Instanzsicherheit
Instanzsicherheit ist ein neues Oracle Cloud Guard-Detektorrezept, das Compute-Hosts auf verdächtige Aktivitäten überwacht.
- Informationen zur Instanzsicherheit bietet eine Einführung in Konzepte, die bei der Arbeit mit der Instanzsicherheit hilfreich sind.
- Unter Instanzsicherheit aktivieren wird beschrieben, wie Sie mit der Instanzsicherheit beginnen, indem Sie ein Instanzsicherheitsdetektorrezept auf ein Ziel anwenden.
- Unter Rezepte des Instanzsicherheitsdetektors werden die Detektorrezepte für die Instanzsicherheit beschrieben.
Instanzsicherheit
Instanzsicherheit bietet Laufzeitsicherheit für Workloads auf virtuellen Compute- und Bare-Metal-Hosts. Instance Security erweitert Cloud Guard von der Verwaltung der Cloud-Sicherheitslage auf den Schutz der Cloud-Workloads. Es stellt sicher, dass die Sicherheitsanforderungen an einem Ort mit konsistenter Transparenz und einem ganzheitlichen Verständnis des Sicherheitsstatus der Infrastruktur erfüllt werden.
Instanzsicherheit sammelt wichtige Sicherheitsinformationen zu Compute-Hosts, wie Sicherheitswarnungen (in Cloud Guard als Probleme bezeichnet), Sicherheitslücken und offene Ports, um Ihnen umsetzbare Anleitungen zur Erkennung und Prävention zu bieten. Sie können verdächtige Prozesse, die Erstellung offener Ports und die Skriptausführung für Workloads mit Sichtbarkeit auf BS-Ebene erkennen. Instance Security bietet neue, von Oracle verwaltete, einsatzbereite Erkennungen und vom Kunden verwaltete Abfragen für Anwendungsfälle bei der Bedrohungssuche.
Instanzsicherheit ist nativ in OCI Logging integriert, sodass Sie Logs einfach in Ihre Sicherheitstools von Drittanbietern exportieren können.
EBPF-basierte Sicherheitslösung
Instance Security verwendet die Extended Berkeley Packet Filter (eBPF)-Technologie, um Sicherheitsereignisse auf Kernel-Ebene zu erkennen. eBPF ist eine Kernel-Technologie, mit der Programme ausgeführt werden können, ohne den Kernel-Quellcode ändern zu müssen.
Sie können automatisch Daten erfassen, um Sicherheitsanomalien zu erkennen und tiefe Einblicke in Betriebssysteme zu erhalten, ohne Kernelcode zu ändern und ohne die Performance erheblich zu beeinträchtigen.
Mit dem MITRE ATT&CK Framework
Instance Security stellt eine Suite von von Oracle verwalteten, einsatzbereiten Detektorregeln bereit, die auf das MITRE ATT&CK-Framework abgestimmt sind und darauf abzielen, die manuelle Arbeit für Ihr Security Operations Center (SOC) zu reduzieren, um bekannte gegnerische Aktivitäten zu finden.
Die Informationen werden über Modelle verarbeitet, die mit dem MITRE ATT&CK-Framework abgestimmt sind, um die potenziellen Taktiken und Techniken zu klassifizieren.
On-Demand-Abfragen ausführen
Sie können On-Demand-Abfragen für Compute-Instanzen in regelmäßigen Abständen oder auf On-Demand-Basis ausführen, um Ihnen Echtzeiteinblicke in den Status Ihres Rechners zu ermöglichen.
Instanzsicherheit führt OSquery unter der Haube aus, die BS-Daten als leistungsstarke relationale Datenbank bereitstellt. Osquery ist ein leistungsstarker Open-Source-Host-Agent mit mehreren Plattformen, der Ihnen Visibilität und Einblicke in Ihre Flotte bietet. Es sammelt und normalisiert Daten unabhängig vom Betriebssystem und erhöht die Transparenz in Ihrer Infrastruktur. OSquery wird von Hunderten von Tabellen unterstützt, die alles abdecken, von laufenden Prozessen bis hin zu geladenen Kernel-Erweiterungen. Instanzsicherheit unterstützt die meisten Open-Source-Abfragetabellen zusätzlich zu benutzerdefinierten OCI-Tabellen.
Abfragen planen
Nachdem Sie eine Abfrage ausgeführt haben und mit dem Abfrageergebnis zufrieden sind, können Sie die Ausführung der Abfrage in regelmäßigen Abständen planen. Wenn Sie bestimmte Sicherheitskontrollen im Rahmen der Compliance- und Auditanforderungen für Ihre Compute-Hosts nachweisen müssen, können Sie geplante Abfragen verwenden. Instanzsicherheit ist in den OCI Logging-Service integriert. Sie können den OCI Logging-Service so konfigurieren, dass Ihre Rohdaten an einen Security Information and Event Management-(SIEM-)Service oder einen Datenaggregator eines Drittanbieters gesendet werden.
Instanzsicherheitsdetektorrezepte
Es gibt zwei von Oracle verwaltete Instanzsicherheitsdetektorrezepte:
- OCI Instance Security Detector-Rezept – Enterprise (von Oracle verwaltet).
- OCI-Instanzsicherheitsdetektorrezept (von Oracle verwaltet).
Sie können benutzerdefinierte Konfigurationen von Detektorrezepten erstellen, indem Sie diese Rezepte und Regeln klonen. Siehe OCI-Detektorrezept klonen.
Sie können nur ein Instanzsicherheitsdetektorrezept auf ein Ziel anwenden. Wenn Sie das Rezept ändern möchten, müssen Sie zuerst das vorhandene Rezept aus dem Ziel entfernen und dann das andere Rezept anwenden.
OCI Instance Security Detector-Rezept – Enterprise (von Oracle verwaltet)
Dieses Rezept ist ein kostenpflichtiges Angebot, das umfassende Servicefunktionen bietet. Sie erhalten Alerts basierend auf einsatzbereiten Oracle-Erkennungen und können Ihre Flotte mit benutzerdefinierten und geplanten Abfragen abfragen.
Dieses einsatzbereite Detektorrezept verwendet alle Instanzsicherheitsdetektorregeln, die in Sicherheitsdetektorregeln für OCI-Instanzen beschrieben sind.
Informationen zu den Kosten finden Sie in den Cloud Guard-Preisinformationen in der Cloud-Preisliste. Sie können das Kostenrechner-Tool verwenden, um Ihre monatliche Nutzung und Abrechnung zu bestimmen. Siehe Billing and Cost Management Overview.
| Ressource | Anzahl pro Mandanten |
|---|---|
| Anzahl der abgedeckten Instanzen pro Region | Unlimited |
| Einsatzbereite Detektorregeln | Unlimited |
| On-Demand-Abfragen | Unlimited |
| Geplante Abfragen | 25 Abfragen pro Instanz und Tag |
| Größe der geplanten Abfrageergebnisse | 5 MB pro Instanz und Tag |
Dieses Beispiel zeigt, wie Grenzwerte für geplante Abfragen funktionieren.
Die Größe der geplanten Abfrageergebnisse ist pro Instanz begrenzt. Wenn Sie also 10 Instanzen in einer Region haben, beträgt der regionale Grenzwert auf Mandantenebene 5*10 = 50 MB pro Tag
Wenn Sie das Limit der geplanten Abfrageergebnisse in einer Region erreichen, wird in den Abfragen der Status Failed angezeigt. Die Meldung wird angezeigt:
Scheduled query size limit has reached, the limit will reset the next daySobald das Limit am nächsten Tag zurückgesetzt wird, sind geplante Abfragen erfolgreich, bis das Limit erneut erreicht ist.
OCI-Instanzsicherheitsdetektorrezept (von Oracle verwaltet)
Wenn Sie nicht bereit sind, in Instanzsicherheit zu investieren, aber den Service probieren möchten, können Sie dieses kostenlose Rezept ausprobieren. Es wird Sie auf Sicherheitslücken und offene Portscanprobleme aufmerksam machen, und Sie können eine begrenzte Anzahl von Abfragen ausführen.
Dieses Detektorrezept verwendet die Detektorregeln für die Instanzsicherheit:
| Ressource | Anzahl pro Mandanten |
|---|---|
| Anzahl der abgedeckten Instanzen pro Region | 5 |
| Einsatzbereite Detektorregeln | 2 |
| On-Demand-Abfragen | 30 pro Monat und Region |
| Geplante Abfragen | 0 |
Dieses Beispiel zeigt, wie On-Demand-Abfragelimits funktionieren, indem zwei Szenarios berücksichtigt werden.
Sie haben ein monatliches Limit von 30 On-Demand-Abfragen in einer Region:
- Sie führen die erste On-Demand-Abfrage aus und zielen auf 25 aktive Instanzen und alle erfolgreich ab. Dadurch erhalten Sie 25 Ergebnisse.
- Sie führen eine zweite On-Demand-Abfrage aus und zielen auf 25 aktive Instanzen. Dieses Mal erhalten Sie jedoch nur fünf Ergebnisse auf fünf zufällig ausgewählten Instanzen, da für den Monat nur noch 5 On-Demand-Abfragen übrig waren.
- Wenn Sie dann eine dritte On-Demand-Abfrage ausführen und nur eine Instanz als Ziel festlegen, wird die folgende Meldung angezeigt:
You have consumed free adhoc units for this month, your limit will reset next month
Abgelaufene Anfragen werden nach etwa 15 Minuten bis zum monatlichen Limit zurückerstattet.
- Ihre erste On-Demand-Abfrage zielte auf 25 Instanzen (24 aktive und 1 inaktive Agents) ab. Das Ergebnis ist, dass sie mit 24 Ergebnissen von den aktiven Agents abgelaufen ist.
- Sie haben eine zweite On-Demand-Abfrage ausgeführt und 25 Zielinstanzen (24 aktive und 1 inaktiver Agent) als Ziel festgelegt. Dieses Mal erhalten Sie nur fünf Ergebnisse auf fünf zufällig ausgewählten Instanzen, da für den Monat nur noch 5 On-Demand-Abfragen übrig waren.
- Wenn Sie dann eine dritte On-Demand-Abfrage ausführen und nur eine Instanz als Ziel festlegen, wird die folgende Meldung angezeigt:
You have consumed free adhoc units for this month, your limit will reset next month