Detektorrezeptreferenz

Beschreibung: Alert, wenn eine neue Bastioninstanz erstellt wird.

Empfehlung: Stellen Sie sicher, dass nur autorisierte Benutzer Bastioninstanzen erstellen.

Hintergrund: Bastionen ermöglichen Benutzern sicheren und nahtlosen SSH-Zugriff auf Zielhosts in privaten Subnetzen, während gleichzeitig der direkte öffentliche Zugriff eingeschränkt wird.

Regelparameter:

• Servicetyp: Bastion
• Ressourcentyp: Instanz
• Risikostufe: Niedrig
• Labels: Bastion

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine neue Bastionsession erstellt wird.

Empfehlung: Stellen Sie sicher, dass nur autorisierte Benutzer Bastionsessions erstellen.

Hintergrund: Eine Bastionsession bietet zeitgebundenen, sicheren und nahtlosen SSH-Zugriff auf einen Zielhost in privaten Subnetzen, während gleichzeitig der direkte öffentliche Zugriff eingeschränkt wird.

Regelparameter:

• Servicetyp: Bastion
• Ressourcentyp: Instanz
• Risikostufe: Niedrig
• Labels: Bastion

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein CA-Bundle aktualisiert wird.

Empfehlung: Stellen Sie sicher, dass nur autorisierte Benutzer CA-Bundles aktualisieren. Wenn der Benutzer nicht autorisiert ist, machen Sie die Aktualisierung rückgängig.

Hintergrund: Ein CA-Bundle ist eine Datei, die Root- und Zwischenzertifikate enthält. Die CA im Bundle bürgt für die Zwischenzertifikate der Benutzer. Wenn ein CA-Bundle aktualisiert wird, kann ein Benutzer, der einem gelöschten Zwischenzertifikat zugeordnet ist, nicht mehr auf von der CA verbürgte Ressourcen zugreifen. Ebenso können Benutzer, die einem hinzugefügten Zwischenzertifikat zugeordnet sind, jetzt auf diese Ressourcen zugreifen.

Regelparameter:

• Servicetyp: Zertifikate
• Ressourcentyp: Benutzer
• Risikostufe: MEDIUM
• Labels: Zertifikate

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Certificate Authority-(CA-)Bundle gelöscht wird.

Empfehlung: Stellen Sie sicher, dass nur autorisierte Benutzer CA-Bundles löschen, die nur von autorisierten Benutzern gelöscht werden. Wenn der Benutzer nicht autorisiert ist, brechen Sie den Löschvorgang ab.

Hintergrund: Ein CA-Bundle ist eine Datei, die Root- und Zwischenzertifikate enthält. Die CA im Bundle bürgt für das Zwischenzertifikat des Benutzers. Wenn ein CA-Bundle gelöscht wird, können die den Zwischenzertifikaten zugeordneten Benutzer nicht mehr auf Ressourcen zugreifen, für die die CA bürgen muss.

Regelparameter:

• Servicetyp: Zertifikate
• Ressourcentyp: Benutzer
• Risikostufe: MEDIUM
• Labels: Zertifikate

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Zwischenzertifikat in einem Zertifikatsautoritäts-(CA-)Bundle widerrufen wird.

Empfehlung: Stellen Sie sicher, dass nur autorisierte Benutzer Zwischenzertifikate in CA-Bundles widerrufen. Wenn der Benutzer nicht autorisiert ist, brechen Sie den Widerruf ab.

Hintergrund: Wenn ein Zwischenzertifikat in einem CA-Bundle widerrufen wird, können zugeordnete Benutzer nicht mehr auf Ressourcen zugreifen, für die das Zwischenzertifikat des Benutzers von einer genehmigten CA verbürgt werden muss.

Regelparameter:

• Servicetyp: Zertifikate
• Ressourcentyp: Benutzer
• Risikostufe: MEDIUM
• Labels: Zertifikate

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Compute-Image exportiert wird.

Empfehlung: Images, die alle proprietären Elemente enthalten, sollten entsprechend getaggt werden und Exportberechtigungen nur an geeignete OCI-Administratoren erteilt wird.

Hintergrund: Compute-Images entsprechen möglicherweise "Datenlaufwerken" und enthalten sensible Informationen. Images, die unter Umständen proprietäre Elemente enthalten, sollten entsprechend getaggt werden, und Exportberechtigungen sollten nur an geeignete OCI-Administratoren erteilt werden.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: MINOR
• Labels: Compute

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Compute-Image importiert wird.

Empfehlung: Stellen Sie sicher, dass eine Person, von der erwartet wird, daß sie neue Images in Ihre Umgebung importiert, das Compute-Image aus vertrauenswürdigen Quellen, wie Oracle oder einem vertrauenswürdigen Compute-Administrator, importiert.

Hintergrund: Compute-Images sind die Grundlagen für Compute-Instanzen. Ein neues Image wirkt sich auf jede zukünftige Compute-Instanz aus, die aus diesem Image gestartet wird, und importierte Images dürfen nur aus bekannten und vertrauenswürdigen Quellen stammen.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: MINOR
• Labels: Compute

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine Compute-Instanz beendet wird.

Empfehlung: Verwenden Sie IAM-Policys, um Vorgänge zum Instanzbeendigen einzuschränken.

Hintergrund: Compute-Instanzen können kritische Funktionen bereitstellen.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: HIGH
• Labels: Compute

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Compute-Image aktualisiert wird.

Empfehlung:

Stellen Sie Folgendes sicher:

• Das Image wird von einer Person importiert, von der erwartet wird, dass sie neue Images in Ihre Umgebung importiert.
• Das Image wird aus vertrauenswürdigen Quellen, wie Oracle oder einem vertrauenswürdigen Compute-Administrator, importiert.

Hintergrund: Compute-Images sind die Grundlagen für Compute-Instanzen. Eine Änderung an Images wirkt sich auf jede zukünftige Compute-Instanz aus, die aus diesem Image gestartet wird. Images und alle damit verbundenen Änderungen müssen aus bekannten und vertrauenswürdigen Quellen stammen.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: Niedrig
• Labels: Compute

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert beim Beenden eines Datenbanksystems.

Empfehlung: Stellen Sie sicher, dass ein zulässiger Administrator die Beendigung des Datenbanksystems und der zugehörigen Datenbanken bestraft und ausführt.

Hintergrund: Datenbanksysteme können sensible Daten speichern und kritische Funktionen bereitstellen. Durch Beenden eines Datenbanksystems werden das System, alle darauf ausgeführten Datenbanken und alle daran angehängten Speicher-Volumes endgültig gelöscht.

Regelparameter:

• Servicetyp: DB-System
• Ressourcentyp: System
• Risikostufe: HIGH
• Labels: Datenbank

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn IAM-API-Schlüssel für einen Benutzer erstellt werden.

Empfehlung: Stellen Sie sicher, dass API-Schlüssel nur von Benutzern erstellt werden, die zur Erstellung von API-Schlüsseln für sich selbst oder andere Benutzer autorisiert sind.

Hintergrund: API-Schlüssel sind erforderlich, um eines der Oracle-SDKs oder andere Entwicklertools zu verwenden. Die Verwendung dieser Entwicklertools durch Personen, deren Tätigkeitsfunktion das nicht erfordert, ist eine Sicherheitslücke.

Regelparameter:

• (Status: Deaktiviert)
• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Erstellen von API-Schlüsseln für Benutzer gehört.

Beschreibung: Alert, wenn derIAM-API-Schlüssel eines Benutzers gelöscht wird.

Empfehlung: Stellen Sie sicher, dass API-Schlüssel nur von Benutzern gelöscht werden, die zum Erstellen und Löschen der API-Schlüssel autorisiert sind.

Hintergrund: API-Schlüssel sind erforderlich, um eines der Oracle-SDKs oder andere Entwicklertools zu verwenden. Das Löschen von API-Schlüsseln für einen Benutzer, der mit Oracle-Entwicklertools arbeitet, kann die Produktivität erheblich beeinträchtigen.

Regelparameter:

• (Status: Deaktiviert)
• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Löschen von API-Schlüsseln von Benutzern gehört.

Beschreibung: Alert, wenn ein IAM-Authentifizierungstoken für einen Benutzer erstellt wird.

Empfehlung: Stellen Sie sicher, dass IAM-Authentifizierungstoken von autorisierten Benutzern und für autorisierte Benutzer erstellt werden.

Hintergrund: Authentifizierungstoken können zur Authentifizierung mit Drittanbieter-APIs verwendet werden. Die Verfügbarkeit von Authentifizierungstoken für Personen, deren Tätigkeitsfunktion diese nicht erfordert, schafft eine Sicherheitslücke. Siehe Benutzerzugangsdaten.

Regelparameter:

• (Status: Deaktiviert)
• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Erstellen von IAM-Authentifizierungstoken gehört.

Beschreibung: Alert, wenn ein IAM-Authentifizierungstoken für einen Benutzer gelöscht wird.

Empfehlung: Stellen Sie sicher, dass IAM-Authentifizierungstoken von autorisierten Benutzern gelöscht werden.

Hintergrund: Authentifizierungstoken können zur Authentifizierung mit Drittanbieter-APIs verwendet werden. Die Verfügbarkeit von Authentifizierungstoken für Personen, deren Tätigkeitsfunktion diese nicht erfordert, schafft eine Sicherheitslücke. Siehe Benutzerzugangsdaten.

Regelparameter:

• (Status: Deaktiviert)
• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Löschen von IAM-Authentifizierungstoken gehört.

Beschreibung: Alert, wenn IAM-Kundenschlüssel erstellt werden.

Empfehlung: Stellen Sie sicher, dass diese Schlüssel nur für autorisierte Benutzer erstellt werden.

Hintergrund: Kunden-Secret-Keys werden für den Einsatz der Amazon S3-Kompatibilitäts-API mit Object Storage erstellt.

Regelparameter:

• (Status: Deaktiviert)
• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Administratorgruppe mit Berechtigungen zum Erstellen von IAM-Kundenschlüsseln gehört.

Beschreibung: Alert, wenn IAM-Kundenschlüssel gelöscht werden.

Empfehlung: Stellen Sie sicher, dass das Löschen dieser Schlüssel erwartet wird.

Hintergrund: Kunden-Secret-Keys werden für den Einsatz der Amazon S3-Kompatibilitäts-API mit Object Storage erstellt.

Regelparameter:

• (Status: Deaktiviert)
• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admingruppe mit Berechtigungen zum Löschen von IAM-Kundenschlüsseln gehört.

Beschreibung: Alert, wenn eine IAM-Gruppe erstellt wird.

Empfehlung: Stellen Sie sicher, dass nur autorisierte Benutzer IAM-Gruppen erstellen.

Hintergrund: Gruppen kontrollieren den Zugriff auf Ressourcen und Berechtigungen.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Gruppe
• Risikostufe: MINOR
• Labels: IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine IAM-Gruppe gelöscht wird.

Empfehlung: Stellen Sie sicher, dass nur autorisierte Benutzer IAM-Gruppenlöschungen ausführen.

Hintergrund: Gruppen kontrollieren den Zugriff auf Ressourcen und Berechtigungen.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: GROUP
• Risikostufe: MINOR
• Labels: IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn IAM-Zugangsdaten OAuth 2.0 erstellt werden.

Empfehlung: Stellen Sie sicher, dass diese Zugangsdaten nur für autorisierte Benutzer erstellt werden.

Hintergrund: IAM-OAuth 2.0-Zugangsdaten dienen zur Interaktion mit den APIs der Services, die OAuth 2.0-Autorisierung verwenden. Siehe Benutzerzugangsdaten.

Regelparameter:

• (Status: Deaktiviert)
• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Erstellen von IAM-OAuth 2.0-Zugangsdaten gehört.

Beschreibung: Alert, wenn IAM-Zugangsdaten OAuth 2.0 gelöscht werden.

Empfehlung: Stellen Sie sicher, dass das Löschen dieser Zugangsdaten erwartet wird.

Hintergrund: IAM-OAuth 2.0-Zugangsdaten dienen zur Interaktion mit den APIs der Services, die OAuth 2.0-Autorisierung verwenden. Siehe Benutzerzugangsdaten.

Regelparameter:

• (Status: Deaktiviert)
• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe gehört, die zum Löschen von IAM-OAuth 2.0-Zugangsdaten berechtigt ist.

Beschreibung: Alert, wenn die Fähigkeiten eines IAM-Benutzers bearbeitet werden.

Empfehlung: Stellen Sie sicher, dass nur autorisierte Nutzer die Fähigkeiten eines IAM-Benutzers ändern.

Hintergrund: Um auf Oracle Cloud Infrastructure zugreifen zu können, muss ein Benutzer über die erforderlichen Zugangsdaten wie API-Schlüssel, Authentifizierungstoken und andere Zugangsdaten verfügen.

Regelparameter:

• (Status: Deaktiviert)
• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein lokaler oder föderierter Benutzer in OCI IAM erstellt wird.

Empfehlung: Stellen Sie sicher, dass nur autorisierte Benutzer IAM-Benutzer erstellen.

Hintergrund: Ein IAM-Benutzer kann ein einzelner Mitarbeiter oder ein System sein, das die Oracle Cloud Infrastructure-Ressourcen Ihres Unternehmens verwalten oder verwenden muss.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: MINOR
• Labels: IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn das Konsolenkennwort eines Benutzers erstellt oder zurückgesetzt wird.

Empfehlung: Stellen Sie sicher, dass das Kennwort eines Benutzers vom Benutzer oder vom Admin-Benutzer zurückgesetzt wird, der zum Zurücksetzen von Kennwörtern autorisiert ist.

Hintergrund: Wenn das Kennwort eines Benutzers mehrmals zurückgesetzt oder durch einen Benutzer zurückgesetzt wurde, der nicht zum Zurücksetzen von Benutzerkennwörtern autorisiert ist, kann dies auf ein Sicherheitsrisiko hinweisen.

Regelparameter:

• (Status: Deaktiviert)
• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Zurücksetzen von Benutzerpasswörtern gehört.

Beschreibung: Alert, wenn eine Sicherheits-Policy geändert wird.

Empfehlung:

Hintergrund: Das Ändern von Policys wirkt sich auf alle Benutzer in der Gruppe aus und kann Benutzern Berechtigungen erteilen, die diese nicht benötigen.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Policy
• Risikostufe: Niedrig
• Labels: CIS_OCI_V1.1_MONITORING, IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein lokaler Benutzer, für den keine Multifaktor-Authentifizierung (MFA) aktiviert ist, authentifiziert wird.

Empfehlung: Stellen Sie sicher, dass für alle Benutzer MFA aktiviert ist.

Hintergrund: Die Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit, indem mehrere Zugangsdaten gefährdet werden müssen, um sich als ein Benutzer auszugeben. Nicht autorisierte Benutzer können die zweite Authentifizierungsanforderung nicht erfüllen und können nicht auf die Umgebung zugreifen.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: HIGH
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Benutzer zu einer Gruppe hinzugefügt wird.

Empfehlung: Stellen Sie sicher, dass der Benutzer zur Mitgliedschaft in der Gruppe berechtigt ist.

Hintergrund: Gruppen kontrollieren den Zugriff auf Ressourcen und Berechtigungen. Sensible müssen genau auf Änderungen der Mitgliedschaft überwacht werden.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Gruppe
• Risikostufe: MINOR
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Benutzer aus einer Gruppe entfernt wird.

Empfehlung: Stellen Sie sicher, dass der Benutzer zur Mitgliedschaft in der Gruppe berechtigt ist.

Hintergrund: Gruppen kontrollieren den Zugriff auf Ressourcen und Berechtigungen. Sensible müssen genau auf Änderungen der Mitgliedschaft überwacht werden.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: MINOR
• Labels: IAM

• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Administratorgruppe mit Berechtigungen zum Entfernen von Benutzern aus dieser Gruppe gehört.

Beschreibung: Alert, wenn ein dynamisches Routinggateway (DRG) an ein VCN angehängt ist.

Empfehlung: Stellen Sie sicher, dass das Anhängen dieses DRG an das VCN in diesem Compartment von der Ressource (Benutzer) zulässig und erwartet ist.

Hintergrund: DRGs werden verwendet, um vorhandene On-Premise-Netzwerke über IPSec-VPN oder FastConnect mit einem virtuellen Cloud-Netzwerk (VCN) zu verbinden.

Regelparameter:

• (Status: Deaktiviert)
• Servicetyp: Networking
• Ressourcentyp: DRG
• Risikostufe: MINOR
• Labels: Netzwerk

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Administratorgruppe mit Berechtigungen zum Anhängen von DRGs an VCNs gehört.

Beschreibung: Alert, wenn ein dynamisches Routinggateway (DRG) erstellt wird.

Empfehlung: Stellen Sie sicher, dass die Erstellung dieses DRG in diesem Compartment von der Ressource (Benutzer) zulässig und erwartet ist.

Hintergrund: DRGs werden verwendet, um vorhandene On-Premise-Netzwerke über IPSEC-VPN oder FastConnect mit einem virtuellen Cloud-Netzwerk (VCN) zu verbinden.

Regelparameter:

• (Status: Deaktiviert)
• Servicetyp: Networking
• Ressourcentyp: DRG
• Risikostufe: MINOR
• Labels: Netzwerk

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• bedingte Gruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Erstellen von DRGs gehört.

Beschreibung: Alert, wenn ein dynamisches Routinggateway (DRG) gelöscht wird.

Empfehlung: Stellen Sie sicher, dass das Löschen dieses DRG von der Ressource (Benutzer) zulässig ist und erwartet werden.

Hintergrund: DRGs werden verwendet, um vorhandene On-Premise-Netzwerke über IPSec-VPN oder FastConnect mit einem virtuellen Cloud-Netzwerk (VCN) zu verbinden.

Regelparameter:

• (Status: Deaktiviert)
• Servicetyp: Networking
• Ressourcentyp: DRG
• Risikostufe: MINOR
• Labels: Netzwerk

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Löschen von DRGs gehört.

Beschreibung: Alert, wenn ein dynamisches Routinggateway (DRG) von einem VCN getrennt wird.

Empfehlung: Stellen Sie sicher, dass das Trennen dieses DRG vom VCN in diesem Compartment von der Ressource (Benutzer) zulässig und erwartet ist.

Hintergrund: DRGs werden verwendet, um vorhandene On-Premise-Netzwerke über IPSec-VPN oder FastConnect mit einem virtuellen Cloud-Netzwerk (VCN) zu verbinden.

Regelparameter:

• (Status: Deaktiviert)
• Servicetyp: Networking
• Ressourcentyp: DRG
• Risikostufe: MINOR
• Labels: Netzwerk

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Administratorgruppe mit Berechtigungen zum Entfernen von DRGs von VCNs gehört.

Beschreibung: Alert, wenn ein Subnetz geändert wird.

Empfehlung: Stellen Sie sicher, dass die Änderung am VCN in diesem Compartment zulässig und erwartet ist.

Hintergrund: Subnetze sind Unterbereiche eines VCN. Compute-Instanzen, die in demselben Subnetz verbunden sind, verwenden dieselben Routentabellen, Sicherheitslisten und DHCP-Optionen.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Subnetz
• Risikostufe: Niedrig
• Labels: Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Subnetz gelöscht wird.

Empfehlung: Aktivieren Sie Die Multifaktor-Authentifizierung (MFA), um sicherzustellen, dass der Benutzer ein wirklich angemeldeter Benutzer ist und die Zugangsdaten nicht kompromittiert sind.

Hintergrund: Subnetze sind Unterbereiche eines VCN. Compute-Instanzen, die in demselben Subnetz verbunden sind, verwenden dieselben Routentabellen, Sicherheitslisten und DHCP-Optionen.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Subnetz
• Risikostufe: Niedrig
• Labels: Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn von einer verdächtigen IP-Adresse eine Benutzeranmeldung oder ein API-Aufruf erfolgt. Wenn die richtige Policy vorhanden ist, geben Sie einen Link zum Cloud Guard-Probleme mit detaillierten Informationen zur verdächtigen IP-Adresse im Threat Intelligence Service an. Details zur erforderlichen Policy finden Sie unter IAM-Policys für Threat Intelligence.

Empfehlung: Aktivieren Sie Die Multifaktor-Authentifizierung (MFA), um sicherzustellen, dass der Benutzer ein wirklich angemeldeter Benutzer ist und die Zugangsdaten nicht kompromittiert sind.

Hintergrund: Ein Benutzer, der sich von einer verdächtigen IP-Adresse anmeldet, ist eine potenzielle Bedrohung.

Regelparameter:

• Servicetyp: Cloud Guard
• Ressourcentyp: Sicherheit
• Risikostufe: KRITISCH
• Labels: Netzwerk

• Konfiguration: CIDR-Blöcke oder bestimmte IP-Adressen im Abschnitt Eingabeeinstellung der Regel sperren oder auflisten.

Beschreibung: Alert, wenn ein VCN erstellt wird.

Empfehlung: Stellen Sie sicher, dass die Erstellung eines neuen VCN in diesem Compartment zulässig und erwartet ist.

Hintergrund: Ein VCN ist ein virtuelles, privates Netzwerk, das Sie in Oracle-Data Centern einrichten. Dieses kann wie ein traditionelles Netzwerk Firewallregeln und bestimmte Typen von Kommunikationsgateways enthalten.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: VCN
• Risikostufe: Niedrig
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein VCN erstellt wird.

Empfehlung: Stellen Sie sicher, dass das Löschen eines VCN in diesem Compartment zulässig und erwartet ist.

Hintergrund: Ein VCN ist ein virtuelles, privates Netzwerk, das Sie in Oracle-Data Centern einrichten. Dieses kann wie ein traditionelles Netzwerk Firewallregeln und bestimmte Typen von Kommunikationsgateways enthalten. Das Löschen eines VCN kann Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: VCN
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine VCN-DHCP-Option geändert wird.

Empfehlung: Stellen Sie sicher, dass die Änderung an DHCP- und DNS-Informationen für dieses VCN und zugehörige Ressourcen zulässig ist.

Hintergrund: DHCP-Optionen steuern bestimmte Konfigurationstypen auf den Instanzen in einem VCN, einschließlich der Spezifikation von Suchdomains und DNS-Resolvern, die Kommunikation innerhalb von VCNs zu Internetressourcen lenken können. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: DHCP
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein VCN-Internetgateway erstellt wird.

Empfehlung: Stellen Sie sicher, dass die Erstellung eines Internetgateways für dieses VCN und seine zugehörigen Ressourcen zulässig ist.

Hintergrund: Internetgateways sind virtuelle Router, die Sie Ihrem VCN hinzufügen können, um die direkte Konnektivität (eingehend oder ausgehend) zum Internet zu aktivieren. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Internetgateway
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein VCN-Internetgateway beendet wird.

Empfehlung: Stellen Sie sicher, dass das Löschen eines Internetgateways für dieses VCN und seine zugehörigen Ressourcen zulässig ist.

Hintergrund: Internetgateways sind virtuelle Router, die Sie Ihrem VCN hinzufügen können, um die direkte Konnektivität (eingehend oder ausgehend) zum Internet zu aktivieren. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Internetgateway
• Risikostufe: Niedrig
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein lokales VCN-Peering-Gateway geändert wird.

Empfehlung: Stellen Sie sicher, dass die Änderungen am LPG für dieses VCN und seine zugehörigen Ressourcen zulässig sind.

Hintergrund: Lokale VCN-Peering-Gateways (LPG) verbinden zwei VCNs in derselben Region, ohne Traffic über das Internet weiterzugeben. LPG-Ressourcen in den VCNs kommunizieren direkt mit privaten IP-Adressen. Änderungen an LPGs können sich auf Ressourcenzugriff und VCN-übergreifende Kommunikation auswirken. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Lokales Peering-Gateway
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn die NSG eines VCN gelöscht wird.

Empfehlung: Stellen Sie sicher, dass das Entfernen der NSG für dieses VCN und seine zugehörigen Ressourcen zulässig ist.

Hintergrund: Netzwerksicherheitsgruppen (NSGs) fungieren als virtuelle Firewall für Compute-Instanzen und andere Arten von Ressourcen. NSGs verfügen über ein Set eingehender (Ingress-) und ausgehender (Egress-)Sicherheitsregeln, die auf ein Set virtueller NICs in einem VCN angewendet werden. Wenn Sie NSGs löschen, kann der Schutz zwischen Ressourcen im VCN entfernt und der Zugriff auf Ressourcen verweigert werden oder Datenverlust auftreten.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Netzwerksicherheitsgruppe
• Risikostufe: HIGH
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn die NSG-Egress-Regel eines VCN geändert wird.

Empfehlung: Stellen Sie sicher, dass die neuen Egress-Regeln für diese NSG und ihre zugehörigen Ressourcen zulässig sind.

Hintergrund: Netzwerksicherheitsgruppen (NSGs) fungieren als virtuelle Firewall für Compute-Instanzen und andere Arten von Ressourcen. NSGs verfügen über ein Set eingehender (Ingress-) und ausgehender (Egress-)Sicherheitsregeln, die auf ein Set virtueller NICs in einem VCN angewendet werden. Egress-Regeländerungen können dazu führen, dass der Zugriff auf Ressourcen verweigert wird.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Netzwerksicherheitsgruppe
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn die NSG-Ingress-Regel eines VCN geändert wird.

Empfehlung: Stellen Sie sicher, dass die neuen Ingress-Regeln für diese NSG und ihre zugehörigen Ressourcen zulässig sind.

Hintergrund: Netzwerksicherheitsgruppen (NSGs) fungieren als virtuelle Firewall für Compute-Instanzen und andere Arten von Ressourcen. NSGs verfügen über ein Set eingehender (Ingress-) und ausgehender (Egress-)Sicherheitsregeln, die auf ein Set virtueller NICs in einem VCN angewendet werden. Änderungen an Ingress-Regeln einer NSG können Verbindungen und Traffic zu neuen Ressourcen und VNICs im VCN zulassen.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Netzwerksicherheitsgruppe
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn die Routentabelle eines VCN geändert wird.

Empfehlung: Stellen Sie sicher, dass die Änderung an der Routentabelle in diesem Compartment zulässig ist und erwartet wird.

Hintergrund: Virtuelle Routentabellen enthalten Regeln, die wie herkömmliche Netzwerkroutingregeln aussehen und handeln. Falsch konfigurierte Routentabellen können Netzwerktraffic löschen (Blackhole) oder an ein unbeabsichtigtes Ziel senden. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Routentabelle
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn die Sicherheitsliste für ein VCN erstellt wird.

Empfehlung: Stellen Sie sicher, dass die Erstellung dieser Sicherheitsliste für dieses VCN und seine zugehörigen Ressourcen zulässig ist.

Hintergrund: Sicherheitslisten fungieren als virtuelle Firewalls für Compute-Instanzen und andere Ressourcen und bestehen aus Sets von Ingress und Egress-Regeln, die auf alle VNICs in jedem Subnetz angewendet werden, das mit dieser Sicherheitsliste verknüpft sind. Es können mehrere Sicherheitslisten für Ressourcen gelten und Zugriff auf Ports und IP-Adressen für diese Ressourcen erteilen. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Sicherheitsliste
• Risikostufe: Niedrig
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn die Sicherheitsliste für ein VCN gelöscht wird.

Empfehlung: Stellen Sie sicher, dass das Entfernen dieser Sicherheitsliste für dieses VCN und seine zugehörigen Ressourcen zulässig ist.

Hintergrund: Sicherheitslisten fungieren als virtuelle Firewalls für Compute-Instanzen und andere Ressourcen und bestehen aus Sets von Ingress und Egress-Regeln, die auf alle VNICs in jedem Subnetz angewendet werden, das mit dieser Sicherheitsliste verknüpft sind. Es können mehrere Sicherheitslisten für Ressourcen gelten und Zugriff auf Ports und IP-Adressen für diese Ressourcen erteilen. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Sicherheitsliste
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn die Egress-Regeln einer VCN-Sicherheitsliste geändert werden.

Empfehlung: Stellen Sie sicher, dass die Änderungen an den Egress-Regeln für diese Sicherheitsliste und ihre zugehörigen Ressourcen zulässig sind.

Hintergrund: Sicherheitslisten fungieren als virtuelle Firewalls für Compute-Instanzen und andere Ressourcen und bestehen aus Sets von Ingress und Egress-Regeln, die auf alle VNICs in jedem Subnetz angewendet werden, das mit dieser Sicherheitsliste verknüpft sind. Es können mehrere Sicherheitslisten für Ressourcen gelten und Zugriff auf Ports und IP-Adressen für diese Ressourcen erteilen. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Sicherheitsliste
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn die Ingress-Regeln einer VCN-Sicherheitsliste geändert werden.

Empfehlung: Stellen Sie sicher, dass die Änderungen an den Ingress-Regeln für diese Sicherheitsliste und ihre zugehörigen Ressourcen zulässig sind.

Hintergrund: Sicherheitslisten fungieren als virtuelle Firewalls für Compute-Instanzen und andere Ressourcen und bestehen aus Sets von Ingress und Egress-Regeln, die auf alle VNICs in jedem Subnetz angewendet werden, das mit dieser Sicherheitsliste verknüpft sind. Es können mehrere Sicherheitslisten für Ressourcen gelten und Zugriff auf Ports und IP-Adressen für diese Ressourcen erteilen. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Sicherheitsliste
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine Compute-Instanz eine öffentliche IP-Adresse hat.

Empfehlung: Überlegen Sie sorgfältig, für welche Instanzen Internetzugriff erlaubt sein soll. Beispiel: Sie dürfen nicht versehentlich Internetzugriff auf sensible Datenbankinstanzen zulassen.

Hintergrund: Damit eine Instanz öffentlich zugänglich ist, muss sie folgende Voraussetzungen erfüllen:

• Sie muss eine öffentliche IP-Adresse aufweisen.
• Sie muss in einem öffentlichen VCN-Subnetz (virtuelles Cloud-Netzwerk) vorhanden sein.
• Sie muss sich in einem VCN befinden, für das ein Internetgateway aktiviert ist, das für ausgehenden Traffic konfiguriert ist.
• Sie muss sich in einem Subnetz befinden, in dem die Sicherheitsliste für alle IP-Adressen und alle Ports konfiguriert ist (0.0.0.0/0).

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: HIGH
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Compute

• Öffentliche IP aus der Instanz löschen: Befolgen Sie die Anweisungen unter So löschen Sie eine ephemere öffentliche IP aus einer Instanz.

Beschreibung: Alert, wenn eine Compute-Instanz nicht aus einem öffentlichen Oracle-Image erstellt wird.

Empfehlung: Stellen Sie sicher, dass alle Instanzen genehmigte Images aus vertrauenswürdigen Quellen ausführen.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: Niedrig
• Labels: Compute

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine Instanz öffentlich zugänglich ist.

Empfehlung: Überlegen Sie sorgfältig, für welche Instanzen Internetzugriff erlaubt sein soll.

Hintergrund: Damit eine Instanz öffentlich zugänglich ist, muss sie folgende Voraussetzungen erfüllen:

• Sie muss eine öffentliche IP-Adresse aufweisen.
• Sie muss in einem öffentlichen VCN-Subnetz vorhanden sein.
• Sie muss sich in einem VCN befinden, für das ein Internetgateway aktiviert ist, das für ausgehenden Traffic konfiguriert ist.
• Sie muss sich in einem Subnetz befinden, in dem die Sicherheitsliste für alle IP-Adressen und alle Ports konfiguriert ist (0.0.0.0/0).

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: KRITISCH
• Labels: Compute

• Bedingungsgruppen: Filtern Sie OCIDs für jede Instanz heraus, die eine öffentliche IP-Adresse haben soll.

Beschreibung: Alert, wenn eine ausgeführte Compute-Instanz aus einem öffentlichen Oracle-Image erstellt wird.

Empfehlung: Stellen Sie sicher, dass alle Instanzen genehmigte Images aus vertrauenswürdigen Quellen ausführen.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: Niedrig
• Labels: Compute

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine Compute-Instanz ohne erforderliche konfigurierte Tags ausgeführt wird.

Empfehlung: Stellen Sie sicher, dass die Instanzen erforderliche Tags verwenden.

Hintergrund: Tags sind für Auditing- und Trackingzwecke wichtig.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Konfiguration: Fügen Sie im Abschnitt Eingabeeinstellung der Regel erforderliche Tags hinzu.

  Diese Formate sind im Feld Einstellung eingeben zulässig. Trennen Sie mehrere Einträge durch Kommas.

  • <namespace>.<definedkey>=<definedValue>
  • <namespace>.<definedKey>
  • <freeformkey>=<freeformValue>
  • <freeformkey>

  Beispiele

  • <namespace>.<definedkey>=<definedValue>
    • Operations.Environment=Production: Wenn für die Ressource ein Tag auf den Operations-Namespace mit dem definierten Schlüssel Environment und dem definierten Wert Production gesetzt ist, löst die Regel kein Problem aus.
    • Operations.*=*: Wenn für die Ressource ein Tag auf den Operations-Namespace mit einem definierten Schlüssel und einem beliebigen definierten Wert gesetzt ist, löst die Regel kein Problem aus.
  • <namespace>.<definedkey>
    • Operations.Environment: Wenn für die Ressource ein Tag auf den Operations-Namespace mit dem definierten Schlüssel Environment und einem beliebigen definierten Wert gesetzt ist, löst die Regel kein Problem aus.
  • <freeformKey>
    • Project: Wenn für die Ressource ein Tag auf den Freiformschlüssel Project gesetzt ist, löst die Regel kein Problem aus.
  • <freeformKey>=freeformValue
    • Project=APPROVED: Wenn für die Ressource ein Tag auf den Freiformschlüssel Project mit dem Wert APPROVED festgelegt ist, löst die Regel kein Problem aus.

Beschreibung: Alert, wenn eine Datenbank gefunden wird, für die Data Safe nicht aktiviert ist.

Empfehlung: Stellen Sie sicher, dass Data Safe für alle Compartments aktiviert ist, die Cloud Guard überwacht, und Datenbanken enthalten. Siehe Erste Schritte.

Hintergrund: Mit Data Safe wird sichergestellt, dass Ihre Datenbanken sicher konfiguriert sind. Aktivieren Sie diesen Service, um Risiken in Ihren Oracle Cloud-Datenbanken zu überwachen, zu sichern und zu mindern.

Regelparameter:

• Servicetyp: Data Safe
• Ressourcentyp: Mandant
• Risikostufe: HIGH
• Labels: Datenbanksicherheit

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn automatisches Backup nicht für eine Datenbank aktiviert ist.

Empfehlung: Stellen Sie sicher, dass das automatische Backup aktiviert ist.

Hintergrund: Durch Aktivierung von automatischem Backup wird sichergestellt, dass Sie bei einem katastrophalen Hardwareausfall die Datenbank mit minimalem Datenverlust wiederherstellen können.

Regelparameter:

• Servicetyp: Datenbank
• Ressourcentyp: DB-System
• Risikostufe: HIGH
• Labels: Datenbank

• Bedingungsgruppen: Filtern Sie Datenbank-OCIDs für alle Datenbank-OCIDs heraus, die nicht automatisch gesichert werden müssen, z.B. OCIDs in Entwicklertestumgebungen.

Beschreibung: Alert, wenn eine Datenbankinstanz erkannt wird, die nicht bei Data Safe registriert wurde.

Empfehlung: Registrieren Sie diese Datenbankinstanz bei Data Safe, und konfigurieren Sie Bewertungen, um die Konfiguration auszuwerten und überwachen, Benutzeraktivitäten prüfen und Risikenzu mindern. Siehe Zieldatenbankregistrierung.

Hintergrund: Mit Data Safe wird sichergestellt, dass Ihre Datenbanken sicher konfiguriert sind. Alle Cloud-Datenbanken. Aktivieren Sie diesen Service, um Risiken in Ihren Oracle Cloud-Datenbanken zu überwachen, zu sichern und zu mindern.

Regelparameter:

• Servicetyp: Data Safe
• Ressourcentyp: Mandant
• Risikostufe: MEDIUM
• Labels: Datenbanksicherheit

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein verfügbarer Datenbankpatch nicht innerhalb Ihrer angegebenen Anzahl von Tagen eingespielt wurde.

Empfehlung: Spielen Sie freigegebene Patches in der Datenbank ein, wenn sie verfügbar sind.

Hintergrund: Datenbankpatches beheben Funktionalitäts-, Sicherheits- und Performanceprobleme. Die meisten Sicherheitsverletzungen können durch das Einspielen verfügbarer Patches verhindert werden.

Regelparameter:

• Servicetyp: Datenbank
• Ressourcentyp: DB-System
• Risikostufe: MEDIUM
• Labels: Datenbank

• Konfiguration: Wählen Sie Anzahl Tage zum Einspielen von Patch im Abschnitt Eingabeeinstellung der Regel aus.
• Bedingungsgruppen: Filtern Sie Datenbank-OCIDs für alle Datenbank-OCIDs heraus, für die kein aktueller Patch eingespielt werden muss, z.B. OCIDs in Entwicklertestumgebungen.

Empfehlung: Stellen Sie sicher, dass das Datenbanksystem keine öffentliche IP-Adresse aufweist.

Hintergrund: Die Verwendung einer öffentlichen IP-Adresse für den Zugriff auf eine Datenbank erhöht das Risiko potenzieller Sicherheits- und Geschäftskontinuitätsrisiken.

Regelparameter:

• Servicetyp: Datenbank
• Ressourcentyp: DB-System
• Risikostufe: HIGH
• Labels: Datenbank

• Bedingungsgruppen: Filtern Sie OCIDs von Datenbanken heraus, die öffentlich sein sollen.

Beschreibung: Alert, wenn eine Datenbank öffentlich zugänglich ist.

Empfehlung: Überlegen Sie gründlich, ob Sie Internetzugriff auf Datenbanksysteme erlauben möchten.

Hintergrund: Damit eine Datenbank öffentlich zugänglich ist, muss sie folgende Voraussetzungen erfüllen:

• Sie muss eine öffentliche IP-Adresse aufweisen.
• Sie muss sich in einem öffentlichen VCN-Subnetz befinden.
• Sie muss sich in einem Subnetz befinden, für das ein Internetgateway aktiviert ist, das für ausgehenden Traffic konfiguriert ist.
• Sie muss vorhanden sein in:
  • einem Subnetz, in dem die Sicherheitsliste Traffic von jedem Quell-CIDR-Bereich und "Alle Protokolle" zulässt, oder
  • einer Netzwerksicherheitsgruppe, die Traffic aus jedem Quell-CIDR-Bereich und aus "Alle Protokolle" zulässt

Regelparameter:

• Servicetyp: Datenbank
• Ressourcentyp: ExadataBareMetalVM
• Risikostufe: KRITISCH
• Labels: Datenbank

• Bedingungsgruppen: Filtern Sie OCIDs von Datenbanken heraus, die öffentlich sein sollen.

Beschreibung: Alert, wenn kein verfügbarer Datenbanksystempatch eingespielt wurde.

Empfehlung: Spielen Sie freigegebene Patches im Datenbanksystem ein, wenn sie verfügbar sind.

Hintergrund: Datenbanksystempatches enthalten häufig Updates, die bekannte Sicherheitslücken beseitigen.

Regelparameter:

• Servicetyp: Datenbank
• Ressourcentyp: DB-System
• Risikostufe: MEDIUM
• Labels: Datenbank

• Konfiguration: Wählen Sie Anzahl Tage zum Einspielen von Patch im Abschnitt Eingabeeinstellung der Regel aus.
• Bedingungsgruppen: Filtern Sie Datenbanksystem-OCIDs für alle Systeme heraus, für die kein aktueller Patch eingespielt werden muss, z.B. OCIDs in Entwicklertestumgebungen.

Beschreibung: Alert, wenn ein Datenbanksystem mit einer nicht genehmigten Version ausgeführt wird.

Empfehlung: Stellen Sie sicher, dass die Version des bereitgestellten Datenbanksystems genehmigt und getestet wird.

Hintergrund: Wenn Sie ungenehmigte Versionen von Datenbanksystemen ausführen, ist das Risiko einer Sicherheitsverletzung erhöht, sodass Ihre Datenvertraulichkeit, Integrität und Verfügbarkeit gefährdet sind.

Regelparameter:

• Servicetyp: Datenbank
• Ressourcentyp: DB-System
• Risikostufe: KRITISCH
• Labels: Datenbank

• Bedingungsgruppen: Filtern Sie Datenbanksystem-OCIDs für alle Systeme heraus, für die keine genehmigte Version erforderlich ist, z.B. OCIDs in Entwicklertestumgebungen.

Beschreibung: Alert, wenn eine Datenbank mit einer nicht genehmigten Version ausgeführt wird.

Empfehlung: Stellen Sie sicher, dass die Version der bereitgestellten Datenbank genehmigt und getestet wird.

Hintergrund: Die genehmigte Version einer Datenbank weist die neuesten Sicherheitsfeatures und Sicherheitslückenpatches auf. Wenn Sie nicht genehmigte Versionen einer Datenbank ausführen, ist das Risiko einer Sicherheitsverletzung erhöht. Damit sind Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten gefährdet.

Regelparameter:

• Servicetyp: Datenbank
• Ressourcentyp: DB-System
• Risikostufe: KRITISCH
• Labels: Datenbank

• Bedingungsgruppen: Filtern Sie Datenbank-OCIDs für alle Datenbanken heraus, für die keine genehmigte Version erforderlich ist, z.B. OCIDs in Entwicklertestumgebungen.

Beschreibung: Alert, wenn ein IAM-Private/Public-Key-Paar, das einem Benutzer zugewiesen ist, zu alt sind.

Empfehlung: Rotieren Sie API-Schlüssel regelmäßig (mindestens alle 90 Tage).

Hintergrund: Das Ändern von IAM-API-Schlüsseln mindestens alle 90 Tage ist eine Best Practice zur Sicherheit. Je länger IAM-Zugangsdaten unverändert bleiben, desto größer ist das Risiko, dass sie kompromittiert werden können.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: IAMKey
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Konfiguration: (Optional) Sie können den Wert von 90 Tagen im Abschnitt Eingabeeinstellung der Regel ändern.

Beschreibung: Alert, wenn IAM-Authentifizierungstoken älter als Ihre angegebene maximale Anzahl von Tagen sind.

Empfehlung: Rotieren Sie IAM-Authentifizierungstoken regelmäßig (mindestens alle 90 Tage).

Hintergrund: Das Ändern von IAM-Authentifizierungstoken mindestens alle 90 Tage ist eine Best Practice zur Sicherheit. Je länger die IAM-Authentifizierungstoken unverändert bleiben, desto höher ist das Risiko, dass sie kompromittiert werden können.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.1_IAM, IAM

• Konfiguration: Legen Sie die maximale Anzahl von Tagen für IAM-Authentifizierungstoken (ist 90) im Abschnitt Eingabeeinstellung der Regel fest.

Beschreibung: Alert, wenn IAM-Kunden-Secret Keys älter als Die angegebene maximale Anzahl von Tagen sind.

Empfehlung: Rotieren Sie die Secret Keys für IAM-Kunden regelmäßig (mindestens alle 90 Tage).

Hintergrund: Die Änderung von IAM-Kunden-Secret-Keys mindestens alle 90 Tage ist eine Best Practice zur Sicherheit. Je länger IAM-Kunden-Secret-Keys unverändert bleiben, desto höher ist das Risiko, dass sie kompromittiert werden können.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.1_IAM, IAM

• Konfiguration: Geben Sie die maximale Anzahl von Tagen für IAM-Kunden-Secret-Schlüssel (ist 90) im Abschnitt Eingabeeinstellung der Regel an.

Beschreibung: Alert, wenn eine IAM-Gruppe weniger als der angegebenen Mindestanzahl von Mitgliedern aufweist.

Empfehlung: Erhöhen Sie die Anzahl der Gruppenmitglieder auf einen niedrigeren Wert als der angegebenen Mindestanzahl von Mitgliedern.

Hintergrund: Die IAM-Gruppenmitgliedschaft gewährt häufig Zugriff auf Ressourcen und Features. Bei Gruppen mit zu wenigen Mitgliedern können übermäßige Berechtigungen "verwaist" (für Benutzer nicht mehr verfügbar) sein.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Gruppe
• Risikostufe: Niedrig
• Labels: IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine IAM-Gruppe mehr als der angegebenen Höchstanzahl von Mitgliedern aufweist.

Empfehlung: Reduzieren Sie die Anzahl der Gruppenmitglieder auf weniger als der angegebenen Höchstanzahl von Mitgliedern.

Hintergrund: Die IAM-Gruppenmitgliedschaft gewährt häufig Zugriff auf Ressourcen und Features. Bei Gruppen mit zu vielen Mitgliedern können übermäßige Berechtigungen an zu viele Benutzer erteilt werden.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Gruppe
• Risikostufe: MEDIUM
• Labels: IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein IAM-Kennwort älter als Ihre angegebene maximale Anzahl von Tagen ist.

Empfehlung: Rotieren Sie IAM-Kennwörter regelmäßig (mindestens alle 90 Tage).

Hintergrund: Das Ändern von IAM-Kennwörtern mindestens alle 90 Tage ist eine Best Practice zur Sicherheit. Je länger IAM-Zugangsdaten unverändert bleiben, desto größer ist das Risiko, dass sie kompromittiert werden können.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Konfiguration: Geben Sie die maximale Anzahl von Tagen für Kennwörter (standardmäßig 90) im Abschnitt Eingabeeinstellung der Regel an.

Beschreibung: Die Kennwort-Policy erfüllt nicht die Komplexitätsanforderungen.

Empfehlung: Oracle empfiehlt, dass eine Kennwort-Policy mindestens einen Kleinbuchstaben vorfindet.

Hintergrund: Komplexe Kennwörter sind schwieriger zu erraten und können das Risiko von unbefugtem Zugriff oder kompromittierten Daten verringern.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Policy
• Risikostufe: Niedrig
• Labels: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine IAM-Policy einem Benutzer, der nicht Mitglied der Administratorengruppe ist, Zugriff der Administratorrolle erteilt.

Empfehlung: Stellen Sie sicher, dass die Policy nur bestimmten Benutzern Zugriff auf die Ressourcen erteilt wird, die für die Ausführung ihrer Tätigkeiten erforderlich sind.

Hintergrund: Eine Policy ist ein Dokument, das angibt, wer auf welche OCI-Ressourcen Ihres Unternehmens zugreifen kann und wie dieser Zugriff möglich ist. Eine Policy ermöglicht einer Gruppe das Arbeiten auf eine bestimmte Weise mit bestimmten Ressourcentypen in einem bestimmten Compartment.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Policy
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Konfiguration: Fügen Sie OCIDs für alle Gruppen, für die diese Berechtigungen zulässig sein sollen, im Abschnitt Eingabeeinstellung der Regel hinzu.

Beschreibung: Alert, wenn die Mandantenadministratorberechtigung einer zusätzlichen IAM-Gruppe erteilt wird.

Empfehlung: Fragen Sie den OCI-Administrator, ob diese Berechtigungserteilung genehmigt wurde undob die Mitgliedschaft in der Gruppe nach Erteilung der Administratorberechtigung gültig bleibt.

Hintergrund: Gruppenmitglieder der Standardmandantenadministratorgruppe können jede Aktion für alle Ressourcen in diesem Mandanten ausführen. Diese hoch privilegierte Berechtigung muss kontrolliert und auf die Benutzer eingeschränkt werden, die sie zur Ausführung ihrer Tätigkeitsfunktionen benötigen.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Policy
• Risikostufe: Niedrig
• Labels: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Konfiguration: Fügen Sie OCIDs von Gruppen, denen Administratorberechtigungen erteilt werden sollen, im Abschnitt Eingabeeinstellung der Regel hinzu.

Beschreibung: Alert, wenn der Multifaktor-Authentifizierung (MFA) für einen Benutzer nicht aktiviert sind.

Empfehlung: Aktivieren Sie MFA für alle Benutzer mit der Oracle Mobile Authenticator-(OMA-)Anwendung auf dem Mobilgerät jedes Benutzers und dem einmaligen Passcode (OTP), den die registrierte E-Mail-Adresse des Benutzers gesendet wird.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: KRITISCH
  Hinweis
  
  Wenn Ihre Organisation vor April 2023 mit der Verwendung von Cloud Guard begonnen hat, ist die Standardrisikostufe MEDIUM.
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn für einen Benutzer API-Schlüssel aktiviert sind.

Empfehlung: Stellen Sie sicher, dass OCI-Zugriff durch Administratoren über API-Schlüssel als Ausnahme ausgeführt wird. Legen Sie IAM-Zugangsdaten nicht hartcodiert direkt in Software oder Dokumenten für eine breite Zielgruppe fest.

Hintergrund: IAM-API-Schlüssel sind Zugangsdaten, mit denen programmgesteuerter Zugriff auf Ressourcen gewährt wird. Tatsächliche menschliche Benutzer dürfen API-Schlüssel nicht verwenden.

Regelparameter:

• Servicetyp: IAM
• Ressourcentyp: Benutzer
• Risikostufe: Niedrig
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein KMS-Schlüssel nicht innerhalb des angegebenen Zeitraums rotiert wurde.

Empfehlung: Vergewissern Sie sich, dass Sie die KMS-Schlüssel regelmäßig rotieren.

Hintergrund: Zur Informationssicherheit sollten Sie Kennwörter, Schlüssel und kryptografische Materialien regelmäßig ändern oder rotieren. Das Rotieren der Schlüssel in KMS reduziert die Auswirkungen und Wahrscheinlichkeit von kompromittierten Schlüsseln. Legen Sie den Mindestwert fest. Sie können die Standardzeit für das Rotieren von Schlüsseln ab 180 Tagen im Abschnitt Eingabeeinstellung der Regel ändern.

Regelparameter:

• Servicetyp: KMS
• Ressourcentyp: KMS-Schlüssel
• Risikostufe: KRITISCH
• Labels: CIS_OCI_V1.1_MONITORING, KMS

• Konfiguration: Legen Sie die Standardzeit für das Rotieren von Schlüsseln im Abschnitt Eingabeeinstellung der Regel fest.

Beschreibung: Alert, wenn eine Ressource nicht entsprechend den angegebenen Tagginganforderungen getaggt wurde.

Empfehlung: Prüfen Sie, ob die konfigurierten Tags für Compute-Images, Compute-Instanzen, Datenbanksysteme, VCNs, Objektspeicher und Speicherblock-Volumes verwendet werden.

Hintergrund: Prüfen Sie, ob die konfigurierten Tags für Compute-Images, Compute-Instanzen, Datenbanksysteme, VCNs, Objektspeicher und Speicherblock-Volumes verwendet werden.

Regelparameter:

• Servicetyp: Mehrere
• Ressourcentyp: Mehrere
• Risikostufe: Niedrig
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Konfiguration: Fügen Sie im Abschnitt Eingabeeinstellung der Regel entsprechende Tags hinzu.

Beschreibung: Alert, wenn für einen Load Balancer die Cipher Suite oci-wider-compatible-ssl-cipher-suite-v1 konfiguriert ist. Diese Cipher Suite enthält Algorithmen wie DES und RC4, die als schwach und anfällig für Angriffe gelten. Gilt nur für vordefinierte Cipher Suites und nicht für benutzerdefinierte Cipher-Suite-Werte.

Verwenden Sie optional Bedingungen, um zusätzliche Cipher Suites anzugeben, die gekennzeichnet werden sollen.

So verwenden Sie zusätzliche Cipher:

1. Bearbeiten Sie die Detektorregel Load Balancer lässt schwache Cipher Suites zu.
2. Geben Sie unter Eingabeeinstellung die zusätzlichen Cipher als kommagetrennte Liste in LB Weak Ciphers List ein.
   • Wenn die Eingabeeinstellung leer ist (Standard), wird die oci-wider-compatible-ssl-cipher-suite-v1 geprüft und gekennzeichnet.
   • Wenn die Eingabeeinstellung Einträge enthält, werden die zusätzlichen Cipher sowie oci-wider-compatible-ssl-cipher-suite-v1 geprüft.
   Die zusätzlichen Cipher sind:

   • oci-compatible-ssl-cipher-suite-v1
   • oci-default-ssl-cipher-suite-v1
   • oci-modern-ssl-cipher-suite-v1
   • oci-tls-11-12-13-wider-ssl-cipher-suite-v1
   • oci-tls-12-13-wider-ssl-cipher-suite-v1

Empfehlung: Verwenden Sie standardmäßige, moderne Cipher Suites, die eine stärkere Verschlüsselung unterstützen.

Hintergrund: Bestimmte Versionen von Cipher Suites mit Algorithmen wie DES werden nicht empfohlen.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Load Balancer
• Risikostufe: MEDIUM
• Labels: Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Load Balancer ein Protokoll als Teil seiner SSL-Policy konfiguriert hat, das jede Version unter Transport Layer Security (TLS) 1.2 enthält.

Empfehlung: Stellen Sie sicher, dass mindestens die SSL-Policy-Version TLS 1.2 konfiguriert wird.

Hintergrund: Ältere Versionen sind riskant und anfällig für viele Arten von Angriffen. Mehrere Standards, wie PCI-DSS und NIST, empfehlend dringend die Verwendung von TLS 1.2.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Load Balancer
• Risikostufe: HIGH
• Labels: Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn einem Load Balancer keine Backend-Sets zugeordnet sind.

Empfehlung: Stellen sie sicher, dass Sie Load Balancer mit Backend-Sets konfigurieren, um den Zustand und die Zugriffsberechtigung auf einen Load Balancer durch definierte Instanzen zu steuern.

Hintergrund: Ein Backend-Set ist eine logische Entity, die durch eine Load Balancing Policy, eine Health Check Policy und eine Liste von Backend-Servern definiert ist.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Load Balancer
• Risikostufe: KRITISCH
• Labels: Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine Sicherheitsliste eines Load Balancers Ingress-Regeln aufweist, die Traffic aus einer offenen Quelle akzeptieren (0.0.0.0/0).

Empfehlung: Stellen Sie sicher, dass Ihre OCI-Load Balancer eingehende Regeln oder Listener verwenden, um nur Zugriff von bekannten Ressourcen aus zu ermöglichen.

Hintergrund: OCI-Load Balancer ermöglichen End-to-End-TLS-Verbindungen zwischen den Anwendungen eines Clients und Ihrem VCN. Ein Listener ist eine logische Entity, die die IP-Adresse des Load Balancers auf eingehenden Traffic prüft. Um TCP-, HTTP- und HTTPS-Traffic zu verarbeiten, müssen Sie mindestens einen Listener pro Traffictyp konfigurieren.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Load Balancer
• Risikostufe: MINOR
• Labels: Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Load Balancer mit einer öffentlichen IP-Adresse ausgeführt wird.

Empfehlung: Stellen Sie sicher, dass alle Load Balancer, für die kein öffentlicher Zugriff erforderlich ist, mit privaten IP-Adressen ausgeführt werden.

Hintergrund: Eine öffentliche IP-Adresse auf einem Load Balancer, der nicht für öffentlich verfügbare Inhalte verwendet werden soll, schafft eine unnötige Sicherheitslücke.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Load Balancer
• Risikostufe: Hoch
• Labels: Netzwerk

• Bedingungsgruppen: Filtern Sie OCIDs für jeden Load Balancer heraus, der eine öffentliche IP-Adresse haben soll.

Beschreibung: Alert, wenn das SSL-Zertifikat in einem Load Balancer in dem angegebenen Zeitraum abläuft.

Empfehlung: Stellen Sie sicher, dass Zertifikate rechtzeitig rotiert werden.

Hintergrund: Um kontinuierliche Sicherheit und Benutzerfreundlichkeit sicherzustellen, müssen SSL-Zertifikate in OCI rotiert werden.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Load Balancer
• Risikostufe: KRITISCH
• Labels: Netzwerk

• Konfiguration: Wählen Sie Tage vor Ablauf (standardmäßig 48) im Abschnitt Eingabeeinstellung der Regel aus.

Beschreibung: Alert, wenn die Egress-Regel für eine Netzwerksicherheitsgruppe (NSG) eine unzulässige Ziel-IP-Adresse und Portnummer enthält.

Empfehlung: Stellen Sie sicher, dass die Egress-Regeln für die Kommunikation mit IP/Port für diese NSG zulässig sind.

Hintergrund: NSGs fungieren als virtuelle Firewall für Compute-Instanzen und andere Ressourcenarten. Die ausgehenden (Egress-)Sicherheitsregeln der NSG gelten für eine Gruppe virtueller NICs in einem VCN, um Zugriff auf bestimmte Ports und IP-Adressen zu ermöglichen.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Netzwerksicherheitsgruppe
• Risikostufe: MEDIUM
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Netzwerk

• Konfiguration: Fügen Sie im Abschnitt Eingabeeinstellung der Regel unzulässige Ports hinzu.

Beschreibung: Alert, wenn die Ingress-Regel für eine Netzwerksicherheitsgruppe eine unzulässige Ziel-IP-Adresse und Portnummer enthält.

Empfehlung: Stellen Sie sicher, dass die Ingress-Regeln für die Kommunikation mit IP/Port für diese NSG zulässig sind.

Hintergrund: NSGs fungieren als virtuelle Firewall für Compute-Instanzen und andere Ressourcenarten. Die eingehenden (Ingress-)Sicherheitsregeln einer NSG gelten für eine Gruppe virtueller NICs in einem VCN, um Zugriff auf bestimmte Ports und IP-Adressen zu ermöglichen.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: Netzwerksicherheitsgruppe
• Risikostufe: HIGH
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Netzwerk

• Konfiguration: Fügen Sie im Abschnitt Eingabeeinstellung der Regel unzulässige Ports hinzu.

Beschreibung: Alert, wenn ein VCN an ein Internetgateway angehängt ist.

Empfehlung: Stellen Sie sicher, dass Internetgateways autorisiert werden, an ein VCN angehängt zu werden, und dass dieser Anhang keine Ressourcen im Internet bereitstellt. Stellen Sie sicher, dass Sicherheitslisten mit Ingress-/eingehenden Regeln konfiguriert sind und diese Sicherheitslisten keinen Zugriff von allen IP-Adressen 0.0.0.0/0 zulassen.

Hintergrund: Gateways bieten externe Konnektivität zu Hosts in einem VCN. Dazu gehören Internetgateways (IGW) für Internetkonnektivität.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: VCN
• Risikostufe: Niedrig
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein VCN an ein lokales Peering-Gateway angehängt ist.

Empfehlung: Stellen Sie sicher, dass lokale Peering-Gateways an ein VCN angehängt werden dürfen und dass dieser Anhang keine Ressourcen im Internet bereitstellt.

Hintergrund: Gateways bieten externe Konnektivität zu Hosts in einem VCN. Dazu gehören lokale Peering-Gateways (LPG) für die Konnektivität mit einem Peering-VCN.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: VCN
• Risikostufe: Niedrig
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein VCN keine eingehende Sicherheitsliste aufweist.

Empfehlung: Stellen Sie sicher, dass die Sicherheitslisten Ihres OCI-VCN mit Ingress- oder Inbound-Regeln verwendet werden, um nur den Zugriff von bekannten Ressourcen zuzulassen.

Hintergrund: Sicherheitslisten enthalten zustandsbehaftete und zustandslose Firewallfunktionen, um den Netzwerkzugriff auf Ihre Instanzen zu kontrollieren. Eine Sicherheitsliste wird auf Subnetzebene konfiguriert und auf Instanzebene durchgesetzt. Sie können mehrere Sicherheitslisten auf ein Subnetz anwenden, wobei ein Netzwerkpaket zulässig ist, wenn es mit einer Regel in den Sicherheitslisten übereinstimmt.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: VCN
• Risikostufe: MEDIUM
• Labels: Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine VCN-Sicherheitsliste uneingeschränkten Traffic zu einem nicht öffentlichen Port aus einer offenen Quelle (0.0.0.0/0) zulässt.

Empfehlung: Verwenden Sie VCN-Sicherheitslisten, um den Netzwerkzugriff auf Instanzen in einem Subnetz einzuschränken. Um nicht autorisierten Zugriff oder Angriffe auf Compute-Instanzen zu verhindern, empfiehlt Oracle Folgendes:

• Verwenden Sie eine VCN-Sicherheitsliste, um SSH- oder RDP-Zugriff nur von autorisierten CIDR-Blöcken zu ermöglichen.
• Lassen Sie die Compute-Instanzen nicht für das Internet offen (0.0.0.0/0).

Hintergrund: Ein VCN enthält eine Sammlung von Features zum Durchsetzen der Netzwerkzugriffskontrolle und zum Sichern des VCN-Traffics. Sicherheitslisten bieten zustandsbehaftete und zustandslose Firewallfunktionen, um den Netzwerkzugriff auf Ihre Instanzen zu kontrollieren. Eine Sicherheitsliste wird auf Subnetzebene konfiguriert und auf Instanzebene durchgesetzt. Sie können mehrere Sicherheitslisten auf ein Subnetz anwenden, wobei ein Netzwerkpaket zulässig ist, wenn es mit einer Regel in den Sicherheitslisten übereinstimmt.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: VCN
• Risikostufe: KRITISCH
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine VCN-Sicherheitsliste bestimmte eingeschränkte Ports (siehe Eingabeeinstellungen, Eingeschränktes Protokoll: Portliste) in der Ingress-Regel der Sicherheitsliste zuzulassen.

Empfehlung: Stellen Sie sicher, dass Ihre OCI-VCNs Sicherheitslisten verwenden, die keinen Port enthalten, der in der Eingabeeinstellung dieser Detektorregel in der Liste "Eingeschränktes Protokoll: Portliste" mit einer Ingress- oder Inbound-Regel aufgeführt ist. Im Abschnitt "Weitere Details" eines Problems werden die spezifischen offenen eingeschränkten Ports aufgeführt, die dieses Problem ausgelöst haben.

Hintergrund: Sicherheitslisten enthalten zustandsbehaftete und zustandslose Firewallfunktionen, um den Netzwerkzugriff auf Ihre Instanzen zu kontrollieren. Eine Sicherheitsliste wird auf Subnetzebene konfiguriert und auf Instanzebene durchgesetzt. Sie können mehrere Sicherheitslisten auf ein Subnetz anwenden, wobei ein Netzwerkpaket zulässig ist, wenn es mit einer Regel in den Sicherheitslisten übereinstimmt.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: VCN
• Risikostufe: MINOR
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Netzwerk

• Konfiguration:
  • Ändern Sie gegebenenfalls Beschränktes Protokoll:Portliste im Abschnitt Eingabeeinstellung der Regel.

  Sie können Portlisten manuell eingeben oder Namen von einer oder mehreren Sicherheitslisten, die Sie definiert haben, eingeben. Informationen finden Sie unter Sicherheitslisten.

Beschreibung: Alert, wenn eine virtuelle Netzwerkschnittstellenkarte (VNIC) keine zugehörige (NSG) hat.

Empfehlung: Stellen Sie sicher, dass alle VNICs über eine zugehörige NSG verfügen.

Hintergrund: Eine VNIC ist eine Netzwerkkomponente, mit welcher eine Ressource wie eine Compute-Instanz eine Verbindung zu einem VCN herstellen kann. Die VNIC bestimmt, wie sich die Instanz mit Endpunkten innerhalb und außerhalb des VCN verbindet. Jede VNIC befindet sich in einem Subnetz in einem VCN. Eine VNIC ohne NSG kann ein Konnektivitätsproblem auslösen.

Regelparameter:

• Servicetyp: Networking
• Ressourcentyp: VCN
• Risikostufe: MINOR
• Labels: Netzwerk

• Konfiguration: Ändern Sie gegebenenfalls "Eingeschränktes Protokoll: Portliste" im Abschnitt Eingabeeinstellung der Regel.

Beschreibung: Alert, wenn Oracle Vulnerability Scanning Service (VSS) Container scannt und bekannte Cybersicherheitslücken identifiziert. Um diese Regel zu verwenden, müssen Sie ein Hostscanrezept und ein Hostscanziel im Scanning-Service erstellen. Siehe Scanning: Erste Schritte in der Dokumentation zum Scannen.

Empfehlung: Führen Sie die empfohlenen Maßnahmen aus, die für jede Sicherheitslücke dokumentiert sind, wie zum Beispiel das Einspielen eines BS-Patches.

Hintergrund: Der Scanning-Service identifiziert Sicherheitslücken bei Anwendungen, Librarys, Betriebssystemen und Services. Jede Sicherheitslücke in der Datenbank hat eine eindeutige ID oder CVE.

Regelparameter:

• Servicetyp: Scanning, Compute
• Ressourcentyp: Container
• Risikostufe: KRITISCH
• Etiketten: VSS

• Standardeinstellungen beibehalten (alle CVEs werden erkannt).

Beschreibung: Alert, wenn Oracle Vulnerability Scanning Service (VSS) Compute-Instanzen (Hosts) scannt und offene Ports identifiziert. Um diese Regel zu verwenden, müssen Sie ein Hostscanrezept und ein Hostscanziel im Scanning-Service erstellen. Siehe Scanning: Erste Schritte in der Dokumentation zum Scannen.

Empfehlung: Prüfen Sie, ob die identifizierten Ports auf diesem Host geöffnet sein sollen, und schließen Sie sie, wenn sie nicht geöffnet sein müssen. Wenn alle offenen Ports korrekt sind, stellen Sie sicher, dass die Liste der zulässigen Ports alle offenen Portnummern enthält. Stellen Sie außerdem sicher, dass die Liste der unzulässigen Ports keine der offenen Portnummern enthält.

Hintergrund: Bestimmte Ports sind für den Betrieb und für die Bereitstellung von Services erforderlich. Offene Ports außer der vorgesehenen Liste können aber potenziell zu Service-Exploits genutzt werden.

Regelparameter:

• Servicetyp: Scanning, Compute
• Ressourcentyp: Compute
• Risikostufe: KRITISCH
• Etiketten: VSS

• Konfiguration: Fügen Sie alle Ports hinzu, die ignoriert werden sollen, in die Liste Zulässige Ports im Abschnitt Eingabeeinstellung der Regel.
  Hinweis
  
  

  Wenn Sie sowohl in der Liste Zulässige Ports als auch in der Liste Nicht zulässige Ports im Abschnitt Eingabeeinstellung der Regel dieselbe Portnummer hinzufügen, hat die Liste Nicht zulässige Ports Vorrang. Ein Problem wird weiterhin ausgelöst, wenn Cloud Guard den Port offen findet.

Beschreibung: Alert, wenn Oracle Vulnerability Scanning Service (VSS) Compute-Instanzen (Hosts) scannt und bekannte Cybersicherheitslücken identifiziert. Um diese Regel zu verwenden, müssen Sie ein Hostscanrezept und ein Hostscanziel im Scanning-Service erstellen. Siehe Scanning: Erste Schritte in der Dokumentation zum Scannen.

Empfehlung: Führen Sie die empfohlenen Maßnahmen aus, die für jede Sicherheitslücke dokumentiert sind, wie zum Beispiel das Einspielen eines BS-Patches.

Hintergrund: Der Scanning-Service identifiziert Sicherheitslücken bei Anwendungen, Librarys, Betriebssystemen und Services. Jede Sicherheitslücke in der Datenbank hat eine eindeutige ID oder CVE.

Regelparameter:

• Servicetyp: Scanning, Compute
• Ressourcentyp: Compute
• Risikostufe: KRITISCH
• Etiketten: VSS

• Standardeinstellungen beibehalten (alle CVEs werden erkannt).

Beschreibung: Alert, wenn ein Block-Volume mit von Oracle verwalteten Schlüsseln verschlüsselt ist.

Empfehlung: Weisen Sie diesem Volume einen KMS-Schlüssel zu.

Hintergrund: Die Verschlüsselung von Volumes bietet zusätzliche Sicherheit für Ihre Daten. Die Verwaltung von Verschlüsselungsschlüsseln ist entscheidend für den Schutz von Daten und den Zugriff auf geschützte Daten. Einige Kunden möchten Block-Volumes, die mit von Oracle verwalteten Schlüsseln verschlüsselt wurden, von denen abgrenzen, die mit vom Benutzer verwalteten Schlüsseln verschlüsselt wurden.

Regelparameter:

• Servicetyp: Storage
• Ressourcentyp: Block-Volume
• Risikostufe: MINOR
• Labels: KMS

• Von Oracle verwaltete Schlüssel: Zur Sicherung von Block-Volumes empfohlen.
• Benutzerdefinierte Schlüssel:
  • Verwenden Sie nach Möglichkeit KMS.
  • Implementieren Sie Oracle-Sicherheitszonen in Compartments, um sicherzustellen, dass diese Vorgabe eingehalten wird.
• Bedingungsgruppen: Verwenden Sie wegen der großen Anzahl an Volumes keine Verwendung.

Beschreibung: Alert, wenn ein Block-Volume nicht an die zugehörige Instanz angehängt ist.

Empfehlung: Stellen Sie sicher, dass das Volume angehängt ist.

Regelparameter:

• Servicetyp: Storage
• Ressourcentyp: Block-Volume
• Risikostufe: MEDIUM
• Labels: Speicher

• Bedingungsgruppen: Verwenden Sie wegen der großen Anzahl an Volumes keine Bedingungsgruppen.

Beschreibung: Alert, wenn ein Bucket öffentlich ist.

Empfehlung: Stellen Sie sicher, dass der öffentliche Zugriff auf den Bucket genehmigt ist. Bitten Sie andernorts den OCI-Administrator, die Bucket Policy so zu beschreiben, dass nur bestimmte Benutzer Zugriff auf die Ressourcen erteilt werden, die zur Ausführung ihrer Funktionen erforderlich sind.

Hintergrund: Object Storage unterstützt anonymen, nicht authentifizierten Zugriff auf einen Bucket. Ein öffentlicher Bucket mit aktiviertem Lesezugriff für anonyme Benutzer ermöglicht es jedem Benutzer, Objektmetadaten abzurufen, Bucket-Objekte herunterzuladen und optional Bucket-Inhalte aufzulisten.

Regelparameter:

• Servicetyp: Storage
• Ressourcentyp: Bucket
• Risikostufe: KRITISCH
• Labels: CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Bedingungsgruppen: Filtern Sie Bucket-Namen (<Namespace>/<Name>) heraus, die öffentlich sein sollen.

Beschreibung: Alert, wenn ein Objektspeicher-Bucket mit einem von Oracle verwalteten Schlüssel verschlüsselt ist.

Empfehlung: Weisen Sie diesem Bucket ein Vault-Schlüssel zu.

Hintergrund: Die Verschlüsselung von Speicher-Buckets bietet zusätzliche Sicherheit für Ihre Daten. Die Verwaltung von Verschlüsselungsschlüsseln ist entscheidend für den Schutz von Daten und den Zugriff auf geschützte Daten. Einige Kunden möchten Speicher-Buckets identifizieren, die mit von Oracle verwalteten Schlüsseln verschlüsselt wurden.

Regelparameter:

• Servicetyp: Storage
• Ressourcentyp: Bucket
• Risikostufe: MINOR
• Labels: CIS_OCI_V1.1_ObjectStorage, ObjectStorage, KMS

• Konfiguration: Diese Regel ist im OCI-Konfigurationsdetektor standardmäßig deaktiviert, da sie Probleme generieren kann, die für viele Cloud Guard-Operatoren möglicherweise nicht kritisch sind. Wenn Sie diese Regel aktivieren, stellen Sie sicher, dass Sie Bedingungsgruppen sorgfältig so festlegen, dass sie nur auf bestimmte Buckets ausgerichtet sind, die NICHT mit einem von Oracle verwalteten Schlüssel verschlüsselt werden sollen. Wenn Sie eine strenge Schlüsselkontrolle mit vom Benutzer verwalteten Schlüsseln über Vault benötigen, erstellen Sie ein Oracle-Sicherheitszonen-Compartment, und erstellen Sie dann Ressourcen in diesem Compartment.

Beschreibung: Alert, wenn die Lesezugriffslogs für einen Objektspeicher-Bucket nicht aktiviert sind.

Empfehlung: Stellen Sie sicher, dass Leselogs für den Bucket aktiviert sind und dass die Logs kontinuierlich von den Sicherheitstools überwacht werden.

Hintergrund: Mit Zugriffslogs können Sie Ihre sensiblen Objekte sichern, indem Sie Einblick in die Aktivitäten rund um Lese- und Schreibvorgänge für die Objekte im Objektspeicher-Bucket erhalten.

Regelparameter:

• Servicetyp: Storage
• Ressourcentyp: Bucket
• Risikostufe: Niedrig
• Labels: CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Konfiguration: Diese Regel ist im OCI-Konfigurationsdetektor standardmäßig deaktiviert und kann dort nicht aktiviert werden. Diese Regel aktivieren:
  1. OCI-Konfigurationsdetektor klonen Siehe OCI-Detektorrezept klonen.
  2. Aktivieren Sie die Regel in der vom Benutzer verwalteten (geklonten) Kopie des OCI-Konfigurationsdetektors. Siehe Regeleinstellungen in einem OCI-Detektorrezept bearbeiten.
  3. Hängen Sie die vom Benutzer verwaltete (geklonte) Kopie des OCI-Konfigurationsdetektors an alle Ziele an, auf denen die Regel aktiviert werden soll. Siehe OCI-Ziel und angehängte Rezepte bearbeiten.

Beschreibung: Alert, wenn die Schreibzugriffslogs für einen Objektspeicher-Bucket nicht aktiviert sind.

Empfehlung: Stellen Sie sicher, dass Schreiblogs für den Bucket aktiviert sind und dass die Logs kontinuierlich von den Sicherheitstools überwacht werden.

Hintergrund: Mit Zugriffslogs können Sie Ihre sensiblen Objekte sichern, indem Sie Einblick in die Aktivitäten rund um Lese- und Schreibvorgänge für die Objekte im Objektspeicher-Bucket erhalten.

Regelparameter:

• Servicetyp: Storage
• Ressourcentyp: Bucket
• Risikostufe: Niedrig
• Labels: CIS_OCI_V1.1_MONITORING, CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Konfiguration: Diese Regel ist im OCI-Konfigurationsdetektor standardmäßig deaktiviert und kann dort nicht aktiviert werden. Diese Regel aktivieren:
  1. OCI-Konfigurationsdetektor klonen Siehe OCI-Detektorrezept klonen.
  2. Aktivieren Sie die Regel in der vom Benutzer verwalteten (geklonten) Kopie des OCI-Konfigurationsdetektors. Siehe Regeleinstellungen in einem OCI-Detektorrezept bearbeiten.
  3. Hängen Sie die vom Benutzer verwaltete (geklonte) Kopie des OCI-Konfigurationsdetektors an alle Ziele an, auf denen die Regel aktiviert werden soll. Siehe s.

Beschreibung: Alert, wenn für einen Container keine Bereitschaftsprüfung durchgeführt wird.

Empfehlung: Stellen Sie sicher, dass für alle Container eine Bereitschaftsprüfung durchgeführt wird.

Regelparameter:

• Konfigurationen festlegen:
  • userRangeMin (int): Die untere Grenze (enthalten) des erforderlichen UNIX-Benutzer-ID-Bereichs. Entspricht den Abschnitten .spec.securityContext.runAsUser und .spec.containers[].securityContext.runAsUser einer Podspezifikation.
  • userRangeMax (int): Die obere Begrenzung (enthalten) des erforderlichen UNIX-Benutzer-ID-Bereichs. Entspricht den Abschnitten .spec.securityContext.runAsUser und .spec.containers[].securityContext.runAsUser einer Podspezifikation.
• Risikostufe: MEDIUM
• Labels: Containerverfügbarkeit

Beschreibung: Alert, wenn ein Container keinen Lebenszyklus-Hook nach dem Start verwendet.

Empfehlung: Stellen Sie sicher, dass alle Container einen Lebenszyklus-Hook nach dem Start verwenden.

Regelparameter:

• Konfigurationen festlegen:
  • hookActions (Liste): Liste der zulässigen Hook-Aktionen. Wenn die Aktion "Nicht zulässig" verwendet wird, verletzt ein fehlender oder leerer Hook die Regel. Verwenden Sie "any", um unabhängig von der Aktion auf Existenz zu prüfen. Entspricht dem Abschnitt spec.containers[].lifecycle.postStart einer Podspezifikation.
• Risikostufe: Niedrig
• Labels: Containerverfügbarkeit

Beschreibung: Alert, wenn ein Container keinen Pre-Stop-Lebenszyklus-Hook verwendet.

Empfehlung: Stellen Sie sicher, dass alle Container einen Pre-Stop-Lebenszyklus-Hook verwenden.

Regelparameter:

• Konfigurationen festlegen:
  • hookActions (Liste): Liste der zulässigen Hook-Aktionen. Wenn die Aktion "Nicht zulässig" verwendet wird, verletzt ein fehlender oder leerer Hook die Regel. Verwenden Sie "any", um unabhängig von der Aktion auf Existenz zu prüfen. Entspricht dem Abschnitt spec.containers[].lifecycle.preStop einer Podspezifikation.
• Risikostufe: Niedrig
• Labels: Containerverfügbarkeit

Beschreibung: Alert, wenn ein Container einen privilegierten Port (1-1024) verwendet.

Empfehlung: Überlegen Sie sorgfältig, welche Container-Workloads die Verwendung privilegierter Ports erfordern, um ihren Zweck zu erfüllen.

Regelparameter:

• Risikostufe: HIGH
• Labels: Containernetzwerk

Beschreibung: Alert, wenn nur ein Replikat für ein Kubernetes-Deployment vorhanden ist.

Empfehlung: Stellen Sie sicher, dass alle Kubernetes-Deployments mehrere Replikate aufweisen.

Regelparameter:

• Risikostufe: Niedrig
• Labels: Containerverfügbarkeit

Beschreibung: Alert, wenn ein Pod gefunden wird, der eine lange Kulanzfrist für den Podabschluss verwendet.

Empfehlung: Vermeiden Sie übermäßig lange Verlängerungsfristen bei Beendigung, die Deployments und Recovery-Zeiten verlangsamen können.

Regelparameter:

• Konfigurationen festlegen:
  • maximum (int) 60: Schwellenwert für die Podaufschubfrist in Sekunden. Pods ohne definierte Kulanzfrist gelten als der Standardzeitraum von 30 Sekunden. Entspricht dem Abschnitt spec.terminationGracePeriodSeconds einer Podspezifikation.
• Risikostufe: Niedrig
• Labels: Containerverfügbarkeit

Beschreibung: Alert, wenn ein Hostport verwendet wird.

Empfehlung: Überlegen Sie sorgfältig, welche Services über einen Hostport bereitgestellt werden müssen, um ihren Zweck zu erfüllen.

Regelparameter:

• Risikostufe: HIGH
• Labels: Containernetzwerk

Beschreibung: Alert, wenn ein Knotenport verwendet wird.

Empfehlung: Überlegen Sie sorgfältig, welche Services über einen Knotenport bereitgestellt werden müssen, um ihren Zweck zu erfüllen.

Regelparameter:

• Risikostufe: MEDIUM
• Labels: Containernetzwerk

Beschreibung: Alert, wenn eine Image Pull Policy nicht auf always gesetzt ist.

Empfehlung: Stellen Sie sicher, dass Containerimages bei jedem Start des Pods aus der Registry abgerufen werden.

Regelparameter:

• Konfigurationen festlegen:
  • imagePullPolicy (Zeichenfolge): Durch Komma getrennte Liste der zulässigen Image-Pull-Policys, von denen eine explizit von der Containerspezifikation festgelegt werden muss. Entspricht dem Abschnitt spec.containers[].imagePullPolicy einer Podspezifikation.
• Risikostufe: Niedrig
• Labels: Image Assurance

Beschreibung: Alert, wenn ein Image nicht von einer der konfigurierten vertrauenswürdigen Registrys referenziert wird.

Empfehlung: Berücksichtigen Sie sorgfältig den Ursprung von Containerimages, und stellen Sie sicher, dass diese nur von genehmigten Registrys stammen.

Regelparameter:

• Konfigurationen festlegen:
  • allowedRegistriesRegex (Zeichenfolge): Ein regulärer Ausdruck, der zulässige Image-Registrys beschreibt. Detaillierte Syntax. Entspricht dem Abschnitt spec.containers[].image einer Podspezifikation.
• Risikostufe: HIGH
• Labels: Image Assurance

Beschreibung: Alert, wenn ein Bild nicht von einem SHA-Hash referenziert wird.

Empfehlung: Referenzieren Sie Containerimages mit SHA-Digests, um sicherzustellen, dass Deployments immer das beabsichtigte, unveränderte Image verwenden und unbeabsichtigte Aktualisierungen aufgrund von Tagänderungen verhindern.

Regelparameter :

• Risikostufe: Niedrig
• Labels: Image Assurance

Beschreibung: Alert, wenn ein Pod unter dem Standardserviceaccount ausgeführt wird.

Empfehlung: Stellen Sie sicher, dass Container nicht den Standardserviceaccount in einem Namespace verwenden.

Regelparameter:

• Risikostufe: MEDIUM
• Labels: Kubernetes RBAC

Beschreibung: Alert, wenn Platzhalterzeichen mit ClusterRoles oder Rollen verwendet werden.

Empfehlung: Verwenden Sie keine Platzhalter in Kubernetes-RBAC-Rollen, um sicherzustellen, dass Benutzer und Services nur die spezifischen Berechtigungen erhalten, die sie benötigen.

Regelparameter:

• Risikostufe: MEDIUM
• Labels: Kubernetes RBAC

Beschreibung: Alert, wenn über eine Umgebungsvariable statt über ein Volume auf ein Secret zugegriffen wird.

Empfehlung: Stellen Sie sicher, dass über ein gemountetes Volume und nicht über Umgebungsvariablen auf Kubernetes-Secrets zugegriffen wird.

Regelparameter:

• Risikostufe: MEDIUM
• Labels: Kubernetes-Secrets

Beschreibung: Alert, wenn für einen Container kein CPU-Limit festgelegt ist.

Empfehlung: Stellen Sie sicher, dass für Container immer ein CPU-Limit festgelegt ist.

Regelparameter:

• Konfigurationen festlegen:
  • maximum (Zeichenfolge): Werte, die höher als das Maximum sind, werden als Regelverletzung betrachtet. Kubernetes-Qualifikationsmerkmale werden unterstützt. Verwenden Sie "any", um das Vorhandensein ohne Schwellenwert zu prüfen. Entspricht dem Abschnitt spec.containers[].resources.limits.cpu einer Podspezifikation.
• Risikostufe: MEDIUM
• Labels: Ressourcenverbrauch

Beschreibung: Alert, wenn für einen Container kein CPU-Anforderungsset festgelegt ist.

Empfehlung: Stellen Sie sicher, dass für Container immer ein CPU-Anforderungsset festgelegt ist.

Regelparameter:

• Konfigurationen festlegen:
  • maximum (Zeichenfolge): Werte, die höher als das Maximum sind, werden als Regelverletzung betrachtet. Kubernetes-Qualifikationsmerkmale werden unterstützt. Verwenden Sie "any", um das Vorhandensein ohne Schwellenwert zu prüfen. Entspricht dem Abschnitt spec.containers[].resources.requests.cpu einer Podspezifikation.
• Risikostufe: MEDIUM
• Labels: Ressourcenverbrauch

Beschreibung: Alert, wenn für einen Container kein Speichergrenzwert festgelegt ist.

Empfehlung: Stellen Sie sicher, dass für Container immer ein Speichergrenzwert festgelegt ist.

Regelparameter:

• Konfigurationen festlegen:
  • maximum (Zeichenfolge): Werte, die höher als das Maximum sind, werden als Regelverletzung betrachtet. Kubernetes-Qualifikationsmerkmale werden unterstützt. Verwenden Sie "any", um das Vorhandensein ohne Schwellenwert zu prüfen. Entspricht dem Abschnitt spec.containers[].resources.limits.memory einer Podspezifikation.
• Risikostufe: MEDIUM
• Labels: Ressourcenverbrauch

Beschreibung: Alert, wenn für einen Container keine Speicheranforderungen festgelegt sind.

Empfehlung: Stellen Sie sicher, dass für Container immer Speicheranforderungen festgelegt sind.

Regelparameter:

• Konfigurationen festlegen:
  • maximum (Zeichenfolge): Werte, die höher als das Maximum sind, werden als Regelverletzung betrachtet. Kubernetes-Qualifikationsmerkmale werden unterstützt. Verwenden Sie "any", um das Vorhandensein ohne Schwellenwert zu prüfen. Entspricht dem Abschnitt spec.containers[].resources.limits.memory einer Podspezifikation.
• Risikostufe: MEDIUM
• Labels: Ressourcenverbrauch

Beschreibung: Alert, wenn für einen Container kein Speicherlimit festgelegt ist.

Empfehlung: Stellen Sie sicher, dass für alle Container ephemere Speicheranforderungen festgelegt sind.

Regelparameter:

• Konfigurationen festlegen:
  • maximum (Zeichenfolge): Werte, die höher als das Maximum sind, werden als Regelverletzung betrachtet. Kubernetes-Qualifikationsmerkmale werden unterstützt. Verwenden Sie "any", um das Vorhandensein ohne Schwellenwert zu prüfen. Entspricht dem Abschnitt spec.containers[].resources.limits.memory einer Podspezifikation.
• Risikostufe: Niedrig
• Labels: Ressourcenverbrauch

Beschreibung: Alert, wenn ein Container im IPC-Namespace des Hosts ausgeführt werden darf.

Empfehlung: Überlegen Sie sorgfältig, welche Container-Workloads im IPC-Namespace des Hosts ausgeführt werden müssen, um ihren Zweck zu erfüllen.

Regelparameter:

• Risikostufe: HIGH
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container im Netzwerk-Linux-Namespace des Hosts ausgeführt werden darf.

Empfehlung: Überlegen Sie sorgfältig, welche Container-Workloads im Netzwerk-Namespace des Hosts ausgeführt werden müssen, um ihren Zweck zu erfüllen.

Regelparameter:

• Risikostufe: HIGH
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container im PID-Namespace des Hosts ausgeführt werden darf.

Empfehlung: Überlegen Sie sorgfältig, welche Container-Workloads im PID-Namespace des Hosts ausgeführt werden müssen, um ihren Zweck zu erfüllen.

Regelparameter:

• Risikostufe: HIGH
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container das Hostdateisystem mounten darf.

Empfehlung: Berücksichtigen Sie sorgfältig, welche Mount Path-Container-Workloads ihren Zweck erfüllen müssen.

Regelparameter:

• Konfigurationen festlegen:
  • allowedHostPaths (Liste): Liste der zulässigen Hostpfadpräfixe. Im Mount ist die schreibgeschützte Option nicht angegeben. Entspricht dem Abschnitt .spec.volumes.hostPath.path einer Podspezifikation.
  • allowedReadOnlyHostPaths (Liste): Liste der zulässigen Hostpfadpräfixe. Der Mount hat die schreibgeschützte Option angegeben. Entspricht den Abschnitten .spec.volumes.hostPath.path und .spec.containers[].volumeMounts[].readOnly einer Podspezifikation.
• Risikostufe: HIGH
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container seine Berechtigungen eskalieren darf.

Empfehlung: Überlegen Sie sorgfältig, welche Container-Workloads die Möglichkeit erfordern, ihre Berechtigungen zu eskalieren, um ihren Zweck zu erfüllen.

Regelparameter:

• Risikostufe: HIGH
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn bestimmte Container-Workloads mit einer nicht erwarteten GID ausgeführt werden.

Empfehlung: Stellen Sie sicher, dass Container-Workloads von einer genehmigten Gruppe ausgeführt werden.

Regelparameter:

• Konfigurationen festlegen:
  • runAsGroupRangeMin (int): Die untere Grenze (enthalten) des erforderlichen UNIX-Benutzergruppen-ID-Bereichs. Entspricht den Abschnitten .spec.securityContext.runAsGroup und .spec.containers[].securityContext.runAsGroup einer Podspezifikation.
  • runAsGroupRangeMax (int): Die obere Begrenzung (enthalten) des erforderlichen UNIX-Benutzergruppen-ID-Bereichs. Entspricht den Abschnitten .spec.securityContext.runAsGroup und .spec.containers[].securityContext.runAsGroup einer Podspezifikation.
  • supplementalGroupsRangeMin (int): Die untere Grenze (enthalten) des erforderlichen zusätzlichen UNIX-Benutzergruppenbereichs. Jede GID in der Liste der zusätzlichen Gruppen muss zum angegebenen Bereich gehören. Entspricht den Abschnitten .spec.securityContext.supplementalGroups und .spec.containers[].securityContext.supplementalGroups einer Podspezifikation.
  • supplementalGroupsRangeMax (int): Die obere Grenze (enthalten) des erforderlichen zusätzlichen UNIX-Benutzergruppenbereichs. Jede GID in der Liste der zusätzlichen Gruppen muss zum angegebenen Bereich gehören. Entspricht den Abschnitten .spec.securityContext.supplementalGroups und .spec.containers[].securityContext.supplementalGroups einer Podspezifikation.
  • fsGroupRangeMin (int): Die untere Grenze (enthalten) des erforderlichen UNIX-Benutzergruppen-ID-Bereichs, der für Kubernetes-Volume-Gruppeninhalte verwendet wird. Entspricht den Abschnitten .spec.securityContext.fsGroup und .spec.containers[].securityContext.fsGroup einer Podspezifikation. Beachten Sie jedoch, dass die Einstellungen auf Containerebene in Kubernetes für dieses Feld nicht berücksichtigt werden.
  • fsGroupRangeMax (int): Die obere Begrenzung (enthalten) des erforderlichen UNIX-Benutzergruppen-ID-Bereichs, der für Kubernetes-Volume-Gruppeninhalte verwendet wird. Entspricht den Abschnitten .spec.securityContext.fsGroup und .spec.containers[].securityContext.fsGroup einer Podspezifikation. Beachten Sie jedoch, dass die Einstellungen auf Containerebene in Kubernetes für dieses Feld nicht berücksichtigt werden.
• Risikostufe: MEDIUM
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn bestimmte Container-Workloads mit einer nicht erwarteten UID ausgeführt werden.

Empfehlung: Stellen Sie sicher, dass Container-Workloads von einem genehmigten Benutzer ausgeführt werden.

Regelparameter:

• Konfigurationen festlegen:
  • userRangeMin (int): Die untere Grenze (enthalten) des erforderlichen UNIX-Benutzer-ID-Bereichs. Entspricht den Abschnitten .spec.securityContext.runAsUser und .spec.containers[].securityContext.runAsUser einer Podspezifikation.
  • userRangeMax (int): Die obere Begrenzung (enthalten) des erforderlichen UNIX-Benutzer-ID-Bereichs. Entspricht den Abschnitten .spec.securityContext.runAsUser und .spec.containers[].securityContext.runAsUser einer Podspezifikation.
• Risikostufe: MEDIUM
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn bestimmte Container-Workloads als Root ausgeführt werden.

Empfehlung: Überlegen Sie sorgfältig, welche Container-Workloads Root-Berechtigungen benötigen, um ihren Zweck zu erfüllen, und stellen Sie sicher, dass nur Pods, die mit diesen Images verknüpft sind, als Root ausgeführt werden dürfen.

Regelparameter:

• Risikostufe: HIGH
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container im privilegierten Modus ausgeführt wird.

Empfehlung: Überlegen Sie sorgfältig, welche Container-Workloads im privilegierten Modus ausgeführt werden müssen, um ihren Zweck zu erfüllen.

Regelparameter:

• Risikostufe: HIGH
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container mit einem nicht schreibgeschützten Dateisystem ausgeführt wird.

Empfehlung: Überlegen Sie sorgfältig, welche Container-Workloads ein schreibbares Dateisystem erfordern, um ihren Zweck zu erfüllen.

Regelparameter:

• Risikostufe: HIGH
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container mit Funktionen ausgeführt wird, die nicht in der zulässigen Liste enthalten sind.

Empfehlung: Überlegen Sie sorgfältig, welche Container-Workloads besondere administrative Funktionen benötigen, um ihren Zweck zu erfüllen.

Regelparameter:

• Konfigurationen festlegen:
  • allowedCapabilities (Liste): Die Liste der UNIX-Funktionen, die der Container hinzufügen darf. Verwenden Sie "ALL", um das Hinzufügen beliebiger Funktionen zu ermöglichen. Entspricht dem Abschnitt .spec.containers[].securityContext.capabiliteis.add einer Podspezifikation. Eine vollständige Liste der Funktionen finden Sie auf der linux-Manpage.
  • requiredDropFunktionen (Liste): Die Liste der UNIX-Funktionen, die der Container löschen muss. Verwenden Sie "ALL", damit alle Funktionen explizit gelöscht werden müssen. Entspricht dem Abschnitt .spec.containers[].securityContext.capabiliteis.drop einer Podspezifikation. Eine vollständige Liste der Funktionen finden Sie auf der linux-Manpage.
• Risikostufe: MEDIUM
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container keinen Health Check aufweist.

Empfehlung: Stellen Sie sicher, dass für alle Container eine Liveness-Prüfung durchgeführt wird.

Regelparameter:

• Konfigurationen festlegen:
  • probeTypes (Liste): Liste der zulässigen Probe-Aktionen. Wenn die Aktion "Nicht zulässig" verwendet wird, verletzt fehlende oder leere Probe die Regel. Verwenden Sie "any", um unabhängig von der Aktion auf Existenz zu prüfen. Entspricht dem Abschnitt spec.containers[].livenessProbe einer Podspezifikation.
• Risikostufe: MEDIUM
• Labels: Workload-Verfügbarkeit

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Linux/Windows

Beschreibung: Ermittelt, ob die Instanzsicherheit nicht installiert ist oder nicht wie erwartet ausgeführt wird. Beispiel:

InstanceOCID: <redacted>, currently in active state. The agent was last detected on 2024-03-19 21:11:27.41, more than 24 hours ago

Empfehlung: Es gibt einige Gründe, warum Sie diesen Alert erhalten könnten:

• Wenn der Compute-Host heruntergefahren ist und der Instanzsicherheits-Agent den Host nicht mehr als 24 Stunden erreichen kann. Untersuchen Sie Ihren Compute-Host, um festzustellen, ob dies der Fall ist.
• Wenn die Sicherheits-Policys der Instanz nicht korrekt sind. Stellen Sie sicher, dass alle diesen Policys hinzugefügt wurden.
• Wenn die neueste Version der Instanzsicherheit nicht vorhanden ist. Oracle Cloud Agent (OCA) aktualisiert den Instanzsicherheits-Agent auf einem Host automatisch. Wenn dies nicht geschehen ist, prüfen Sie Folgendes:

  Unter Linux:

  1. Ist Oracle Cloud Agent (OCA) aktiviert und wird in Ihrer Instanz ausgeführt.

     sudo systemctl status oracle-cloud-agent.service

  2. Prüfen Sie, ob das Instanzsicherheits-Plug-in ausgeführt wird. Er ist für die Verwaltung des Lebenszyklus des Instanzsicherheits-Agent verantwortlich. Wenn das Instanzsicherheits-Plug-in ausgeführt wird, aber Sie dieses Problem haben, bedeutet dies, dass mit dem Instanzsicherheits-Agent möglicherweise etwas falsch ist oder dass das Plug-in einen 4xx-Fehler erhält und der Agent nicht installiert ist oder nicht ausgeführt wird.

     pgrep oci-wlp

  3. Prüfen Sie, ob das Instanzsicherheits-Plug-in einen 404-Fehler im Log erhält.

     sudo vim /var/log/oracle-cloud-agent/plugins/oci-wlp/oci-wlp.log

  4. Vergewissern Sie sich, dass der Instanzsicherheits-Agent auf Ihrer Instanz ausgeführt wird.

     sudo systemctl status wlp-agent-osqueryd.service

     Wenn die Befehlsausgabe Fehler enthält, versuchen Sie, den Service neu zu starten.

     sudo systemctl restart wlp-agent-osqueryd.service

  Unter Windows:

  1. Prüfen Sie, ob das Instanzsicherheits-Plug-in in Oracle Cloud Agent (OCA) für Ihre Instanz aktiviert ist.
     1. Gehen Sie zu Startmenü > Windows-Verwaltungstools > Services.
     2. Prüfen Sie den Status des Oracle Cloud Agent Cloud Guard-Workload-Schutzes. Es sollte zeigen, dass es läuft.
     3. Wenn er gestoppt ist, wählen Sie mit der rechten Maustaste Starten aus.
  2. Prüfen Sie, ob der Instanzsicherheits-Agent auf Ihrer Instanz ausgeführt wird.
     1. Gehen Sie zu Startmenü > Windows-Verwaltungstools > Services.
     2. Prüfen Sie den Status des wlp-agent-Service. Es sollte zeigen, dass es läuft.
     3. Wenn er gestoppt ist, wählen Sie mit der rechten Maustaste Starten aus.

Sobald Sie das Problem gefunden und behoben haben, lassen Sie 24 Stunden für dieses Problem verschwinden. Wenn es nach 24 Stunden immer noch angezeigt wird und Sie die oben genannten Schritte erneut geprüft haben, wenden Sie sich an den Oracle Support.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: HIGH
• Labels: Instanzsicherheit

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: WMI ist die Infrastruktur für Verwaltungsdaten und -vorgänge auf Windows-basierten Betriebssystemen. Es handelt sich um einen Service-Level-Prozess zum Ausführen von Skripten und kann zum Starten von Skripteterminals oder zum Versuch, eine Payload herunterzuladen, verwendet werden.

Empfehlung: Überwachen Sie neu erstellte WMI-Objekte, die Persistenz herstellen und/oder Berechtigungen mithilfe von Systemmechanismen erhöhen können.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1546

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Ermittelt potenzielle Deaktivierungen von Windows-Sicherheitsfunktionen. Alerts, wenn die Dienste Windows Defender (windefend), Windows Firewall) mpssvc und Windows Security Service (wscvcs) nicht ausgeführt werden. Beispiel:

Windows security service in stopped state: windefend

Empfehlung: Wenn Sie die Windows-Sicherheitsregel deaktivieren, sind Ressourcen möglicherweise gefährdet. Wiegen Sie die Risiken und reaktivieren Sie die geltenden Regeln.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1562.001

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Dies kann auf das Versprühen von Kennwörtern für Windows-Konten hinweisen, d.h. die wiederholte Verwendung desselben Kennworts für mehrere Konten.

Empfehlung: Bestimmen Sie, ob der betreffende Benutzeraccount der tatsächliche Benutzer ist, der versucht, sich anzumelden.

Multifaktor-Authentifizierung verwenden Aktivieren Sie nach Möglichkeit die Multifaktor-Authentifizierung für extern zugewiesene Services. Legen Sie Richtlinien fest, um Konten nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche zu sperren, um zu verhindern, dass Passwörter erraten werden.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1110

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Linux

Beschreibung: Bedrohungsakteure können in der Regel eine Web-Shell in HTTP-Services hochladen. Dadurch werden offene Sockets in gängigen HTTP-Services wie Apache gesucht.

Empfehlung: Bestätigen Sie mit dem Systemeigentümer, ob der Webserverpfad eine Datei mit einem Serverport aufweisen soll, der horcht.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: MEDIUM
• Labels: MITRE_T1505.003

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Linux

Beschreibung: Gibt mögliche Reverse Shells in Systemprozessen zurück. Beispiel:

Possible reverse shell on system process (pid | path | remote_address | remote_port): 10129 | /usr/bin/bash | | 0, 10164 | /usr/bin/bash | | 0]

Empfehlung: Erfassen Sie die Liste der IPs, die eine Verbindung zur Reverse Shell herstellen, und bestimmen Sie, ob sich die IP in einer schlechten Reputationsliste befindet. Prüfen Sie, ob andere Prozesse mit der Reverse Shell-PID verknüpft sind.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1505.003

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Malware versucht, aus dem Bereich mit Benutzerberechtigungen auszuführen. In dieser Abfrage beschränken wir ihn auf den temporären Raum und betrachten die Befehlszeile für gemeinsame Werkzeuge, die zur lateralen/reconnaissance der Umgebung verwendet werden.

Empfehlung: Untersuchen Sie die Binärdatei, um zu ermitteln, ob es sich um eine legitime Ausführung handelt. Isolieren Sie die Instanz für weitere Untersuchungen.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1059

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Erkennt Prozesse, die versuchen, sich als legitime Windows-Prozesse zu maskieren, über falsche Pfade. Beispiel:

Process masquerading as legitimate windows process explorer.exe at path(s): c:\users\opc\downloads\new folder\explorer\bin\debug\explorer.exe

Empfehlung: Sammeln Sie den Hash der Datei, und ermitteln Sie, ob es sich um eine bekannte fehlerhafte Binärdatei handelt. Ermitteln Sie, ob die Maskerade-Binärdatei versucht, andere Dateien auf dem System aufzurufen oder auszuführen.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1574.009

Diese Regel ist in den folgenden Rezepten vorhanden:

BS: Linux/Windows

• OCI Instance Security Detector-Rezept – Enterprise (von Oracle verwaltet)
• OCI-Instanzsicherheitsdetektorrezept (von Oracle verwaltet)

Beschreibung: Ermittelt Prozesse, die auf Netzwerkverbindungen horchen. Beispiel:

Disallowed open ports: {"scannedIps":[{"hostIp":"127.0.0.53","ports":[{"port":"53","type":null,"process":"systemd-resolve : /lib/systemd/systemd-resolved","family":"ipv4","protocol":"tcp"}

Empfehlung: Prüfen Sie, ob diese Ports auf diesem Host geöffnet sein sollen, und schließen Sie sie, wenn sie nicht geöffnet sein müssen.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: KRITISCH
• Labels: MITRE_T1505.003

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Es wird nach Putty im Listening-Modus gesucht, um einen SSH-Tunnel zu erstellen.

Empfehlung: Erfassen Sie die Liste der IP-Adressen, die eine Verbindung zum Putty-Prozess herstellen, und untersuchen Sie alle, die verdächtig aussehen.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1572

Diese Regel ist in den folgenden Rezepten vorhanden:

BS: Linux

• OCI Instance Security Detector-Rezept – Enterprise (von Oracle verwaltet)
• OCI-Instanzsicherheitsdetektorrezept (von Oracle verwaltet)

Beschreibung: Scannt Compute-Instanzen, um bekannte Cybersicherheitslücken im Zusammenhang mit Anwendungen, Bibliotheken, Betriebssystemen und Services zu identifizieren. Dieser Detektor meldet Probleme, wenn der Service feststellt, dass eine Instanz mindestens eine Sicherheitslücke auf dem konfigurierten CVE-Schweregrad aufweist. Bei Sicherheitslücken mit CVE-Schweregrad unter der ausgewählten Ebene wird kein Cloud Guard-Problem erstellt, sondern als Teil der aggregierten Probleme auf der Seite "Cloud Guard-Ressourcen" angezeigt.

Empfehlung: Prüfen Sie die gefundenen Sicherheitslücken, und priorisieren Sie sie. Ergreifen Sie Korrektur- oder Minderungsmaßnahmen, die für die Sicherheitslücke geeignet sind.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: KRITISCH
• Labels: Instanzsicherheit

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Linux

Beschreibung: Sie suchen nach Putty im Listening-Modus, um einen SSH-Tunnel für einen integrierten Linux-Terminalbefehl zu erstellen.

Empfehlung: Erfassen Sie die Liste der IP-Adressen, die eine Verbindung zum Putty-Prozess herstellen, und untersuchen Sie alle, die verdächtig aussehen.

Wenn möglich, dürfen nur signierte Skripte ausgeführt werden. Verwenden Sie gegebenenfalls die Anwendungssteuerung.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1572

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Linux

Beschreibung: Malware kann Cron-Jobs verwenden, die in regelmäßigen Abständen ausgeführt werden, um nach Backdoors zu suchen.

Empfehlung: Untersuchen Sie die Binärdatei, um zu ermitteln, ob es sich um eine legitime Ausführung handelt. Isolieren Sie die Instanz für weitere Untersuchungen.

Wenn möglich, dürfen nur signierte Skripte ausgeführt werden. Verwenden Sie gegebenenfalls die Anwendungssteuerung.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: MEDIUM
• Labels: MITRE_T1547

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Malware kann eine geplante Aufgabe verwenden, die aus dem temporären Ordner ausgeführt wird, um beim Neustart eine Backdoor erneut auszuführen.

Empfehlung: Untersuchen Sie die Binärdatei, um zu ermitteln, ob es sich um eine legitime Ausführung handelt. Isolieren Sie die Instanz für weitere Untersuchungen.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1053

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Diese Erkennung sucht nach verdächtigen Windows-Diensten, die aus dem temporären Ordner ausgeführt werden. Dies kann ein gängiger Mechanismus sein, der von Malware verwendet wird, um sicherzustellen, dass die Hintertür in regelmäßigen Abständen ausgeführt wird.

Empfehlung: Untersuchen Sie die Binärdatei, um zu ermitteln, ob es sich um eine legitime Ausführung handelt. Isolieren Sie die Instanz für weitere Untersuchungen.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1547

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Malware kann beim Neustart eine Backdoor erneut ausführen.

Empfehlung: Untersuchen Sie die Binärdatei, um zu ermitteln, ob es sich um eine legitime Ausführung handelt. Isolieren Sie die Instanz für weitere Untersuchungen.

Regelparameter:

• Servicetyp: Compute
• Ressourcentyp: Instanz
• Risikostufe: MEDIUM
• Labels: MITRE_T1547

Beschreibung: Alert, wenn ein Benutzer Aktivitäten ausgeführt hat, die einen Risikoscore über dem Problemschwellenwert generieren, der darauf hinweisen könnte, dass ein gefährdeter Account oder eine Insiderbedrohung besteht. Angreifer können Brute-Force-Techniken verwenden, um Zugriff auf Accounts zu erhalten, wenn Kennwörter unbekannt sind. Benutzer können die ihnen zugewiesenen Berechtigungen missbrauchen und Aufgaben ausführen, die weit über die Geschäftsanforderungen hinausgehen, was sich negativ auf die Organisation auswirken kann.

Empfehlung: Sie sollten den Account vorübergehend deaktivieren, während Sie die Aktivität untersuchen. Setzen Sie das Kennwort zurück, wenn der Benutzer die Aktivität nicht erkennt.

Hintergrund: Ein Benutzerrisikoscore, der den Problemschwellenwert überschreitet, kann einen kompromittierten Account oder einen unzufriedenen Mitarbeiter anweisen.

Regelparameter: Diese Regel enthält keine Parameter, die Sie ändern können.

• Behalten Sie die Standardeinstellungen bei.