規劃部署
規劃可聚總多區域日誌資料的架構,並將其串流至安全資訊和事件管理 (SIEM) 平台。
設計部署
使用下列基本步驟來部署從 Oracle Cloud Infrastructure (OCI) 聚總日誌資料的架構。
- 設計區域架構
下方的架構使用雲端保全報告區域的 Oracle Cloud Infrastructure Events ,聚總 Oracle Cloud Guard 和 Oracle Data Safe 的 Oracle Cloud Infrastructure Audit 日誌、服務日誌以及安全事件。
- 跨區域部署架構
為確保聚總所有日誌和安全事件,請在您的租用戶訂閱的所有區域中部署類似的架構。雖然 Oracle Cloud Guard 在雲端保全報告區域中合併問題,但 Oracle Cloud Infrastructure 記錄日誌和 Oracle Data Safe 是從特定區域回報的區域服務。
下方是不是 Oracle Cloud Guard 報告區域中的區域架構。
- 設定您的 SIEM 以讀取每個區域的資料流
設定好每個區域之後,您必須設定 SIEM 解決方案,才能從每個區域的 OCI 串流讀取。
- 建立 SIEM 的存取管理原則
您可以使用 OCI API 或使用 Oracle Cloud Infrastructure Streaming 的 Kafka 相容 API,從 OCI 串流讀取資料。每個 API 都有特定的認證方法:
認證類型 OCI API Kafka 相容 API API 簽署金鑰:PEM 格式的 RSA 金鑰組 (最小 2048 位元) 是 認證權杖:Oracle 產生的權杖字串,用第三方 API 進行認證 是 執行處理主體:可讓執行處理成為授權動作者 (或主要項目) 對服務資源執行動作的 IAM 服務功能 是 Oracle 建議使用執行處理主體 (如適用),以避免將冗長的記號儲存至您的 SIEM。
SIEM 需要以下 Oracle Cloud Infrastructure Identity and Access Management (IAM) 權限才能從 OCI 串流讀取。若要遵循最低權限的模型,請使用下列範例中顯示的原則:
- 第一個原則適用於 OCI IAM 使用者:
Allow group SIEM to use stream-pull in compartment <compartment>
- 第二個原則適用於執行處理主體:
Allow dynamic-group SIEMInstances to use stream-pull in compartment <compartment>
- 第一個原則適用於 OCI IAM 使用者:
注意事項
實作此架構設計時,請考慮下列事項:
- 如果您的 SIEM 沒有原生 Kafka 支援或原生 Plugin,可以使用 Oracle Functions 將日誌推送至 SIEM 的 HTTPS API 端點。若要這麼做,請新增另一個區域 Oracle Cloud Infrastructure Service Connector Hub,此區域連線器中心會讀取區域串流,其目標為函數。
- 若要確保收集所有 Oracle Cloud Infrastructure Audit 區間日誌,請使用 OCI 服務連線器中心根區間上的
Include _Audit in subcompartments
旗標。 - 若要收集整個租用戶的 Oracle Cloud Guard 分析結果,請將 Oracle Cloud Guard 目標連附至根區間。接著,在根區間中建立一個 Oracle Cloud Guard OCI 事件,擷取租用戶中的所有 Oracle Cloud Guard 分析結果。
- 針對長期保留 OCI 日誌 (冷儲存),請建立第二個 OCI 服務連線器中心,以目標為 Oracle Cloud Infrastructure Object Storage 儲存桶從區域串流讀取。透過使用「物件生命週期管理」管理您的物件儲存和封存儲存資料,您可以降低儲存成本,以及減少手動管理資料所需的時間。
- 使用 Oracle Cloud Infrastructure Monitoring 和警訊,即時監控記錄擷取。
- 下表顯示部分常用工具及其樣式:
工具 OCI API (Plugin) Kafka 相容 功能代碼 斯普蘭克 是 QRadar 是 Microsoft Sentinel 是 Google 慢性病 是 達塔多格 是 ELK 是 LogStash 是