注意：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
• 它會使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時，請將這些值替代為您雲端環境特定的值。

使用 OCI Streaming 服務將 Oracle Cloud Infrastructure 日誌傳送至 Microsoft Azure Sentinel

簡介

Oracle Observability and Management 平台服務可讓客戶透過完整堆疊可見性、預建分析和自動化來監控、分析和管理多雲端應用程式和基礎架構環境。Oracle Cloud Infrastructure Streaming 服務提供完全託管、可擴展且長期的解決方案，可讓您即時擷取及使用大量資料串流。不論是在靜態還是傳輸中，串流處理資料都會進行加密。

Microsoft Azure Sentinel 是由 Microsoft Azure 提供的雲端原生安全資訊和事件管理 (SIEM) 平台。本教學課程將引導您使用 Oracle Cloud Infrastructure Streaming (OCI Streaming) 服務，將 OCI 稽核日誌傳輸至 Microsoft Azure Sentinel。

目標

使用 OCI Streaming 服務將 OCI 稽核日誌傳輸至 Microsoft Azure Sentinel。

必要條件

• 存取 OCI 租用戶
• 在 OCI 中管理串流、日誌、服務連線器中心的權限
• 存取 Azure 租用戶
• 啟用和設定 Azure Sentinel 的權限

作業 1：在 OCI 上產生 API 簽署金鑰

您可以使用 OCI 主控台產生 API 公用 / 私密金鑰組。如果您已有金鑰組，可以上傳公開金鑰。

• 在 OCI 登陸頁面上，瀏覽至設定檔、使用者設定值、 API 金鑰、新增 API 金鑰。

• 新增金鑰之後，就會產生組態檔預覽程式碼片段。我們將需要這些詳細資訊來認證 Azure 應用程式，以從 OCI Stream 擷取訊息。

作業 2：在 OCI 上建立串流

1. 若要建立串流，請從 OCI 首頁瀏覽至分析與 AI 、訊息傳遞、串流。

2. 按一下串流集區並建立公用串流集區。若要進行加密，您可以使用 Oracle 管理的金鑰，或是從您能夠存取的保存庫中選擇金鑰。

   

   

3. 按一下串流、建立串流。指定必要的區間詳細資訊。選取我們在步驟 2 中建立的串流集區。您可以將「串流」設定值保留使用預設值。

   

作業 3：在 OCI 上建立服務連線器中心

OCI 服務連線器中心可協助在 OCI 中的服務之間傳輸資料。我們將會建立一個服務連線器，將稽核日誌從 OCI 日誌記錄服務傳輸至 OCI 串流。

1. 按一下「導覽」功能表，然後選取可觀察性與管理、記錄日誌、服務連線器、建立服務連線器。

2. 提供必要的詳細資訊。來源應為 「記錄」且目標應為 「串流」。

3. 為日誌群組選取稽核。

   注意：對於本教學課程的範圍，我們只會將稽核日誌傳送至 Sentinel。每個區間預設會啟用稽核日誌。如果需要傳輸其他 OCI 服務日誌或自訂日誌，請參閱 OCI 日誌記錄文件，以便啟用和使用這些日誌。

4. 您可以視需要提供只傳送所選日誌類型的日誌篩選。

5. 在設定目標下，選取我們建立的串流。

6. 建立畫面上顯示的預設原則，然後按一下建立。

   

   

   

OCI 上的服務連線器與串流已就緒。接下來，我們將設定 Azure Sentinel 從此串流提取日誌。

作業 4：啟用 Microsoft Sentinel 並從內容中心安裝 OCI 解決方案

1. 第一步是將 Microsoft Sentinel 新增至現有的工作區或建立新的工作區。如需先決條件和權限，請參閱 Sentinel quickstart 文件。

2. 登入 Azure 入口網站。

3. 搜尋並選取 Microsoft Sentinel ，選取新增，選取工作區，新增 Microsoft Sentinel 。

4. 在 Sentinel 中，選取內容中心。搜尋 Oracle Cloud Infrastructure 解決方案，然後按一下安裝。

   

作業 5：設定資料連線器：Oracle Cloud Infrastructure (使用 Azure Functions)

1. 安裝 OCI 解決方案之後，請按一下管理。

2. 選取資料連接器 Oracle Cloud Infrastructure (使用 Azure Functions) ，開啟連接器頁面。它一開始會顯示為已中斷連線。

   

   

3. 在右側，選取 [ 部署至 Azure ] 按鈕。填寫所有詳細資訊。

   • 您可以在資料連接器頁面上找到 Microsoft Sentinel 工作區 ID 與共用金鑰。您可以從 OCI 組態檔預覽程式碼片段擷取使用者、指紋、租用戶以及區域值。

   • 注意：在 OCI 主控台中，按一下所需指紋右側的三個點，即可預覽對應的組態檔片段。

   • 您可以從 OCI 中建立串流的串流資訊底下，擷取訊息端點和串流 OCID 。

   • 填入所有詳細資訊之後，請選取此核取方塊：我同意上述的條款與條件，然後按一下購買以進行部署。

     

4. 部署時，會自動建立 Azure 函數應用程式。您可以驗證應用程式的執行狀態。資料連接器會在一段時間後顯示為「已連線」。

   • 若要檢視日誌，請導覽至 Sentinel 、 Logs 、 Tables 、 Custom Tables 。

   • 按兩下 OCI_Logs_CL (Azure 函數應用程式建立的自訂表格)，讓表格顯示在查詢空間中。選取「期間」，然後按一下執行。您現在可以在 Sentinel 檢視及管理 OCI 日誌。

     

相關連結

• Oracle Cloud Infrastructure Streaming

• OCI 服務連線器中心

確認書

作者 - Lasya Vadavalli (資深雲端工程師 - IaaS)

其他學習資源

探索 docs.oracle.com/learn 的其他實驗室，或者存取更多 Oracle Learning YouTube 頻道上的免費學習內容。此外，請瀏覽 education.oracle.com/learning-explorer 以成為 Oracle Learning 檔案總管。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與版權資訊

Send Oracle Cloud Infrastructure logs to Microsoft Azure Sentinel using OCI Streaming service

F84624-01

July 2023

Copyright © 2023, Oracle and/or its affiliates.