배치 계획

다중 영역 로그 데이터를 집계하고 이를 보안 정보 및 이벤트 관리(SIEM) 플랫폼으로 스트리밍하는 구조를 계획합니다.

다음 기본 단계를 사용하여 OCI(Oracle Cloud Infrastructure)의 로그 데이터를 집계하는 구조를 배치합니다.

SIEM에 대한 액세스 관리 정책 생성

OCI API를 사용하거나 Oracle Cloud Infrastructure Streaming의 Kafka 호환 API를 사용하여 OCI 스트림에서 데이터를 읽을 수 있습니다. 각 API에는 특정 인증 방식이 있습니다.

인증 유형	OCI API	Kafka 준수 API
API 서명 키: PEM 형식의 RSA 키 쌍(최소 2048비트)	예
인증 토큰: 타사 API로 인증하기 위한 Oracle 생성 토큰 문자열		예
Instance Principal: 인스턴스에 권한 부여된 작업자(또는 주체)가 서비스 리소스에 대한 작업을 수행할 수 있도록 하는 IAM 서비스 기능	예

Oracle은 수명이 긴 토큰을 SIEM에 저장하지 않도록 인스턴스 주체를 사용할 것을 권장합니다(해당하는 경우).

SIEM에서 OCI 스트림을 읽으려면 다음 Oracle Cloud Infrastructure Identity and Access Management(IAM) 권한이 필요합니다. 최소 권한 모델을 따르려면 다음 예제에 표시된 정책을 사용합니다.

첫번째 정책은 OCI IAM 유저에 대한 정책입니다.

Allow group SIEM to use stream-pull in
            compartment      <compartment>

두번째 정책은 인스턴스 주체용입니다.

Allow dynamic-group SIEMInstances to use
            stream-pull in      compartment <compartment>

이 구조 설계를 구현할 때는 다음을 고려하십시오.

SIEM에 고유 Kafka 지원 또는 고유 플러그인이 없는 경우 Oracle Functions를 사용하여 SIEM의 HTTPS API 끝점으로 로그를 푸시할 수 있습니다. 이렇게 하려면 지역 스트림에서 읽고 대상이 함수인 다른 지역 Oracle Cloud Infrastructure Service Connector Hub를 추가합니다.
모든 Oracle Cloud Infrastructure Audit 구획 로그 수집을 보장하려면 OCI Service Connector Hub의 루트 구획에 Include _Audit in subcompartments 플래그를 사용하십시오.
전체 테넌시에서 Oracle Cloud Guard 결과를 수집하려면 루트 구획에 Oracle Cloud Guard 대상을 연결합니다. 그런 다음 루트 구획에서 Oracle Cloud Guard OCI 이벤트를 생성하여 테넌시의 모든 Oracle Cloud Guard 결과를 캡처합니다.
장기 OCI 로그 보존(콜드 스토리지)의 경우 대상으로 Oracle Cloud Infrastructure Object Storage 버킷을 사용하여 지역 스트림에서 읽을 두번째 OCI Service Connector Hub를 생성합니다. 오브젝트 라이프사이클 관리를 사용하여 오브젝트 스토리지 및 아카이브 스토리지 데이터를 관리함으로써 스토리지 비용과 수동으로 데이터를 관리하는 데 소비하는 시간을 줄일 수 있습니다.
Oracle Cloud Infrastructure Monitoring 및 알람을 사용하여 로깅 수집 가동 시간을 모니터링할 수 있습니다.

아래 표에는 몇 가지 일반적인 도구와 해당 패턴이 나와 있습니다.

툴링	OCI API(플러그인)	Kafka 준수	기능 코드
스플렁크	예
QRadar		예
Microsoft Sentinel			예
Google 연대기		예
다다로그			예
엘크		예
LogStash		예