Соединитель Oracle Cloud Infrastructure (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных Oracle Cloud Infrastructure (OCI) предоставляет возможность приема журналов OCI из OCI Stream в Microsoft Sentinel с помощью REST API потоковой передачи OCI.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | OCI_Logs_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Все события OCI
OCI_Logs_CL
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с Oracle Cloud Infrastructure (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные API OCI: файл конфигурации ключа API и закрытый ключ требуются для подключения API OCI. Дополнительные сведения о создании ключей для доступа к API см. в документации
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к API Хранилище BLOB-объектов Azure для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных и хранению данных в Хранилище BLOB-объектов Azure затратах. Дополнительные сведения см. на странице цен Функции Azure и на странице цен Хранилище BLOB-объектов Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , OCILogs , развернутых с помощью решения Microsoft Sentinel.
ШАГ 1. Создание потока
- Войдите в консоль OCI и перейдите в меню навигации ->Analytics и AI ->Streaming
- Нажмите кнопку "Создать поток"
- Выберите пул потоков или создайте новый пул
- Укажите имя потока, хранение, количество секций, общая скорость записи, общая скорость чтения на основе объема данных.
- Перейдите в меню навигации ->Ведение журнала ->Службы Подключение or
- Щелкните "Создать службу Подключение or"
- Укажите имя Подключение or, описание, секцию ресурсов
- Выбор источника: ведение журнала
- Выбор целевого объекта: потоковая передача
- (Необязательно) Настройте группу журналов, фильтры или используйте настраиваемый поисковый запрос для потоковой передачи только нужных журналов.
- Настройка целевого объекта — выберите строгую настройку, созданную ранее.
- Нажмите кнопку Создать.
Ознакомьтесь с документацией, чтобы получить дополнительные сведения о Подключение or для потоковой передачи и служб.
ШАГ 2. Создание учетных данных для REST API OCI
Следуйте документации по созданию закрытого ключа и файла конфигурации ключа API.
ВАЖНО. Сохраните закрытый ключ и файл конфигурации ключа API, созданный на этом шаге, так как они будут использоваться во время этапа развертывания.
ШАГ 3. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure.
ВАЖНО. Прежде чем развертывать соединитель данных OCI, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также учетные данные API OCI, легко доступны.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.