規劃部署

規劃可聚總多區域日誌資料的架構,並將其串流至安全資訊和事件管理 (SIEM) 平台。

設計部署

使用下列基本步驟來部署從 Oracle Cloud Infrastructure (OCI) 聚總日誌資料的架構。

  1. 設計區域架構

    下方的架構使用雲端保全報告區域的 Oracle Cloud Infrastructure Events ,聚總 Oracle Cloud Guard 和 Oracle Data SafeOracle Cloud Infrastructure Audit 日誌、服務日誌以及安全事件。



    oci-log-cloud-guard-oracle.zip

  2. 跨區域部署架構

    為確保聚總所有日誌和安全事件,請在您的租用戶訂閱的所有區域中部署類似的架構。雖然 Oracle Cloud Guard 在雲端保全報告區域中合併問題,但 Oracle Cloud Infrastructure 記錄日誌和 Oracle Data Safe 是從特定區域回報的區域服務。

    下方是不是 Oracle Cloud Guard 報告區域中的區域架構。



    oci-log-non-cloud-guard-oracle.zip

  3. 設定您的 SIEM 以讀取每個區域的資料流

    設定好每個區域之後,您必須設定 SIEM 解決方案,才能從每個區域的 OCI 串流讀取。



    oci-log-multistream-oracle.zip

  4. 建立 SIEM 的存取管理原則

    您可以使用 OCI API 或使用 Oracle Cloud Infrastructure Streaming 的 Kafka 相容 API,從 OCI 串流讀取資料。每個 API 都有特定的認證方法:

    認證類型 OCI API Kafka 相容 API
    API 簽署金鑰:PEM 格式的 RSA 金鑰組 (最小 2048 位元)  
    認證權杖:Oracle 產生的權杖字串,用第三方 API 進行認證
    執行處理主體:可讓執行處理成為授權動作者 (或主要項目) 對服務資源執行動作的 IAM 服務功能

    Oracle 建議使用執行處理主體 (如適用),以避免將冗長的記號儲存至您的 SIEM。

    SIEM 需要以下 Oracle Cloud Infrastructure Identity and Access Management (IAM) 權限才能從 OCI 串流讀取。若要遵循最低權限的模型,請使用下列範例中顯示的原則:

    • 第一個原則適用於 OCI IAM 使用者:
      Allow group SIEM to use stream-pull in
                  compartment      <compartment>
    • 第二個原則適用於執行處理主體:
      Allow dynamic-group SIEMInstances to use
                  stream-pull in      compartment <compartment>

注意事項

實作此架構設計時,請考慮下列事項:

  • 如果您的 SIEM 沒有原生 Kafka 支援或原生 Plugin,可以使用 Oracle Functions 將日誌推送至 SIEM 的 HTTPS API 端點。若要這麼做,請新增另一個區域 Oracle Cloud Infrastructure Service Connector Hub,此區域連線器中心會讀取區域串流,其目標為函數。
  • 若要確保收集所有 Oracle Cloud Infrastructure Audit 區間日誌,請使用 OCI 服務連線器中心根區間上的 Include _Audit in subcompartments 旗標。
  • 若要收集整個租用戶的 Oracle Cloud Guard 分析結果,請將 Oracle Cloud Guard 目標連附至根區間。接著,在根區間中建立一個 Oracle Cloud Guard OCI 事件,擷取租用戶中的所有 Oracle Cloud Guard 分析結果。
  • 針對長期保留 OCI 日誌 (冷儲存),請建立第二個 OCI 服務連線器中心,以目標為 Oracle Cloud Infrastructure Object Storage 儲存桶從區域串流讀取。透過使用「物件生命週期管理」管理您的物件儲存和封存儲存資料,您可以降低儲存成本,以及減少手動管理資料所需的時間。
  • 使用 Oracle Cloud Infrastructure Monitoring 和警訊,即時監控記錄擷取。
  • 下表顯示部分常用工具及其樣式:
    工具 OCI API (Plugin) Kafka 相容 功能代碼
    斯普蘭克
    QRadar
    Microsoft Sentinel
    Google 慢性病
    達塔多格
    ELK
    LogStash