是否有人将 OCI(Oracle 云基础设施)审计日志和 OCI 服务日志集成到安全信息和事件管理工具(SIEM,Arcsight)。如果是,这些日志存储在哪里以及从哪里可以立即访问这些日志。
问问题
382 次
3 回答
0
有几种方法可以解决这个问题。审核日志可通过 Rest API 和 SDK 获得。您可以调用这里ListEvents记录的,以检索审计日志。该调用将返回AuditEvent对象作为主体。然后可以在 SIEM 中对其进行解析和摄取。
或者,您可以针对审核日志事件提出批量导出请求,并将它们放在对象存储存储桶中,从中可以在 SIEM 中提取和摄取原始文件。
同样,您可以将您选择的服务日志导出到对象存储存储桶并在 SIEM 中检索它们。
披露:我目前为 Oracle 工作,但不直接从事审计/日志服务。我自己的想法。
于 2021-08-10T06:30:08.950 回答
0
答案有点晚了,但为了大家的利益,我会把它留在这里。
关于如何将不同类型的日志推送到外部源(其中之一是 SIEM),已经创建了一种架构模式。
在架构中心,您可以找到为 QRadar 提到的模式的详细信息,但它适用于任何与 kafka 兼容的 SIEM。
https://docs.oracle.com/en/learn/oci_ibm_qradar/index.html#configure-ibm-qradar
于 2021-09-22T13:45:46.743 回答
0
您可以通过多种方式访问日志。
- 服务连接器 >> 对象存储 >> OCI CLI - 读取。
- 服务连接器 >> 流(公共) >> Kafka 消费者 - 写入文件。
- 日志分析 - 列出 OCI Cli 命令上的审计事件。
最终它们需要被解析。ArcSight 有一个 JSON 文件夹解析器(Flex 连接器),可用于解析此日志。
于 2021-10-15T10:18:57.750 回答