주:

• 이 사용지침서에서는 Oracle Cloud에 액세스해야 합니다. 무료 계정에 등록하려면 Oracle Cloud Infrastructure Free Tier 시작하기를 참조하십시오.
• Oracle Cloud Infrastructure 인증서, 테넌시 및 구획에 대한 예제 값을 사용합니다. 실습을 마칠 때는 이러한 값을 클라우드 환경과 관련된 값으로 대체하십시오.

Oracle Cloud Infrastructure에서 IBM으로 로그 이동 QRadar

소개

Oracle Cloud Infrastructure(OCI)는 대기업이 신뢰하는 서비스형 인프라(IaaS) 및 서비스형 플랫폼(PaaS)입니다. 호스팅, 스토리지, 네트워킹, 데이터베이스 등을 포함하는 포괄적인 관리형 서비스를 제공합니다.

OCI Observability and Management 플랫폼은 고객의 선호도에 맞춰 설계되었습니다. 많은 사람들이 타사 관찰 가능성 도구를 활용하여 확립된 운영 관행을 채택했습니다. 우리의 목표는 이러한 툴과의 원활한 통합을 보장하여 고객이 OCI와 함께 기존 투자를 활용할 수 있도록 하는 것입니다.

이 자습서에서는 OCI에서 IBM QRadar으로 로그를 이동하는 방법을 안내합니다.

이제 다음 그림과 같이 솔루션 아키텍처에 대한 높은 수준의 표현을 살펴보겠습니다.

OCI 커넥터 허브는 OCI 로깅에서 로그 데이터를 읽고 OCI 스트리밍 서비스로 로그를 전송합니다. IBM QRadar에는 OCI Streaming 서비스와 연결하여 이 데이터를 읽을 수 있는 통합 Kafka 소비자가 있습니다.

목표

• Oracle Cloud Infrastructure에서 IBM QRadar로 로그를 이동합니다.

필요 조건

• OCI의 사용자는 OCI 스트리밍, OCI 커넥터 허브 및 OCI 로깅 서비스에 필요한 정책이 있어야 리소스를 관리할 수 있습니다. 모든 서비스의 정책 참조는 정책 참조를 참조하십시오.

작업 1: 캡처할 로그 구성

OCI 로깅 서비스는 테넌시의 모든 로그에 대해 확장성이 뛰어난 완전 관리형 단일 창입니다. OCI 로깅은 OCI 리소스에서 로그에 대한 액세스를 제공합니다. 로그는 주어진 컨텍스트에서 수집된 로그 이벤트를 저장하고 캡처하는 일류 OCI 리소스입니다. 로그 그룹은 구획에 저장된 로그 모음입니다. 로그 그룹은 로그에 대한 논리적 컨테이너입니다. 로그 그룹을 사용하면 분석을 위해 Oracle Cloud Infrastructure Identity and Access Management(OCI IAM) 정책 또는 그룹화 로그를 적용하여 로그 관리를 구성하고 간소화할 수 있습니다.

시작하려면 리소스에 대한 로그를 사용으로 설정하십시오. 서비스는 리소스에 사용 가능한 여러 유형의 로그에 대한 로그 범주를 제공합니다. 예를 들어 OCI Object Storage 서비스는 스토리지 버킷에 대해 읽기 및 쓰기 액세스 이벤트와 같은 로그 범주를 지원합니다. 읽기 액세스 이벤트는 다운로드 이벤트를 캡처하고 쓰기 액세스 이벤트는 쓰기 이벤트를 캡처합니다. 각 서비스는 리소스에 대해 서로 다른 로그 범주를 가질 수 있습니다.

1. OCI 콘솔에 로그인한 후 관찰성 및 관리, 로깅 및 로그 그룹으로 이동합니다.

2. 구획을 선택하고 로그 그룹 생성을 누르고 다음 정보를 입력합니다.

   • 이름: QRadar_log_group를 입력합니다.
   • 설명(선택사항): 설명을 입력합니다.
   • 태그(선택사항): 태그를 입력합니다.

3. 생성을 눌러 새 로그 그룹을 생성합니다.

4. 리소스에서 로그를 누릅니다.

5. 사용자정의 로그 생성 또는 서비스 사용 로그를 원하는 대로 누릅니다.

   예를 들어, OCI Object Storage 버킷에 대한 쓰기 로그를 사용으로 설정하려면 다음 단계를 수행합니다.

   1. 서비스 로그 사용을 누릅니다.

   2. 리소스 구획을 선택하고 검색 서비스에 오브젝트 스토리지를 입력합니다.

   3. 로그 사용을 누르고 리소스에서 OCI Object Storage 버킷 이름을 선택합니다.

   4. 로그 범주의 작업 1.2 및 쓰기 액세스 이벤트에서 생성된 로그 그룹(QRadar_log_group)을 선택합니다. 선택적으로 QRadar_bucket_write을 로그 이름으로 입력합니다.

   5. 사용을 눌러 새 OCI 로그를 생성합니다.

작업 2: OCI Streaming을 사용하여 스트림 생성

OCI Streaming 서비스는 개발자 및 데이터 과학자를 위한 실시간 서버리스 Apache Kafka 호환 이벤트 스트리밍 플랫폼입니다. 로그와 같은 대용량 데이터 스트림을 실시간으로 수집 및 소비하기 위한 확장 가능하고 내구성 있는 완전 관리형 솔루션을 제공합니다. 게시-구독 메시징 모델에서 데이터가 연속적으로 생성 및 처리되는 모든 사용 사례에 OCI Streaming을 사용할 수 있습니다.

1. OCI 콘솔로 이동하여 분석 및 AI, 메시징, 스트리밍으로 이동합니다.

2. 스트림 생성을 눌러 스트림을 생성합니다.

3. 다음 정보를 입력하고 생성을 누릅니다.

   • 이름: 스트림 이름을 입력합니다. 이 자습서에서는 Qradar_Stream입니다.
   • 스트림 풀: 기존 스트림 풀을 선택하거나 공용 끝점이 있는 새 스트림 풀을 생성합니다.
   • 보존(시간): 이 스트림에서 메시지를 보존할 시간 수를 입력합니다.
   • 파티션 수: 스트림의 파티션 수를 입력합니다.
   • 총 쓰기 속도 및 총 읽기 속도: 처리해야 하는 데이터 양을 기준으로 입력합니다.

   테스트를 위해 기본값으로 시작할 수 있습니다. 자세한 내용은 Partitioning a Stream을 참조하십시오.

작업 3: OCI 커넥터 허브 설정

OCI 커넥터 허브는 OCI의 서비스 간 데이터 이동을 조정합니다. OCI Connector Hub는 OCI Logging, OCI Object Storage, OCI Streaming, OCI Logging Analytics, OCI Monitoring과 같은 서비스 간 데이터 이동을 설명, 실행 및 모니터링하기 위한 중앙 위치를 제공합니다. 또한 경량 데이터 처리를 위한 OCI Functions와 경보 설정을 위한 OCI Notifications를 트리거할 수 있습니다.

1. OCI 콘솔로 이동하여 관찰성 및 관리, 로깅 및 커넥터로 이동합니다.

2. 커넥터 생성을 눌러 커넥터를 생성합니다.

3. 다음 정보를 입력하십시오.

   • 이름: QRadar_SC를 입력합니다.
   • 설명(선택사항): 설명을 입력합니다.
   • 컴파트먼트: 해당 컴파트먼트를 선택합니다.
   • 소스: 로깅을 선택합니다.
   • 대상: 스트리밍을 선택합니다.

4. 소스 접속 구성에서 구획 이름, 로그 그룹 및 로그(작업 1에서 생성된 로그 그룹 및 로그)를 선택합니다.

5. 감사 로그도 전송하려면 +Another 로그를 누르고 _Audit를 로그 그룹으로 바꾸면서 동일한 구획을 선택합니다.

6. 대상 구성에서 구획 및 스트림(작업 2에서 생성된 스트림)을 선택합니다.

7. 기본 정책을 적용하려면 각 기본 정책에 대해 제공된 생성 링크를 누릅니다. 기본 정책은 이 커넥터가 소스, 작업 및 대상 서비스에 액세스하는 데 필요한 권한 부여에 대해 제공됩니다.

8. Create를 누릅니다.

작업 4: IBM QRadar에 대한 액세스 제어를 설정하여 로그 검색

IBM QRadar에서 OCI 스트림의 데이터에 액세스할 수 있도록 하려면 사용자를 생성하고 로그 검색을 위한 stream-pull 권한을 부여합니다.

1. OCI 사용자를 생성합니다. 자세한 내용은 사용자 관리를 참조하십시오.

2. QRadar_User_Group라는 OCI 그룹을 생성하고 OCI 유저를 그룹에 추가합니다. 자세한 내용은 그룹 관리를 참조하십시오.

3. 다음 OCI IAM 정책을 생성합니다.

   Allow group <QRadar_User_Group> to use stream-pull in compartment <compartment_of_stream>
   

작업 5: IBM QRadar 구성

1. IBM QRadar 콘솔에 로그인하고 관리 및 QRadar 로그 소스 관리를 누릅니다.

   

2. 새 로그 소스를 누르고 단일 로그 소스를 선택합니다.

   

   

3. Log Source Type을 Universal DSM으로 선택하고 Protocol Type을 Apache Kafka로 선택한 다음 Configure Log source parameters를 누릅니다.

   

   

4. 로그 소스 매개변수 구성 창에서 요구사항 및 환경에 따라 매개변수를 입력하고 프로토콜 매개변수 구성을 누릅니다. 이 단계는 사용 사례와 관련이 있으며 설명이 필요합니다.

   

5. 프로토콜 매개변수 구성 섹션의 매개변수는 OCI 콘솔에서 찾을 수 있습니다. 다음 매개변수를 입력하고 완료를 누릅니다.

   1. OCI 콘솔로 이동하여 홈, 스트리밍, 스트림 풀, 스트림 풀 세부정보로 이동하고 Kafka 접속 설정을 누릅니다. 부트스트랩 서버 및 사용자 이름 세부정보를 찾을 수 있습니다. 암호는 사용자의 Auth 토큰입니다.

      

   2. 항목 목록은 스트림 이름입니다.

      

   3. Use Client Authentication(클라이언트 인증 사용)을 사용 안함으로 설정합니다. 클라이언트 인증 없이 SASL 인증을 사용하는 경우 서버 인증서 복사본을 /opt/qradar/conf/trusted_certificates/에 배치해야 합니다.

      인증서를 /opt/qradar/conf/trusted_certificates 디렉토리에 복사하려면 다음 옵션 중 하나를 선택합니다.

      a. SSH를 사용하여 QRadar 콘솔 또는 관리 호스트에 로그인하고 다음 명령을 입력하여 인증서를 검색합니다.

      /opt/qradar/bin/getcert.sh <FQDN of Streaming Endpoint>
      

      인증서는 지정된 호스트 이름 또는 IP 주소에서 다운로드되어 /opt/qradar/conf/trusted_certificates 디렉토리에 적절한 형식으로 배치됩니다.

      b. 또는 다음 명령을 사용하여 서버 인증서를 인출하고 /opt/qradar/conf/trusted_certificates/ 위치에 추가합니다.

      openssl s_client -showcerts -connect <bootstrap_server>:9092 < /dev/null | openssl x509 -outform DER > <certificate_name>.der
      

      

      

6. 변경사항 배치를 눌러 변경사항을 적용합니다.

   

7. QRadar 로그 소스 관리에서 보기를 눌러 로그 소스 상태를 확인합니다. 상태는 확인 및 연결됨: 이벤트 대기 중...이어야 합니다.

   

   

8. QRadar 로그 소스 관리에서 이벤트를 눌러 OCI 테넌시에서 수집된 로그를 확인합니다.

   

   

   주: IBM QRadar 콘솔의 기능 설명에 따라 게이트웨이 로그 소스로 사용 기능이 사용으로 설정된 경우 IBM QRadar는 트래픽 분석 엔진을 통해 수집된 이벤트를 처리하여 로그 소스 이름을 자동으로 감지하고 지정합니다. 이 이름은 대개 사용자정의 규칙 엔진-8::호스트 이름으로 표시됩니다. 이 기능이 사용 안함으로 설정된 경우 이벤트는 Oracle Cloud Infrastructure 로그와 같은 원래 로그 소스 이름을 유지합니다. OCI 테넌시에서 로그 수집을 확인할 때 두 로그 소스 모두에 대해 필터링해야 합니다.

   

9. 모든 단계를 완료한 후 QRadar에 로그가 표시되지 않으면 다음 작업을 수행해야 할 수 있습니다.

   1. 수신 서비스를 다시 시작합니다(가능한 경우). 수신 서비스를 다시 시작하면 문제를 해결하는 데 도움이 될 수 있습니다. 그러나 다음 명령을 실행하기 전에 관리자에게 문의하거나 환경에 미치는 잠재적 영향을 평가하십시오.

      systemctl restart ecs-ec-ingress
      

   2. 로그 소스를 사용 안함으로 설정하고 다시 사용으로 설정합니다.

다음 단계

이 자습서에서는 OCI와 IBM QRadar의 통합 프로세스를 설명했습니다. SIEM(보안 정보 및 이벤트 관리)측에서는 중요한 측정지표를 캡처하고 미리 정의된 임계값이 초과될 때 트리거할 경보를 구성할 대시보드를 정의해야 합니다. 또한 특정 쿼리를 정의하는 것은 OCI 테넌시 내에서 악성 활동을 감지하고 패턴을 식별하는 데 중요합니다. 이러한 작업은 보안 상태를 더욱 향상시키고 클라우드 환경에 대한 사전 예방적 모니터링을 가능하게 합니다.

관련 링크

• OCI Observability and Management Platform 발표

확인

• 작가 - Chaitanya Chintala(클라우드 보안 고문), Gunasekar Ranganathan(주요 클라우드 아키텍트)

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 살펴보거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하십시오. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer가 되십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.

---

제목 및 저작권 정보

Move Logs from Oracle Cloud Infrastructure to IBM QRadar

G10230-02

September 2024

Copyright ©2024,

Oracle and/or its affiliates.