Conector da Infraestrutura de Nuvem do Oracle (usando o Azure Functions) para o Microsoft Sentinel
O conector de dados do OCI (Oracle Cloud Infrastructure) oferece a capacidade de ingerir logs OCI do Fluxo do OCI no Microsoft Sentinel usando a API REST de Streaming do OCI.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | OCI_Logs_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
Todos os eventos do OCI
OCI_Logs_CL
| sort by TimeGenerated desc
Pré-requisitos
Para se integrar à Infraestrutura de Nuvem do Oracle (usando o Azure Functions), verifique se você tem:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Credenciais da API do OCI: o Arquivo de configuração de chave da API e a Chave privada são necessários para a conexão da API do OCI. Confira a documentação para saber mais sobre como criar chaves para acesso à API
Instruções de instalação do fornecedor
Observação
Esse conector usa o Azure Functions para se conectar à API do Armazenamento de Blobs do Azure e efetuar pull de logs ao Microsoft Sentinel. Pode haver custos adicionais para a ingestão e o armazenamento de dados nos valores do Armazenamento de Blobs do Azure. Verifique a página de preços do Azure Functions e do Armazenamento de Blobs do Azure para saber mais detalhes.
(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.
Observação
Esse conector de dados depende de um analisador baseado em uma Função do Kusto para funcionar conforme o esperado, o OCILogs, que é implantado com a Solução do Microsoft Sentinel.
ETAPA 1 – Criar fluxo
- Faça login no console do OCI e vá para o menu de navegação -Analytics & AI ->>Streaming
- Clique em Criar fluxo
- Selecione pool de fluxos ou crie um novo
- Forneça o Nome do fluxo, a Retenção, o Número de partições, a Taxa de gravação total, a Taxa de leitura total com base na quantidade de dados.
- Vá para o menu de navegação –>Log –>Conectores de serviço
- Clique em Criar conector de serviço
- Forneça o Nome do conector, a Descrição e o Compartimento de recursos
- Selecione Origem: registro em log
- Selecione Destino: streaming
- (Opcional) Configure o Grupo de logs, os Filtros ou use a consulta de pesquisa personalizada para transmitir somente os logs necessários.
- Configurar o destino – selecione o fluxo criado anteriormente.
- Clique em Criar
Verifique a documentação para obter mais informações sobre Streaming e Conectores de serviço.
ETAPA 2 – criar credenciais para a API REST do OCI
Siga a documentação para criar a Chave privada e o Arquivo de configuração de chave da API.
IMPORTANTE: salve a Chave privada e o Arquivo de configuração de chave da API criados durante esta etapa, pois eles serão usados durante a etapa de implantação.
ETAPA 3 – Escolha UMA das duas opções de implantação a seguir para implantar o conector e o Azure Function associado
IMPORTANTE: antes de implantar o conector de dados do OCI, tenha em mãos a ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiadas a seguir), bem como as credenciais da API do OCI.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.