计划部署
计划一个体系结构,该体系结构聚合多区域日志数据并将其流式传输到安全信息和事件管理 (SIEM) 平台。
设计部署
使用以下基本步骤部署从 Oracle Cloud Infrastructure (OCI) 聚合日志数据的体系结构。
- 设计区域架构
The architecture below aggregates Oracle Cloud Infrastructure Audit logs, service logs, and security events from Oracle Cloud Guard and Oracle Data Safe by using Oracle Cloud Infrastructure Events in the Cloud Guard reporting region.
- 跨区域部署体系结构
要确保聚集所有日志和安全事件,请在租户订阅的所有区域中部署类似的体系结构。Oracle Cloud Guard 整合了 Cloud Guard 报告区域中的问题,而 Oracle Cloud Infrastructure 日志记录和 Oracle Data Safe 是从特定区域报告的区域服务。
下面是不在 Oracle Cloud Guard 报告区域中的区域的体系结构。
- 将 SIEM 配置为读取每个区域中的数据流
设置每个区域后,您需要将 SIEM 解决方案配置为从每个区域的 OCI 流读取。
- 为您的 SIEM 创建访问管理策略
您可以使用 OCI API 或使用符合 Kafka 的 Oracle Cloud Infrastructure 流处理 API 从 OCI 流读取数据。每个 API 都有一个特定的验证方法:
验证类型 OCI API 兼容 Kafka 的 API API 签名密钥:采用 PEM 格式的 RSA 密钥对(最小 2048 位) 是 验证令牌:Oracle 生成的令牌字符串,用于通过第三方 API 进行验证 是 实例主用户:IAM 服务功能,使实例成为授权角色(或主用户)对服务资源执行操作 是 Oracle 建议使用实例主体(如果适用),以避免将长期存在的令牌存储到 SIEM。
SIEM 需要以下 Oracle Cloud Infrastructure Identity and Access Management (IAM) 权限才能从 OCI 流读取。要遵循最小特权模型,请使用以下示例中所示的策略:
- 第一个策略是针对 OCI IAM 用户:
Allow group SIEM to use stream-pull in compartment <compartment> - 第二个策略针对实例主体:
Allow dynamic-group SIEMInstances to use stream-pull in compartment <compartment>
- 第一个策略是针对 OCI IAM 用户:
考虑事项
实施此体系结构设计时,请考虑以下事项:
- 如果您的 SIEM 没有本地 Kafka 支持或原生插件,则可以使用 Oracle Functions 将日志推送到 SIEM 的 HTTPS API 端点。为此,请添加另一个区域性 Oracle Cloud Infrastructure 服务连接器中心,该中心从区域流读取,其目标为功能。
- 要确保收集所有 Oracle Cloud Infrastructure Audit 区间日志,请在 OCI 服务连接器中心中的根区间上使用
Include _Audit in subcompartments标志。 - 要在整个租户中收集 Oracle Cloud Guard 查找结果,请将 Oracle Cloud Guard 目标附加到根区间。然后,在根区间中创建 Oracle Cloud Guard OCI 事件,以获取租户中的所有 Oracle Cloud Guard 查找结果。
- 对于长期 OCI 日志保留(冷存储),创建第二个 OCI 服务连接器中心以 Oracle Cloud Infrastructure Object Storage 存储桶作为目标从区域流读取。通过使用对象生命周期管理来管理对象存储和归档存储数据,您可以降低存储成本和手动管理数据所用的时间。
- 使用 Oracle Cloud Infrastructure Monitoring 和预警监视日志记录正常摄取。
- 下表显示了一些常用工具及其模式:
加工 OCI API(插件) 符合 Kafka 标准 职能代码 拆分 是 QRadar 是 Microsoft Sentinel 是 Google 纪事 是 数据犬 是 罚球 是 LogStash 是