Mengumpulkan log Audit Infrastruktur Oracle Cloud

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Audit Oracle Cloud Infrastructure ke Google Security Operations menggunakan Google Cloud Storage.

Layanan Audit Oracle Cloud Infrastructure secara otomatis mencatat panggilan ke semua endpoint application programming interface (API) publik Oracle Cloud Infrastructure yang didukung sebagai peristiwa log. Saat ini, semua layanan mendukung logging oleh Oracle Cloud Infrastructure Audit. Peristiwa log yang direkam oleh Audit Oracle Cloud Infrastructure mencakup panggilan API yang dilakukan oleh konsol Oracle Cloud Infrastructure, Command Line Interface (CLI), Software Development Kit (SDK), klien kustom Anda sendiri, atau layanan Oracle Cloud Infrastructure lainnya.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Project GCP dengan Cloud Storage API diaktifkan
Izin untuk membuat dan mengelola bucket GCS
Izin untuk mengelola kebijakan IAM di bucket GCS
Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
Akun Oracle Cloud Infrastructure dengan izin untuk membuat dan mengelola:
- Hub Konektor Layanan
- Fungsi
- Bucket Penyimpanan Objek
- Kebijakan IAM
Akses istimewa ke konsol Oracle Cloud Infrastructure

Membuat bucket Google Cloud Storage

Buka Google Cloud Console.
Pilih project Anda atau buat project baru.
Di menu navigasi, buka Cloud Storage > Buckets.
Klik Create bucket.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Beri nama bucket Anda	Masukkan nama yang unik secara global (misalnya, `oci-audit-logs-gcs`)
Location type	Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
Lokasi	Pilih lokasi (misalnya, `us-central1`)
Kelas penyimpanan	Standar (direkomendasikan untuk log yang sering diakses)
Access control	Seragam (direkomendasikan)
Alat perlindungan	Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

Klik Buat.

Mengonfigurasi Oracle Cloud Infrastructure untuk mengekspor log Audit ke GCS

Oracle Cloud Infrastructure tidak mendukung ekspor native ke Google Cloud Storage. Anda akan menggunakan Oracle Cloud Infrastructure Service Connector Hub dengan Function untuk meneruskan log Audit ke GCS.

Membuat Fungsi Oracle Cloud Infrastructure untuk meneruskan log ke GCS

Login ke Oracle Cloud Console.
Buka Developer Services > Functions > Applications.
Pilih kompartemen tempat Anda ingin membuat aplikasi fungsi.
Klik Create Application.
Berikan detail konfigurasi berikut:
- Nama: Masukkan audit-logs-to-gcs-app.
- VCN: Pilih Virtual Cloud Network.
- Subnets: Pilih subnet dengan akses internet.
Klik Buat.
Setelah aplikasi dibuat, klik Mulai dan ikuti petunjuk untuk menyiapkan lingkungan pengembangan lokal dengan Fn CLI.
Buat direktori fungsi baru di komputer lokal Anda:
```
mkdir oci-audit-to-gcs
cd oci-audit-to-gcs
```

Lakukan inisialisasi fungsi Python:

fn init --runtime python oci-audit-to-gcs
cd oci-audit-to-gcs

Ganti konten func.py dengan kode berikut:

import io
import json
import logging
import os
from fdk import response
from google.cloud import storage
from google.oauth2 import service_account
from datetime import datetime

# Configure logging
logging.basicConfig(level=logging.INFO)
logger = logging.getLogger()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'oci-audit-logs')
GCS_CREDENTIALS_JSON = os.environ.get('GCS_CREDENTIALS_JSON')

def handler(ctx, data: io.BytesIO = None):
    """
    Oracle Cloud Infrastructure Function to forward Audit logs to GCS.

    Args:
        ctx: Function context
        data: Input data containing Audit log events
    """

    if not all([GCS_BUCKET, GCS_CREDENTIALS_JSON]):
        logger.error('Missing required environment variables: GCS_BUCKET or GCS_CREDENTIALS_JSON')
        return response.Response(
            ctx, response_data=json.dumps({"error": "Missing configuration"}),
            headers={"Content-Type": "application/json"}
        )

    try:
        # Parse input data
        body = json.loads(data.getvalue())
        logger.info(f"Received event: {json.dumps(body)}")

        # Extract log entries
        log_entries = []
        if isinstance(body, list):
            log_entries = body
        elif isinstance(body, dict):
            # Service Connector Hub sends data in specific format
            if 'data' in body:
                log_entries = [body['data']] if isinstance(body['data'], dict) else body['data']
            else:
                log_entries = [body]

        if not log_entries:
            logger.info("No log entries to process")
            return response.Response(
                ctx, response_data=json.dumps({"status": "no_logs"}),
                headers={"Content-Type": "application/json"}
            )

        # Initialize GCS client with service account credentials
        credentials_dict = json.loads(GCS_CREDENTIALS_JSON)
        credentials = service_account.Credentials.from_service_account_info(credentials_dict)
        storage_client = storage.Client(credentials=credentials, project=credentials_dict.get('project_id'))
        bucket = storage_client.bucket(GCS_BUCKET)

        # Write logs to GCS as NDJSON
        timestamp = datetime.utcnow().strftime('%Y%m%d_%H%M%S_%f')
        object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
        blob = bucket.blob(object_key)

        ndjson = '\n'.join([json.dumps(entry, ensure_ascii=False) for entry in log_entries]) + '\n'
        blob.upload_from_string(ndjson, content_type='application/x-ndjson')

        logger.info(f"Wrote {len(log_entries)} records to gs://{GCS_BUCKET}/{object_key}")

        return response.Response(
            ctx, response_data=json.dumps({"status": "success", "records": len(log_entries)}),
            headers={"Content-Type": "application/json"}
        )

    except Exception as e:
        logger.error(f'Error processing logs: {str(e)}')
        return response.Response(
            ctx, response_data=json.dumps({"error": str(e)}),
            headers={"Content-Type": "application/json"},
            status_code=500
        )

Perbarui requirements.txt dengan dependensi berikut:

fdk>=0.1.0
google-cloud-storage>=2.0.0
google-auth>=2.0.0

Deploy fungsi ke Oracle Cloud Infrastructure:

fn -v deploy --app audit-logs-to-gcs-app

Setelah deployment selesai, catat OCID fungsi. Anda akan menggunakannya pada langkah berikutnya.

Mengonfigurasi variabel lingkungan fungsi

Di Konsol Oracle Cloud, buka Developer Services > Functions > Applications.
Klik aplikasi (audit-logs-to-gcs-app).
Klik nama fungsi (oci-audit-to-gcs).
Klik Konfigurasi.

Tambahkan variabel konfigurasi berikut:

Kunci	Nilai
`GCS_BUCKET`	Nama bucket GCS Anda (misalnya, `oci-audit-logs-gcs`)
`GCS_PREFIX`	Awalan untuk file log (misalnya, `oci-audit-logs`)
`GCS_CREDENTIALS_JSON`	String JSON kunci akun layanan GCP (lihat di bawah)

Klik Simpan perubahan.

Buat akun layanan GCP untuk Oracle Cloud Infrastructure Function

Oracle Cloud Infrastructure Function memerlukan akun layanan GCP untuk menulis ke bucket GCS.

Di GCP Console, buka IAM & Admin > Service Accounts.
Klik Create Service Account.
Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan oci-function-gcs-writer.
- Deskripsi akun layanan: Masukkan Service account for OCI Function to write Audit logs to GCS.
Klik Create and Continue.
Di bagian Grant this service account access to project, tambahkan peran berikut:
1. Klik Pilih peran.
2. Telusuri dan pilih Storage Object Admin.
Klik Lanjutkan.
Klik Selesai.
Klik email akun layanan yang baru dibuat.
Buka tab Kunci.
Klik Tambahkan Kunci > Buat kunci baru.
Pilih JSON sebagai jenis kunci.
Klik Buat.
File kunci JSON akan didownload ke komputer Anda.
Buka file kunci JSON dan salin seluruh isinya.
Kembali ke konfigurasi fungsi Oracle Cloud Console.
Tempelkan konten JSON ke dalam variabel konfigurasi GCS_CREDENTIALS_JSON.

Catatan: Simpan kunci akun layanan dengan aman. Siapa pun yang memiliki akses ke kunci ini dapat menulis ke bucket GCS Anda.

Memberikan izin IAM pada bucket GCS

Beri akun layanan izin tulis di bucket GCS:

Buka Cloud Storage > Buckets.
Klik nama bucket Anda (oci-audit-logs-gcs).
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (oci-function-gcs-writer@PROJECT_ID.iam.gserviceaccount.com).
- Tetapkan peran: Pilih Storage Object Admin.
Klik Simpan.

Membuat Hub Service Connector Oracle Cloud Infrastructure

Login ke Konsol Oracle Cloud.
Buka Observability & Management > Logging > Service Connector Hub.
Pilih kompartemen tempat Anda ingin membuat konektor layanan.
Klik Create Service Connector.
Berikan detail konfigurasi berikut:
- Informasi Service Connector:
Setelan Nilai

Nama Konektor Masuk ke audit-logs-to-gcs-connector

Deskripsi Masuk ke Forward OCI Audit logs to Google Cloud Storage

Resource Compartment Pilih kompartemen
- Konfigurasi Sumber:
Setelan Nilai

Sumber Pilih Logging

Compartment Pilih kompartemen yang berisi log audit

Grup Log Pilih _Audit (grup log default untuk log audit)
Klik + Another Log.
Pilih log audit untuk kompartemen Anda (misalnya, _Audit_Include_Subcompartment).

Catatan: Jika Anda ingin merekam log audit dari beberapa kompartemen, klik + Log Lainnya untuk menambahkan sumber log lainnya.
- Konfigurasi Target:
Setelan Nilai

Target Pilih Fungsi

Kompartemen Fungsi Pilih kompartemen yang berisi fungsi

Penerapan Fungsi Pilih audit-logs-to-gcs-app

Fungsi Pilih oci-audit-to-gcs
Scroll ke Configure task (optional) dan biarkan setelan default.
Klik Buat.

Setelan	Nilai
Nama Konektor	Masuk ke `audit-logs-to-gcs-connector`
Deskripsi	Masuk ke `Forward OCI Audit logs to Google Cloud Storage`
Resource Compartment	Pilih kompartemen

Setelan	Nilai
Sumber	Pilih Logging
Compartment	Pilih kompartemen yang berisi log audit
Grup Log	Pilih _Audit (grup log default untuk log audit)

Setelan	Nilai
Target	Pilih Fungsi
Kompartemen Fungsi	Pilih kompartemen yang berisi fungsi
Penerapan Fungsi	Pilih `audit-logs-to-gcs-app`
Fungsi	Pilih `oci-audit-to-gcs`

Membuat kebijakan IAM untuk Service Connector Hub

Service Connector Hub memerlukan izin untuk memanggil fungsi.

Di Konsol Oracle Cloud, buka Identity & Security > Policies.
Pilih kompartemen tempat Anda membuat Service Connector Hub.
Klik Create Policy.
Berikan detail konfigurasi berikut:
- Nama: Masukkan service-connector-functions-policy.
- Deskripsi: Masukkan Allow Service Connector Hub to invoke Functions.
- Kompartemen: Pilih kompartemen.
Di bagian Pembuat Kebijakan, alihkan Tampilkan editor manual.

Masukkan pernyataan kebijakan berikut:

Allow any-user to use fn-function in compartment <compartment-name> where all {request.principal.type='serviceconnector'}
Allow any-user to use fn-invocation in compartment <compartment-name> where all {request.principal.type='serviceconnector'}

Ganti <compartment-name> dengan nama kompartemen Anda.

Klik Buat.

Menguji integrasi

Login ke Konsol Oracle Cloud.
Lakukan beberapa tindakan yang menghasilkan log audit (misalnya, buat atau ubah resource).
Tunggu 2-5 menit hingga log diproses.
Buka Cloud Storage > Buckets di GCP Console.
Klik nama bucket Anda (oci-audit-logs-gcs).
Buka folder awalan (oci-audit-logs/).
Pastikan file .ndjson baru muncul di bucket.

Catatan: Setiap file log akan diberi nama dengan stempel waktu dalam format logs_YYYYMMDD_HHMMSS_microseconds.ndjson.

Mengambil akun layanan Google SecOps

Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.

Dapatkan email akun layanan

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Oracle Cloud Audit Logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Oracle Cloud Infrastructure sebagai Jenis log.
Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Salin alamat email ini untuk digunakan di langkah berikutnya.

Catatan: Setiap instance Google SecOps memiliki akun layanan yang unik. Jangan gunakan akun layanan dari dokumentasi atau contoh lain.

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.

Buka Cloud Storage > Buckets.
Klik nama bucket Anda (oci-audit-logs-gcs).
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps.
- Tetapkan peran: Pilih Storage Object Viewer.
Klik Simpan.

Catatan: Jika Anda berencana menggunakan opsi penghapusan "Hapus file yang ditransfer" atau "Hapus file yang ditransfer dan direktori kosong", berikan peran Storage Object Admin, bukan Storage Object Viewer.

Mengonfigurasi feed di Google SecOps untuk menyerap log Audit Oracle Cloud Infrastructure

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Oracle Cloud Audit Logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Oracle Cloud Infrastructure sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
```
 gs://oci-audit-logs-gcs/oci-audit-logs/
```
  - Ganti:
    - oci-audit-logs-gcs: Nama bucket GCS Anda.
    - oci-audit-logs: Awalan/jalur folder opsional tempat log disimpan (biarkan kosong untuk root).
  - Contoh:
    - Bucket root: gs://company-logs/
    - Dengan awalan: gs://company-logs/oci-audit-logs/
    - Dengan subfolder: gs://company-logs/oracle/audit/
    Catatan: Selalu sertakan garis miring (/) di akhir URI.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
  - Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
  - Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
    
    Catatan: Jika Anda memilih opsi penghapusan, akun layanan harus memiliki peran Storage Object Admin, bukan Storage Object Viewer. Perbarui izin IAM yang sesuai.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.