1. Agregue logs de serviço do Oracle Cloud Infrastructure usando SIEMs de terceiros
  2. Planejar a Implantação

Planejar a Implantação

Planeje uma arquitetura que agregue dados de log com várias extensões e os transmita a uma plataforma SIEM (Security Information and Event Management).

Projetar a Implantação

Use as etapas básicas a seguir para implantar uma arquitetura que agrega dados de log do OCI (Oracle Cloud Infrastructure).

  1. Projetar a arquitetura regional

    A arquitetura abaixo agrega logs, logs de serviço e eventos de segurança do Oracle Cloud Infrastructure Audit do Oracle Cloud Guard e do Oracle Data Safe usando o Oracle Cloud Infrastructure Events na região de relatório do Cloud Guard.


    Veja a seguir a descrição da ilustração oci-log-cloud-guard.png
    Descrição da ilustração oci-log-cloud-guard.png

    oci-log-cloud-guard-oracle.zip

  2. Implante a arquitetura entre regiões

    Para garantir que você esteja agregando todos os logs e eventos de segurança, implante uma arquitetura semelhante em todas as regiões nas quais sua tenancy está inscrita. Embora o Oracle Cloud Guard consolide problemas na região de relatório do Cloud Guard, o Oracle Cloud Infrastructure Logging e o Oracle Data Safe são serviços regionais que se reportam de uma região específica.

    Veja a seguir a arquitetura de uma região que não está na região de relatório do Oracle Cloud Guard.


    Veja a seguir a descrição da ilustração oci-log-non-cloud-guard.png
    Descrição da ilustração oci-log-non-cloud-guard.png

    oci-log-non-cloud-guard-oracle.zip

  3. Configure seu SIEM para ler o fluxo de dados em cada região

    Depois que cada região for configurada, você precisará configurar sua solução SIEM para ler o fluxo do OCI em cada região.


    Veja a seguir a descrição da ilustração oci-log-multistream.png
    Descrição da ilustração oci-log-multistream.png

    oci-log-multistream-oracle.zip

  4. Criar políticas de gerenciamento de acesso para seus SIEMs

    Você pode ler dados de um fluxo do OCI usando as APIs do OCI ou usando as APIs compatíveis com Kafka do Oracle Cloud Infrastructure Streaming. Cada API tem um método de autenticação específico:

    Tipo de Autenticação OCI API API Compatível com Kafka
    Chave de Assinatura de API: um par de chaves RSA no formato PEM (mín. 2048 bits) Sim  
    Tokens de Autenticação: strings de token geradas pela Oracle para autenticação com APIs de 3a parte Sim
    Controlador de Instâncias: recurso de serviço IAM que permite que as instâncias sejam atores autorizados (ou principais) para executar ações em recursos de serviço Sim

    A Oracle recomenda o uso de um controlador de instâncias, quando aplicável, para evitar o armazenamento de tokens de longa duração no seu SIEM.

    O SIEM precisa das seguintes permissões do Oracle Cloud Infrastructure Identity and Access Management (IAM) para ler no fluxo do OCI. Para seguir um modelo de menor privilégio, use a política mostrada nos seguintes exemplos:

    • A primeira política é para um usuário do OCI IAM:
      Allow group SIEM to use stream-pull in
            compartment      <compartment>
    • A segunda política é para um controlador de instâncias:
      Allow dynamic-group SIEMInstances to use
            stream-pull in      compartment <compartment>

Considerações

Ao implementar esse design de arquitetura, considere o seguinte:

  • Se o seu SIEM não tiver suporte Kafka nativo ou um plug-in nativo, você poderá enviar logs para o Ponto Final da API HTTPS do SIEM usando o Oracle Functions. Para fazer isso, adicione outro Hub Conector do Serviço do Oracle Cloud Infrastructure regional que leia do fluxo regional e cujo destino seja uma função.
  • Para garantir a coleta de todos os logs de compartimento do Oracle Cloud Infrastructure Audit, use o flag Include _Audit in subcompartments no compartimento raiz no Hub Conector do OCI Service.
  • Para coletar descobertas do Oracle Cloud Guard em toda a tenancy, anexe um destino do Oracle Cloud Guard ao compartimento raiz. Em seguida, crie um evento do Oracle Cloud Guard OCI no compartimento raiz para capturar todas as descobertas do Oracle Cloud Guard na tenancy.
  • Para retenção de log do OCI de longo prazo (armazenamento frio), crie um segundo Hub Conector de Serviço do OCI para ler do fluxo regional com um bucket do Oracle Cloud Infrastructure Object Storage como destino. Usando o Gerenciamento do Ciclo de Vida de Objetos para gerenciar seu armazenamento de objetos e dados de armazenamento de arquivos compactados, você pode reduzir os custos de armazenamento e o tempo gasto gerenciando os dados manualmente.
  • Use o Oracle Cloud Infrastructure Monitoring e Alarmes para monitorar o tempo de disponibilidade da ingestão de log.
  • A tabela abaixo mostra algumas ferramentas comuns e seu padrão:
    Ferramentas APIs do OCI (Plug-in) Compatível com Kafka Código da Função
    Splunk Sim
    QRadar Sim
    Microsoft Sentinel Sim
    Google Chronicle Sim
    Datadog Sim
    ELK Sim
    LogStash Sim