1. Agregue logs de serviço do Oracle Cloud Infrastructure usando SIEMs de terceiros
  2. Agregar Logs de Serviço do Oracle Cloud Infrastructure Usando SIEMs de Terceiros

Agregar Logs de Serviço do Oracle Cloud Infrastructure Usando SIEMs de Terceiros

Ao implantar cargas de trabalho no Oracle Cloud Infrastructure (OCI), a agregação de logs do Oracle Cloud Infrastructure Audit, logs de serviço e eventos de segurança são requisitos básicos.

A centralização desses dados permite que as organizações analisem, monitorem e protejam suas tenancies. Para casos de uso de segurança, os clientes podem enviar esses logs para uma plataforma SIEM (Security Information and Event Management). O sistema SIEM é uma ferramenta de operações críticas que gerencia a segurança dos recursos de nuvem. O OCI inclui recursos nativos de detecção, prevenção e resposta de ameaças, que podem ser usados para implementar um SIEM eficiente.

Para ajudar a agilizar a implantação das informações de log agregadas nas regiões de uma tenancy, as empresas podem usar ferramentas de infraestrutura como código (IaC), incluindo Terraform e Ansible. Essas ferramentas IaC não apenas permitem um desenvolvimento ágil, as melhores práticas DevOps e a integração e entrega contínuas (CI/CD), como também removem obstáculos, como provisionamento manual de componentes da infraestrutura de nuvem. Como o IaC é de natureza modular, cada trecho de código pode ser dividido ou combinado para atender a vários casos de uso de implantação, permitindo também que os ciclos de desenvolvimento de software sejam mais eficientes.

Pergunte ao Arquiteto

Reproduza o episódio Ask the Architect:

Arquitetura

Essa arquitetura implanta uma topologia semelhante em diferentes regiões para capturar resultados de log específicos da região, agregar os resultados e transmiti-los a uma plataforma SIEM (Security Information and Event Management).

O diagrama a seguir ilustra a arquitetura geral. As exibições individuais das regiões de relatório e assinante são fornecidas na seção Planejar Implantação.


Veja a seguir a descrição da ilustração oci-log-multistream.png
Descrição da ilustração oci-log-multistream.png

oci-log-multistream-oracle.zip

A arquitetura tem os seguintes componentes:

  • Locação

    Uma tenancy é uma partição segura e isolada que a Oracle configura no Oracle Cloud quando você se inscreve no Oracle Cloud Infrastructure. Você pode criar, organizar e administrar seus recursos no Oracle Cloud dentro da sua tenancy. Uma tenancy é sinônimo de empresa ou organização. Geralmente, uma empresa terá uma única tenancy e refletirá sua estrutura organizacional dentro dessa tenancy. Em geral, uma única tenancy é associada a uma única assinatura e, em geral, uma única assinatura só tem uma tenancy.

  • Região

    Uma região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, denominada domínios de disponibilidade. As regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou mesmo continentes).

  • Serviço IAM (Identity and Access Management)

    O Oracle Cloud Infrastructure Identity and Access Management (IAM) é o plano de controle de acesso da OCI (Oracle Cloud Infrastructure) e do Oracle Cloud Applications. A API do IAM e a interface do usuário permitem que você gerencie domínios de identidades e os recursos dentro do domínio de identidades. Cada domínio de identidades do OCI IAM representa uma solução de gerenciamento de identidades e acesso independente ou outra população de usuários.

  • Política

    Uma política do Oracle Cloud Infrastructure Identity and Access Management especifica quem pode acessar quais recursos e como. O acesso é concedido no nível de grupo e compartimento, o que significa que você pode gravar uma política que dê a um grupo um tipo específico de acesso dentro de um compartimento específico ou à tenancy.

  • Log
    O registro em log é um serviço altamente escalável e totalmente gerenciado que fornece acesso aos seguintes tipos de logs de seus recursos na nuvem:
    • Logs de auditoria: Logs relacionados a eventos emitidos pelo serviço Audit.
    • Logs de serviço: Logs emitidos por serviços individuais, como os logs de fluxo de Gateway de API, Eventos, Funções, Balanceamento de Carga, Armazenamento de Objetos e VCN.
    • Logs personalizados: Logs que contêm informações de diagnóstico de aplicativos personalizados, outros provedores de nuvem ou um ambiente on-premises.
  • Rede virtual na nuvem (VCN) e sub-redes

    Uma VCN é uma rede personalizável definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes tradicionais de data center, as VCNs oferecem total controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após a criação da VCN. Você pode segmentar uma VCN em sub-redes, com escopo definido para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não se sobrepõem a outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

  • Lista de segurança

    Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que deve ser permitido dentro e fora da sub-rede.

  • Tabela de roteamento

    As tabelas de roteamento virtual contêm regras para rotear o tráfego de sub-redes para destinos fora de uma VCN, geralmente por meio de gateways.

  • Cálculo

    O serviço Oracle Cloud Infrastructure Compute permite provisionar e gerenciar hosts de computação na nuvem. Você pode iniciar instâncias de computação com formas que atendam aos seus requisitos de recursos para CPU, memória, largura de banda da rede e armazenamento. Após criar uma instância de computação, você poderá acessá-la com segurança, reiniciá-la, anexá-la e desanexá-la e encerrá-la quando não precisar mais dela.

  • Object Storage

    O armazenamento de objetos fornece acesso rápido a grandes quantidades de dados estruturados e não estruturados de qualquer tipo de conteúdo, incluindo backups de banco de dados, dados analíticos e conteúdo avançado, como imagens e vídeos. Você pode armazenar de forma segura e depois recuperar dados diretamente da internet ou de dentro da plataforma da nuvem. Você pode dimensionar o armazenamento de forma integrada sem sofrer qualquer degradação no desempenho ou na confiabilidade do serviço. Use armazenamento padrão para armazenamento "dinâmico" que você precisa acessar de forma rápida, imediata e frequente. Use o armazenamento de arquivos compactados para armazenamento "frio" que você retém por longos períodos de tempo e raramente acessa.

  • Conectores de serviço

    O Oracle Cloud Infrastructure Service Connector Hub é uma plataforma de barramento de mensagens na nuvem que orquestra a movimentação de dados entre serviços no OCI. Você pode usá-lo para mover dados entre serviços no Oracle Cloud Infrastructure. Os dados se movem usando conectores de serviço. Um conector de serviço especifica o serviço de origem que contém os dados a serem movidos, as tarefas a serem executadas nos dados e o serviço de destino para o qual os dados devem ser entregues quando as tarefas especificadas são concluídas.

    Você pode usar o Oracle Cloud Infrastructure Service Connector Hub para criar rapidamente uma estrutura de agregação de logs para sistemas SIEM. Uma tarefa opcional pode ser uma tarefa de função para processar dados da origem ou de uma tarefa de filtro de log para filtrar dados de log da origem.

  • Cloud Guard

    Você pode usar o Oracle Cloud Guard para monitorar e manter a segurança de seus recursos no Oracle Cloud Infrastructure. O Cloud Guard usa receitas do detector que você pode definir para examinar seus recursos em busca de pontos fracos de segurança e para monitorar operadores e usuários em busca de atividades arriscadas. Quando qualquer atividade de configuração incorreta ou insegura é detectada, o Cloud Guard recomenda ações corretivas e ajuda a tomar essas ações, com base nas receitas do respondedor que você pode definir.

  • Eventos

    Os serviços do Oracle Cloud Infrastructure emitem eventos, que são mensagens estruturadas que descrevem as alterações nos recursos. Os eventos são emitidos para operações de criação, leitura, atualização ou exclusão (CRUD), alterações no estado do ciclo de vida do recurso e eventos do sistema que afetam os recursos da nuvem.

  • Auditoria

    O serviço Oracle Cloud Infrastructure Audit registra automaticamente chamadas para todos os pontos finais suportados da interface de programação de aplicativos (API) públicos do Oracle Cloud Infrastructure como eventos de log. No momento, todos os serviços suportam o registro em log pelo Oracle Cloud Infrastructure Audit.

  • Streaming

    O Oracle Cloud Infrastructure Streaming oferece uma solução de armazenamento totalmente gerenciada, escalável e durável para a ingestão de fluxos de dados contínuos de alto volume que você pode consumir e processar em tempo real. Você pode usar o Streaming para ingerir dados de alto volume, como logs de aplicativo, telemetria operacional, sequência de cliques na web ou para outros casos de uso em que os dados sejam produzidos e processados de modo contínuo e sequencial em um modelo de mensagens do padrão publicar-asscrever.

  • Segurança de Dados

    O Oracle Data Safe é um serviço de nuvem regional totalmente integrado e focado que fornece um conjunto completo de recursos para proteger dados confidenciais e regulamentados em bancos de dados Oracle. O Data Safe também suporta bancos de dados locais, Oracle Exadata Database Service on Cloud@Customer e implantações multicloud. Todos os clientes do Oracle Database podem reduzir o risco de uma violação de dados e simplificar a conformidade usando o Oracle Data Safe para avaliar o risco da configuração e do usuário, monitorar e auditar a atividade do usuário e descobrir, classificar e mascarar dados confidenciais.