Connettore Oracle Cloud Infrastructure (con Funzioni di Azure) per Microsoft Sentinel
Il connettore dati OCI (Oracle Cloud Infrastructure) offre la possibilità di inserire log OCI da OCI Stream in Microsoft Sentinel usando l'API REST di streaming OCI.
attributi Connessione or
| Attributo Connessione or | Descrizione |
|---|---|
| Tabelle di Log Analytics | OCI_Logs_CL |
| Supporto delle regole di raccolta dati | Non è al momento supportato |
| Supportato da | Microsoft Corporation |
Esempi di query
Tutti gli eventi OCI
OCI_Logs_CL
| sort by TimeGenerated desc
Prerequisiti
Per eseguire l'integrazione con Oracle Cloud Infrastructure (usando Funzioni di Azure) assicurarsi di avere:
- Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
- Credenziali API OCI: il file di configurazione della chiave API e la chiave privata sono necessari per la connessione API OCI. Per altre informazioni sulla creazione di chiavi per l'accesso alle API, vedere la documentazione
Istruzioni di installazione fornitore
Nota
Questo connettore usa Funzioni di Azure per connettersi all'API Archiviazione BLOB di Azure per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati e l'archiviazione dei dati in costi Archiviazione BLOB di Azure. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure e Archiviazione BLOB di Azure pagina dei prezzi.
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto OCILogs che viene distribuito con la soluzione Microsoft Sentinel.
PASSAGGIO 1 - Creazione del flusso
- Accedere alla console OCI e passare al menu di spostamento ->Analytics & AI ->Streaming
- Fare clic su Crea flusso
- Selezionare Pool di flusso o crearne uno nuovo
- Specificare il nome del flusso, la conservazione, il numero di partizioni, la frequenza totale di scrittura, la frequenza di lettura totale in base alla quantità di dati.
- Passare al menu di spostamento ->Registrazione ->Connessione ors del servizio
- Fare clic su Create Service Connessione or (Crea Connessione or)
- Specificare Connessione or Nome, Descrizione, Raggruppamento risorse
- Selezionare Origine: Registrazione
- Selezionare Destinazione: Streaming
- (Facoltativo) Configurare il gruppo di log, i filtri o usare una query di ricerca personalizzata per trasmettere solo i log necessari.
- Configura destinazione: selezionare lo strem creato prima.
- Fare clic su Crea
Per altre informazioni sullo streaming e sui Connessione ors del servizio, vedere la documentazione.
PASSAGGIO 2- Creazione di credenziali per l'API REST OCI
Seguire la documentazione per creare una chiave privata e un file di configurazione della chiave API.
IMPORTANTE: salvare la chiave privata e il file di configurazione della chiave API creati durante questo passaggio perché verranno usati durante il passaggio di distribuzione.
PASSAGGIO 3: scegliere UNA tra le due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata
IMPORTANTE: prima di distribuire il connettore dati OCI, disporre dell'ID dell'area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato dai seguenti), nonché le credenziali dell'API OCI, immediatamente disponibili.
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.