OCI(Oracle云基础架构)日志SIEM集成

Question

是否有人将OCI(Oracle云基础架构)审核日志和OCI服务日志集成到安全信息和事件管理工具(SIEM、Arcsight)。如果是，这些日志存储在哪里，从哪里可以立即访问这些日志。

Answer 1

有几种方法可以解决这个问题。审计日志通过Rest API和SDK提供。您可以调用ListEvents文档记录的here来检索审计日志。该调用将返回AuditEvent对象作为正文。然后可以在SIEM中对其进行解析和摄取。

或者，您可以提升一个bulk export request for Audit log events，并将其放入Object Store bucket中，从中可以提取原始文件并在SIEM中摄取。

类似地，您可以选择export the service logs到Object Store存储桶，并在SIEM中获取它们。

披露:我目前在Oracle工作，尽管不是直接使用Audit/Logging服务。我自己的想法。

Answer 2

回答有点晚了，但为了大家的利益，我将把它留在这里。

关于如何将不同类型的日志推送到外部源(其中之一是SIEM)，已经创建了一个体系结构模式。

在架构中心，您可以找到针对QRadar提到的模式的详细信息，但它对任何与kafka兼容的SIEM都有效。

https://docs.oracle.com/en/learn/oci_ibm_qradar/index.html#configure-ibm-qradar

Answer 3

您可以通过多种方式访问日志。

1. 服务连接器>>对象存储>> OCI CLI -要读取。
2. 服务连接器>> Streams (公共) >> Kafka使用者-写入文件。
3. 日志分析-列出OCI Cli命令的审核事件。

最终需要对它们进行解析。ArcSight有一个JSON文件夹解析器(Flex connector)，可以用来解析这个日志。