Oracle Cloud Infrastructure -anslutningsprogram (med Azure Functions) för Microsoft Sentinel
OCI-dataanslutningen (Oracle Cloud Infrastructure) ger möjlighet att mata in OCI-loggar från OCI Stream till Microsoft Sentinel med hjälp av REST-API:et för OCI-direktuppspelning.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
Anslut ellerattribut | beskrivning |
---|---|
Log Analytics-tabeller | OCI_Logs_CL |
Stöd för regler för datainsamling | Stöds för närvarande inte |
Stöds av | Microsoft Corporation |
Exempel på frågor
Alla OCI-händelser
OCI_Logs_CL
| sort by TimeGenerated desc
Förutsättningar
Om du vill integrera med Oracle Cloud Infrastructure (med Hjälp av Azure Functions) kontrollerar du att du har:
- Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
- OCI API-autentiseringsuppgifter: API-nyckelkonfigurationsfilen och den privata nyckeln krävs för OCI API-anslutning. Mer information om hur du skapar nycklar för API-åtkomst finns i dokumentationen
Installationsanvisningar för leverantör
Kommentar
Den här anslutningsappen använder Azure Functions för att ansluta till Azure Blob Storage-API:et för att hämta loggar till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning och för lagring av data i Azure Blob Storage-kostnader. Mer information finns på prissättningssidan för Azure Functions och prissidan för Azure Blob Storage.
(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.
Kommentar
Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat OCILogs som distribueras med Microsoft Sentinel-lösningen.
STEG 1 – Skapa stream
- Logga in på OCI-konsolen och gå till navigeringsmenyn ->Analytics & AI ->Streaming
- Klicka på Skapa ström
- Välj Stream-pool eller skapa en ny
- Ange streamens namn, kvarhållning, antal partitioner, total skrivfrekvens, total läsfrekvens baserat på datamängden.
- Gå till navigeringsmenyn ->Loggning ->Service Anslut orer
- Klicka på Skapa tjänst Anslut eller
- Ange Anslut ellernamn, beskrivning, resursutrymme
- Välj Källa: Loggning
- Välj Mål: Direktuppspelning
- (Valfritt) Konfigurera logggrupp, filter eller använd anpassad sökfråga för att endast strömma loggar som du behöver.
- Konfigurera mål – välj den strem som skapades tidigare.
- Klicka på Skapa
Läs dokumentationen om du vill ha mer information om Anslut orer för strömning och tjänster.
STEG 2 – Skapa autentiseringsuppgifter för OCI REST API
Följ dokumentationen för att skapa konfigurationsfilen för privat nyckel och API-nyckel.
VIKTIGT: Spara konfigurationsfilen för privat nyckel och API-nyckeln som skapades under det här steget eftersom de kommer att användas under distributionssteget.
STEG 3 – Välj EN bland följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen
VIKTIGT: Innan du distribuerar OCI-dataanslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt OCI API-autentiseringsuppgifter, som är lättillgängliga.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.