを送信しています。監査ログは、すべてのコンパートメントでデフォルトで有効になります。他のOCIサービス・ログまたはカスタム・ログを転送する必要がある場合は、プロセスを有効にして使用するOCIロギングのドキュメントを参照してください。

  4. オプションで、選択したログ・タイプのみを送信するログ・フィルタを指定できます。

  5. 「ターゲットの構成」で、作成したストリームを選択します。

  6. 画面に表示されるデフォルト・ポリシーを作成し、「作成」をクリックします。

    「編集」ボタン

    「編集」ボタン

    「編集」ボタン

OCI上のサービス・コネクタおよびストリームの準備ができました。次に、このストリームからログをプルするようにAzure Sentinelを構成します。

タスク4: Microsoft Sentinelの有効化とコンテンツ・ハブからのOCIソリューションのインストール

  1. 最初のステップは、既存のワークスペースにMicrosoft Sentinelを追加するか、新しいワークスペースを作成することです。前提条件および権限については、Sentinelクイックスタートのドキュメントを参照してください。

  2. Azureポータルにログインします。

  3. 「Microsoft Sentinel」を検索して選択し、「追加」を選択して、ワークスペース「Microsoft Sentinelの追加」を選択します。

  4. Sentinelで、「コンテンツ・ハブ」を選択します。Oracle Cloud Infrastructureソリューションを検索し、「インストール」をクリックします。

    「編集」ボタン

タスク5: データ・コネクタの設定: Oracle Cloud Infrastructure (Azure Functionsを使用)

  1. OCIソリューションがインストールされたら、「管理」をクリックします。

  2. データ・コネクタのOracle Cloud Infrastructure (Azure Functionsを使用)を選択し、コネクタ・ページを開きます。最初は切断済と表示されます。

    「編集」ボタン

    「編集」ボタン

  3. 右側で、「Azureにデプロイ」ボタンを選択します。すべての詳細を入力します。

    • Microsoft SentinelワークスペースIDおよび共有キーは、データ・コネクタ・ページにあります。ユーザー、フィンガープリント、テナンシ、リージョンの値は、OCI構成ファイルのプレビュー・スニペットからフェッチできます。

    • ノート: OCIコンソールで、必要なフィンガープリントの右側にある3つのドットをクリックして、対応する構成ファイル・スニペットをプレビューします。

    • OCIで作成したストリームのストリーム情報で、メッセージ・エンドポイントおよびストリームocidをフェッチできます。

    • すべての詳細を入力したら、「上記の条件に同意します」チェック・ボックスを選択し、「デプロイする購入」をクリックします。

      「編集」ボタン

  4. デプロイ時に、Azureファンクション・アプリケーションが自動的に作成されます。アプリケーションの実行ステータスを確認できます。しばらくすると、データ・コネクタが「connected」と表示されます。

    • ログを表示するには、「センチネル」「ログ」「表」「カスタム表」にナビゲートします。

    • OCI_Logs_CL (Azureファンクション・アプリケーションによって作成されたカスタム表)をダブルクリックして、表を問合せ領域に表示します。「期間」を選択し、「実行」をクリックします。SentinelでOCIログを表示および管理できるようになりました。

      「編集」ボタン

承認

作成者 - Lasya Vadavalli (シニア・クラウド・エンジニア-IaaS)

その他の学習リソース

docs.oracle.com/learnで他のラボをご覧いただくか、Oracle Learning YouTubeチャネルでより無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。