IBM Cloud Docs
配置 Event Streams 目标

配置 Event Streams 目标

您可以将 Event Streams 主题定义为 IBM Cloud Activity Tracker Event Routing 目标,以将审计事件发送到其他企业工具 (例如安全信息和事件管理 (SIEM) 工具)。

场景

您可以将 Event Streams 主题定义为 IBM Cloud Activity Tracker Event Routing 目标,以将审计事件发送到其他企业工具 (例如安全信息和事件管理 (SIEM) 工具)。 将数据路由到数据湖,其他分析工具或其他 SIEM 工具时,可以向 Activity Tracker Event Routing提供的功能添加其他功能:

  • 您可以了解企业内部环境和基于云的环境中的企业数据。
  • 您可以识别可能影响组织的安全威胁并确定其优先级。
  • 您可以使用人工智能 (AI) 来调查威胁和事件,从而检测漏洞。

先决条件

  • 了解 Activity Tracker Event Routing。 有关更多信息,请参阅关于

  • 安装 IBM Cloud CLI。 有关更多信息,请参阅安装 IBM Cloud CLI

  • 在本地系统中安装最新的 Activity Tracker Event Routing CLI V2 插件。 请参阅安装 Activity Tracker Event Routing CLI

  • 您需要的用户 ID 必须是 IBM Cloud 账户的成员或所有者。 要获取 IBM Cloud 用户标识,请转至: 创建帐户

  • 必须为管理帐户中 Activity Tracker Event Routing 配置的每个用户分配一个访问策略。 策略决定了用户可以执行哪些操作。 允许的操作由 Activity Tracker Event Routing 进行定制,并定义为允许对服务执行的操作。 然后,这些操作将映射到 IAM 用户角色。 了解更多信息

    您的用户标识需要管理员平台许可权才能管理 IBM Cloud Activity Tracker Event Routing 服务。 请联系帐户所有者。 帐户所有者可以授予其他用户对帐户的访问权,以便管理用户访问权和管理帐户资源。 了解更多。

配置 Event Streams 主题

可以将帐户中收集的审计事件路由到 Event Streams 主题。

配置 Activity Tracker Event Routing时,可以定义每个区域的目标。 目标定义 Event Streams 实例和主题,将在这些实例和主题中路由该区域中的审计事件。

完成以下步骤:

  1. 登录到 IBM Cloud 帐户

  2. 创建 Event Streams 实例。

    检查 Event Streams 服务套餐的限制。 有关更多信息,请参阅 限制和配额

    a. 访问 目录中的 Event Streams 服务。

    b. 在服务实例页面上选择计划。

    c. 输入服务的名称。 可以使用缺省值。

    d. 单击创建。 这将打开 Event Streams 入门页面。

  3. 选择 主题

  4. 单击 创建主题

    创建主题。
    创建主题

  5. 输入主题名称,然后单击 下一步

    输入主题名称
    输入主题名称

  6. 输入分区数,然后单击 下一步

    主题由一个或多个分区组成。 分区是经过排序的消息列表。 分区分布在代理程序中,以提高主题的可扩展性。 您还可使用分区在使用者组的成员之间分发消息。

    输入分区数
    输入分区数

  7. 选择 消息保留时间,然后单击 创建主题

    邮件保留定义邮件在删除前的保留时间。 如果在此时间内使用者未读取您的消息,那么将错过这些消息。

创建凭证以向 Event Streams 进行认证

您需要以下信息才能将 Activity Tracker Event Routing 连接到 Event Streams 实例:

  • 用于调用 API 的端点 URL
  • 认证凭证

完成以下步骤以创建 Activity Tracker Event Routing 与 Event Streams 实例通信所需的服务凭证:

  1. 在 IBM Cloud中,单击 菜单 图标 “菜单”图标 > 资源列表

  2. 查找您计划使用的 Event Streams 实例,然后选择该实例。

  3. 在 Event Streams 控制台中,单击 服务凭证

  4. 选择 新凭证

  5. 输入名称并选择 写程序 角色。

    创建证书。
    创建凭证

  6. 单击添加

要限制对 1 主题的访问权,请完成以下步骤:

必须为资源类型 topic 定义 2 策略 1,为资源类型 cluster 定义 1。 有关更多信息,请参阅管理对 Event Streams 资源的访问权

  1. 修改 Event Streams 服务的策略以限制对主题的访问。

    1. 从菜单栏中,单击 Manage > Access (IAM),然后选择 Service IDS

      服务标识
      服务标识

    2. 选择该服务标识。

    3. 访问策略 部分中,选择策略并对其进行修改以指定主题。

      例如,在下图中,主题标识为 demo-streaming

      编辑策略
      编辑策略

      选择角色
      选择角色

  2. 添加资源类型设置为 cluster 的 Event Streams 服务的访问策略。

    1. 从菜单栏中,单击 Manage > Access (IAM),然后选择 Service IDS

      服务标识
      服务标识

    2. 选择该服务标识。

    3. 访问权限策略部分,选择 分配访问权限

    4. 添加具有 reader 许可权的 Event Streams 服务资源类型 集群 的策略。

      编辑策略
      编辑策略

      选择角色
      选择角色

您可以 使用 IBM Cloud CLI 获取凭证,并记下 API 密钥和代理 URL 值。

配置服务对服务授权

为您的 Event Streams 主题配置服务对服务授权,这样您在向 Event Streams 主题写入加密数据时就不需要传递 API 密钥。

以下步骤展示了当 Event Streams 主题与审计事件的生成账户不同时,如何定义服务对服务的授权:

您必须在Event Streams主题可用的账户中完成这些步骤。

  1. 以将配置 IBM Cloud Activity Tracker Event Routing 目标的帐户所有者身份登录 IBM Cloud 帐户

    使用用户标识和密码登录后,IBM Cloud“仪表板”即会打开。

  2. 单击管理 > 访问权 (IAM)。 显示管理访问和用户

  3. 单击 授权

  4. 单击创建

  5. 选择 来源帐户。 选择 其他帐户。 然后,输入源服务的账户 ID。 帐户标识是 32 个字符的唯一帐户标识。

  6. 对于 源服务,请选择 Activity Tracker Event Routing;对于 您希望如何确定访问范围?,请选择 All resources

  7. 对于 目标服务,请选择 Message Hub,对于 您希望如何确定访问范围? 请选择 基于选定属性的资源

  8. 选择 Service instancestring equals 您的 Event Streams 实例的名称。

  9. 对于 服务访问,请选择 写入器

  10. 单击授权。 您的新服务对服务授权将列在 Manage authorizations 视图中。

您也可以运行以下命令创建服务对服务策略:

ibmcloud iam authorization-policy-create atracker messagehub Writer --source-service-account sourceAccountID

创建目标

创建目标,请运行以下命令:

ibmcloud atracker target create --name <TARGET_NAME> --type event-streams --endpoint <EVENT_STREAMS_ENDPOINT> --target-crn <EVENT_STREAMS_TARGET_CRN> --topic <TOPIC> --region <REGION>

位置

--region <REGION>
将处理事件的区域的名称,例如 us-southeu-gb。 如果未指定,那么将使用已登录或目标区域。
--name <TARGET_NAME>
要对目标指定的名称。
--endpoint <EVENT_STREAMS_ENDPOINT>
要与主题关联的 Event Streams 端点。
--topic <TOPIC>
要与目标关联的 Event Streams 主题的名称。
--api-key <EVENTSTREAMS_API_KEY> | @EVENTSTREAMS_API_KEY_FILE
在 Event Streams 服务凭证中找到的密码值。 这是 IAM API 密钥
--target-crn <EVENT_STREAMS_TARGET_CRN>
Event Streams 实例的 CRN。
--service-to-service-enabled <true/false>
确定 IBM Cloud Activity Tracker Event Routing 是否启用了服务对服务身份验证。 如果启用了服务对服务,且不提供 apikey,则将此标记设为 true。

例如,要在美国南部区域中创建目标,可以运行以下命令:

ibmcloud atracker target create --name  "My target" --type event-streams --target-crn "crn:v1:bluemix:public:messagehub:eu-de:a/11111111111111111111111111111111:22222222-2222-2222-2222-222222222222::" --brokers "broker-1:9093,broker-2:9093" --topic "topic-name" --api-key xxxxx

要查看区域中的目标定义,请参阅 使用 CLI 获取有关目标的信息

创建目标时,将返回目标标识。 记下目标标识。 您将需要目标标识来配置将事件路由到帐户中的目标的规则。

下一步

在帐户中定义 1 或更多路径。 有关更多信息,请参阅 配置路径

配置路由时,将目标与路由相关联,并定义路由的审计事件类型。 路由定义了决定审计事件在账户中路由位置的规则。 例如,您可以定义路由,该路由将审计来自 2 不同区域的事件,还将路由全局事件。

您可以收集 全局事件基于位置的事件

  • 全球事件会报告账户中与数据和资源相关的活动,这些数据和资源通常在所有地区同步。
  • 基于位置的事件报告帐户中由 IBM 数据中心位置 (例如,美国南部或美国东部) 中托管的 IBM Cloud 服务生成的活动。