Oracle Cloud Infrastructure (OCI) インテグレーションガイド

以下の手順は、Oracle Cloud Infrastructure (OCI) インテグレーションを設定し、Secureworks® Taegis™ XDR へのログ取り込みを実現するためのものです。XDR は、OCI Streaming Service を介してOCIからログを取得します。

前提条件

以下の前提条件を満たしていることを確認してください。

1. オプション & 推奨: XDR インテグレーション用の専用ユーザーアカウントを作成
2. OCIストリームの作成

3. サービスコネクタを使用してOCIログをストリームに公開する設定

   重要

   このガイドは、これらの前提手順が完了していることを前提としています。

サポートされているOCIログタイプ

以下のリストを使用して、OCIログタイプとそのログタイプに関するOracleのドキュメントを参照してください。

• Audit (一般監査ログ)
• com.oraclecloud.objectstorage
• com.oraclecloud.eventsservice.eventrule.ruleexecutionlog
• com.oraclecloud.filestorageservice
• com.oraclecloud.vcn.flowlogs.DataEvent
• com.oraclecloud.loadbalancer.access
• com.oraclecloud.loadbalancer.waf
• com.oraclecloud.networkfirewall.traffic
• com.oraclecloud.networkfirewall.threat
• com.oraclecloud.vpn.ipseclog.read

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
Oracle Cloud Infrastructure (OCI)	CloudAudit	HTTP, Netflow	NIDS, Thirdparty

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

推奨プラクティス

ログ用の専用ドメイン、コンパートメント、グループの作成

最小権限の原則に従うことを強く推奨します。ユーザーに必要な権限は、Oracleストリームからデータを取得するための stream-pull のみです。

XDR インテグレーション用に、専用の ユーザー、コンパートメント、ドメイン、および グループ を作成できます。

ログ用の専用ユーザーの作成

ログ用に新しいユーザーを作成します。デフォルトでは、新しいユーザーには権限がありません。後で、上記で作成したユーザーグループにこのユーザーを追加できます。下記のようなポリシーを新規作成し、ユーザーグループにstream-pull権限を付与できます。

OCIストリームの作成

1. OCI Streams に移動し、新しいストリームを作成します。

   

   OCIストリームの作成

2. Stream Pool を選択し、OCID値をコピーします。

• 例の値: ocid1.streampool.oc1.ap-acme-1.ambbbbbbbbbbbeiadnkcxdp6f2vx5glmsihhme6n7ks7iiyz2prh123456789

  

  Stream Pool IDのコピー

サービスコネクタの作成

1. OCIコンソールにアクセスします:
   • ナビゲーションメニューを開き、Analytics & AI を選択します。
   • Messaging の下で Connector Hub を選択します。
2. コネクタ作成の開始:
   • Create Connector を押して作成を開始します。
3. 基本情報の定義:
   • コネクタの Display Name を入力します。
   • コネクタを配置する Compartment を選択します。
4. ソースとターゲットの設定:
   • データのソースを指定します。たとえば、Streamingソースを使用する場合は、関連するストリーミングの詳細をJSON形式で入力します。
   • データを送信するターゲットサービスを定義します。これにはLogging Analytics、Object Storage、または他のサービスが含まれます。
5. オプションパラメータの設定:
   • 必要に応じて、コネクタにタグを割り当てて整理や管理を向上させることができます。
6. コネクタの作成:
   • 設定内容を確認し、Create を選択してサービスコネクタの作成を完了します。

7. データフローの確認:

   • コネクタ作成後、コネクタのログを有効にし、ターゲットサービスで期待される結果が得られているかを確認して、データが正常に流れていることを確認します。

   重要

   サービスコネクタがストリームへの書き込み権限を持っていることを確認してください。例のポリシーは下記の通りです。

   

   サービスコネクタポリシー

XDR でOCIインテグレーションを完了する

1. Taegis Menu から インテグレーション → クラウドAPI を選択します。

2. ページ上部の インテグレーションの追加 を選択します。

   

   インテグレーションの追加

3. 最適化された タブから Oracle Cloud Infrastructure を選択します。

4. 以下の値を入力します:

   • Taegis インテグレーション名 — インテグレーションの一意の名前として機能します。100文字までの任意の有効な値を入力できます。
   • ユーザー名 — このインテグレーション用に作成したユーザーアカウント。
   • Authトークン — ユーザーアカウントに関連付けられた認証トークン。
   • Stream Pool ID — OCIストリームの作成セクションでコピーしたStream Pool ID。
   • テナント名 — お客様のOCIテナント名。追加情報セクションを参照してください。
   • トピック名 — トピック名はストリーム名と同じです。
   • リージョン — OCIリージョン値はOracleのドキュメントサイトで参照できます。

   

   OCIインテグレーションの完了

5. 完了 を選択します。クラウドAPIインテグレーションページに、正常に追加されたOCIインテグレーションが表示されます。

追加情報

テナント名の取得

ネストされたコンパートメント

ストリーミングトピックがネストされたコンパートメント（例: tenancy1/compartment1/compartment2/compartment3）内にある場合、テナント名の値としてコンパートメント名を含める必要はありません。この場合、XDR では テナント名 に tenancy1 を使用してください。

フェデレーテッドユーザー

フェデレーテッドユーザーを使用している場合、OracleIdentityCloudService という名前のデフォルトコンパートメントが作成されます。この場合、テナント名の後にコンパートメント名を続けて指定する必要があります。下記の例を参照してください。

例

• テナンシー: acme
• コンパートメント: OracleIdentityCloudService
• ポリシーステートメント:
  Allow group 'OracleIdentityCloudService'/streamreaders to use stream-pull on tenancy acme
• テナント名: acme/OracleIdentityCloudService （XDR インテグレーション用）