注意：

• 此教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure Free Tier 。
• 它使用 Oracle Cloud Infrastructure 身份证明、租户和区间示例值。完成实验室时，请将这些值替换为特定于您的云环境的值。

将日志从 Oracle Cloud Infrastructure 移至 IBM QRadar

简介

Oracle Cloud Infrastructure (OCI) 是受大型企业信赖的基础设施即服务 (IaaS) 和平台即服务 (PaaS)。它提供一系列全面的托管服务，包括托管、存储、网络、数据库等。

OCI 观测和管理平台旨在与客户的偏好保持一致。许多国家采用了利用第三方观测工具的既定业务做法。我们的目标是确保与这些工具无缝集成，使我们的客户能够将现有投资与 OCI 结合使用。

在本教程中，我们将介绍如何将日志从 OCI 移动到 IBM QRadar。

现在，让我们来看看解决方案体系结构的高级表示，如下图所示。

OCI Connector Hub 从 OCI Logging 读取日志数据并将日志发送到 OCI Streaming 服务。IBM QRadar 具有集成的 Kafka 使用者，可以与 OCI 流处理服务连接以读取此数据。

目标

• 将日志从 Oracle Cloud Infrastructure 移动到 IBM QRadar。

先决条件

• OCI 中的用户必须具有 OCI Streaming、OCI Connector Hub 和 OCI Logging 服务所需的策略才能管理资源。有关所有服务的策略参考，请参见 Policy Reference 。

任务 1：配置要捕获的日志

OCI 日志记录服务是一个高度可扩展且完全托管的单一管理平台，适用于您的租户中的所有日志。OCI 日志记录支持从 OCI 资源访问日志。日志是一种一流的 OCI 资源，用于存储和捕获在给定上下文中收集的日志事件。日志组是存储在区间中的日志的集合。日志组是日志的逻辑容器。通过应用 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 策略或分组日志进行分析，使用日志组来组织和简化日志管理。

要开始，请为资源启用日志。服务为资源可用的不同类型的日志提供日志类别。例如，OCI 对象存储服务支持存储桶的以下日志类别：读取和写入访问事件。读取访问事件捕获下载事件，而写入访问事件捕获写入事件。每个服务可以具有不同的资源日志类别。

1. 登录到 OCI 控制台，导航到观测和管理、日志记录和日志组。

2. 选择您的区间，单击创建日志组并输入以下信息。

   • 名称：输入 QRadar_log_group。
   • 说明（可选）：输入说明。
   • 标记（可选）：输入标记。

3. 单击创建可创建新的日志组。

4. 在资源下，单击日志。

5. 根据需要单击创建定制日志或启用服务日志。

   例如，要为 OCI 对象存储存储桶启用写入日志，请执行以下步骤：

   1. 单击启用服务日志。

   2. 选择资源区间，然后在搜索服务中输入对象存储。

   3. 单击启用日志，然后在资源中选择 OCI 对象存储存储桶名称。

   4. 在日志类别中选择在任务 1.2 中创建的日志组 (QRadar_log_group) 和写入访问事件。（可选）输入 QRadar_bucket_write 作为日志名称。

   5. 单击启用以创建新的 OCI 日志。

任务 2：使用 OCI 流处理创建流

OCI 流处理服务是面向开发人员和数据科学家的实时、无服务器、兼容 Apache Kafka 的事件流处理平台。它提供了完全托管、可扩展且持久的解决方案，可用于实时摄取和使用日志等大量数据流。我们可以使用 OCI Streaming 来处理发布 - 订阅消息传递模型中连续生成和处理数据的任何用例。

1. 转到 OCI 控制台，导航到 Analytics & AI 、 Messaging 和 Streaming 。

2. 单击创建流以创建流。

3. 输入以下信息并单击创建。

   • 名称：输入流名称。对于本教程，它是 Qradar_Stream。
   • 流池：选择现有流池或创建一个具有公共端点的新流池。
   • 保留时间（小时）：输入在此流中保留消息的小时数。
   • 分区数：输入流的分区数。
   • 总写入速率和总读取速率：根据需要处理的数据量输入。

   您可以从用于测试的默认值开始。有关更多信息，请参见 Partitioning a Stream 。

任务 3：设置 OCI Connector Hub

OCI Connector Hub 可在 OCI 中的服务之间协调数据移动。OCI Connector Hub 提供了一个中心位置，可用于描述、执行和监视 OCI 日志记录、OCI 对象存储、OCI 流处理、OCI 日志分析和 OCI 监视等服务之间的数据移动。它还可以触发 OCI Functions 进行轻量级数据处理，并触发 OCI Notifications 设置警报。

1. 转到 OCI 控制台，导航到观测和管理、日志记录和连接器。

2. 单击创建连接器以创建连接器。

3. 输入以下信息。

   • 名称：输入 QRadar_SC。
   • 说明（可选）：输入说明。
   • 区间：选择您的区间。
   • 源：选择日志记录。
   • 目标：选择流处理。

4. 在配置源连接下，选择区间名称、日志组和日志（在任务 1 中创建的日志组和日志）。

5. 如果还希望发送审计日志，请单击 +Another 日志并选择相同的区间，同时替换 _Audit 作为日志组。

6. 在配置目标下，选择区间和流（在任务 2 中创建的流）。

7. 要接受默认策略，请单击为每个默认策略提供的创建链接。默认策略适用于此连接器访问源服务、任务和目标服务所需的任何授权。

8. 单击创建。

任务 4：为 IBM QRadar 设置访问控制以检索日志

要允许 IBM QRadar 从 OCI 流访问数据，请创建用户并为检索日志授予流提取权限。

1. 创建 OCI 用户。有关更多信息，请参见管理用户。

2. 创建名为 QRadar_User_Group 的 OCI 组并将 OCI 用户添加到组中。有关详细信息，请参阅管理组。

3. 创建以下 OCI IAM 策略。

   Allow group <QRadar_User_Group> to use stream-pull in compartment <compartment_of_stream>
   

任务 5：配置 IBM QRadar

1. 登录到 IBM QRadar 控制台，单击 Admin（管理）和 QRadar Log Source Management（日志源管理）。

   

2. 单击新建日志源，然后选择单个日志源。

   

   

3. 选择 Log Source Type 作为 Universal DSM ，选择 Protocol Type 作为 Apache Kafka ，然后单击 Configure Log source parameters 。

   

   

4. 在 Configure the Log Source Parameters 窗口中，根据您的要求和环境输入参数，然后单击 Configure Protocol Parameters 。此步骤特定于您的用例，并且不言自明。

   

5. 配置协议参数部分中的参数可以在 OCI 控制台中找到。输入以下参数并单击完成。

   1. 转到 OCI 控制台，导航到主页、流处理、流池、流池详细信息，然后单击 Kafka 连接设置。您可以找到 Bootstrap server 和 username 详细信息。密码是用户的授权令牌。

      

   2. 主题列表是您的流名称。

      

   3. 禁用 Use Client Authentication 。在不进行客户机验证的情况下使用 SASL 验证时，需要在 /opt/qradar/conf/trusted_certificates/ 中放置服务器证书的副本。

      要将证书复制到 /opt/qradar/conf/trusted_certificates 目录，请选择以下选项之一：

      a.使用 SSH 登录到 QRadar 控制台或托管主机，并通过键入以下命令检索证书。

      /opt/qradar/bin/getcert.sh <FQDN of Streaming Endpoint>
      

      将从指定的主机名或 IP 地址下载证书，并以适当格式放置到 /opt/qradar/conf/trusted_certificates 目录中。

      b.或者，使用以下命令获取服务器证书并将其添加到 /opt/qradar/conf/trusted_certificates/ 位置。

      openssl s_client -showcerts -connect <bootstrap_server>:9092 < /dev/null | openssl x509 -outform DER > <certificate_name>.der
      

      

      

6. 单击部署更改以使更改生效。

   

7. 在 QRadar 日志源管理中，单击查看以检查日志源状态。状态应为 OK 和 Connected：Waiting for Events... 。

   

   

8. 在 QRadar 日志源管理中，单击事件以查看从 OCI 租户摄取的日志。

   

   

   注：根据 IBM QRadar 控制台中的功能说明，启用用作网关日志源功能时，IBM QRadar 将通过其流量分析引擎处理收集的事件，该引擎会自动检测并分配日志源名称，通常显示为 Custom Rule Engine-8：：Hostname 。禁用此功能后，事件将保留其原始日志源名称，例如 Oracle Cloud Infrastructure 日志。在验证 OCI 租户的日志摄取时，请确保筛选出两个日志源。

   

9. 完成所有步骤后，如果日志未显示在 QRadar 中，则可能需要执行以下操作：

   1. 重新启动入站服务（如果可行）。重新启动入站服务可能有助于解决问题。但是，在运行以下命令之前，请咨询管理员或评估对环境的潜在影响。

      systemctl restart ecs-ec-ingress
      

   2. 禁用并重新启用日志源。

后续步骤

本教程演示了集成 OCI 和 IBM QRadar 的过程。在安全信息和事件管理 (Security Information and Event Management，SIEM) 方面，必须定义仪表盘以捕获关键度量并配置警报，以便在超过预定义阈值时触发。此外，定义特定查询对于检测 OCI 租户中的恶意活动和识别模式至关重要。这些操作将进一步增强您的安全状况，并支持对云环境进行主动监视。

相关链接

• 宣布推出 OCI 观测和管理平台

确认

• 作者 - Chaitanya Chintala（云安全顾问），Gunasekar Ranganathan（首席云架构师）

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室，或者通过 Oracle Learning YouTube 频道访问更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Move Logs from Oracle Cloud Infrastructure to IBM QRadar

G10228-02

September 2024

Copyright ©2024,

Oracle 和/或其关联公司。