Konektor Oracle Cloud Infrastructure (pomocí Azure Functions) pro Microsoft Sentinel
Datový konektor Oracle Cloud Infrastructure (OCI) poskytuje možnost ingestovat protokoly OCI ze služby OCI Stream do Microsoft Sentinelu pomocí rozhraní REST API pro streamování OCI.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | OCI_Logs_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Microsoft Corporation |
Ukázky dotazů
Všechny události OCI
OCI_Logs_CL
| sort by TimeGenerated desc
Požadavky
Pokud chcete provést integraci se službou Oracle Cloud Infrastructure (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Přihlašovací údaje rozhraní API OCI: Konfigurační soubor klíče rozhraní API a privátní klíč jsou vyžadovány pro připojení rozhraní API OCI. Další informace o vytváření klíčů pro přístup k rozhraní API najdete v dokumentaci.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k rozhraní API služby Azure Blob Storage k načtení protokolů do Služby Microsoft Sentinel. To může vést k dalším nákladům na příjem dat a ukládání dat do služby Azure Blob Storage. Podrobnosti najdete na stránce s cenami služby Azure Functions a na stránce s cenami služby Azure Blob Storage.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání OCILogs nasazených s řešením Microsoft Sentinel.
KROK 1 : Vytvoření streamu
- Přihlaste se ke konzole OCI a přejděte do navigační nabídky ->Analytics a AI ->Streaming
- Klikněte na Vytvořit stream.
- Vyberte Fond streamů nebo vytvořte nový.
- Zadejte název datového proudu, uchovávání, počet oddílů, celkovou rychlost zápisu, celkovou rychlost čtení na základě množství dat.
- Přechod na navigační nabídku ->Logging ->Service Připojení ors
- Klikněte na Vytvořit Připojení služby.
- Zadejte název Připojení oru, popis, oddíl prostředku
- Vybrat zdroj: Protokolování
- Vybrat cíl: Streamování
- (Volitelné) Nakonfigurujte skupinu protokolů, filtry nebo pomocí vlastního vyhledávacího dotazu streamujte jenom protokoly , které potřebujete.
- Konfigurovat cíl – vyberte strem vytvořený dříve.
- Klikněte na Vytvořit.
Další informace o Připojení orech streamování a služeb najdete v dokumentaci.
KROK 2 : Vytvoření přihlašovacích údajů pro rozhraní REST API OCI
Podle dokumentace vytvořte konfigurační soubor privátního klíče a klíče rozhraní API.
DŮLEŽITÉ: Uložte soubor konfigurace privátního klíče a klíče rozhraní API vytvořený během tohoto kroku, protože se použijí během kroku nasazení.
KROK 3: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.
DŮLEŽITÉ: Před nasazením datového konektoru OCI zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také přihlašovací údaje rozhraní OCI API, které jsou snadno dostupné.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.