附註：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
• 它使用 Oracle Cloud Infrastructure 憑證、租用戶及區間的範例值。完成實驗室時，請將這些值取代為您雲端環境特有的值。

將日誌從 Oracle Cloud Infrastructure 移至 IBM QRadar

簡介

Oracle Cloud Infrastructure (OCI) 是受大規模企業信任的基礎架構即服務 (IaaS) 和平台即服務 (PaaS)。它提供包含託管、儲存、網路、資料庫等全方位的託管服務。

OCI Observability and Management 平台旨在符合客戶的偏好。許多人已採用利用第三方可觀察性工具建立的營運實務。我們的目標是確保與這些工具緊密整合，讓客戶能夠將現有的投資與 OCI 搭配使用。

在本教學課程中，我們將逐步引導您瞭解如何將日誌從 OCI 移至 IBM QRadar。

現在，讓我們來看看解決方案架構的高階表現法，如下圖所示。

OCI Connector Hub 會從 OCI 日誌記錄讀取日誌資料，並將日誌傳送至 OCI 串流處理服務。IBM QRadar 具有整合式 Kafka 用戶，可與 OCI Streaming 服務連線以讀取此資料。

目標

• 將日誌從 Oracle Cloud Infrastructure 搬移至 IBM QRadar。

必要條件

• OCI 中的使用者必須具備必要的政策，OCI Streaming、OCI Connector Hub 和 OCI Logging 服務才能管理資源。如需所有服務的原則參照，請參閱原則參照。

工作 1：設定要擷取的日誌

OCI 日誌記錄服務是可高度擴展且完全受管理的單一管理平台，可供租用戶中的所有日誌使用。OCI 日誌記錄可讓您從 OCI 資源存取日誌。日誌是第一級 OCI 資源，可儲存及擷取在指定相關資訊環境中收集的日誌事件。日誌群組是儲存在區間中的日誌集合。記錄群組是記錄的邏輯容器。使用日誌群組可套用 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 原則或群組日誌以進行分析，以組織及簡化日誌管理。

若要開始使用，請對資源啟用日誌。服務會為資源可用的不同日誌類型提供日誌類別。例如，OCI 物件儲存服務支援下列儲存桶日誌類別：讀取和寫入存取事件。讀取存取事件會擷取下載事件，同時寫入存取事件會擷取寫入事件。每個服務都可以有不同的資源日誌類別。

1. 登入 OCI 主控台，瀏覽至可觀測性與管理、記錄日誌以及日誌群組。

2. 選取您的區間，按一下建立日誌群組並輸入下列資訊。

   • 名稱：輸入 QRadar_log_group。
   • 描述 ( 選擇性 )：輸入描述。
   • 標記 ( 選擇性 )：輸入標記。

3. 按一下建立以建立新日誌群組。

4. 在資源底下，按一下日誌 (Logs) 。

5. 視需要按一下建立自訂日誌或啟用服務日誌。

   例如，若要啟用 OCI 物件儲存的儲存桶寫入日誌，請依照下列步驟進行：

   1. 按一下啟用服務日誌。

   2. 選取您的資源區間，然後在搜尋服務中輸入物件儲存。

   3. 按一下啟用日誌，然後在資源中選取您的 OCI 物件儲存的儲存桶名稱。

   4. 選取在「工作 1.2」中建立的日誌群組 (QRadar_log_group)，以及日誌類別中的寫入存取事件。選擇性地輸入 QRadar_bucket_write 作為日誌名稱。

   5. 按一下啟用以建立新的 OCI 日誌。

工作 2：使用 OCI Streaming 建立串流

OCI Streaming 服務是適用於開發人員和資料科學家的即時、無伺服器且與 Apache Kafka 相容的事件串流平台。它提供完全受管理、可擴展且持久的解決方案，可即時擷取及使用大量資料串流，例如日誌。我們可以將 OCI Streaming 用於在發布 / 訂閱訊息傳遞模型中，以持續且循序方式產生及處理資料的任何使用案例。

1. 前往 OCI 主控台，瀏覽至 Analytics & AI 、 Messaging 及 Streaming 。

2. 按一下建立串流以建立串流。

3. 輸入下列資訊，然後按一下建立。

   • 名稱：輸入串流名稱。本教學課程為 Qradar_Stream。
   • 串流集區：選取現有的串流集區，或使用公用端點建立新的串流集區。
   • 保留 (小時)：輸入此串流中保留訊息的時數。
   • 分割區數目：輸入串流的分割區數目。
   • 寫入速率總計和讀取速率總計：根據您需要處理的資料量輸入。

   您可以從預設值開始進行測試。如需詳細資訊，請參閱分割串流。

作業 3：設定 OCI 連線器中心

OCI Connector Hub 可協調 OCI 中服務之間的資料移動。OCI Connector Hub 可集中描述、執行及監控服務之間的資料移動，例如 OCI 日誌記錄、OCI 物件儲存、OCI 串流處理、OCI 日誌記錄分析及 OCI 監控。它也可以觸發 OCI Functions 進行輕量資料處理，而 OCI Notifications 則設定警示。

1. 前往 OCI 主控台，瀏覽至可觀測性與管理、記錄日誌以及連線器。

2. 按一下建立連線器即可建立連線器。

3. 請輸入下列資訊。

   • 名稱：輸入 QRadar_SC。
   • 描述 ( 選擇性 )：輸入描述。
   • 區間：選取您的區間。
   • 來源：選取日誌記錄。
   • 目標：選取串流。

4. 在設定來源連線底下，選取區間名稱、日誌群組和日誌 (在「工作 1」中建立的日誌群組和日誌)。

5. 如果您也想要傳送稽核日誌，請按一下 +Another 日誌，然後在取代 _Audit 作為日誌群組時選取相同的區間。

6. 在設定目標下，選取區間和串流 (在「工作 2」中建立的串流)。

7. 若要接受預設原則，請按一下為每個預設原則提供的建立連結。提供預設原則給此連線器存取來源、工作和目標服務所需的任何授權。

8. 按一下建立。

工作 4：設定 IBM QRadar 的存取控制以擷取日誌

若要允許 IBM QRadar 從 OCI 串流存取資料，請建立使用者並授予擷取日誌的串流提取權限。

1. 建立 OCI 使用者。如需詳細資訊, 請參閱管理使用者.

2. 建立名為 QRadar_User_Group 的 OCI 群組並將 OCI 使用者新增至群組。如需詳細資訊，請參閱管理群組。

3. 建立下列 OCI IAM 原則。

   Allow group <QRadar_User_Group> to use stream-pull in compartment <compartment_of_stream>
   

工作 5：設定 IBM QRadar

1. 登入 IBM QRadar 主控台，按一下管理與 QRadar 日誌來源管理。

   

2. 按一下新建日誌來源，然後選取單一日誌來源。

   

   

3. 選取日誌來源類型作為通用 DSM ，協定類型作為 Apache Kafka ，然後按一下設定日誌來源參數。

   

   

4. 在設定日誌來源參數視窗中，根據您的需求和環境輸入參數，然後按一下設定協定參數。此步驟專屬於您的使用案例和自行說明。

   

5. 您可以在「OCI 主控台」中找到設定協定參數段落中的參數。輸入下列參數，然後按一下完成。

   1. 移至 OCI 主控台，瀏覽至首頁、串流、串流集區、串流集區詳細資訊，然後按一下 Kafka 連線設定值。您可以找到啟動安裝伺服器和使用者名稱詳細資訊。密碼是使用者的認證權杖。

      

   2. 主題清單是您的串流名稱。

      

   3. 停用使用從屬端認證。在不使用用戶端驗證的情況下使用 SASL 驗證時，必須將伺服器憑證的副本置於 /opt/qradar/conf/trusted_certificates/ 中。

      若要將憑證複製到 /opt/qradar/conf/trusted_certificates 目錄，請選擇下列其中一個選項：

      a.使用 SSH 登入 QRadar 主控台或受管理主機，然後輸入下列命令來擷取憑證。

      /opt/qradar/bin/getcert.sh <FQDN of Streaming Endpoint>
      

      憑證會從指定的主機名稱或 IP 位址下載，並以適當的格式置於 /opt/qradar/conf/trusted_certificates 目錄中。

      b.或者，使用下列指令擷取伺服器憑證，並將其增加到 /opt/qradar/conf/trusted_certificates/ 位置。

      openssl s_client -showcerts -connect <bootstrap_server>:9092 < /dev/null | openssl x509 -outform DER > <certificate_name>.der
      

      

      

6. 按一下部署變更，變更才會生效。

   

7. 在 QRadar 日誌來源管理中，按一下檢視以檢查日誌來源狀態。狀態應該是確定和已連線：等待事件 ... 。

   

   

8. 在 QRadar 日誌來源管理中，按一下事件以檢視從 OCI 租用戶攝取的日誌。

   

   

   注意：根據 IBM QRadar 主控台中的功能描述，啟用作為閘道日誌來源功能時，IBM QRadar 會透過其流量分析引擎處理收集的事件，此引擎會自動偵測並指派日誌來源名稱，通常會顯示為自訂規則引擎 -8：：主機名稱。停用此功能時，事件會保留其原始日誌來源名稱，例如 Oracle Cloud Infrastructure 日誌。驗證從 OCI 租用戶攝取日誌時，請務必篩選這兩個日誌來源。

   

9. 完成所有步驟之後，如果日誌未顯示在 QRadar 中，您可能需要採取下列動作：

   1. 重新啟動傳入服務 (如果可行)。重新啟動傳入服務可能有助於解決問題。不過，請先洽詢您的管理員或評估對環境的潛在影響，再執行下列命令。

      systemctl restart ecs-ec-ingress
      

   2. 停用並重新啟用日誌來源。

接下來的步驟

本教學課程示範了整合 OCI 和 IBM QRadar 的程序。在「安全資訊與事件管理 (SIEM)」端，定義儀表板以擷取重要測量結果，以及設定超過預先定義的臨界值時要觸發警示是必要的。此外，定義特定查詢對於偵測惡意活動及識別 OCI 租用戶內的模式至關重要。這些動作將進一步增強您的安全態勢，並主動監控雲端環境。

相關連結

• 宣布推出 OCI Observability and Management Platform

認可

• 作者 - Chaitanya Chintala (雲端安全顧問)、Gunasekar Ranganathan (主要雲端架構師)

其他學習資源

瀏覽 docs.oracle.com/learn 的其他實驗室，或前往 Oracle Learning YouTube 頻道存取更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與著作權資訊

Move Logs from Oracle Cloud Infrastructure to IBM QRadar

G10229-02

September 2024

Copyright ©2024,

Oracle 和 (或) 其關係企業。