注：

• 此教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure Free Tier 。
• 它使用 Oracle Cloud Infrastructure 身份证明、租户和区间示例值。完成实验室时，请将这些值替换为特定于云环境的那些值。

使用 OCI 流处理服务将 Oracle Cloud Infrastructure 日志发送到 Microsoft Azure Sentinel

简介

通过 Oracle 可观察性和管理平台服务，客户可以使用全栈可见性、预构建的分析和自动化功能监视、分析和管理多云应用和基础设施环境。Oracle Cloud Infrastructure Streaming 服务提供完全托管、可扩展且持久的解决方案，用于实时摄取和使用高容量数据流。流数据无论是在静止状态还是在传输中，都经过加密。

Microsoft Azure Sentinel 是由 Microsoft Azure 提供的云原生安全信息和事件管理 (SIEM) 平台。在本教程中，我们将介绍使用 Oracle Cloud Infrastructure Streaming (OCI Streaming) 服务将 OCI 审计日志传输到 Microsoft Azure Sentinel 的过程。

目标

使用 OCI 流处理服务将 OCI 审计日志传输到 Microsoft Azure Sentinel。

先决条件

• 访问 OCI 租户
• 在 OCI 中管理流、日志和服务连接器中心的权限
• 访问 Azure 租户
• 启用和配置 Azure Sentinel 的权限

任务 1：在 OCI 上生成 API 签名密钥

可以使用 OCI 控制台生成 API 公钥/私钥对。如果您已有密钥对，可以上载公共密钥。

• 在 OCI 登录页面上，导航到配置文件、用户设置、 API 密钥、添加 API 密钥。

• 添加密钥后，将生成配置文件预览片段。我们需要这些详细信息来验证 Azure 应用程序以从 OCI 流提取消息。

任务 2：在 OCI 上创建流

1. 要创建流，请从 OCI 主页导航到分析和 AI 、消息传递和流处理。

2. 单击流池并创建公共流池。对于加密，您可以使用 Oracle 托管密钥，也可以从您有权访问的 Vault 中选择密钥。

   

   

3. 单击流创建流。指定所需的区间详细信息。选择我们在步骤 2 中创建的流池。可以保留流设置以使用默认值。

   

任务 3：在 OCI 上创建服务连接器中心

OCI 服务连接器中心有助于在 OCI 中的服务之间传输数据。我们将创建一个服务连接器，以将审计日志从 OCI 日志记录服务传输到 OCI 流处理。

1. 单击“导航”菜单，然后选择可观察性和管理、日志记录、服务连接器、创建服务连接器。

2. 提供所需的详细信息。源应为“日志记录”，目标应为“流处理”。

3. 为日志组选择审核。

   注：对于本教程的作用域，我们只向 Sentinel 发送审计日志。默认情况下，审计日志在每个区间中都处于启用状态。如果需要传输其他 OCI 服务日志或定制日志，请参阅 OCI 日志记录文档以了解启用和使用这些日志的过程。

4. 您可以选择提供日志筛选器以仅发送选定的日志类型。

5. 在“配置目标”下，选择创建的流。

6. 创建显示在屏幕上的默认策略，然后单击创建。

   

   

   

OCI 中的服务连接器和流已准备就绪。接下来，我们将配置 Azure Sentinel 以从此流中提取日志。

任务 4：启用 Microsoft Sentinel 并从内容中心安装 OCI 解决方案

1. 第一步是将 Microsoft Sentinel 添加到现有工作区或创建新工作区。有关先决条件和权限，请参阅 Sentinel 快速入门文档。

2. 登录 Azure 门户。

3. 搜索并选择 Microsoft Sentinel ，选择添加，选择工作区添加 Microsoft Sentinel 。

4. 在 Sentinel 中，选择内容中心。搜索 Oracle Cloud Infrastructure 解决方案并单击安装。

   

任务 5：设置数据连接器：Oracle Cloud Infrastructure（使用 Azure 函数）

1. 安装 OCI 解决方案后，单击管理。

2. 选择数据连接器 Oracle Cloud Infrastructure（使用 Azure 函数），打开连接器页面。最初显示为断开连接。

   

   

3. 在右侧，选择部署到 Azure 按钮。填充所有详细信息。

   • 您可以在数据连接器页面上找到 Microsoft Sentinel 工作区 ID 和共享密钥。可以从 OCI 配置文件预览片段提取用户、指纹、租户、区域值。

   • 注：在 OCI 控制台上，单击所需指纹右侧的三个点以预览对应的配置文件片段。

   • 您可以在 OCI 中创建的流的流信息下提取消息端点和流 ocid 。

   • 填写所有详细信息后，选中复选框：我同意上述条款和条件，然后单击购买以部署。

     

4. 部署时，会自动创建 Azure 函数应用程序。您可以验证应用程序的运行状态。数据连接器在一段时间后显示为“已连接”。

   • 要查看日志，请导航到 Sentinel 、 Logs 、 Tables 、 Custom Tables 。

   • 双击 OCI_Logs_CL （由 Azure 函数应用程序创建的定制表），使表显示在查询空间中。选择“期间”，然后单击运行。现在，您可以在 Sentinel 上查看和管理 OCI 日志。

     

相关链接

• Oracle Cloud Infrastructure 流处理

• OCI 服务连接器中心

确认

作者 - Lasya Vadavalli（高级云工程师 - IaaS）

更多学习资源

探索 docs.oracle.com/learn 上的其他实验室，或者访问 Oracle Learning YouTube 频道上的更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Send Oracle Cloud Infrastructure logs to Microsoft Azure Sentinel using OCI Streaming service

F84624-01

July 2023

Copyright © 2023, Oracle and/or its affiliates.