Connecteur Oracle Cloud Infrastructure (avec Azure Functions) pour Microsoft Sentinel
Le connecteur de données Oracle Cloud Infrastructure (OCI) permet d’ingérer des journaux OCI à partir d’OCI Stream vers Microsoft Sentinel à l’aide de l’API REST OCI Streaming.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | DNS_Logs_CL |
| Support des Règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Tous les événements OCI
OCI_Logs_CL
| sort by TimeGenerated desc
Prérequis
Pour intégrer Oracle Cloud Infrastructure (avec Azure Functions), assurez-vous de la présence des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Informations d’identification de l’API OCI : le Fichier de configuration de clé API et la Clé privée sont requis pour la connexion à l’API OCI. Consultez la documentation pour en savoir plus sur la création de clés pour l’accès à l’API
Instructions d’installation du fournisseur
Notes
Ce connecteur utilise Azure Functions pour se connecter à l’API Stockage Blob Azure afin d’extraire des journaux dans Microsoft Sentinel. Cela peut entraîner des coûts supplémentaires pour l’ingestion des données et le stockage des données dans Stockage Blob Azure. Pour plus de détails, consultez les pages Tarification d’Azure Functions et Tarification du Stockage Blob Azure.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, OCILogs, qui est déployé avec la solution Microsoft Sentinel.
ÉTAPE 1 - Création d’un flux
- Connectez-vous à la console OCI et accédez au Menu de navigation –>Analytics et IA –>Diffusion en continu
- Cliquez sur Create Stream (Créer un flux)
- Sélectionnez le pool de flux ou créez-en un nouveau
- Indiquez le Nom du flux, la Rétention, le Nombre de partitions, le Taux d’écriture total, le Taux de lecture total en fonction de votre quantité de données.
- Accédez au Menu de navigation ->Journalisation ->Connecteurs de service
- Cliquez sur Créer un connecteur de service
- Fournissez le Nom du connecteur, sa Description et le Compartiment de ressources
- Sélectionnez la source : Journalisation
- Sélectionnez la cible : Diffusion en continu
- (Facultatif) Configurez Groupe de journaux, les Filtres ou utilisez une requête de recherche personnalisée pour diffuser uniquement les journaux dont vous avez besoin.
- Configurer la cible : sélectionnez l’extrémité créée avant.
- Cliquez sur Créer
Consultez la documentation pour obtenir plus d’informations sur la Diffusion en continu et les Connecteurs de service.
ÉTAPE 2 - Création d’informations d’identification pour l’API REST OCI
Suivez la documentation pour créer un fichier de configuration de clé privée et de clé d’API.
IMPORTANT : Enregistrez le fichier de configuration de clé privée et de clé API créé pendant cette étape, car ils seront utilisés pendant l’étape de déploiement.
ÉTAPE 3 : choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
IMPORTANT : avant le déploiement du connecteur de données OCI, récupérez l’ID d’espace de travail et la clé principale de l’espace de travail (peuvent être copiés à partir des éléments suivants), ainsi que les informations d’identification de l’API OCI, déjà disponibles.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.