了解 Oracle IDCS 安全性和监视

您可以将新的日志分析服务与其他 Oracle Cloud Infrastructure (OCI) 服务结合使用，以从 Oracle Identity Cloud Service (IDCS) 实例获取安全性和监管洞察力。此手册演示了如何使用无服务器函数自动执行从 IDCS 收集审计日志并将其加载到 Log Analytics 进行分析的过程。

Oracle Functions 是一个基于 Oracle Cloud Infrastructure 且由开源 Fn 项目引擎提供支持的无服务器、高度可扩展、完全托管的函数即服务平台。开发人员可以使用 Oracle Functions 编写和部署可提供业务价值的代码，而无需担心基础架构的预配和管理。Oracle Functions 原生容器，其函数打包为 Docker 容器映像。

体系结构

在此体系结构中，该函数调用 IDCS API 以收集日志，然后调用 Log Analytics API 以将其加载到 Log Analytics。它使用 API 网关和健康检查来安排函数每五分钟运行一次。它将当前状态存储在对象存储桶中。下图描述了拓扑和数据流，这些拓扑和数据流使您可以从 Oracle IDCS 实例获得安全性和监管洞察力。

插图 secure-monitor-idcs-arch.png 的说明

安全监视器 -idcs-arch-oracle.zip

区域
Oracle Cloud Infrastructure 区域是一个局部地理区域，其中包含一个或多个数据中心，称为可用性域。区域独立于其他区域，而广阔的距离可以分离它们（跨国家甚至大陆）。
区间
区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间在 Oracle Cloud 中组织资源，控制对资源的访问并设置使用限额。要控制对给定区间中资源的访问，您需要定义策略来指定谁可以访问资源以及他们可以执行的操作。
虚拟云网络 (VCN) 和子网
VCN 是可在 Oracle Cloud Infrastructure 区域中设置的可定制的软件定义网络。与传统的数据中心网络一样，VCN 可以让您完全控制您的网络环境。VCN 可以具有多个不可重叠的 CIDR 块，您可以在创建 VCN 后更改这些块。您可以将 VCN 分段到子网，这些子网可以限定到区域或可用性域。每个子网包含一个连续的地址范围，这些地址与 VCN 中的其他子网不重叠。您可以在创建子网后更改其大小。子网可以是公共子网，也可以是专用子网。
API 网关
通过 API 网关服务，您可以发布具有专用端点的 API，这些端点可以从您的网络中访问，如果需要，还可以向公共互联网公开。端点支持 API 验证、请求和响应转换、CORS、验证和授权以及请求限制。
功能
Oracle Functions 是一个完全托管、多租户、高度可扩展、按需提供函数即服务 (FaaS) 平台。它由 Fn Project 开源引擎提供支持。使用函数，您可以部署代码，也可以直接调用代码或触发代码以响应事件。Oracle Functions 使用托管在 Oracle Cloud Infrastructure Registry 中的 Docker 容器。
对象存储
通过对象存储，可以快速访问任意内容类型的大量结构化和非结构化数据，包括数据库备份、分析数据以及丰富的内容（例如图像和视频）。您可以安全可靠地存储数据，然后直接从互联网或云平台检索数据。您可以在不降低性能或服务可靠性的情况下无缝扩展存储。将标准存储用于需要快速、立即和频繁访问的“热”存储。将归档存储用于长时间保留的“冷”存储，很少或很少访问。
日志分析
日志分析是一个完全托管的 SaaS 区域服务，位于 27 个以上的区域，提供从内部部署、OCI 或第三方云上运行的任何 IT 组件的日志收集、索引、扩充、查询、可视化和预警。
保管库
Vault 是用于加密密码和客户端密钥的密钥管理服务

开始之前

要成功完成此手册中的步骤，您需要为 API 调用准备 IDCS 应用程序 OAuth 并准备 OCI 环境。

查看部署和使用建议

您的要求可能不同于此处所述的体系结构。可以将这些建议用作起点。

日志组
定义多个日志组以向不同的团队提供正确的访问权限，并避免共享敏感数据。
成本管理
日志分析服务根据活动和归档存储中的数据量收费。为了对日常问题进行故障排除并享受异常检测、模式检测和其他机器学习功能的优势，Oracle 建议您使用 90 天的有效存储期并将 90 天以上的日志移动到归档存储。可以根据需要快速撤回存储的归档日志。

查看部署和使用注意事项

在云中设计高可用性应用堆栈时，请考虑以下因素：

性能
查询性能基于时间范围和过滤器、分组方式等操作数。为了获得更好的查询性能，Oracle 建议您在摄取时使用特定的标签和字段扩充日志。
安全性和 RBAC。
定制日志源定义以筛选任何个人身份信息 (Personally Identifiable Information，PII) 数据并启用地理位置扩充。可用性：日志分析是完全托管的高可用性 SaaS 服务。部署 Oracle Cloud Infrastructure Logging Analytics 应用程序作为 Oracle Cloud Marketplace 中的堆栈提供

为 API 调用准备 IDCS 应用程序 OAuth

要使用客户端 ID/密钥调用 IDCS API，需要在 IDCS 中创建定制应用并生成客户端 ID/密钥。请务必记录 IDCS URL、客户端 ID 和密钥。

在此过程中，您将创建使用令牌来使用 IDCS REST API 的客户端应用程序。这样就无需输入用户名和密码来验证您稍后将在本练习中创建的函数。

在 IDCS 控制台上，选择应用程序，单击添加，然后选择机密应用程序。
为应用程序指定名称，然后单击下一步。
此时将显示 "Configuration"（配置）窗口。
选中允许的授权类型和资源所有者，然后通过将身份域管理员角色添加到应用程序，向客户端授予对 Identity Cloud Service 管理员的访问权限。单击下一步。
选中强制授权为授权，然后单击下一步，然后单击完成。
此时将显示一个弹出窗口，其中显示客户机 ID 和客户机密钥。
复制客户端 ID 和客户端密钥，因为以后需要它们。

准备 OCI 环境

接下来，您需要通过确保您具有适当的权限并拥有完成任务所需的资源来准备 OCI 环境。

确保您具有以下内容：

在 Oracle Cloud Infrastructure 租户中管理以下类型的资源的权限：
- VCN
- Internet 网关
- 路由表
- 安全列表
- 子网
- 函数
- API 网关
- 健康检查
足够的限额以创建以下资源：
- 1 VCN
- 1 个子网
- 1 互联网网关
- 1 个路由规则
- 1 个函数
- 1 动态组
- 1 策略
- 1 个 API 网关
- 1 健康检查

了解 Oracle 定义的仪表盘

部署 Terraform 堆栈时，Oracle 定义的 IDCS 审计日志和 IDCS 管理监管仪表盘会自动在日志分析服务中创建。通过这些仪表盘，您可以在单个窗格中查看分析数据，这有助于密切监视云应用活动、检测异常事件和管理管理操作。

了解 IDCS 审计日志仪表盘

“IDCS 审计日志”仪表盘根据您选择的时间范围，在具有图表和可视化的单个窗格中使用小部件汇总审计信息。这提供了选定时段内各种应用程序和用户活动的广泛视图。

“IDCS 审计日志”仪表盘汇总了以下数据：

总计（用于应用程序）
应用程序事件数和用户事件数。
应用程序事件
描述应用程序事件的定期记录的图表
总计（针对用户）
应用程序事件数和用户事件数。
用户事件
描述用户事件定期记录的图表
按应用程序和类型列出的事件
事件的可视化树状图，按每个应用程序的事件类型分组。
按用户和类型列出的事件
按事件类型为每个用户分组的事件的树状图可视化
按应用程序重新分区
显示按应用程序分组的事件计数分布的饼图。
按事件类型重新分区（适用于应用程序）
仅针对应用程序事件按事件类型对事件计数进行分组的饼图。
按用户重新分区
显示事件数分布的饼图，按用户分组。
按事件类型重新分区（对于用户）
一个饼图，显示仅针对用户事件按事件类型分组的事件计数。

了解 IDCS 管理治理仪表盘

IDCS 管理监管仪表盘提供用户在指定时间范围内成功和失败的管理操作的并行透视图。此仪表盘概述了所有管理活动和有关成功和失败操作的见解。要向下钻取，可以在日志浏览器中打开可视化，然后单击确切的事件以产生根本原因。

IDCS 管理监管仪表盘提供了以下功能：

涉及用户成功或失败的管理操作的事件链接可视化，按事件类型和用户分组。图表中的每个气泡代表特定用户的一组特定类型的事件。此可视化有助于识别异常活动。
涉及用户成功或失败的管理操作的事件树状图可视化，按事件类型和用户分组。对于每个用户，将显示一组表示成功的管理操作事件的矩形。可视化有助于查看每个用户的管理活动。
在选定时段内分配的匹配事件的计数的堆叠直方图视图。每个栏中的不同颜色表示不同用户的事件。
表格分析，其中将角色授予特定应用程序的特定用户。