Connector „Oracle Cloud Infrastructure“ (über Azure Functions) für Microsoft Sentinel

  • Artikel

Mit dem OCI-Datenconnector (Oracle Cloud Infrastructure) können OCI-Protokolle aus OCI Stream über die OCI-Streaming-REST-API in Microsoft Sentinel erfasst werden.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen OCI_Logs_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Microsoft Corporation

Abfragebeispiele

Alle OCI-Ereignisse

OCI_Logs_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in Oracle Cloud Infrastructure (über Azure Functions) sicher, dass Sie über Folgendes verfügen:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • Anmeldeinformationen für die OCI-API: Für die OCI-API-Verbindung werden eine API-Schlüsselkonfigurationsdatei und ein privater Schlüssel benötigt. Weitere Informationen zum Erstellen von Schlüsseln für den API-Zugriff finden Sie in der Dokumentation.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector stellt über Azure Functions eine Verbindung mit der Azure Blob Storage-API her, um die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dadurch fallen ggf. zusätzliche Kosten für die Datenerfassung und das Speichern von Daten in Azure Blob Storage an. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions und der Seite mit der Preisübersicht von Azure Blob Storage.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

Hinweis

Dieser Datenconnector benötigt einen Parser auf der Basis einer Kusto-Funktion, um erwartungsgemäß zu funktionieren: OCILogs. (Wird zusammen mit der Microsoft Sentinel-Lösung bereitgestellt.)

SCHRITT 1: Erstellen Sie einen Stream.

  1. Melden Sie sich bei der OCI-Konsole an, und navigieren Sie zu Navigationsmenü –>Analysen und KI –>Streaming.
  2. Klicken Sie auf Stream erstellen.
  3. Wählen Sie einen Streampool aus, oder erstellen Sie einen neuen.
  4. Geben Sie Werte für Name des Streampools, Aufbewahrung, Anzahl von Partitionen, Gesamtschreibrate und Gesamtleserate basierend auf Ihrer Datenmenge an.
  5. Navigieren Sie zu Navigationsmenü>Logging>Service-Connectors.
  6. Klicken Sie auf Service-Connector erstellen.
  7. Geben Sie Werte für Connectorname, Beschreibung und Ressourcen-Compartment an.
  8. Wählen Sie für die Quelle die Option „Logging“ aus.
  9. Wählen Sie für das Ziel die Option „Streaming“ aus.
  10. (Optional) Konfigurieren Sie Loggruppe oder Filter, oder verwenden Sie eine benutzerdefinierte Suchabfrage, um nur die von Ihnen benötigten Protokolle zu streamen.
  11. Konfigurieren Sie das Ziel, indem Sie den zuvor erstellten Stream auswählen.
  12. Klicken Sie auf Erstellen

Weitere Informationen zum Streaming und zu Dienstconnectors finden Sie in der Dokumentation.

SCHRITT 2: Erstellen Sie Anmeldeinformationen für die OCI-REST-API.

Erstellen Sie einen privaten Schlüssel und eine API-Schlüsselkonfigurationsdatei, wie in der Dokumentation beschrieben.

WICHTIG: Speichern Sie den im Zuge dieses Schritts erstellten privaten Schlüssel und die API-Schlüsselkonfigurationsdatei. Sie werden im Bereitstellungsschritt benötigt.

SCHRITT 3: Wählen Sie EINE der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen.

WICHTIG: Halten Sie für die Bereitstellung des OCI-Datenconnectors die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Anschluss kopiert werden) sowie die Anmeldeinformationen für die OCI-API bereit.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.