Observação:

Mover Logs do Oracle Cloud Infrastructure para o IBM QRadar

Introdução

A Oracle Cloud Infrastructure (OCI) é uma Infraestrutura como Serviço (IaaS) e Plataforma como Serviço (PaaS) confiáveis por empresas de larga escala. Ele oferece uma ampla gama de serviços gerenciados que englobam hospedagem, armazenamento, rede, bancos de dados e assim por diante.

A plataforma OCI Observability and Management foi projetada para se alinhar às preferências de nossos clientes. Muitos adotaram práticas operacionais estabelecidas utilizando ferramentas de observabilidade de terceiros. Nosso objetivo é garantir uma integração perfeita com essas ferramentas, capacitando nossos clientes a aproveitar seus investimentos existentes junto com a OCI.

Neste tutorial, mostraremos como você pode mover logs do OCI para o IBM QRadar.

Agora, vejamos a representação de alto nível da arquitetura da solução, conforme mostrado na imagem a seguir.

Diagrama de Arquitetura

O OCI Connector Hub lê dados de log do OCI Logging e envia os logs para o serviço OCI Streaming. O IBM QRadar tem um consumidor Kafka integrado que pode se conectar ao serviço OCI Streaming para ler esses dados.

Objetivos

Pré-requisitos

Tarefa 1: Configurar os Logs a Serem Capturados

O serviço OCI Logging é um painel único altamente escalável e totalmente gerenciado para todos os logs na sua tenancy. O OCI Logging fornece acesso a logs de recursos do OCI. Um log é um recurso de primeira classe do OCI que armazena e captura eventos de log coletados em um determinado contexto. Um grupo de logs é um conjunto de logs armazenados em um compartimento. Grupos de logs são contêineres lógicos para logs. Use grupos de logs para organizar e simplificar o gerenciamento de logs aplicando a política do Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) ou agrupando logs para análise.

Para começar, ative um log para um recurso. Os serviços fornecem categorias de log para os diferentes tipos de logs disponíveis para recursos. Por exemplo, o serviço OCI Object Storage suporta as seguintes categorias de log para buckets de armazenamento: eventos de acesso de leitura e gravação. Os eventos de acesso de leitura capturam eventos de download, e os eventos de acesso de gravação capturam eventos de gravação. Cada serviço pode ter diferentes categorias de log para recursos.

  1. Faça log-in na Console do OCI, navegue até Observabilidade e Gerenciamento, Logging e Grupos de Logs.

  2. Selecione seu compartimento, clique em Criar Grupo de Logs e digite as informações a seguir.

    • Nome: Informe QRadar_log_group.
    • Descrição (Opcional): Digite a descrição.
    • Tags (Opcional): Digite as tags.
  3. Clique em Criar para criar um novo grupo de logs.

  4. Em Recursos, clique em Logs.

  5. Clique em Criar log personalizado ou Ativar log de serviços, conforme desejado.

    Por exemplo, para ativar logs de gravação para um bucket do OCI Object Storage, siga as etapas:

    1. Clique em Ativar Log de Serviços.

    2. Selecione seu compartimento de recursos e informe o serviço Object Storage nos Serviços de pesquisa.

    3. Clique em Ativar Logs e selecione o nome do bucket do OCI Object Storage no Recurso.

    4. Selecione o grupo de logs (QRadar_log_group) criado na Tarefa 1.2 e Gravar Eventos de Acesso na Categoria de Log. Opcionalmente, digite QRadar_bucket_write como Nome do log.

    5. Clique em Ativar para criar seu novo log do OCI.

Tarefa 2: Criar um Stream usando o OCI Streaming

O serviço OCI Streaming é uma plataforma de streaming de eventos em tempo real, sem servidor e compatível com Apache Kafka para desenvolvedores e cientistas de dados. Ele fornece uma solução totalmente gerenciada, escalável e durável para ingestão e consumo de fluxos de dados de alto volume em tempo real, como logs. Podemos usar o OCI Streaming para qualquer caso de uso em que os dados sejam produzidos e processados de forma contínua e sequencial em um modelo de mensagens publicar-assinar.

  1. Vá para a Console do OCI, navegue até Análise e IA, Mensagens e Streaming.

  2. Clique em Criar Stream para criar o stream.

  3. Especifique as seguintes informações e clique em Criar.

    • Nome: Digite o nome do fluxo. Para este tutorial, é Qradar_Stream.
    • Pool de Streams: Selecione o pool de streams existente ou crie um novo com ponto final público.
    • Retenção (em horas): Informe o número de horas para reter as mensagens neste fluxo.
    • Número de Seções: Informe o número de separações para o stream.
    • Taxa de Gravação Total e Taxa de Leitura Total: Informe com base na quantidade de dados que você precisa processar.

    Você pode começar com valores padrão para teste. Para obter mais informações, consulte Particionando um Stream.

Tarefa 3: Configurar um OCI Connector Hub

O OCI Connector Hub orquestra a movimentação de dados entre serviços no OCI. O OCI Connector Hub fornece um local central para descrever, executar e monitorar movimentos de dados entre serviços, como OCI Logging, OCI Object Storage, OCI Streaming, OCI Logging Analytics e OCI Monitoring. Ele também pode acionar o OCI Functions para processamento de dados leves e o OCI Notifications para configurar alertas.

  1. Vá para a Console do OCI, navegue até Observabilidade e Gerenciamento, Logging e Conectores.

  2. Clique em Criar Conector para criar o conector.

  3. Digite as seguintes informações.

    • Nome: Informe QRadar_SC.
    • Descrição (Opcional): Digite a descrição.
    • Compartimento: Selecione seu compartimento.
    • Origem: Selecione Logging.
    • Destino: Selecione Streaming.
  4. Em Configurar Conexão de Origem, selecione um Nome do compartimento, um Grupo de Logs e um Log (grupo de logs e log criados na Tarefa 1).

  5. Se você também quiser enviar Logs de Auditoria, clique em +Another Log e selecione o mesmo compartimento ao substituir _Audit pelo seu grupo de logs.

  6. Em Configurar destino, selecione um Compartimento e um Stream (stream criado na Tarefa 2).

  7. Para aceitar políticas padrão, clique no link Criar fornecido para cada política padrão. As políticas padrão são oferecidas para qualquer autorização necessária para que este conector acesse os serviços de origem, tarefa e destino.

  8. Clique em Criar.

Tarefa 4: Configurar o Controle de Acesso do IBM QRadar para Recuperar Logs

Para permitir que o IBM QRadar acesse dados de um fluxo do OCI, crie um usuário e conceda permissões de extração de fluxo para recuperar logs.

  1. Criar um usuário do OCI. Para obter mais informações, consulte Gerenciando Usuários.

  2. Crie um grupo do OCI chamado QRadar_User_Group e adicione o usuário do OCI ao grupo. Para obter mais informações, consulte Gerenciando grupos.

  3. Crie a seguinte política do OCI IAM.

    Allow group <QRadar_User_Group> to use stream-pull in compartment <compartment_of_stream>
    

Tarefa 5: Configurar IBM QRadar

  1. Faça log-in na Console do IBM QRadar, clique em Admin e QRadar Gerenciamento de Origem de Log.

    QRadar Gerenciamento de Origem de Log

  2. Clique em Nova origem de Log e selecione Origem de Log Única.

    Nova Origem de Log

    origem de log único

  3. Selecione Tipo de Origem de Log como DSM Universal, Tipo de Protocolo como Apache Kafka e clique em Configurar parâmetros de origem de Log.

    Tipo de Origem de Log

    Tipo de Protocolo

  4. Na janela Configurar os Parâmetros de Origem de Log, informe os parâmetros de acordo com seus requisitos e ambiente e clique em Configurar Parâmetros de Protocolo. Esta etapa é específica para seu caso de uso e autoexplicativa.

    Configurar parâmetros de origem de log

  5. Os parâmetros na seção Configurar Parâmetros do Protocolo podem ser encontrados na Console do OCI. Digite os parâmetros a seguir e clique em Finalizar.

    1. Vá para a Console do OCI, navegue até Home, Streaming, Stream Pools, Detalhes do Pool de Streams e clique em Definições de Conexão do Kafka. É possível localizar os detalhes de Servidor de inicialização e nome de usuário. A senha é o token de autenticação do usuário.

      Definições de Conexão do Kafka

    2. A Lista de Tópicos é o Nome do Stream.

      OCI Stream

    3. Desative Usar Autenticação do Cliente. Ao usar a autenticação SASL sem autenticação do cliente, uma cópia do certificado do servidor deve ser colocada em /opt/qradar/conf/trusted_certificates/.

      Para copiar um certificado para o diretório /opt/qradar/conf/trusted_certificates, escolha uma das seguintes opções:

      a. Use SSH para fazer log-in na Console QRadar ou no host gerenciado e recupere o certificado digitando o comando a seguir.

      /opt/qradar/bin/getcert.sh <FQDN of Streaming Endpoint>
      

      Um certificado é baixado do nome de host ou endereço IP especificado e colocado no diretório /opt/qradar/conf/trusted_certificates no formato apropriado.

      b. Como alternativa, use o comando a seguir para extrair o certificado do servidor e adicioná-lo ao local /opt/qradar/conf/trusted_certificates/.

      openssl s_client -showcerts -connect <bootstrap_server>:9092 < /dev/null | openssl x509 -outform DER > <certificate_name>.der
      

      Certificado do Servidor

      configurar parâmetros de protocolo

  6. Clique em Implantar alterações para que as alterações tenham efeito.

    Implantar alterações

  7. Em Gerenciamento de origem de log QRadar, clique em exibir para verificar o status da origem de log. O status deve ser OK e Conectado: Aguardando Eventos....

    Status da origem de log

    Resumo de origem de log

  8. No serviço QRadar log source Management, clique em Events para exibir os logs ingeridos da tenancy do OCI.

    Serviço Events

    Serviço Events

    Observação: De acordo com a descrição do recurso na Console IBM QRadar, quando o recurso Usar como Origem de Log do Gateway está ativado, o IBM QRadar processa os eventos coletados por meio de seu mecanismo de análise de tráfego, que detecta e designa automaticamente o nome da origem de log, geralmente aparecendo como Mecanismo de Regra Personalizado-8::Nome do Host. Quando esse recurso está desativado, os eventos mantêm seu nome de origem de log original, como Logs do Oracle Cloud Infrastructure. Certifique-se de filtrar as duas origens de log ao verificar a ingestão de log na tenancy do OCI.

    Serviço Events

  9. Depois de concluir todas as etapas, se os logs não aparecerem em QRadar, talvez você precise executar as seguintes ações:

    1. Reinicie o serviço de entrada (se possível). A reinicialização do serviço de entrada pode ajudar a resolver o problema. No entanto, consulte o administrador ou avalie o impacto potencial no ambiente antes de executar o comando a seguir.

      systemctl restart ecs-ec-ingress
      
    2. Desative e reative a origem de log.

Próximas Etapas

Este tutorial demonstrou o processo de integração do OCI e do IBM QRadar. No lado do Security Information and Event Management (SIEM), é essencial definir painéis de controle para capturar métricas críticas e configurar alertas a serem acionados quando limites predefinidos forem excedidos. Além disso, a definição de consultas específicas é crucial para detectar atividades mal-intencionadas e identificar padrões na tenancy do OCI. Essas ações aprimorarão ainda mais sua postura de segurança e permitirão o monitoramento proativo do seu ambiente de nuvem.

Agradecimentos

Mais Recursos de Aprendizagem

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.