1. サードパーティのSIEMを使用したOracle Cloud Infrastructureサービス・ログの集計
  2. サードパーティSIEMを使用したOracle Cloud Infrastructure Serviceログの集計

サードパーティSIEMを使用したOracle Cloud Infrastructureサービス・ログの集計

Oracle Cloud Infrastructure (OCI)にワークロードをデプロイする場合、Oracle Cloud Infrastructure Auditのログ、サービス・ログおよびセキュリティ・イベントの集計は基本的な要件です。

このデータを一元化することで、組織はテナンシを分析、監視および保護できます。セキュリティのユース・ケースでは、お客様はこれらのログをセキュリティ情報およびイベント管理(SIEM)プラットフォームに送信できます。SIEMシステムは、クラウド・リソースのセキュリティを管理する重要な運用ツールです。OCIには、効率的なSIEMの実装に使用できるネイティブの脅威検出、防止、応答機能が含まれています。

テナンシのリージョン間での集約ログ情報のデプロイメントを合理化するために、企業はTerraformやAnsibleなどのInfrastructure-as-Code (IaC)ツールを使用できます。これらのIaCツールは、アジャイル開発、DevOpsのベスト・プラクティス、継続的インテグレーションおよび継続的デリバリ(CI/CD)を可能にするだけでなく、クラウド・インフラストラクチャ・コンポーネントの手動プロビジョニングなどの障害を取り除きます。IaCはモジュール化されているため、コードの各部分を分割または組み合せて、複数のデプロイメントのユースケースに対応しながら、ソフトウェア開発サイクルをより効率的にすることができます。

アーキテクトに尋ねる

「Ask the Architect」のエピソードを再生します。

アーキテクチャ

このアーキテクチャでは、異なるリージョンに類似したトポロジをデプロイして、リージョン固有のログ結果を取得し、結果を集計し、セキュリティ情報およびイベント管理(SIEM)プラットフォームにストリーミングします。

次の図は、全体的なアーキテクチャを示しています。レポート・リージョンとサブスクライバ・リージョンの両方の個別のビューは、「デプロイメントの計画」セクションに表示されます。


oci-log-multistream.pngの説明が続きます
図oci-log-multistream.pngの説明

oci-log-multistream-oracle.zip

アーキテクチャには次のコンポーネントがあります。

  • テナント

    テナンシは、Oracle Cloud Infrastructureへのサインアップ時にOracleがOracle Cloud内で設定するセキュアで分離されたパーティションです。テナンシ内のOracle Cloudでリソースを作成、整理および管理できます。テナンシは、会社または組織と同義です。通常、会社は単一のテナンシを持ち、そのテナンシ内の組織構造を反映します。通常、単一のテナンシは単一のサブスクリプションに関連付けられ、単一のサブスクリプションには1つのテナンシのみが含まれます。

  • リージョン

    Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含むローカライズされた地理的領域です。リージョンは他のリージョンから独立しており、広大な距離で(国間や大陸間でも)リージョンを分離できます。

  • アイデンティティおよびアクセス管理(IAM)

    Oracle Cloud Infrastructure Identity and Access Management (IAM)は、Oracle Cloud Infrastructure (OCI)およびOracle Cloud Applicationsのアクセス制御プレーンです。IAM APIおよびユーザー・インタフェースを使用すると、アイデンティティ・ドメインおよびアイデンティティ・ドメイン内のリソースを管理できます。各OCI IAMアイデンティティ・ドメインは、スタンドアロンのアイデンティティおよびアクセス管理ソリューションまたは異なるユーザー人口を表します。

  • ポリシー

    Oracle Cloud Infrastructure Identity and Access Managementポリシーでは、誰がどのリソースにどのようにアクセスできるかを指定します。アクセスはグループおよびコンパートメント・レベルで付与されます。つまり、特定のコンパートメント内またはテナンシへの特定のアクセスのタイプをグループに付与するポリシーを記述できます。

  • ロギング
    Loggingは、クラウド内のリソースから次のタイプのログにアクセスできるようにする、スケーラビリティの高いフルマネージド・サービスです。
    • 監査ログ: 監査サービスによって発行されるイベントに関連するログ。
    • サービス・ログ: APIゲートウェイ、イベント、ファンクション、ロード・バランシング、オブジェクト・ストレージ、VCNフロー・ログなどの個々のサービスによって発行されたログ。
    • カスタム・ログ: カスタム・アプリケーション、他のクラウド・プロバイダまたはオンプレミス環境からの診断情報を含むログ。
  • 仮想クラウド・ネットワーク(VCN)およびサブネット

    VCNは、Oracle Cloud Infrastructureリージョンで設定するカスタマイズ可能なソフトウェア定義ネットワークです。VCNは、従来のデータ・センター・ネットワークと同様に、ネットワーク環境の完全な制御を可能にします。VCNには重複しない複数のCIDRブロックを含めることができ、VCNの作成後にそれらを変更できます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。

  • セキュリティ・リスト

    サブネットごとに、サブネットの内外で許可する必要があるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。

  • ルート表

    仮想ルート表には、サブネットからVCN外部の宛先(通常はゲートウェイ経由)へのトラフィックをルーティングするルールが含まれます。

  • コンピュート

    Oracle Cloud Infrastructure Computeサービスを使用すると、クラウド内のコンピュート・ホストをプロビジョニングおよび管理できます。CPU、メモリー、ネットワーク帯域幅およびストレージのリソース要件を満たすシェイプを使用してコンピュート・インスタンスを起動できます。コンピュート・インスタンスを作成したら、セキュアにアクセスし、再起動してボリュームをアタッチおよびデタッチし、不要になったら終了できます。

  • オブジェクト・ストレージ

    オブジェクト・ストレージでは、データベース・バックアップ、分析データ、イメージやビデオなどのリッチ・コンテンツなど、あらゆるコンテンツ・タイプの構造化データおよび非構造化データにすばやくアクセスできます。インターネットから直接またはクラウド・プラットフォーム内から、安全かつセキュアにデータを格納し、取得できます。パフォーマンスやサービスの信頼性を低下させることなく、ストレージをシームレスに拡張できます。迅速、即時、頻繁にアクセスする必要があるホット・ストレージには、標準ストレージを使用します。アーカイブ・ストレージは、長期間保存し、ほとんどまたはほとんどアクセスしないコールド・ストレージに使用します。

  • サービス・コネクタ

    Oracle Cloud Infrastructure Service Connector Hubは、OCIのサービス間のデータ移動を編成するクラウド・メッセージ・バス・プラットフォームです。これを使用して、Oracle Cloud Infrastructureのサービス間でデータを移動できます。データはサービス・コネクタを使用して移動されます。サービス・コネクタは、移動するデータ、データに対して実行するタスク、および指定されたタスクの完了時にデータを配信する必要があるターゲット・サービスを含むソース・サービスを指定します。

    Oracle Cloud Infrastructure Service Connector Hubを使用して、SIEMシステムのロギング・アグリゲーション・フレームワークを迅速に構築できます。オプションのタスクは、ソースのデータを処理するためのファンクション・タスクや、ソースのログ・データをフィルタ処理するためのログ・フィルタ・タスクです。

  • クラウド・ガード

    Oracle Cloud Guardを使用して、Oracle Cloud Infrastructure内のリソースのセキュリティを監視および維持できます。クラウド・ガードでは、ディテクタ・レシピを使用して、リソースでセキュリティの弱点を調べ、オペレータおよびユーザーにリスクのあるアクティビティを監視するために定義できます。構成の誤りやセキュアでないアクティビティが検出されると、クラウド・ガードは、定義できるレスポンダ・レシピに基づいて、修正処理を推奨し、それらのアクションの実行を支援します。

  • イベント

    Oracle Cloud Infrastructureサービスは、リソースの変更を記述する構造化メッセージであるイベントを発行します。イベントは、作成、読取り、更新または削除(CRUD)操作、リソース・ライフサイクル状態の変更、およびクラウド・リソースに影響するシステム・イベントに対して発行されます。

  • 監査

    Oracle Cloud Infrastructure Auditサービスは、サポートされているすべてのOracle Cloud Infrastructureパブリック・アプリケーション・プログラミング・インタフェース(API)エンドポイントへのコールをログ・イベントとして自動的に記録します。現在、すべてのサービスではOracle Cloud Infrastructure Auditによるロギングがサポートされています。

  • ストリーミング

    Oracle Cloud Infrastructure Streamingは、リアルタイムで消費と処理が可能な継続的な大容量データ・ストリームを取り込むための完全管理型でスケーラブル、耐久性の高いストレージ・ソリューションです。Streamingを使用して、アプリケーション・ログ、運用テレメトリ、Webクリック・ストリーム・データなど、大量のデータを取り込むことができます。また、パブリッシュ/サブスクライブのメッセージング・モデルで、データが連続して順番に生成され、処理されます。

  • データ・セーフ

    Oracle Data Safeは、Oracleデータベースの機密データおよび規制対象データを保護するための完全な機能セットを提供する、完全に統合されたリージョン・クラウド・サービスです。Data Safe also supports on-premises databases, Oracle Exadata Database Service on Cloud@Customer, and multicloud deployments.Oracle Databaseのすべてのお客様は、Oracle Data Safeを使用して構成とユーザー・リスクの評価、ユーザー・アクティビティのモニターと監査、および機密データの検出、分類およびマスキングを行うことで、データ侵害のリスクを軽減し、コンプライアンスを簡素化できます。