Oracle Cloud Infrastructure-connector (met behulp van Azure Functions) voor Microsoft Sentinel
De Oracle Cloud Infrastructure-gegevensconnector (OCI) biedt de mogelijkheid om OCI-logboeken van OCI Stream op te nemen in Microsoft Sentinel met behulp van de OCI Streaming REST API.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | OCI_Logs_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Alle OCI-gebeurtenissen
OCI_Logs_CL
| sort by TimeGenerated desc
Vereisten
Als u wilt integreren met Oracle Cloud Infrastructure (met behulp van Azure Functions), moet u het volgende doen:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- OCI API-referenties: configuratiebestand voor API-sleutel en persoonlijke sleutel zijn vereist voor OCI-API-verbinding. Raadpleeg de documentatie voor meer informatie over het maken van sleutels voor API-toegang
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Azure Blob Storage-API om logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname en voor het opslaan van gegevens in Azure Blob Storage-kosten. Raadpleeg de pagina met prijzen van Azure Functions en de pagina met prijzen voor Azure Blob Storage voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.
Notitie
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken als verwachte OCILogs die is geïmplementeerd met de Microsoft Sentinel-oplossing.
STAP 1: Stream maken
- Meld u aan bij de OCI-console en ga naar het navigatiemenu ->Analytics & AI ->Streaming
- Klik op Stream maken
- Stream-pool selecteren of een nieuwe maken
- Geef de streamnaam, retentie, het aantal partities, de totale schrijfsnelheid en de totale leessnelheid op op basis van uw gegevenshoeveelheid.
- Ga naar het navigatiemenu ->Logging ->Service Verbinding maken ors
- Klik op Service maken Verbinding maken or
- Geef Verbinding maken ornaam, beschrijving, resourcecompartiment op
- Bron selecteren: logboekregistratie
- Doel selecteren: streamen
- (Optioneel) Configureer logboekgroep, filters of gebruik aangepaste zoekquery om alleen logboeken te streamen die u nodig hebt.
- Doel configureren: selecteer de strem die u eerder hebt gemaakt.
- Klik op Maken
Raadpleeg de documentatie voor meer informatie over Streaming en Service Verbinding maken ors.
STAP 2: Referenties maken voor de OCI REST API
Volg de documentatie voor het maken van een persoonlijke sleutel en api-sleutelconfiguratiebestand.
BELANGRIJK: Sla het configuratiebestand van de persoonlijke sleutel en de API-sleutel op die tijdens deze stap worden gemaakt, omdat deze worden gebruikt tijdens de implementatiestap.
STAP 3: Kies EEN uit de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de OCI-gegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kunnen worden gekopieerd uit het volgende), evenals de OCI-API-referenties, die direct beschikbaar zijn.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.