OCI（Oracle 云基础设施）日志 SIEM 集成

Question

是否有人将 OCI（Oracle 云基础设施）审计日志和 OCI 服务日志集成到安全信息和事件管理工具（SIEM、Arcsight）中。 如果是，这些日志存储在哪里以及可以从哪里立即访问这些日志。

Answer 1

有几种方法可以解决问题。 审核日志可通过 Rest API 和 SDK 获得。您可以调用 ListEvents 记录的 here 来检索审核日志。该调用将返回 AuditEvent 对象作为主体。然后可以在 SIEM 中对其进行解析和摄取。

或者，您可以提出 bulk export request for Audit log events 并将它们放在对象存储桶中，从中可以在 SIEM 中提取和摄取原始文件。

同样，您可以 export the service logs 将您选择的对象存储到对象存储桶中，然后在 SIEM 中检索它们。

披露：我目前在 Oracle 工作，但不是直接从事审计/日志服务。我自己的想法。

Answer 2

答案有点晚，但为了大家的利益，我会留在这里。

关于如何将不同类型的日志推送到外部源（其中之一是 SIEM），已经创建了一种架构模式。

在架构中心，您可以找到 QRadar 提到的模式的详细信息，但它适用于任何与 kafka 兼容的 SIEM。

https://docs.oracle.com/en/learn/oci_ibm_qradar/index.html#configure-ibm-qradar

Answer 3

您可以通过多种方式访问​​日志。

1. 服务连接器 >> 对象存储 >> OCI CLI - 读取。
2. 服务连接器 >> 流（公共） >> Kafka 消费者 - 写入文件。
3. 日志分析 - 列出 OCI Cli 命令上的审核事件。

最终它们需要被解析。 ArcSight 有一个 JSON 文件夹解析器（Flex 连接器），可用于解析此日志。