Detektorrezeptreferenz

Beschreibung: Alert, wenn eine neue Bastioninstanz erstellt wird.

Hinweis: Stellen Sie sicher, dass nur autorisierte Benutzer Bastioninstanzen erstellen.

Hintergrund: Bastionen ermöglichen Benutzern sicheren und nahtlosen SSH-Zugriff auf Zielhosts in privaten Subnetzen, während gleichzeitig der direkte öffentliche Zugriff eingeschränkt wird.

Regelparameter:

• Typ: Bastion
• Ressourcenart: Instanz
• Gefahrenebene: Niedrig
• Labels: Bastion

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine neue Bastionsession erstellt wird.

Hinweis: Stellen Sie sicher, dass nur autorisierte Benutzer Bastionsessions erstellen.

Hintergrund: Eine Bastionsession bietet einen zeitgebundenen, sicheren und nahtlosen SSH-Zugriff auf einen Zielhost in privaten Subnetzen, während gleichzeitig der direkte öffentliche Zugriff eingeschränkt wird.

Regelparameter:

• Typ: Bastion
• Ressourcenart: Instanz
• Gefahrenebene: Niedrig
• Labels: Bastion

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein CA-Paket aktualisiert wird.

Hinweis: Stellen Sie sicher, dass nur autorisierte Benutzer CA-Bundles aktualisieren. Wenn der Benutzer nicht autorisiert ist, machen Sie die Aktualisierung rückgängig.

Hintergrund: Ein CA-Bundle ist eine Datei, die Root- und Zwischenzertifikate enthält. Die CA im Bundle bürgt für die Zwischenzertifikate der Benutzer. Wenn ein CA-Bundle aktualisiert wird, kann ein Benutzer, der einem gelöschten Zwischenzertifikat zugeordnet ist, nicht mehr auf von der CA verbürgte Ressourcen zugreifen. Ebenso können Benutzer, die einem hinzugefügten Zwischenzertifikat zugeordnet sind, jetzt auf diese Ressourcen zugreifen.

Regelparameter:

• Typ der Dienstleistung: Zertifikate
• Ressourcentyp: Benutzer
• Gefahrenebene: Mittel
• Labels: Zertifikate

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Certificate Authority (CA) Bundle gelöscht wird.

Empfehlung: Stellen Sie sicher, dass nur autorisierte Benutzer CA-Bundles löschen. Wenn der Benutzer nicht autorisiert ist, brechen Sie den Löschvorgang ab.

Hintergrund: Ein CA-Bundle ist eine Datei, die Root- und Zwischenzertifikate enthält. Die CA im Bundle bürgt für das Zwischenzertifikat des Benutzers. Wenn ein CA-Bundle gelöscht wird, können die den Zwischenzertifikaten zugeordneten Benutzer nicht mehr auf Ressourcen zugreifen, für die die CA bürgen muss.

Regelparameter:

• Typ der Dienstleistung: Zertifikate
• Ressourcentyp: Benutzer
• Gefahrenebene: Mittel
• Labels: Zertifikate

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Zwischenzertifikat in einem Certificate Authority (CA)-Bundle widerrufen wird.

Hinweis: Stellen Sie sicher, dass nur autorisierte Benutzer Zwischenzertifikate in CA-Bundles widerrufen. Wenn der Benutzer nicht autorisiert ist, brechen Sie den Widerruf ab.

Hintergrund: Wenn ein Zwischenzertifikat in einem CA-Bundle widerrufen wird, können zugeordnete Benutzer nicht mehr auf Ressourcen zugreifen, für die das Zwischenzertifikat des Benutzers von einer genehmigten CA verbürgt werden muss.

Regelparameter:

• Typ der Dienstleistung: Zertifikate
• Ressourcentyp: Benutzer
• Gefahrenebene: Mittel
• Labels: Zertifikate

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert beim Exportieren eines Compute-Images.

Empfehlung: Images, die proprietäre Elemente enthalten, sollten entsprechend gekennzeichnet werden, und Exportberechtigungen sollten nur an geeignete OCI-Administratoren erteilt werden.

Hintergrund: Compute-Images können "Datenlaufwerken" entsprechen und sensible Informationen enthalten. Images, die unter Umständen proprietäre Elemente enthalten, sollten entsprechend getaggt werden, und Exportberechtigungen sollten nur an geeignete OCI-Administratoren erteilt werden.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Gefahrenebene: Minderwertig
• Labels: Compute

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert beim Importieren eines Compute-Images.

Empfehlung: Stellen Sie sicher, dass eine Person, von der erwartet wird, dass sie neue Images in Ihre Umgebung importiert, das Compute-Image aus vertrauenswürdigen Quellen importiert, wie Oracle oder ein vertrauenswürdiger Compute-Administrator.

Hintergrund: Compute-Images sind die Grundlagen für Compute-Instanzen. Ein neues Image wirkt sich auf jede zukünftige Compute-Instanz aus, die aus diesem Image gestartet wird, und importierte Images dürfen nur aus bekannten und vertrauenswürdigen Quellen stammen.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Gefahrenebene: Minderwertig
• Labels: Compute

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine Compute-Instanz beendet wird.

Hinweis: Verwenden Sie IAM-Policys, um Vorgänge zur Instanzbeendigung einzuschränken.

Hintergrund: Compute-Instanzen können kritische Funktionen bereitstellen.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Gefahrenebene: Hoch
• Labels: Compute

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Compute-Image aktualisiert wird.

Empfehlung:

Stellen Sie Folgendes sicher:

• Das Image wird von einer Person importiert, von der erwartet wird, dass sie neue Images in Ihre Umgebung importiert.
• Das Image wird aus vertrauenswürdigen Quellen, wie Oracle oder einem vertrauenswürdigen Compute-Administrator, importiert.

Hintergrund: Compute-Images sind die Grundlagen für Compute-Instanzen. Eine Änderung an Images wirkt sich auf jede zukünftige Compute-Instanz aus, die aus diesem Image gestartet wird. Images und alle damit verbundenen Änderungen müssen aus bekannten und vertrauenswürdigen Quellen stammen.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Gefahrenebene: Niedrig
• Labels: Compute

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert beim Schließen eines Datenbanksystems.

Empfehlung: Stellen Sie sicher, dass ein zulässiger Administrator die Beendigung des Datenbanksystems und der zugehörigen Datenbanken genehmigt und ausführt.

Hintergrund: Datenbanksysteme können sensible Daten enthalten und kritische Funktionen bereitstellen. Durch Beenden eines Datenbanksystems werden das System, alle darauf ausgeführten Datenbanken und alle daran angehängten Speicher-Volumes endgültig gelöscht.

Regelparameter:

• Typ: DB-System
• Ressourcentyp: System
• Gefahrenebene: Hoch
• Labels: Datenbank

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn IAM-API-Schlüssel für einen Benutzer erstellt werden.

Empfehlung: Stellen Sie sicher, dass API-Schlüssel nur von Benutzern erstellt werden, die zum Erstellen von API-Schlüsseln für sich selbst oder andere Benutzer autorisiert sind.

Hintergrund: API-Schlüssel sind erforderlich, um eines der Oracle SDKs oder andere Entwicklertools zu verwenden. Die Verwendung dieser Entwicklertools durch Personen, deren Tätigkeitsfunktion das nicht erfordert, ist eine Sicherheitslücke.

Regelparameter:

• (Status: Deaktiviert)
• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Erstellen von API-Schlüsseln für Benutzer gehört.

Beschreibung: Alert, wenn der IAM-API-Schlüssel eines Benutzers gelöscht wird.

Empfehlung: Stellen Sie sicher, dass API-Schlüssel nur von Benutzern gelöscht werden, die zum Erstellen und Löschen von API-Schlüsseln autorisiert sind.

Hintergrund: API-Schlüssel sind erforderlich, um eines der Oracle SDKs oder andere Entwicklertools zu verwenden. Das Löschen von API-Schlüsseln für einen Benutzer, der mit Oracle-Entwicklertools arbeitet, kann die Produktivität erheblich beeinträchtigen.

Regelparameter:

• (Status: Deaktiviert)
• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Löschen von API-Schlüsseln von Benutzern gehört.

Beschreibung: Alert, wenn ein IAM-Token für einen Benutzer erstellt wird.

Hinweis: Stellen Sie sicher, dass IAM-Authentifizierungstoken von autorisierten Benutzern und für autorisierte Benutzer erstellt werden.

Hintergrund: Authentifizierungstoken können zur Authentifizierung mit Drittanbieter-APIs verwendet werden. Die Verfügbarkeit von Authentifizierungstoken für Personen, deren Tätigkeitsfunktion diese nicht erfordert, schafft eine Sicherheitslücke. Siehe Benutzerzugangsdaten.

Regelparameter:

• (Status: Deaktiviert)
• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Erstellen von IAM-Authentifizierungstoken gehört.

Beschreibung: Alert, wenn ein IAM-Token für einen Benutzer gelöscht wird.

Hinweis: Stellen Sie sicher, dass IAM-Authentifizierungstoken von autorisierten Benutzern gelöscht werden.

Hintergrund: Authentifizierungstoken können zur Authentifizierung mit Drittanbieter-APIs verwendet werden. Die Verfügbarkeit von Authentifizierungstoken für Personen, deren Tätigkeitsfunktion diese nicht erfordert, schafft eine Sicherheitslücke. Siehe Benutzerzugangsdaten.

Regelparameter:

• (Status: Deaktiviert)
• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Löschen von IAM-Authentifizierungstoken gehört.

Beschreibung: Alert beim Erstellen von IAM-Kundenschlüsseln.

Empfehlung: Stellen Sie sicher, dass diese Schlüssel nur für autorisierte Benutzer erstellt werden.

Hintergrund: Customer Secret Keys werden für die Verwendung der Amazon S3-Kompatibilitäts-API mit Object Storage erstellt.

Regelparameter:

• (Status: Deaktiviert)
• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Administratorgruppe mit Berechtigungen zum Erstellen von IAM-Kundenschlüsseln gehört.

Beschreibung: Alert, wenn IAM-Kundenschlüssel gelöscht werden.

Empfehlung: Stellen Sie sicher, dass das Löschen dieser Schlüssel erwartet wird.

Hintergrund: Customer Secret Keys werden für die Verwendung der Amazon S3-Kompatibilitäts-API mit Object Storage erstellt.

Regelparameter:

• (Status: Deaktiviert)
• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admingruppe mit Berechtigungen zum Löschen von IAM-Kundenschlüsseln gehört.

Beschreibung: Alert, wenn eine IAM-Gruppe erstellt wird.

Hinweis: Stellen Sie sicher, dass nur autorisierte Benutzer IAM-Gruppen erstellen.

Hintergrund: Gruppen kontrollieren den Zugriff auf Ressourcen und Berechtigungen.

Regelparameter:

• Typ: IAM
• Ressourcenart: Gruppe
• Gefahrenebene: Minderwertig
• Labels: IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine IAM-Gruppe gelöscht wird.

Empfehlung: Stellen Sie sicher, dass nur autorisierte Benutzer IAM-Gruppen löschen.

Hintergrund: Gruppen kontrollieren den Zugriff auf Ressourcen und Berechtigungen.

Regelparameter:

• Typ: IAM
• Ressourcenart: GROUP
• Gefahrenebene: Minderwertig
• Labels: IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn IAM-OAuth 2.0-Zugangsdaten erstellt werden.

Empfehlung: Stellen Sie sicher, dass diese Zugangsdaten nur für autorisierte Benutzer erstellt werden.

Hintergrund: IAM-OAuth 2.0-Zugangsdaten dienen zur Interaktion mit den APIs der Services, die OAuth 2.0-Autorisierung verwenden. Siehe Benutzerzugangsdaten.

Regelparameter:

• (Status: Deaktiviert)
• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Erstellen von IAM-OAuth 2.0-Zugangsdaten gehört.

Beschreibung: Alert, wenn IAM-OAuth 2.0-Zugangsdaten gelöscht werden.

Empfehlung: Stellen Sie sicher, dass das Löschen dieser Zugangsdaten erwartet wird.

Hintergrund: IAM-OAuth 2.0-Zugangsdaten dienen zur Interaktion mit den APIs der Services, die OAuth 2.0-Autorisierung verwenden. Siehe Benutzerzugangsdaten.

Regelparameter:

• (Status: Deaktiviert)
• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe gehört, die zum Löschen von IAM-OAuth 2.0-Zugangsdaten berechtigt ist.

Beschreibung: Alert, wenn die Fähigkeiten eines IAM-Benutzers bearbeitet werden.

Empfehlung: Stellen Sie sicher, dass nur autorisierte Benutzer die Fähigkeiten eines IAM-Benutzers ändern.

Hintergrund: Um auf Oracle Cloud Infrastructure zuzugreifen, muss ein Benutzer über die erforderlichen Zugangsdaten wie API-Schlüssel, Auth-Token und andere Zugangsdaten verfügen.

Regelparameter:

• (Status: Deaktiviert)
• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein lokaler oder föderierter Benutzer in OCI IAM erstellt wird.

Empfehlung: Stellen Sie sicher, dass nur autorisierte Benutzer IAM-Benutzer erstellt werden.

Hintergrund: IAM-Benutzer können einzelne Mitarbeiter oder Systeme sein, die Oracle Cloud Infrastructure-Ressourcen ihres Unternehmens verwalten oder verwenden müssen.

Regelparameter:

• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Minderwertig
• Labels: IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn das Benutzerkonsole-Kennwort erstellt oder zurückgesetzt wird.

Empfehlung: Stellen Sie sicher, dass das Kennwort eines Benutzers vom Benutzer oder von einem Admin-Benutzer zurückgesetzt wird, der berechtigt ist, Kennwörter zurückzusetzen.

Hintergrund: Wenn Sie das Kennwort eines Benutzers mehrmals oder von einem Benutzer zurücksetzen, der nicht zum Zurücksetzen von Benutzerpasswörtern autorisiert ist, kann ein Sicherheitsrisiko auftreten.

Regelparameter:

• (Status: Deaktiviert)
• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Niedrig
• Labels: IAM

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Zurücksetzen von Benutzerpasswörtern gehört.

Beschreibung: Alert, wenn eine Sicherheits-Policy geändert wird.

Empfehlung:

Hintergrund: Das Ändern von Policys wirkt sich auf alle Benutzer in der Gruppe und möglicherweise auf Benutzer aus, die diese nicht benötigen.

Regelparameter:

• Typ: IAM
• Ressourcenart: Policy
• Gefahrenebene: Niedrig
• Labels: CIS_OCI_V1.1_MONITORING, IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein lokaler Benutzer authentifiziert wird, für den keine Multifaktor-Authentifizierung (MFA) aktiviert ist.

Empfehlung: Stellen Sie sicher, dass für alle Benutzer MFA aktiviert ist.

Hintergrund: Die Multifaktor-Authentifizierung (MFA) erhöht die Sicherheit, indem mehrere Zugangsdaten kompromittiert werden müssen, um sich als Benutzer auszugeben. Nicht autorisierte Benutzer können die zweite Authentifizierungsanforderung nicht erfüllen und können nicht auf die Umgebung zugreifen.

Regelparameter:

• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Hoch
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Benutzer zu einer Gruppe hinzugefügt wird.

Empfehlung: Stellen Sie sicher, dass der Benutzer zur Mitgliedschaft in der Gruppe berechtigt ist.

Hintergrund: Gruppen kontrollieren den Zugriff auf Ressourcen und Berechtigungen. Sensible müssen genau auf Änderungen der Mitgliedschaft überwacht werden.

Regelparameter:

• Typ: IAM
• Ressourcenart: Gruppe
• Gefahrenebene: Minderwertig
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Benutzer aus einer Gruppe entfernt wird.

Empfehlung: Stellen Sie sicher, dass der Benutzer zur Mitgliedschaft in der Gruppe berechtigt ist.

Hintergrund: Gruppen kontrollieren den Zugriff auf Ressourcen und Berechtigungen. Sensible müssen genau auf Änderungen der Mitgliedschaft überwacht werden.

Regelparameter:

• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Minderwertig
• Labels: IAM

• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Administratorgruppe mit Berechtigungen zum Entfernen von Benutzern aus dieser Gruppe gehört.

Beschreibung: Alert, wenn ein dynamisches Routinggateway (DRG) an ein VCN angehängt ist.

Empfehlung: Stellen Sie sicher, dass das Anhängen dieses DRG an das VCN in diesem Compartment von der Ressource (Benutzer) zulässig ist und erwartet wird.

Hintergrund: DRGs werden verwendet, um vorhandene On-Premise-Netzwerke über IPSec-VPN oder FastConnect eine Verbindung zu einem virtuellen Cloud-Netzwerk (VCN) herzustellen.

Regelparameter:

• (Status: Deaktiviert)
• Typ: Networking
• Ressourcenart: DRG
• Gefahrenebene: Minderwertig
• Labels: Netzwerk

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Administratorgruppe mit Berechtigungen zum Anhängen von DRGs an VCNs gehört.

Beschreibung: Alert, wenn ein dynamisches Routinggateway (DRG) erstellt wird.

Empfehlung: Stellen Sie sicher, dass die Erstellung dieses DRG in diesem Compartment von der Ressource (Benutzer) zulässig ist und erwartet wird.

Hintergrund: DRGs werden verwendet, um vorhandene On-Premise-Netzwerke über IPSEC-VPN oder FastConnect eine Verbindung zu einem virtuellen Cloud-Netzwerk (VCN) herzustellen.

Regelparameter:

• (Status: Deaktiviert)
• Typ: Networking
• Ressourcenart: DRG
• Gefahrenebene: Minderwertig
• Labels: Netzwerk

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• bedingte Gruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Erstellen von DRGs gehört.

Beschreibung: Alert, wenn ein dynamisches Routing-Gateway (DRG) gelöscht wird.

Empfehlung: Stellen Sie sicher, dass das Löschen dieses DRG von der Ressource (Benutzer) zulässig ist und erwartet wird.

Hintergrund: DRGs werden verwendet, um vorhandene On-Premise-Netzwerke über IPSec-VPN oder FastConnect eine Verbindung zu einem virtuellen Cloud-Netzwerk (VCN) herzustellen.

Regelparameter:

• (Status: Deaktiviert)
• Typ: Networking
• Ressourcenart: DRG
• Gefahrenebene: Minderwertig
• Labels: Netzwerk

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Admin-Gruppe mit Berechtigungen zum Löschen von DRGs gehört.

Beschreibung: Alert, wenn ein dynamisches Routinggateway (DRG) von einem VCN getrennt wird.

Empfehlung: Stellen Sie sicher, dass das Entfernen dieses DRG vom VCN in diesem Compartment von der Ressource (Benutzer) zulässig ist und erwartet wird.

Hintergrund: DRGs werden verwendet, um vorhandene On-Premise-Netzwerke über IPSec-VPN oder FastConnect eine Verbindung zu einem virtuellen Cloud-Netzwerk (VCN) herzustellen.

Regelparameter:

• (Status: Deaktiviert)
• Typ: Networking
• Ressourcenart: DRG
• Gefahrenebene: Minderwertig
• Labels: Netzwerk

• Aktivieren Sie die Regel, wenn Sie prüfen möchten, welche Benutzer gruppenbezogene Vorgänge ausführen.
• Bedingungsgruppen: Lösen Sie nur dann ein Problem aus, wenn der Benutzer nicht zu einer Administratorgruppe mit Berechtigungen zum Entfernen von DRGs von VCNs gehört.

Beschreibung: Alert, wenn ein Subnetz geändert wird.

Empfehlung: Stellen Sie sicher, dass die Änderung am VCN in diesem Compartment zulässig ist und erwartet wird.

Hintergrund: Subnetze sind Unterbereiche eines VCN. Compute-Instanzen, die in demselben Subnetz verbunden sind, verwenden dieselben Routentabellen, Sicherheitslisten und DHCP-Optionen.

Regelparameter:

• Typ: Networking
• Ressourcenart: Subnetz
• Gefahrenebene: Niedrig
• Labels: Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Subnetz gelöscht wird.

Empfehlung: Aktivieren Sie die Multifaktor-Authentifizierung (MFA), um sicherzustellen, dass der Benutzer ein wirklich angemeldeter Benutzer ist und die Zugangsdaten nicht kompromittiert sind.

Hintergrund: Subnetze sind Unterbereiche eines VCN. Compute-Instanzen, die in demselben Subnetz verbunden sind, verwenden dieselben Routentabellen, Sicherheitslisten und DHCP-Optionen.

Regelparameter:

• Typ: Networking
• Ressourcenart: Subnetz
• Gefahrenebene: Niedrig
• Labels: Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine Benutzeranmeldung oder ein API-Aufruf von einer verdächtigen IP-Adresse erfolgt. Wenn die richtige Policy vorhanden ist, geben Sie einen Link zum Cloud Guard-Problem mit detaillierten Informationen zur verdächtigen IP-Adresse im Threat Intelligence Service an. Details zur erforderlichen Policy finden Sie unter IAM-Policys für Threat Intelligence.

Empfehlung: Aktivieren Sie die Multifaktor-Authentifizierung (MFA), um sicherzustellen, dass der Benutzer ein wirklich angemeldeter Benutzer ist und die Zugangsdaten nicht kompromittiert sind.

Hintergrund: Ein Benutzer, der sich von einer verdächtigen IP-Adresse anmeldet, ist eine potenzielle Bedrohung.

Regelparameter:

• Service-Typ
• Ressourcentyp: Sicherheit
• Gefahrenebene: Kritisch
• Labels: Netzwerk

• Konfiguration: CIDR-Blöcke oder bestimmte IP-Adressen im Abschnitt Eingabeeinstellung der Regel sperren oder auflisten.

Beschreibung: Alert, wenn ein VCN erstellt wird.

Empfehlung: Stellen Sie sicher, dass die Erstellung eines neuen VCN in diesem Compartment zulässig ist und erwartet wird.

Hintergrund: Ein VCN ist ein virtuelles, privates Netzwerk, das Sie in Oracle-Data Centern einrichten. Dieses kann wie ein traditionelles Netzwerk Firewallregeln und bestimmte Typen von Kommunikationsgateways enthalten.

Regelparameter:

• Typ: Networking
• Ressourcenart: VCN
• Gefahrenebene: Niedrig
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein VCN erstellt wird.

Empfehlung: Stellen Sie sicher, dass das Löschen eines VCN in diesem Compartment zulässig ist und erwartet wird.

Hintergrund: Ein VCN ist ein virtuelles, privates Netzwerk, das Sie in Oracle-Data Centern einrichten. Dieses kann wie ein traditionelles Netzwerk Firewallregeln und bestimmte Typen von Kommunikationsgateways enthalten. Das Löschen eines VCN kann Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Typ: Networking
• Ressourcenart: VCN
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine VCN- DHCP-Option geändert wird.

Empfehlungen: Stellen Sie sicher, dass die Änderung an DHCP- und DNS-Informationen für dieses VCN und zugehörige Ressourcen zulässig ist.

Hintergrund: DHCP-Optionen steuern bestimmte Konfigurationstypen auf den Instanzen in einem VCN, einschließlich der Spezifikation von Suchdomains und DNS-Resolvern, die die die Kommunikation innerhalb von VCNs zu Internetressourcen leiten können. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Typ: Networking
• Ressourcenart: DHCP
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein VCN-Internetgateway erstellt wird.

Empfehlung: Stellen Sie sicher, dass die Erstellung eines Internetgateways für dieses VCN und die zugehörigen Ressourcen zulässig ist.

Hintergrund: Internetgateways sind virtuelle Router, die Sie einem VCN hinzufügen können, um die direkte Konnektivität (eingehend oder ausgehend) zum Internet zu aktivieren. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Typ: Networking
• Ressource: Internetgateway
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein VCN-Internetgateway beendet wird.

Empfehlung: Stellen Sie sicher, dass das Löschen eines Internetgateways für dieses VCN und die zugehörigen Ressourcen zulässig ist.

Hintergrund: Internetgateways sind virtuelle Router, die Sie einem VCN hinzufügen können, um die direkte Konnektivität (eingehend oder ausgehend) zum Internet zu aktivieren. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Typ: Networking
• Ressource: Internetgateway
• Gefahrenebene: Niedrig
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein lokales Peering-Gateway eines VCN geändert wird.

empfohlen: Stellen Sie sicher, dass die Änderungen am LPG für dieses VCN und die zugehörigen Ressourcen zulässig sind.

Hintergrund: Lokale VCN-Peering-Gateways (LPG) verbinden zwei VCNs in derselben Region, ohne Traffic über das Internet weiterzuleiten. LPG-Ressourcen in den VCNs kommunizieren direkt mit privaten IP-Adressen. Änderungen an LPGs können sich auf Ressourcenzugriff und VCN-übergreifende Kommunikation auswirken. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Typ: Networking
• Ressourcenart: Lokales Peering-Gateway
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn die NSG eines VCN gelöscht wird.

empfohlen: Stellen Sie sicher, dass das Entfernen der NSG für dieses VCN und die zugehörigen Ressourcen zulässig ist.

Hintergrund: Netzwerksicherheitsgruppen (NSGs) fungieren als virtuelle Firewall für Compute-Instanzen und andere Arten von Ressourcen. NSGs verfügen über ein Set eingehender (Ingress-) und ausgehender (Egress-)Sicherheitsregeln, die auf ein Set virtueller NICs in einem VCN angewendet werden. Wenn Sie NSGs löschen, kann der Schutz zwischen Ressourcen im VCN entfernt und der Zugriff auf Ressourcen verweigert werden oder Datenverlust auftreten.

Regelparameter:

• Typ: Networking
• Ressourcenart: Netzwerksicherheitsgruppe
• Gefahrenebene: Hoch
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn die NSG-Egress-Regel eines VCN geändert wird.

Empfehlung: Stellen Sie sicher, dass die neuen Egress-Regeln für diese NSG und die zugehörigen Ressourcen zulässig sind.

Hintergrund: Netzwerksicherheitsgruppen (NSGs) fungieren als virtuelle Firewall für Compute-Instanzen und andere Arten von Ressourcen. NSGs verfügen über ein Set eingehender (Ingress-) und ausgehender (Egress-)Sicherheitsregeln, die auf ein Set virtueller NICs in einem VCN angewendet werden. Egress-Regeländerungen können dazu führen, dass der Zugriff auf Ressourcen verweigert wird.

Regelparameter:

• Typ: Networking
• Ressourcenart: Netzwerksicherheitsgruppe
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn die NSG-Ingress-Regel eines VCN geändert wird.

Empfehlung: Stellen Sie sicher, dass die neuen Ingress-Regeln für diese NSG und die zugehörigen Ressourcen zulässig sind.

Hintergrund: Netzwerksicherheitsgruppen (NSGs) fungieren als virtuelle Firewall für Compute-Instanzen und andere Arten von Ressourcen. NSGs verfügen über ein Set eingehender (Ingress-) und ausgehender (Egress-)Sicherheitsregeln, die auf ein Set virtueller NICs in einem VCN angewendet werden. Änderungen an Ingress-Regeln einer NSG können Verbindungen und Traffic zu neuen Ressourcen und VNICs im VCN zulassen.

Regelparameter:

• Typ: Networking
• Ressourcenart: Netzwerksicherheitsgruppe
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn die Routentabelle einer VCN geändert wird.

Empfehlung: Stellen Sie sicher, dass die Änderung an der Routentabelle in diesem Compartment zulässig ist und erwartet wird.

Hintergrund: Virtuelle Routentabellen enthalten Regeln, die wie herkömmliche Netzwerkroutingregeln aussehen und handeln. Falsch konfigurierte Routentabellen können Netzwerktraffic löschen (Blackhole) oder an ein unbeabsichtigtes Ziel senden. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Typ: Networking
• Ressourcentyp: Routentabelle
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine Sicherheitsliste für ein VCN erstellt wird.

Empfehlung: Stellen Sie sicher, dass die Erstellung dieser Sicherheitsliste für dieses VCN und die zugehörigen Ressourcen zulässig ist.

Hintergrund: Sicherheitslisten fungieren als virtuelle Firewalls für Compute-Instanzen und andere Ressourcen und bestehen aus Sets von Ingress- und Egress-Regeln, die für alle VNICs in jedem Subnetz gelten, das mit dieser Sicherheitsliste verknüpft ist. Es können mehrere Sicherheitslisten für Ressourcen gelten und Zugriff auf Ports und IP-Adressen für diese Ressourcen erteilen. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Typ: Networking
• Ressourcentyp: Sicherheitsliste
• Gefahrenebene: Niedrig
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine Sicherheitsliste für ein VCN gelöscht wird.

Empfehlung: Stellen Sie sicher, dass das Entfernen dieser Sicherheitsliste für dieses VCN und die zugehörigen Ressourcen zulässig ist.

Hintergrund: Sicherheitslisten fungieren als virtuelle Firewalls für Compute-Instanzen und andere Ressourcen und bestehen aus Sets von Ingress- und Egress-Regeln, die für alle VNICs in jedem Subnetz gelten, das mit dieser Sicherheitsliste verknüpft ist. Es können mehrere Sicherheitslisten für Ressourcen gelten und Zugriff auf Ports und IP-Adressen für diese Ressourcen erteilen. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Typ: Networking
• Ressourcentyp: Sicherheitsliste
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn die Egress-Regeln einer VCN-Sicherheitsliste geändert werden.

Empfehlung: Stellen Sie sicher, dass die Änderungen an den Egress-Regeln für diese Sicherheitsliste und die zugehörigen Ressourcen zulässig sind.

Hintergrund: Sicherheitslisten fungieren als virtuelle Firewalls für Compute-Instanzen und andere Ressourcen und bestehen aus Sets von Ingress- und Egress-Regeln, die für alle VNICs in jedem Subnetz gelten, das mit dieser Sicherheitsliste verknüpft ist. Es können mehrere Sicherheitslisten für Ressourcen gelten und Zugriff auf Ports und IP-Adressen für diese Ressourcen erteilen. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Typ: Networking
• Ressourcentyp: Sicherheitsliste
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn die Ingress-Regeln einer VCN-Sicherheitsliste geändert werden.

Empfehlung: Stellen Sie sicher, dass die Änderungen an den Ingress-Regeln für diese Sicherheitsliste und die zugehörigen Ressourcen zulässig sind.

Hintergrund: Sicherheitslisten fungieren als virtuelle Firewalls für Compute-Instanzen und andere Ressourcen und bestehen aus Sets von Ingress- und Egress-Regeln, die für alle VNICs in jedem Subnetz gelten, das mit dieser Sicherheitsliste verknüpft ist. Es können mehrere Sicherheitslisten für Ressourcen gelten und Zugriff auf Ports und IP-Adressen für diese Ressourcen erteilen. VCN-Änderungen können Routing, FQDN-Auflösung und andere Netzwerkvorgänge ändern.

Regelparameter:

• Typ: Networking
• Ressourcentyp: Sicherheitsliste
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine Compute-Instanz eine öffentliche IP-Adresse hat.

Empfehlung: Überlegen Sie sorgfältig, für welche Instanzen Internetzugriff zulässig sein soll. Beispiel: Sie dürfen nicht versehentlich Internetzugriff auf sensible Datenbankinstanzen zulassen.

Hintergrund: Damit eine Instanz öffentlich zugänglich ist, muss sie folgende Voraussetzungen erfüllen:

• Sie muss eine öffentliche IP-Adresse aufweisen.
• Sie muss in einem öffentlichen VCN-Subnetz (virtuelles Cloud-Netzwerk) vorhanden sein.
• Sie muss sich in einem VCN befinden, für das ein Internetgateway aktiviert ist, das für ausgehenden Traffic konfiguriert ist.
• Sie muss sich in einem Subnetz befinden, in dem die Sicherheitsliste für alle IP-Adressen und alle Ports konfiguriert ist (0.0.0.0/0).

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Gefahrenebene: Hoch
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Compute

• Öffentliche IP aus der Instanz löschen: Befolgen Sie die Anweisungen unter So löschen Sie eine ephemere öffentliche IP aus einer Instanz.

Beschreibung: Alert, wenn eine Compute-Instanz nicht aus einem öffentlichen Oracle-Image erstellt wurde.

Empfehlung: Stellen Sie sicher, dass alle Instanzen genehmigte Images aus vertrauenswürdigen Quellen ausführen.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Gefahrenebene: Niedrig
• Labels: Compute

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine Instanz öffentlich zugänglich ist.

Empfehlung: Überlegen Sie sorgfältig, für welche Instanzen Internetzugriff zulässig sein soll.

Hintergrund: Damit eine Instanz öffentlich zugänglich ist, muss sie folgende Voraussetzungen erfüllen:

• Sie muss eine öffentliche IP-Adresse aufweisen.
• Sie muss in einem öffentlichen VCN-Subnetz vorhanden sein.
• Sie muss sich in einem VCN befinden, für das ein Internetgateway aktiviert ist, das für ausgehenden Traffic konfiguriert ist.
• Sie muss sich in einem Subnetz befinden, in dem die Sicherheitsliste für alle IP-Adressen und alle Ports konfiguriert ist (0.0.0.0/0).

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Gefahrenebene: Kritisch
• Labels: Compute

• Bedingungsgruppen: Filtern Sie OCIDs für jede Instanz heraus, die eine öffentliche IP-Adresse haben soll.

Beschreibung: Alert, wenn eine ausgeführte Compute-Instanz aus einem öffentlichen Oracle-Image erstellt wurde.

Empfehlung: Stellen Sie sicher, dass alle Instanzen genehmigte Images aus vertrauenswürdigen Quellen ausführen.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Gefahrenebene: Niedrig
• Labels: Compute

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine Compute-Instanz ohne erforderliche konfigurierte Tags ausgeführt wird.

Empfehlung: Stellen Sie sicher, dass die Instanzen erforderliche Tags verwenden.

Hintergrund: Tags sind für Audit- und Trackingzwecke wichtig.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Konfiguration: Fügen Sie im Abschnitt Eingabeeinstellung der Regel erforderliche Tags hinzu.

  Diese Formate sind im Feld Einstellung eingeben zulässig. Trennen Sie mehrere Einträge durch Kommas.

  • <namespace>.<definedkey>=<definedValue>
  • <namespace>.<definedKey>
  • <freeformkey>=<freeformValue>
  • <freeformkey>

  Beispiele

  • <namespace>.<definedkey>=<definedValue>
    • Operations.Environment=Production: Wenn für die Ressource ein Tag auf den Operations-Namespace mit dem definierten Schlüssel Environment und dem definierten Wert Production gesetzt ist, löst die Regel kein Problem aus.
    • Operations.*=*: Wenn für die Ressource ein Tag auf den Operations-Namespace mit einem definierten Schlüssel und einem beliebigen definierten Wert gesetzt ist, löst die Regel kein Problem aus.
  • <namespace>.<definedkey>
    • Operations.Environment: Wenn für die Ressource ein Tag auf den Operations-Namespace mit dem definierten Schlüssel Environment und einem beliebigen definierten Wert gesetzt ist, löst die Regel kein Problem aus.
  • <freeformKey>
    • Project: Wenn für die Ressource ein Tag auf den Freiformschlüssel Project gesetzt ist, löst die Regel kein Problem aus.
  • <freeformKey>=freeformValue
    • Project=APPROVED: Wenn für die Ressource ein Tag auf den Freiformschlüssel Project mit dem Wert APPROVED festgelegt ist, löst die Regel kein Problem aus.

Beschreibung: Alert, wenn eine Datenbank gefunden wird, für die Data Safe nicht aktiviert ist.

Empfehlung: Stellen Sie sicher, dass Data Safe für alle Compartments aktiviert ist, die von Cloud Guard überwacht werden und Datenbanken enthalten. Siehe Schnelleinstieg.

Hintergrund: Mit Data Safe wird sichergestellt, dass Ihre Datenbanken sicher konfiguriert sind. Aktivieren Sie diesen Service, um Risiken in Ihren Oracle Cloud-Datenbanken zu überwachen, zu sichern und zu mindern.

Regelparameter:

• Typ: Data Safe
• Ressourcentyp: Mandanten
• Gefahrenebene: Hoch
• Labels: Datenbanksicherheit

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn automatische Sicherung nicht für eine Datenbank aktiviert ist.

Empfehlungen: Stellen Sie sicher, dass das automatische Backup aktiviert ist.

Hintergrund: Durch Aktivierung automatischer Backups wird sichergestellt, dass Sie bei einem katastrophalen Hardwareausfall in der Lage sind, die Datenbank mit minimalem Datenverlust wiederherzustellen.

Regelparameter:

• Typ: Datenbank
• Ressourcenart: DB-System
• Gefahrenebene: Hoch
• Labels: Datenbank

• Bedingungsgruppen: Filtern Sie Datenbank-OCIDs für alle Datenbank-OCIDs heraus, die nicht automatisch gesichert werden müssen, z.B. OCIDs in Entwicklertestumgebungen.

Beschreibung: Alert, wenn eine Datenbankinstanz erkannt wird, die nicht bei Data Safe registriert ist.

Empfehlung: Registrieren Sie diese Datenbankinstanz bei Data Safe, und konfigurieren Sie Bewertungen, um die Konfiguration auszuwerten und zu überwachen, Benutzeraktivitäten zu prüfen und Risiken zu mindern. Siehe Zieldatenbankregistrierung.

Hintergrund: Mit Data Safe wird sichergestellt, dass Ihre Datenbanken sicher konfiguriert sind. Alle Cloud-Datenbanken. Aktivieren Sie diesen Service, um Risiken in Ihren Oracle Cloud-Datenbanken zu überwachen, zu sichern und zu mindern.

Regelparameter:

• Typ: Data Safe
• Ressourcentyp: Mandanten
• Gefahrenebene: Mittel
• Labels: Datenbanksicherheit

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein verfügbarer Datenbankpatch nicht innerhalb der angegebenen Anzahl Tage eingespielt wurde.

Empfehlung: Spielen Sie freigegebene Patches in der Datenbank ein, wenn sie verfügbar sind.

Hintergrund: Datenbankpatches beheben Funktionalität, Sicherheit und Performance. Die meisten Sicherheitsverletzungen können durch das Einspielen verfügbarer Patches verhindert werden.

Regelparameter:

• Typ: Datenbank
• Ressourcenart: DB-System
• Gefahrenebene: Mittel
• Labels: Datenbank

• Konfiguration: Wählen Sie Anzahl Tage zum Einspielen von Patch im Abschnitt Eingabeeinstellung der Regel aus.
• Bedingungsgruppen: Filtern Sie Datenbank-OCIDs für alle Datenbank-OCIDs heraus, für die kein aktueller Patch eingespielt werden muss, z.B. OCIDs in Entwicklertestumgebungen.

Empfehlung: Stellen Sie sicher, dass das Datenbanksystem keine öffentliche IP-Adresse aufweist.

Hintergrund: Die Verwendung einer öffentlichen IP-Adresse für den Zugriff auf eine Datenbank erhöht potenzielle Sicherheits- und Business Continuity-Risiken.

Regelparameter:

• Typ: Datenbank
• Ressourcenart: DB-System
• Gefahrenebene: Hoch
• Labels: Datenbank

• Bedingungsgruppen: Filtern Sie OCIDs von Datenbanken heraus, die öffentlich sein sollen.

Beschreibung: Alert, wenn eine Datenbank öffentlich zugänglich ist.

Empfehlung: Überlegen Sie sorgfältig, ob Sie Internetzugriff auf Datenbanksysteme zulassen möchten.

Hintergrund: Damit eine Datenbank öffentlich zugänglich ist, muss sie folgende Voraussetzungen erfüllen:

• Sie muss eine öffentliche IP-Adresse aufweisen.
• Sie muss sich in einem öffentlichen VCN-Subnetz befinden.
• Sie muss sich in einem Subnetz befinden, für das ein Internetgateway aktiviert ist, das für ausgehenden Traffic konfiguriert ist.
• Sie muss vorhanden sein in:
  • einem Subnetz, in dem die Sicherheitsliste Traffic von jedem Quell-CIDR-Bereich und "Alle Protokolle" zulässt, oder
  • einer Netzwerksicherheitsgruppe, die Traffic aus jedem Quell-CIDR-Bereich und aus "Alle Protokolle" zulässt

Regelparameter:

• Typ: Datenbank
• Ressourcenart: ExadataBareMetalVM
• Gefahrenebene: Kritisch
• Labels: Datenbank

• Bedingungsgruppen: Filtern Sie OCIDs von Datenbanken heraus, die öffentlich sein sollen.

Beschreibung: Alert, wenn ein verfügbarer Datenbanksystempatch nicht eingespielt wurde.

Empfehlung: Spielen Sie freigegebene Patches im Datenbanksystem ein, wenn sie verfügbar sind.

Hintergrund: Datenbanksystempatches enthalten oft Updates, die bekannte Sicherheitschwachstellen beseitigen.

Regelparameter:

• Typ: Datenbank
• Ressourcenart: DB-System
• Gefahrenebene: Mittel
• Labels: Datenbank

• Konfiguration: Wählen Sie Anzahl Tage zum Einspielen von Patch im Abschnitt Eingabeeinstellung der Regel aus.
• Bedingungsgruppen: Filtern Sie Datenbanksystem-OCIDs für alle Systeme heraus, für die kein aktueller Patch eingespielt werden muss, z.B. OCIDs in Entwicklertestumgebungen.

Beschreibung: Alert, wenn ein Datenbanksystem mit einer nicht genehmigten Version ausgeführt wird.

Empfehlung: Stellen Sie sicher, dass die Version des bereitgestellten Datenbanksystems genehmigt und getestet wurde.

Hintergrund: Wenn Sie nicht genehmigte Versionen von Datenbanksystemen ausführen, ist das Risiko einer Sicherheitsverletzung erhöht. Dadurch sind Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten gefährdet.

Regelparameter:

• Typ: Datenbank
• Ressourcenart: DB-System
• Gefahrenebene: Kritisch
• Labels: Datenbank

• Bedingungsgruppen: Filtern Sie Datenbanksystem-OCIDs für alle Systeme heraus, für die keine genehmigte Version erforderlich ist, z.B. OCIDs in Entwicklertestumgebungen.

Beschreibung: Alert, wenn eine Datenbank mit einer nicht genehmigten Version ausgeführt wird.

Empfehlung: Stellen Sie sicher, dass die Version der bereitgestellten Datenbank genehmigt und getestet wurde.

Hintergrund: Die genehmigte Version einer Datenbank verfügt über die neuesten Sicherheitsfeatures und Schwachstellenpatches. Wenn Sie nicht genehmigte Versionen einer Datenbank ausführen, ist das Risiko einer Sicherheitsverletzung erhöht. Damit sind Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten gefährdet.

Regelparameter:

• Typ: Datenbank
• Ressourcenart: DB-System
• Gefahrenebene: Kritisch
• Labels: Datenbank

• Bedingungsgruppen: Filtern Sie Datenbank-OCIDs für alle Datenbanken heraus, für die keine genehmigte Version erforderlich ist, z.B. OCIDs in Entwicklertestumgebungen.

Beschreibung: Alert, wenn ein einem Benutzer zugewiesenes IAM-Private/Publicschlüsselpaar zu alt ist.

Empfehlung: Rotieren Sie API-Schlüssel regelmäßig ( mindestens alle 90 Tage).

Hintergrund: Als Best Practice für Sicherheit ist es, IAM-API-Schlüssel mindestens alle 90 Tage zu ändern. Je länger IAM-Zugangsdaten unverändert bleiben, desto größer ist das Risiko, dass sie kompromittiert werden können.

Regelparameter:

• Typ: IAM
• Ressourcenart: IAMKey
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Konfiguration: (Optional) Sie können den Wert von 90 Tagen im Abschnitt Eingabeeinstellung der Regel ändern.

Beschreibung: Alert, wenn IAM-Authentifizierungstoken älter als die angegebene maximale Anzahl von Tagen sind.

Empfehlung: Rotieren Sie IAM-Authentifizierungstoken regelmäßig ( mindestens alle 90 Tage).

Hintergrund: Best Practice für Sicherheit ist es, IAM-Authentifizierungstoken mindestens alle 90 Tage zu ändern. Je länger die IAM-Authentifizierungstoken unverändert bleiben, desto höher ist das Risiko, dass sie kompromittiert werden können.

Regelparameter:

• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.1_IAM, IAM

• Konfiguration: Legen Sie die maximale Anzahl von Tagen für IAM-Authentifizierungstoken (ist 90) im Abschnitt Eingabeeinstellung der Regel fest.

Beschreibung: Alert, wenn IAM-Customer Secret Keys älter als die angegebene maximale Anzahl von Tagen sind.

Empfehlung: Rotieren Sie die Secret Keys für IAM-Kunden regelmäßig ( mindestens alle 90 Tage).

Hintergrund: Als Best Practice für Sicherheit wird empfohlen, IAM-Customer Secret-Schlüssel mindestens alle 90 Tage zu ändern. Je länger IAM-Kunden-Secret-Keys unverändert bleiben, desto höher ist das Risiko, dass sie kompromittiert werden können.

Regelparameter:

• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.1_IAM, IAM

• Konfiguration: Geben Sie die maximale Anzahl von Tagen für IAM-Kunden-Secret-Schlüssel (ist 90) im Abschnitt Eingabeeinstellung der Regel an.

Beschreibung: Alert, wenn eine IAM-Gruppe weniger als die angegebene Mindestanzahl von Mitgliedern aufweist.

Empfehlung: Erhöhen Sie die Anzahl der Gruppenmitglieder auf einen höheren Wert als die angegebene Mindestanzahl von Mitgliedern.

Hintergrund: Die IAM-Gruppenmitgliedschaft gewährt häufig Zugriff auf Ressourcen und Features. Bei Gruppen mit zu wenigen Mitgliedern können übermäßige Berechtigungen "verwaist" (für Benutzer nicht mehr verfügbar) sein.

Regelparameter:

• Typ: IAM
• Ressourcenart: Gruppe
• Gefahrenebene: Niedrig
• Labels: IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine IAM-Gruppe mehr als die angegebene maximale Anzahl von Mitgliedern aufweist.

Empfehlung: Reduzieren Sie die Anzahl der Gruppenmitglieder auf weniger als die angegebene Höchstanzahl von Mitgliedern.

Hintergrund: Die IAM-Gruppenmitgliedschaft gewährt häufig Zugriff auf Ressourcen und Features. Bei Gruppen mit zu vielen Mitgliedern können übermäßige Berechtigungen an zu viele Benutzer erteilt werden.

Regelparameter:

• Typ: IAM
• Ressourcenart: Gruppe
• Gefahrenebene: Mittel
• Labels: IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein IAM-Kennwort älter als die angegebene maximale Anzahl von Tagen ist.

Empfehlung: Rotieren Sie IAM-Kennwörter regelmäßig ( mindestens alle 90 Tage).

Hintergrund: Als Best Practice für Sicherheit wird empfohlen, IAM-Kennwörter mindestens alle 90 Tage zu ändern. Je länger IAM-Zugangsdaten unverändert bleiben, desto größer ist das Risiko, dass sie kompromittiert werden können.

Regelparameter:

• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Konfiguration: Geben Sie die maximale Anzahl von Tagen für Kennwörter (standardmäßig 90) im Abschnitt Eingabeeinstellung der Regel an.

Beschreibung: Die Kennwort-Policy erfüllt nicht die Komplexität.

Empfehlung: Oracle empfiehlt, dass eine starke Kennwort-Policy mindestens einen Kleinbuchstaben vorsieht.

Hintergrund: Komplexe Kennwörter sind schwieriger zu erraten und können das Risiko von nicht autorisiertem Zugriff oder kompromittierten Daten verringern.

Regelparameter:

• Typ: IAM
• Ressourcenart: Policy
• Gefahrenebene: Niedrig
• Labels: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine IAM-Policy einem Benutzer, der nicht Mitglied der Administratorengruppe ist, Zugriff einer Administratorrolle erteilt.

Empfehlung: Stellen Sie sicher, dass die Policy nur bestimmten Benutzern Zugriff auf die Ressourcen erteilt, die für die Ausführung ihrer Tätigkeiten erforderlich sind.

Hintergrund: Eine Policy ist ein Dokument, das angibt, wer auf welche OCI-Ressourcen Ihr Unternehmen zugreifen kann und wie. Eine Policy ermöglicht einer Gruppe das Arbeiten auf eine bestimmte Weise mit bestimmten Ressourcentypen in einem bestimmten Compartment.

Regelparameter:

• Typ: IAM
• Ressourcenart: Policy
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Konfiguration: Fügen Sie OCIDs für alle Gruppen, für die diese Berechtigungen zulässig sein sollen, im Abschnitt Eingabeeinstellung der Regel hinzu.

Beschreibung: Alert, wenn die Mandantenadministratorberechtigung einer zusätzlichen IAM-Gruppe erteilt wird.

Empfehlung: Fragen Sie den OCI-Administrator, ob diese Berechtigungserteilung genehmigt wurde und ob die Mitgliedschaft in der Gruppe nach Erteilung der Administratorberechtigung gültig bleibt.

Hintergrund: Gruppenmitglieder der standardmäßigen Mandantenadministratorgruppe können jede Aktion für alle Ressourcen in diesem Mandanten ausführen. Diese hoch privilegierte Berechtigung muss kontrolliert und auf die Benutzer eingeschränkt werden, die sie zur Ausführung ihrer Tätigkeitsfunktionen benötigen.

Regelparameter:

• Typ: IAM
• Ressourcenart: Policy
• Gefahrenebene: Niedrig
• Labels: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Konfiguration: Fügen Sie OCIDs von Gruppen, denen Administratorberechtigungen erteilt werden sollen, im Abschnitt Eingabeeinstellung der Regel hinzu.

Beschreibung: Alert, wenn die Multifaktor-Authentifizierung (MFA) für einen Benutzer nicht aktiviert ist.

Empfehlung: Aktivieren Sie MFA für alle Benutzer mit der Oracle Mobile Authenticator-(OMA-)Anwendung auf dem Mobilgerät jedes Benutzers mit dem einmaligen Passcode (OTP), der an die registrierte E-Mail-Adresse des Benutzers gesendet wird.

Regelparameter:

• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Kritisch
  Hinweis
  
  Wenn Ihre Organisation vor April 2023 mit der Verwendung von Cloud Guard begonnen hat, ist die Standardrisikostufe MEDIUM.
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn für einen Benutzer API-Schlüssel aktiviert sind.

Empfehlung: Stellen Sie sicher, dass der OCI-Zugriff durch Administratoren über API-Schlüssel als Ausnahme ausgeführt wird. Legen Sie IAM-Zugangsdaten nicht hartcodiert direkt in Software oder Dokumenten für eine breite Zielgruppe fest.

Hintergrund: IAM-API-Schlüssel sind Zugangsdaten, mit denen der programmgesteuerte Zugriff auf Ressourcen gewährt wird. Tatsächliche menschliche Benutzer dürfen API-Schlüssel nicht verwenden.

Regelparameter:

• Typ: IAM
• Ressourcentyp: Benutzer
• Gefahrenebene: Niedrig
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein KMS-Schlüssel nicht innerhalb des angegebenen Zeitraums rotiert wurde.

Empfehlung: Stellen Sie sicher, dass Sie die KMS-Schlüssel regelmäßig rotieren.

Hintergrund: Zur Informationssicherheit sollten Sie Kennwörter, Schlüssel und kryptografische Materialien regelmäßig ändern oder rotieren. Das Rotieren der Schlüssel in KMS reduziert die Auswirkungen und Wahrscheinlichkeit von kompromittierten Schlüsseln. Legen Sie den Mindestwert fest. Sie können die Standardzeit für das Rotieren von Schlüsseln ab 180 Tagen im Abschnitt Eingabeeinstellung der Regel ändern.

Regelparameter:

• Typ der Dienstleistung: KMS
• Ressourcenart: KMS-Schlüssel
• Gefahrenebene: Kritisch
• Labels: CIS_OCI_V1.1_MONITORING, KMS

• Konfiguration: Legen Sie die Standardzeit für das Rotieren von Schlüsseln im Abschnitt Eingabeeinstellung der Regel fest.

Beschreibung: Alert, wenn eine Ressource nicht entsprechend den angegebenen Tagginganforderungen getaggt wurde.

Empfehlung: Prüfen Sie, ob die konfigurierten Tags für Compute-Images, Compute-Instanzen, Datenbanksysteme, VCNs, Objektspeicher und Speicherblock-Volumes verwendet werden.

Hintergrund: Prüfen Sie, ob die konfigurierten Tags für Compute-Images, Compute-Instanzen, Datenbanksysteme, VCNs, Objektspeicher und Speicherblock-Volumes verwendet werden.

Regelparameter:

• Typ der Dienstleistung: Mehrere
• Ressourcentyp: Mehrere
• Gefahrenebene: Niedrig
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Konfiguration: Fügen Sie im Abschnitt Eingabeeinstellung der Regel entsprechende Tags hinzu.

Beschreibung: Alert, wenn für einen Load Balancer die Cipher Suite oci-wider-compatible-ssl-cipher-suite-v1 konfiguriert ist. Diese Cipher Suite enthält Algorithmen wie DES und RC4, die als schwach und anfällig für Angriffe gelten. Gilt nur für vordefinierte Cipher Suites und nicht für benutzerdefinierte Cipher-Suite-Werte.

Verwenden Sie optional Bedingungen, um zusätzliche Cipher Suites anzugeben, die gekennzeichnet werden sollen.

So verwenden Sie zusätzliche Cipher:

1. Bearbeiten Sie die Detektorregel Load Balancer lässt schwache Cipher Suites zu.
2. Geben Sie unter Eingabeeinstellung die zusätzlichen Cipher als kommagetrennte Liste in LB Weak Ciphers List ein.
   • Wenn die Eingabeeinstellung leer ist (Standard), wird die oci-wider-compatible-ssl-cipher-suite-v1 geprüft und gekennzeichnet.
   • Wenn die Eingabeeinstellung Einträge enthält, werden die zusätzlichen Cipher sowie oci-wider-compatible-ssl-cipher-suite-v1 geprüft.
   Die zusätzlichen Cipher sind:

   • oci-compatible-ssl-cipher-suite-v1
   • oci-default-ssl-cipher-suite-v1
   • oci-modern-ssl-cipher-suite-v1
   • oci-tls-11-12-13-wider-ssl-cipher-suite-v1
   • oci-tls-12-13-wider-ssl-cipher-suite-v1

Empfehlung: Verwenden Sie standardmäßige, moderne Cipher Suites, die eine stärkere Verschlüsselung unterstützen.

Hintergrund: Einige Versionen von Cipher Suites mit Algorithmen wie DES werden nicht empfohlen.

Regelparameter:

• Typ: Networking
• Ressourcenart: Load Balancer
• Gefahrenebene: Mittel
• Labels: Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Load Balancer ein Protokoll als Teil seiner SSL-Policy konfiguriert hat, das eine Version unter Transport Layer Security (TLS) 1.2) enthält.

Hinweis: Stellen Sie sicher, dass mindestens die SSL-Policy-Version TLS 1.2 konfiguriert wird.

Hintergrund: Bei älteren Versionen handelt es sich um risikoreiche und anfällige Versionen. Mehrere Standards, wie PCI-DSS und NIST, empfehlend dringend die Verwendung von TLS 1.2.

Regelparameter:

• Typ: Networking
• Ressourcenart: Load Balancer
• Gefahrenebene: Hoch
• Labels: Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn mit einem Load Balancer keine Backend-Sets verknüpft sind.

Hinweis: Stellen Sie sicher, dass Sie Load Balancer mit Backend-Sets konfigurieren, um den Zustand und Zugriff auf einen Load Balancer durch definierte Instanzen zu steuern.

Hintergrund: Ein Backend-Set ist eine logische Entity, die durch eine Load Balancing Policy, eine Health Check Policy und eine Liste von Backend-Servern definiert wird.

Regelparameter:

• Typ: Networking
• Ressourcenart: Load Balancer
• Gefahrenebene: Kritisch
• Labels: Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine Sicherheitsliste eines Load Balancers Ingress-Regeln enthält, die Traffic aus einer offenen Quelle akzeptieren (0.0.0.0/0).

Empfehlung: Stellen Sie sicher, dass Ihre OCI-Load Balancer eingehende Regeln oder Listener verwenden, um nur Zugriff von bekannten Ressourcen zu ermöglichen.

Hintergrund: OCI Load Balancer aktivieren End-to-End-TLS-Verbindungen zwischen den Anwendungen eines Clients und Ihrem VCN. Ein Listener ist eine logische Entity, die die IP-Adresse des Load Balancers auf eingehenden Traffic prüft. Um TCP-, HTTP- und HTTPS-Traffic zu verarbeiten, müssen Sie mindestens einen Listener pro Traffictyp konfigurieren.

Regelparameter:

• Typ: Networking
• Ressourcenart: Load Balancer
• Gefahrenebene: Minderwertig
• Labels: Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein Load Balancer mit einer öffentlichen IP-Adresse ausgeführt wird.

Empfehlung: Stellen Sie sicher, dass alle Load Balancer, die nicht öffentlich zugänglich sind, mit privaten IP-Adressen ausgeführt werden.

Hintergrund: Eine öffentliche IP-Adresse für einen Load Balancer, der nicht für öffentlich verfügbare Inhalte verwendet werden soll, schafft eine unnötige Sicherheitslücke.

Regelparameter:

• Typ: Networking
• Ressourcenart: Load Balancer
• Risikostufe: Hoch
• Labels: Netzwerk

• Bedingungsgruppen: Filtern Sie OCIDs für jeden Load Balancer heraus, der eine öffentliche IP-Adresse haben soll.

Beschreibung: Alert, wenn das SSL-Zertifikat in einem Load Balancer innerhalb des angegebenen Zeitraums abläuft.

Empfehlung: Stellen Sie sicher, dass Zertifikate rechtzeitig rotiert werden.

Hintergrund: Um kontinuierliche Sicherheit und Benutzerfreundlichkeit sicherzustellen, müssen SSL-Zertifikate in OCI rotiert werden.

Regelparameter:

• Typ: Networking
• Ressourcenart: Load Balancer
• Gefahrenebene: Kritisch
• Labels: Netzwerk

• Konfiguration: Wählen Sie Tage vor Ablauf (standardmäßig 48) im Abschnitt Eingabeeinstellung der Regel aus.

Beschreibung: Alert, wenn die Egress-Regel für eine Netzwerksicherheitsgruppe (NSG) eine unzulässige Ziel-IP-Adresse und Portnummer enthält.

Empfehlung: Stellen Sie sicher, dass die Egress-Regeln für die Kommunikation mit IP/Port für diese NSG zulässig sind.

Hintergrund: NSGs fungieren als virtuelle Firewall für Compute-Instanzen und andere Ressourcenarten. Die ausgehenden (Egress-)Sicherheitsregeln der NSG gelten für eine Gruppe virtueller NICs in einem VCN, um Zugriff auf bestimmte Ports und IP-Adressen zu ermöglichen.

Regelparameter:

• Typ: Networking
• Ressourcenart: Netzwerksicherheitsgruppe
• Gefahrenebene: Mittel
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Netzwerk

• Konfiguration: Fügen Sie im Abschnitt Eingabeeinstellung der Regel unzulässige Ports hinzu.

Beschreibung: Alert, wenn die Ingress-Regel für eine Netzwerksicherheitsgruppe eine nicht zulässige Ziel-IP-Adresse und Portnummer enthält.

Hinweis: Stellen Sie sicher, dass die Ingress-Regeln für die Kommunikation mit IP/Port für diese NSG zulässig sind.

Hintergrund: NSGs fungieren als virtuelle Firewall für Compute-Instanzen und andere Ressourcenarten. Die eingehenden (Ingress-)Sicherheitsregeln einer NSG gelten für eine Gruppe virtueller NICs in einem VCN, um Zugriff auf bestimmte Ports und IP-Adressen zu ermöglichen.

Regelparameter:

• Typ: Networking
• Ressourcenart: Netzwerksicherheitsgruppe
• Gefahrenebene: Hoch
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Netzwerk

• Konfiguration: Fügen Sie im Abschnitt Eingabeeinstellung der Regel unzulässige Ports hinzu.

Beschreibung: Alert, wenn ein VCN an ein Internetgateway angeschlossen ist.

Empfehlung: Stellen Sie sicher, dass Internetgateways autorisiert an ein VCN angeschlossen werden dürfen und dass dieser Anhang keine Ressourcen im Internet bereitstellt. Stellen Sie sicher, dass Sicherheitslisten mit Ingress-/eingehenden Regeln konfiguriert sind und diese Sicherheitslisten keinen Zugriff von allen IP-Adressen 0.0.0.0/0 zulassen.

Hintergrund: Gateways bieten externe Konnektivität zu Hosts in einem VCN. Dazu gehören Internetgateways (IGW) für Internetkonnektivität.

Regelparameter:

• Typ: Networking
• Ressourcenart: VCN
• Gefahrenebene: Niedrig
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein VCN an ein lokales Peering-Gateway angehängt ist.

Empfehlung: Stellen Sie sicher, dass lokale Peering-Gateways an ein VCN angehängt werden dürfen und dass dieser Anhang keine Ressourcen im Internet verfügbar macht.

Hintergrund: Gateways bieten externe Konnektivität zu Hosts in einem VCN. Dazu gehören lokale Peering-Gateways (LPG) für die Konnektivität mit einem Peering-VCN.

Regelparameter:

• Typ: Networking
• Ressourcenart: VCN
• Gefahrenebene: Niedrig
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn ein VCN keine eingehende Sicherheitsliste aufweist.

Empfehlung: Stellen Sie sicher, dass das OCI-VCN Sicherheitslisten mit Ingress- oder eingehenden Regeln verwendet, um nur Zugriff von bekannten Ressourcen zuzulassen.

Hintergrund: Sicherheitslisten bieten zustandsbehaftete und zustandslose Firewallfunktionen, um den Netzwerkzugriff auf Ihre Instanzen zu kontrollieren. Eine Sicherheitsliste wird auf Subnetzebene konfiguriert und auf Instanzebene durchgesetzt. Sie können mehrere Sicherheitslisten auf ein Subnetz anwenden, wobei ein Netzwerkpaket zulässig ist, wenn es mit einer Regel in den Sicherheitslisten übereinstimmt.

Regelparameter:

• Typ: Networking
• Ressourcenart: VCN
• Gefahrenebene: Mittel
• Labels: Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine VCN-Sicherheitsliste freien Traffic zu einem nicht öffentlichen Port aus einer offenen Quelle (0.0.0.0/0) zulässt.

empfohlen: Verwenden Sie VCN-Sicherheitslisten, um den Netzwerkzugriff auf Instanzen in einem Subnetz einzuschränken. Um nicht autorisierten Zugriff oder Angriffe auf Compute-Instanzen zu verhindern, empfiehlt Oracle Folgendes:

• Verwenden Sie eine VCN-Sicherheitsliste, um SSH- oder RDP-Zugriff nur von autorisierten CIDR-Blöcken zu ermöglichen.
• Lassen Sie die Compute-Instanzen nicht für das Internet offen (0.0.0.0/0).

Hintergrund: Ein VCN verfügt über eine Reihe von Features zur Durchsetzung der Netzwerkzugriffskontrolle und zur Sicherung des VCN-Traffic. Sicherheitslisten bieten zustandsbehaftete und zustandslose Firewallfunktionen, um den Netzwerkzugriff auf Ihre Instanzen zu kontrollieren. Eine Sicherheitsliste wird auf Subnetzebene konfiguriert und auf Instanzebene durchgesetzt. Sie können mehrere Sicherheitslisten auf ein Subnetz anwenden, wobei ein Netzwerkpaket zulässig ist, wenn es mit einer Regel in den Sicherheitslisten übereinstimmt.

Regelparameter:

• Typ: Networking
• Ressourcenart: VCN
• Gefahrenebene: Kritisch
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Netzwerk

• Behalten Sie die Standardeinstellungen bei.

Beschreibung: Alert, wenn eine VCN-Sicherheitsliste bestimmte eingeschränkte Ports (siehe Eingabeeinstellungen, eingeschränktes Protokoll: Portliste) in der Ingress-Regel der Sicherheitsliste zulässt.

Empfehlung: Stellen Sie sicher, dass Ihre OCI-VCNs Sicherheitslisten verwenden, die keinen Port enthalten, der in der Eingabeeinstellung dieser Detektorregel mit einer Ingress- oder eingehenden Regel in "Eingeschränktes Protokoll: Portliste" aufgeführt ist. Im Abschnitt "Weitere Details" eines Problems werden die spezifischen offenen eingeschränkten Ports aufgeführt, die dieses Problem ausgelöst haben.

Hintergrund: Sicherheitslisten bieten zustandsbehaftete und zustandslose Firewallfunktionen, um den Netzwerkzugriff auf Ihre Instanzen zu kontrollieren. Eine Sicherheitsliste wird auf Subnetzebene konfiguriert und auf Instanzebene durchgesetzt. Sie können mehrere Sicherheitslisten auf ein Subnetz anwenden, wobei ein Netzwerkpaket zulässig ist, wenn es mit einer Regel in den Sicherheitslisten übereinstimmt.

Regelparameter:

• Typ: Networking
• Ressourcenart: VCN
• Gefahrenebene: Minderwertig
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Netzwerk

• Konfiguration:
  • Ändern Sie gegebenenfalls Beschränktes Protokoll:Portliste im Abschnitt Eingabeeinstellung der Regel.

  Sie können Portlisten manuell eingeben oder Namen von einer oder mehreren Sicherheitslisten, die Sie definiert haben, eingeben. Informationen finden Sie unter Sicherheitslisten.

Beschreibung: Alert, wenn eine virtuelle Netzwerkschnittstellenkarte (VNIC) keine zugehörige NSG aufweist.

Empfehlung: Stellen Sie sicher, dass alle VNICs über eine zugehörige NSG verfügen.

Hintergrund: Eine VNIC ist eine Netzwerkkomponente, mit der eine Ressource wie eine Compute-Instanz eine Verbindung zu einem VCN herstellen kann. Die VNIC bestimmt, wie sich die Instanz mit Endpunkten innerhalb und außerhalb des VCN verbindet. Jede VNIC befindet sich in einem Subnetz in einem VCN. Eine VNIC ohne NSG kann ein Konnektivitätsproblem auslösen.

Regelparameter:

• Typ: Networking
• Ressourcenart: VCN
• Gefahrenebene: Minderwertig
• Labels: Netzwerk

• Konfiguration: Ändern Sie gegebenenfalls "Eingeschränktes Protokoll: Portliste" im Abschnitt Eingabeeinstellung der Regel.

Beschreibung: Alert, wenn Oracle Vulnerability Scanning Service (VSS) Container scannt und bekannte Cybersicherheitslücken identifiziert. Um diese Regel zu verwenden, müssen Sie ein Hostscanrezept und ein Hostscanziel im Scanning-Service erstellen. Siehe Scanning: Erste Schritte in der Scanning-Dokumentation.

Empfehlung: Führen Sie die empfohlenen Aktionen aus, die für jede Schwachstelle dokumentiert sind, wie das Einspielen eines BS-Patches.

Hintergrund: Der Scanning-Service identifiziert Schwachstellen bei Anwendungen, Librarys, Betriebssystemen und Services. Jede Sicherheitslücke in der Datenbank hat eine eindeutige ID oder CVE.

Regelparameter:

• Service-Typ: Scanning, Compute
• Ressource: Container
• Gefahrenebene: Kritisch
• Labels: VSS

• Standardeinstellungen beibehalten (alle CVEs werden erkannt).

Beschreibung: Alert, wenn Oracle Vulnerability Scanning Service (VSS) Compute-Instanzen (Hosts) scannt und offene Ports identifiziert. Um diese Regel zu verwenden, müssen Sie ein Hostscanrezept und ein Hostscanziel im Scanning-Service erstellen. Siehe Scanning: Erste Schritte in der Scanning-Dokumentation.

Empfehlung: Prüfen Sie, ob die identifizierten Ports auf diesem Host geöffnet sein sollen, und schließen Sie sie, wenn sie nicht geöffnet sein müssen. Wenn alle offenen Ports korrekt sind, stellen Sie sicher, dass die Liste der zulässigen Ports alle offenen Portnummern enthält. Stellen Sie außerdem sicher, dass die Liste der unzulässigen Ports keine der offenen Portnummern enthält.

Hintergrund: Einige Ports sind für den Betrieb und die Bereitstellung von Services erforderlich. Offene Ports, die über die beabsichtigte Liste hinausgehen, können jedoch potenziell zu Service-Exploits verwendet werden.

Regelparameter:

• Service-Typ: Scanning, Compute
• Ressourcentyp: Compute
• Gefahrenebene: Kritisch
• Labels: VSS

• Konfiguration: Fügen Sie alle Ports hinzu, die ignoriert werden sollen, in die Liste Zulässige Ports im Abschnitt Eingabeeinstellung der Regel.
  Hinweis
  
  

  Wenn Sie sowohl in der Liste Zulässige Ports als auch in der Liste Nicht zulässige Ports im Abschnitt Eingabeeinstellung der Regel dieselbe Portnummer hinzufügen, hat die Liste Nicht zulässige Ports Vorrang. Ein Problem wird weiterhin ausgelöst, wenn Cloud Guard den Port offen findet.

Beschreibung: Alert, wenn Oracle Vulnerability Scanning Service (VSS) Compute-Instanzen (Hosts) scannt und bekannte Cybersicherheitslücken identifiziert. Um diese Regel zu verwenden, müssen Sie ein Hostscanrezept und ein Hostscanziel im Scanning-Service erstellen. Siehe Scanning: Erste Schritte in der Scanning-Dokumentation.

Empfehlung: Führen Sie die empfohlenen Aktionen aus, die für jede Schwachstelle dokumentiert sind, wie das Einspielen eines BS-Patches.

Hintergrund: Der Scanning-Service identifiziert Schwachstellen bei Anwendungen, Librarys, Betriebssystemen und Services. Jede Sicherheitslücke in der Datenbank hat eine eindeutige ID oder CVE.

Regelparameter:

• Service-Typ: Scanning, Compute
• Ressourcentyp: Compute
• Gefahrenebene: Kritisch
• Labels: VSS

• Standardeinstellungen beibehalten (alle CVEs werden erkannt).

Beschreibung: Alert, wenn ein Block-Volume mit einem von Oracle verwalteten Schlüsseln verschlüsselt ist.

Empfehlung: Weisen Sie diesem Volume einen KMS-Schlüssel zu.

Hintergrund: Die Verschlüsselung von Volumes bietet zusätzlichen Schutz für Ihre Daten. Die Verwaltung von Verschlüsselungsschlüsseln ist entscheidend für den Schutz von Daten und den Zugriff auf geschützte Daten. Einige Kunden möchten Block-Volumes, die mit von Oracle verwalteten Schlüsseln verschlüsselt wurden, von denen abgrenzen, die mit vom Benutzer verwalteten Schlüsseln verschlüsselt wurden.

Regelparameter:

• Typ: Storage
• Ressourcenart: Block-Volume
• Gefahrenebene: Minderwertig
• Labels: KMS

• Von Oracle verwaltete Schlüssel: Zur Sicherung von Block-Volumes empfohlen.
• Benutzerdefinierte Schlüssel:
  • Verwenden Sie nach Möglichkeit KMS.
  • Implementieren Sie Oracle-Sicherheitszonen in Compartments, um sicherzustellen, dass diese Vorgabe eingehalten wird.
• Bedingungsgruppen: Verwenden Sie wegen der großen Anzahl an Volumes keine Verwendung.

Beschreibung: Alert, wenn ein Block-Volume nicht mit der zugehörigen Instanz verknüpft ist.

Empfehlung: Stellen Sie sicher, dass das Volume angeschlossen ist.

Regelparameter:

• Typ: Storage
• Ressourcenart: Block-Volume
• Gefahrenebene: Mittel
• Labors: Speicher

• Bedingungsgruppen: Verwenden Sie wegen der großen Anzahl an Volumes keine Bedingungsgruppen.

Beschreibung: Alert, wenn ein Bucket öffentlich ist.

Empfehlung: Stellen Sie sicher, dass der öffentliche Zugriff auf den Bucket genehmigt ist. Bitten Sie andernfalls den OCI-Administrator, die Bucket Policy so zu beschränken, dass nur bestimmten Benutzern Zugriff auf die Ressourcen erteilt wird, die zur Ausführung ihrer Tätigkeiten erforderlich sind.

Hintergrund: Object Storage unterstützt anonymen, nicht authentifizierten Zugriff auf einen Bucket. Ein öffentlicher Bucket mit aktiviertem Lesezugriff für anonyme Benutzer ermöglicht es jedem Benutzer, Objektmetadaten abzurufen, Bucket-Objekte herunterzuladen und optional Bucket-Inhalte aufzulisten.

Regelparameter:

• Typ: Storage
• Ressourcenart: Bucket
• Gefahrenebene: Kritisch
• Labels: CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Bedingungsgruppen: Filtern Sie Bucket-Namen (<Namespace>/<Name>) heraus, die öffentlich sein sollen.

Beschreibung: Alert, wenn ein Objektspeicher-Bucket mit einem von Oracle verwalteten Schlüssel verschlüsselt ist.

Empfehlung: Weisen Sie diesem Bucket einen Vault-Schlüssel zu.

Hintergrund: Die Verschlüsselung von Storage Buckets bietet zusätzlichen Schutz für Ihre Daten. Die Verwaltung von Verschlüsselungsschlüsseln ist entscheidend für den Schutz von Daten und den Zugriff auf geschützte Daten. Einige Kunden möchten Speicher-Buckets identifizieren, die mit von Oracle verwalteten Schlüsseln verschlüsselt wurden.

Regelparameter:

• Typ: Storage
• Ressourcenart: Bucket
• Gefahrenebene: Minderwertig
• Labels: CIS_OCI_V1.1_ObjectStorage, ObjectStorage, KMS

• Konfiguration: Diese Regel ist im OCI-Konfigurationsdetektor standardmäßig deaktiviert, da sie Probleme generieren kann, die für viele Cloud Guard-Operatoren möglicherweise nicht kritisch sind. Wenn Sie diese Regel aktivieren, stellen Sie sicher, dass Sie Bedingungsgruppen sorgfältig so festlegen, dass sie nur auf bestimmte Buckets ausgerichtet sind, die NICHT mit einem von Oracle verwalteten Schlüssel verschlüsselt werden sollen. Wenn Sie eine strenge Schlüsselkontrolle mit vom Benutzer verwalteten Schlüsseln über Vault benötigen, erstellen Sie ein Oracle-Sicherheitszonen-Compartment, und erstellen Sie dann Ressourcen in diesem Compartment.

Beschreibung: Alert, wenn die Lesezugriffslogs für einen Objektspeicher-Bucket nicht aktiviert sind.

Empfehlung: Stellen Sie sicher, dass Leselogs für den Bucket aktiviert sind und dass die Logs kontinuierlich von den Sicherheitstools überwacht werden.

Hintergrund: Mit Zugriffslogs können Sie Ihre sensiblen Objekte sichern, indem Sie Einblick in die Aktivitäten rund um Lese- und Schreibvorgänge für die Objekte im Objektspeicher-Bucket erhalten.

Regelparameter:

• Typ: Storage
• Ressourcenart: Bucket
• Gefahrenebene: Niedrig
• Labels: CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Konfiguration: Diese Regel ist im OCI-Konfigurationsdetektor standardmäßig deaktiviert und kann dort nicht aktiviert werden. Diese Regel aktivieren:
  1. OCI-Konfigurationsdetektor klonen. Siehe OCI-Detektorrezept klonen.
  2. Aktivieren Sie die Regel in der vom Benutzer verwalteten (geklonten) Kopie des OCI-Konfigurationsdetektors. Siehe Regeleinstellungen in einem OCI-Detektorrezept bearbeiten.
  3. Hängen Sie die vom Benutzer verwaltete (geklonte) Kopie des OCI-Konfigurationsdetektors an alle Ziele an, auf denen die Regel aktiviert werden soll. Siehe OCI-Ziel und seine angehängten Rezepte bearbeiten.

Beschreibung: Alert, wenn die Schreibzugriffslogs für einen Objektspeicher-Bucket nicht aktiviert sind.

Empfehlung: Stellen Sie sicher, dass Schreiblogs für den Bucket aktiviert sind und dass die Logs kontinuierlich von den Sicherheitstools überwacht werden.

Hintergrund: Mit Zugriffslogs können Sie Ihre sensiblen Objekte sichern, indem Sie Einblick in die Aktivitäten rund um Lese- und Schreibvorgänge für die Objekte im Objektspeicher-Bucket erhalten.

Regelparameter:

• Typ: Storage
• Ressourcenart: Bucket
• Gefahrenebene: Niedrig
• Labels: CIS_OCI_V1.1_MONITORING, CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Konfiguration: Diese Regel ist im OCI-Konfigurationsdetektor standardmäßig deaktiviert und kann dort nicht aktiviert werden. Diese Regel aktivieren:
  1. OCI-Konfigurationsdetektor klonen. Siehe OCI-Detektorrezept klonen.
  2. Aktivieren Sie die Regel in der vom Benutzer verwalteten (geklonten) Kopie des OCI-Konfigurationsdetektors. Siehe Regeleinstellungen in einem OCI-Detektorrezept bearbeiten.
  3. Hängen Sie die vom Benutzer verwaltete (geklonte) Kopie des OCI-Konfigurationsdetektors an alle Ziele an, auf denen die Regel aktiviert werden soll. Siehe s.

Beschreibung: Alert, wenn für einen Container keine Bereitschaftsprüfung durchgeführt wird.

Empfehlung: Stellen Sie sicher, dass für alle Container eine Readiness-Probe definiert ist.

Regelparameter:

• Konfigurationen festlegen:
  • userRangeMin (int): Die untere Grenze (enthalten) des erforderlichen UNIX-Benutzer-ID-Bereichs. Entspricht den Abschnitten .spec.securityContext.runAsUser und .spec.containers[].securityContext.runAsUser einer Podspezifikation.
  • userRangeMax (int): Die obere Begrenzung (enthalten) des erforderlichen UNIX-Benutzer-ID-Bereichs. Entspricht den Abschnitten .spec.securityContext.runAsUser und .spec.containers[].securityContext.runAsUser einer Podspezifikation.
• Gefahrenebene: Mittel
• Labels: Containerverfügbarkeit

Beschreibung: Alert, wenn ein Container keinen Lebenszyklus-Hook nach dem Start verwendet.

Empfehlung: Stellen Sie sicher, dass alle Container immer einen Post-Start-Lifecycle-Hook verwenden.

Regelparameter:

• Konfigurationen festlegen:
  • hookActions (Liste): Liste der zulässigen Hook-Aktionen. Wenn die Aktion "Nicht zulässig" verwendet wird, verletzt ein fehlender oder leerer Hook die Regel. Verwenden Sie "any", um unabhängig von der Aktion auf Existenz zu prüfen. Entspricht dem Abschnitt spec.containers[].lifecycle.postStart einer Podspezifikation.
• Risikostufe: Niedrig
• Labels: Containerverfügbarkeit

Beschreibung: Alert, wenn ein Container keinen Pre-Stop-Lebenszyklus-Hook verwendet.

Empfehlung: Stellen Sie sicher, dass für alle Container ein Pre-Stop-Lebenszyklus-Hook konfiguriert ist.

Regelparameter:

• Konfigurationen festlegen:
  • hookActions (Liste): Liste der zulässigen Hook-Aktionen. Wenn die Aktion "Nicht zulässig" verwendet wird, verletzt ein fehlender oder leerer Hook die Regel. Verwenden Sie "any", um unabhängig von der Aktion auf Existenz zu prüfen. Entspricht dem Abschnitt spec.containers[].lifecycle.preStop einer Podspezifikation.
• Risikostufe: Niedrig
• Labels: Containerverfügbarkeit

Beschreibung: Alert, wenn ein Container einen privilegierten Port (1-1024) verwendet.

Empfehlung: Stellen Sie sicher, dass keine Container auf privilegierten Ports verfügbar gemacht werden.

Regelparameter:

• Gefahrenebene: Hoch
• Labels: Containernetzwerk

Beschreibung: Alert, wenn nur ein Replikat für ein Kubernetes-Deployment vorhanden ist.

Empfehlung: Stellen Sie sicher, dass alle Kubernetes-Deployments mehrere Replikate aufweisen.

Regelparameter:

• Risikostufe: Niedrig
• Labels: Containerverfügbarkeit

Beschreibung: Alert, wenn ein Pod gefunden wird, der eine lange Kulanzfrist für den Podabschluss verwendet.

Empfehlung: Stellen Sie sicher, dass Pods keine großen Verlängerungsfristen für den Austritt verwenden.

Regelparameter:

• Konfigurationen festlegen:
  • maximum (int) 60: Schwellenwert für die Podaufschubfrist in Sekunden. Pods ohne definierte Kulanzfrist gelten als der Standardzeitraum von 30 Sekunden. Entspricht dem Abschnitt spec.terminationGracePeriodSeconds einer Podspezifikation.
• Risikostufe: Niedrig
• Labels: Containerverfügbarkeit

Beschreibung: Alert, wenn ein Hostport verwendet wird.

Empfehlung: Stellen Sie sicher, dass keine Hostports verwendet werden.

Regelparameter:

• Gefahrenebene: Hoch
• Labels: Containernetzwerk

Beschreibung: Alert, wenn ein Knotenport verwendet wird.

Empfehlung: Stellen Sie sicher, dass keine Knotenports verwendet werden.

Regelparameter:

• Gefahrenebene: Mittel
• Labels: Containernetzwerk

Beschreibung: Alert, wenn eine Image Pull Policy nicht auf always gesetzt ist.

Empfehlung: Stellen Sie sicher, dass alle Container eine genehmigte Image Pull Policy verwenden.

Regelparameter:

• Konfigurationen festlegen:
  • imagePullPolicy (Zeichenfolge): Durch Komma getrennte Liste der zulässigen Image-Pull-Policys, von denen eine explizit von der Containerspezifikation festgelegt werden muss. Entspricht dem Abschnitt spec.containers[].imagePullPolicy einer Podspezifikation.
• Risikostufe: Niedrig
• Labels: Image Assurance

Beschreibung: Alert, wenn ein Image nicht von einer der konfigurierten vertrauenswürdigen Registrys referenziert wird.

Empfehlung: Stellen Sie sicher, dass Containerimages nur von zulässigen Registrys referenziert werden.

Regelparameter:

• Konfigurationen festlegen:
  • allowedRegistriesRegex (Zeichenfolge): Ein regulärer Ausdruck, der zulässige Image-Registrys beschreibt. Detaillierte Syntax. Entspricht dem Abschnitt spec.containers[].image einer Podspezifikation.
• Gefahrenebene: Hoch
• Labels: Image Assurance

Beschreibung: Alert, wenn ein Bild nicht von einem SHA-Hash referenziert wird.

Empfehlung: Stellen Sie sicher, dass Bilder über SHA-Hashes referenziert werden.

Regelparameter:

• Risikostufe: Niedrig
• Labels: Image Assurance

Beschreibung: Alert, wenn ein Pod unter dem Standardserviceaccount ausgeführt wird.

Empfehlung: Stellen Sie sicher, dass kein Container unter dem Standardserviceaccount ausgeführt wird.

Regelparameter:

• Gefahrenebene: Mittel
• Labels: Kubernetes-RBAC

Beschreibung: Alert, wenn Platzhalterzeichen mit ClusterRoles oder Rollen verwendet werden.

Empfehlung: Stellen Sie sicher, dass keine Platzhalterzeichen mit ClusterRoles oder Rollen verwendet werden.

Regelparameter:

• Risikostufe: MEDIUM
• Labels: Kubernetes-RBAC

Beschreibung: Alert, wenn über eine Umgebungsvariable statt über ein Volume auf ein Secret zugegriffen wird.

Empfehlung: Stellen Sie sicher, dass Kubernetes-Secrets als Volume gemountet sind.

Regelparameter:

• Risikostufe: MEDIUM
• Labels: Kubernetes-Secrets

Beschreibung: Alert, wenn für einen Container kein CPU-Limit festgelegt ist.

Empfehlung: Stellen Sie sicher, dass für alle Container ein CPU-Limit festgelegt ist.

Regelparameter:

• Konfigurationen festlegen:
  • maximum (Zeichenfolge): Werte, die höher als das Maximum sind, werden als Regelverletzung betrachtet. Kubernetes-Qualifikationsmerkmale werden unterstützt. Verwenden Sie "any", um das Vorhandensein ohne Schwellenwert zu prüfen. Entspricht dem Abschnitt spec.containers[].resources.limits.cpu einer Podspezifikation.
• Risikostufe: MEDIUM
• Labels: Ressourcenverbrauch

Beschreibung: Alert, wenn für einen Container keine CPU-Anforderung festgelegt ist.

Empfehlung: Stellen Sie sicher, dass für Container immer ein CPU-Anforderungsset festgelegt ist.

Regelparameter:

• Konfigurationen festlegen:
  • maximum (Zeichenfolge): Werte, die höher als das Maximum sind, werden als Regelverletzung betrachtet. Kubernetes-Qualifikationsmerkmale werden unterstützt. Verwenden Sie "any", um das Vorhandensein ohne Schwellenwert zu prüfen. Entspricht dem Abschnitt spec.containers[].resources.requests.cpu einer Podspezifikation.
• Risikostufe: MEDIUM
• Labels: Ressourcenverbrauch

Beschreibung: Alert, wenn für einen Container kein Speichergrenzwert festgelegt ist.

Empfehlung: Stellen Sie sicher, dass für Container immer ein Speichergrenzwert festgelegt ist.

Regelparameter:

• Konfigurationen festlegen:
  • maximum (Zeichenfolge): Werte, die höher als das Maximum sind, werden als Regelverletzung betrachtet. Kubernetes-Qualifikationsmerkmale werden unterstützt. Verwenden Sie "any", um das Vorhandensein ohne Schwellenwert zu prüfen. Entspricht dem Abschnitt spec.containers[].resources.limits.memory einer Podspezifikation.
• Risikostufe: MEDIUM
• Labels: Ressourcenverbrauch

Beschreibung: Alert, wenn für einen Container keine Speicheranforderungen festgelegt sind.

Empfehlung: Stellen Sie sicher, dass für Container immer Speicheranforderungen festgelegt sind.

Regelparameter:

• Konfigurationen festlegen:
  • maximum (Zeichenfolge): Werte, die höher als das Maximum sind, werden als Regelverletzung betrachtet. Kubernetes-Qualifikationsmerkmale werden unterstützt. Verwenden Sie "any", um das Vorhandensein ohne Schwellenwert zu prüfen. Entspricht dem Abschnitt spec.containers[].resources.limits.memory einer Podspezifikation.
• Risikostufe: MEDIUM
• Labels: Ressourcenverbrauch

Beschreibung: Alert, wenn für einen Container kein Speicherlimit festgelegt ist.

Empfehlung: Stellen Sie sicher, dass für alle Container ephemere Speicheranforderungen festgelegt sind.

Regelparameter:

• Konfigurationen festlegen:
  • maximum (Zeichenfolge): Werte, die höher als das Maximum sind, werden als Regelverletzung betrachtet. Kubernetes-Qualifikationsmerkmale werden unterstützt. Verwenden Sie "any", um das Vorhandensein ohne Schwellenwert zu prüfen. Entspricht dem Abschnitt spec.containers[].resources.limits.memory einer Podspezifikation.
• Risikostufe: Niedrig
• Labels: Ressourcenverbrauch

Beschreibung: Alert, wenn ein Container im IPC-Namespace des Hosts ausgeführt werden darf.

Empfehlung: Stellen Sie sicher, dass keine Container im IPC-Namespace des Hosts ausgeführt werden dürfen.

Regelparameter:

• Gefahrenebene: Hoch
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container im Netzwerk-Linux-Namespace des Hosts ausgeführt werden darf.

Empfehlung: Stellen Sie sicher, dass keine Container im Netzwerk-Namespace des Hosts ausgeführt werden dürfen.

Regelparameter:

• Gefahrenebene: Hoch
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container im PID-Namespace des Hosts ausgeführt werden darf.

Empfehlung: Stellen Sie sicher, dass keine Container im Host-PID-Namespace ausgeführt werden dürfen.

Regelparameter:

• Gefahrenebene: Hoch
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container das Hostdateisystem mounten darf.

Empfehlung: Stellen Sie sicher, dass kein Container zum Mounten des Hostdateisystems berechtigt ist.

Regelparameter:

• Konfigurationen festlegen:
  • allowedHostPaths (Liste): Liste der zulässigen Hostpfadpräfixe. Im Mount ist die schreibgeschützte Option nicht angegeben. Entspricht dem Abschnitt .spec.volumes.hostPath.path einer Podspezifikation.
  • allowedReadOnlyHostPaths (Liste): Liste der zulässigen Hostpfadpräfixe. Der Mount hat die schreibgeschützte Option angegeben. Entspricht den Abschnitten .spec.volumes.hostPath.path und .spec.containers[].volumeMounts[].readOnly einer Podspezifikation.
• Gefahrenebene: Hoch
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container seine Berechtigungen eskalieren darf.

Empfehlung: Stellen Sie sicher, dass keine Container ihre Berechtigungen eskalieren dürfen.

Regelparameter:

• Gefahrenebene: Hoch
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn bestimmte Container-Workloads mit einer nicht erwarteten GID ausgeführt werden.

Empfehlung: Stellen Sie sicher, dass alle Container-Workloads so konfiguriert sind, dass sie von einer GID ausgeführt werden, die in den zulässigen Bereich fällt.

Regelparameter:

• Konfigurationen festlegen:
  • runAsGroupRangeMin (int): Die untere Grenze (enthalten) des erforderlichen UNIX-Benutzergruppen-ID-Bereichs. Entspricht den Abschnitten .spec.securityContext.runAsGroup und .spec.containers[].securityContext.runAsGroup einer Podspezifikation.
  • runAsGroupRangeMax (int): Die obere Begrenzung (enthalten) des erforderlichen UNIX-Benutzergruppen-ID-Bereichs. Entspricht den Abschnitten .spec.securityContext.runAsGroup und .spec.containers[].securityContext.runAsGroup einer Podspezifikation.
  • supplementalGroupsRangeMin (int): Die untere Grenze (enthalten) des erforderlichen zusätzlichen UNIX-Benutzergruppenbereichs. Jede GID in der Liste der zusätzlichen Gruppen muss zum angegebenen Bereich gehören. Entspricht den Abschnitten .spec.securityContext.supplementalGroups und .spec.containers[].securityContext.supplementalGroups einer Podspezifikation.
  • supplementalGroupsRangeMax (int): Die obere Grenze (enthalten) des erforderlichen zusätzlichen UNIX-Benutzergruppenbereichs. Jede GID in der Liste der zusätzlichen Gruppen muss zum angegebenen Bereich gehören. Entspricht den Abschnitten .spec.securityContext.supplementalGroups und .spec.containers[].securityContext.supplementalGroups einer Podspezifikation.
  • fsGroupRangeMin (int): Die untere Grenze (enthalten) des erforderlichen UNIX-Benutzergruppen-ID-Bereichs, der für Kubernetes-Volume-Gruppeninhalte verwendet wird. Entspricht den Abschnitten .spec.securityContext.fsGroup und .spec.containers[].securityContext.fsGroup einer Podspezifikation. Beachten Sie jedoch, dass die Einstellungen auf Containerebene in Kubernetes für dieses Feld nicht berücksichtigt werden.
  • fsGroupRangeMax (int): Die obere Begrenzung (enthalten) des erforderlichen UNIX-Benutzergruppen-ID-Bereichs, der für Kubernetes-Volume-Gruppeninhalte verwendet wird. Entspricht den Abschnitten .spec.securityContext.fsGroup und .spec.containers[].securityContext.fsGroup einer Podspezifikation. Beachten Sie jedoch, dass die Einstellungen auf Containerebene in Kubernetes für dieses Feld nicht berücksichtigt werden.
• Risikostufe: MEDIUM
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn bestimmte Container-Workloads mit einer nicht erwarteten UID ausgeführt werden.

Empfehlung: Stellen Sie sicher, dass alle Container-Workloads so konfiguriert sind, dass sie von einer UID ausgeführt werden, die in den zulässigen Bereich fällt.

Regelparameter:

• Konfigurationen festlegen:
  • userRangeMin (int): Die untere Grenze (enthalten) des erforderlichen UNIX-Benutzer-ID-Bereichs. Entspricht den Abschnitten .spec.securityContext.runAsUser und .spec.containers[].securityContext.runAsUser einer Podspezifikation.
  • userRangeMax (int): Die obere Begrenzung (enthalten) des erforderlichen UNIX-Benutzer-ID-Bereichs. Entspricht den Abschnitten .spec.securityContext.runAsUser und .spec.containers[].securityContext.runAsUser einer Podspezifikation.
• Risikostufe: MEDIUM
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn bestimmte Container-Workloads als Root ausgeführt werden.

Empfehlung: Stellen Sie sicher, dass keine Container-Workloads als Root ausgeführt werden.

Regelparameter:

• Gefahrenebene: Hoch
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container im privilegierten Modus ausgeführt wird.

Empfehlung: Stellen Sie sicher, dass keine Container im privilegierten Modus ausgeführt werden.

Regelparameter:

• Gefahrenebene: Hoch
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container mit einem nicht schreibgeschützten Dateisystem ausgeführt wird.

Empfehlung: Stellen Sie sicher, dass keine Container mit einem beschreibbaren Container-Root-Dateisystem ausgeführt werden.

Regelparameter:

• Gefahrenebene: Hoch
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container mit Funktionen ausgeführt wird, die nicht in der zulässigen Liste enthalten sind.

Empfehlung: Stellen Sie sicher, dass keine Container mit Funktionen ausgeführt werden, die nicht in der Liste der zulässigen Container enthalten sind.

Regelparameter:

• Konfigurationen festlegen:
  • allowedCapabilities (Liste): Die Liste der UNIX-Funktionen, die der Container hinzufügen darf. Verwenden Sie "ALL", um das Hinzufügen beliebiger Funktionen zu ermöglichen. Entspricht dem Abschnitt .spec.containers[].securityContext.capabiliteis.add einer Podspezifikation. Eine vollständige Liste der Funktionen finden Sie auf der linux-Manpage.
  • requiredDropFunktionen (Liste): Die Liste der UNIX-Funktionen, die der Container löschen muss. Verwenden Sie "ALL", damit alle Funktionen explizit gelöscht werden müssen. Entspricht dem Abschnitt .spec.containers[].securityContext.capabiliteis.drop einer Podspezifikation. Eine vollständige Liste der Funktionen finden Sie auf der linux-Manpage.
• Risikostufe: MEDIUM
• Labels: Sicherheitskontext

Beschreibung: Alert, wenn ein Container keinen Health Check aufweist.

Empfehlung: Stellen Sie sicher, dass für alle Container eine Liveness-Probe definiert ist.

Regelparameter:

• Konfigurationen festlegen:
  • probeTypes (Liste): Liste der zulässigen Probe-Aktionen. Wenn die Aktion "Nicht zulässig" verwendet wird, verletzt fehlende oder leere Probe die Regel. Verwenden Sie "any", um unabhängig von der Aktion auf Existenz zu prüfen. Entspricht dem Abschnitt spec.containers[].livenessProbe einer Podspezifikation.
• Risikostufe: MEDIUM
• Labels: Workload-Verfügbarkeit

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Linux/Windows

Beschreibung: Ermittelt, ob die Instanzsicherheit nicht installiert ist oder nicht wie erwartet ausgeführt wird. Beispiele:

InstanceOCID: <redacted>, currently in active state. The agent was last detected on 2024-03-19 21:11:27.41, more than 24 hours ago

Empfehlung: Es gibt einige Gründe, warum Sie diese Benachrichtigung erhalten könnten:

• Wenn der Compute-Host heruntergefahren ist und der Instanzsicherheits-Agent den Host nicht mehr als 24 Stunden erreichen kann. Untersuchen Sie Ihren Compute-Host, um festzustellen, ob dies der Fall ist.
• Wenn die Sicherheits-Policys der Instanz nicht korrekt sind. Stellen Sie sicher, dass alle diesen Policys hinzugefügt wurden.
• Wenn die neueste Version der Instanzsicherheit nicht vorhanden ist. Oracle Cloud Agent (OCA) aktualisiert den Instanzsicherheits-Agent auf einem Host automatisch. Wenn dies nicht geschehen ist, prüfen Sie Folgendes:

  Unter Linux:

  1. Ist Oracle Cloud Agent (OCA) aktiviert und wird in Ihrer Instanz ausgeführt.

     sudo systemctl status oracle-cloud-agent.service

  2. Prüfen Sie, ob das Instanzsicherheits-Plug-in ausgeführt wird. Er ist für die Verwaltung des Lebenszyklus des Instanzsicherheits-Agent verantwortlich. Wenn das Instanzsicherheits-Plug-in ausgeführt wird, aber Sie dieses Problem haben, bedeutet dies, dass mit dem Instanzsicherheits-Agent möglicherweise etwas falsch ist oder dass das Plug-in einen 4xx-Fehler erhält und der Agent nicht installiert ist oder nicht ausgeführt wird.

     pgrep oci-wlp

  3. Prüfen Sie, ob das Instanzsicherheits-Plug-in einen 404-Fehler im Log erhält.

     sudo vim /var/log/oracle-cloud-agent/plugins/oci-wlp/oci-wlp.log

  4. Vergewissern Sie sich, dass der Instanzsicherheits-Agent auf Ihrer Instanz ausgeführt wird.

     sudo systemctl status wlp-agent-osqueryd.service

     Wenn die Befehlsausgabe Fehler enthält, versuchen Sie, den Service neu zu starten.

     sudo systemctl restart wlp-agent-osqueryd.service

  Unter Windows:

  1. Prüfen Sie, ob das Instanzsicherheits-Plug-in in Oracle Cloud Agent (OCA) für Ihre Instanz aktiviert ist.
     1. Gehen Sie zu Startmenü > Windows-Verwaltungstools > Services.
     2. Prüfen Sie den Status des Oracle Cloud Agent Cloud Guard-Workload-Schutzes. Es sollte zeigen, dass es läuft.
     3. Wenn er gestoppt ist, wählen Sie mit der rechten Maustaste Starten aus.
  2. Prüfen Sie, ob der Instanzsicherheits-Agent auf Ihrer Instanz ausgeführt wird.
     1. Gehen Sie zu Startmenü > Windows-Verwaltungstools > Services.
     2. Prüfen Sie den Status des wlp-agent-Service. Es sollte zeigen, dass es läuft.
     3. Wenn er gestoppt ist, wählen Sie mit der rechten Maustaste Starten aus.

Sobald Sie das Problem gefunden und behoben haben, lassen Sie 24 Stunden für dieses Problem verschwinden. Wenn es nach 24 Stunden immer noch angezeigt wird und Sie die oben genannten Schritte erneut geprüft haben, wenden Sie sich an den Oracle Support.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Risikostufe: HIGH
• Labels: Instanzsicherheit

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: WMI ist die Infrastruktur für Verwaltungsdaten und -vorgänge auf Windows-basierten Betriebssystemen. Es handelt sich um einen Service Level-Prozess, der zur Ausführung von Skripten verwendet wird. Er kann zum Starten von Skriptterminals oder zum Herunterladen einer Payload verwendet werden.

Empfehlung: Überwachen Sie neu erstellte WMI-Objekte, die Persistenz herstellen und/oder Berechtigungen mithilfe von Systemmechanismen erhöhen können.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1546

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Ermittelt die potenzielle Deaktivierung von Windows-Sicherheitsfunktionen. Warnungen, wenn die Dienste Windows Defender (windefend), Windows Firewall) mpssvc und Windows Security Service (wscvcs) nicht ausgeführt werden. Beispiele:

Windows security service in stopped state: windefend

Empfehlung: Wenn Sie die Windows-Sicherheitsregel deaktivieren, können Ressourcen gefährdet sein. Wiegen Sie die Risiken und reaktivieren Sie die geltenden Regeln.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1562.001

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Dies kann auf Kennwortspraying bei Windows-Konten hinweisen, d.h. die wiederholte Verwendung desselben Kennworts auf mehreren Konten.

Empfehlung: Bestimmen Sie, ob es sich bei dem betreffenden Benutzerkonto um den tatsächlichen Benutzer handelt, der versucht, sich anzumelden.

Multifaktor-Authentifizierung verwenden Aktivieren Sie nach Möglichkeit die Multifaktor-Authentifizierung für extern zugewiesene Services. Legen Sie Richtlinien fest, um Konten nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche zu sperren, um zu verhindern, dass Passwörter erraten werden.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1110

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Linux

Beschreibung: Bedrohungsakteure laden häufig eine Web-Shell in HTTP-Services hoch. Dabei wird nach offenen Sockets in gängigen HTTP-Services wie Apache gesucht.

Empfehlung: Bestätigen Sie mit dem Systemeigentümer, ob der Webserverpfad eine Datei mit einem Serverport enthalten soll, der horcht.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Risikostufe: MEDIUM
• Labels: MITRE_T1505.003

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Linux

Beschreibung: Gibt mögliche Reverse Shells in Systemprozessen zurück. Beispiele:

Possible reverse shell on system process (pid | path | remote_address | remote_port): 10129 | /usr/bin/bash | | 0, 10164 | /usr/bin/bash | | 0]

Empfehlung: Sammeln Sie die Liste der IPs, die eine Verbindung zur Reverse Shell herstellen, und bestimmen Sie, ob sich die IP in einer falschen Reputationsliste befindet. Prüfen Sie, ob weitere Prozesse mit der Reverse Shell-PID verknüpft sind.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1505.003

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Malware versucht, vom Benutzerberechtigungsspeicher aus auszuführen. In dieser Abfrage beschränken wir es auf temporären Raum und betrachten die Kommandozeile für gemeinsame Werkzeuge, die zur Lateral-/Aufklärung der Umgebung verwendet werden.

Empfehlung: Untersuchen Sie die Binärdatei, um festzustellen, ob es sich um eine legitime Ausführung handelt. Ziehen Sie die Isolierung der Instanz für weitere Untersuchungen in Betracht.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1059

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Erkennt Prozesse, die versuchen, sich als legitime Windows-Prozesse über falsche Pfade zu maskieren. Beispiele:

Process masquerading as legitimate windows process explorer.exe at path(s): c:\users\opc\downloads\new folder\explorer\bin\debug\explorer.exe

Empfehlung: Sammeln Sie den Hash der Datei, und bestimmen Sie, ob es sich um eine bekannte fehlerhafte Binärdatei handelt. Bestimmen Sie, ob die maskierte Binärdatei versucht, andere Dateien auf dem System aufzurufen oder auszuführen.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1574.009

Diese Regel ist in den folgenden Rezepten vorhanden:

BS: Linux/Windows

• OCI Instance Security Detector-Rezept – Enterprise (von Oracle verwaltet)
• OCI-Instanzsicherheitsdetektorrezept (von Oracle verwaltet)

Beschreibung: Ermittelt Prozesse, die auf Netzwerkverbindungen horchen. Beispiele:

Disallowed open ports: {"scannedIps":[{"hostIp":"127.0.0.53","ports":[{"port":"53","type":null,"process":"systemd-resolve : /lib/systemd/systemd-resolved","family":"ipv4","protocol":"tcp"}

Empfehlung: Prüfen Sie, ob diese Ports auf diesem Host geöffnet sein sollen, und schließen Sie sie, wenn sie nicht geöffnet sein müssen.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Gefahrenebene: Kritisch
• Labels: MITRE_T1505.003

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Im Listening-Modus nach Putty suchen, um einen SSH-Tunnel zu erstellen.

Empfehlung: Sammeln Sie die Liste der IP-Adressen, die eine Verbindung zum Putty-Prozess herstellen, und untersuchen Sie verdächtige Adressen.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1572

Diese Regel ist in den folgenden Rezepten vorhanden:

BS: Linux

• OCI Instance Security Detector-Rezept – Enterprise (von Oracle verwaltet)
• OCI-Instanzsicherheitsdetektorrezept (von Oracle verwaltet)

Beschreibung: Scannt Compute-Instanzen, um bekannte Sicherheitslücken im Zusammenhang mit Anwendungen, Bibliotheken, Betriebssystemen und Services zu identifizieren. Dieser Detektor meldet Probleme, wenn der Service feststellt, dass eine Instanz mindestens eine Sicherheitslücke mit dem konfigurierten CVE-Schweregrad aufweist. Bei Sicherheitslücken mit dem CVE-Schweregrad unter der ausgewählten Ebene wird kein Cloud Guard-Problem erstellt, sondern als Teil der aggregierten Probleme dargestellt, die auf der Seite "Cloud Guard-Ressourcen" angezeigt werden.

Empfehlung: Prüfen Sie die gefundenen Sicherheitslücken, und priorisieren Sie sie. Ergreifen Sie Korrektur- oder Minderungsschritte entsprechend der Sicherheitslücke.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Gefahrenebene: Kritisch
• Labels: Instanzsicherheit

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Linux

Beschreibung: Suchen Sie im Listening-Modus nach Putty, um einen SSH-Tunnel für einen integrierten Linux-Terminalbefehl zu erstellen.

Empfehlung: Sammeln Sie die Liste der IP-Adressen, die eine Verbindung zum Putty-Prozess herstellen, und untersuchen Sie verdächtige Adressen.

Wenn möglich, dürfen nur signierte Skripte ausgeführt werden. Verwenden Sie gegebenenfalls die Anwendungssteuerung.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1572

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Linux

Beschreibung: Malware kann Cron-Jobs verwenden, die in regelmäßigen Abständen ausgeführt werden, um nach Backdoors zu suchen.

Empfehlung: Untersuchen Sie die Binärdatei, um festzustellen, ob es sich um eine legitime Ausführung handelt. Ziehen Sie die Isolierung der Instanz für weitere Untersuchungen in Betracht.

Wenn möglich, dürfen nur signierte Skripte ausgeführt werden. Verwenden Sie gegebenenfalls die Anwendungssteuerung.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Risikostufe: MEDIUM
• Labels: MITRE_T1547

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Malware kann eine geplante Aufgabe verwenden, die aus dem temporären Ordner ausgeführt wird, um eine Backdoor beim Neustart erneut auszuführen.

Empfehlung: Untersuchen Sie die Binärdatei, um festzustellen, ob es sich um eine legitime Ausführung handelt. Ziehen Sie die Isolierung der Instanz für weitere Untersuchungen in Betracht.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1053

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Bei dieser Erkennung werden verdächtige Windows-Services gesucht, die aus dem temporären Ordner ausgeführt werden. Dabei kann es sich um einen allgemeinen Mechanismus handeln, der von Malware verwendet wird, um sicherzustellen, dass die Backdoor in regelmäßigen Abständen ausgeführt wird.

Empfehlung: Untersuchen Sie die Binärdatei, um festzustellen, ob es sich um eine legitime Ausführung handelt. Ziehen Sie die Isolierung der Instanz für weitere Untersuchungen in Betracht.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Risikostufe: HIGH
• Labels: MITRE_T1547

Diese Regel ist im OCI-Instanzsicherheitsdetektorrezept des Unternehmens (von Oracle verwaltet) vorhanden.

BS: Windows

Beschreibung: Malware kann beim Neustart eine Backdoor erneut ausführen.

Empfehlung: Untersuchen Sie die Binärdatei, um festzustellen, ob es sich um eine legitime Ausführung handelt. Ziehen Sie die Isolierung der Instanz für weitere Untersuchungen in Betracht.

Regelparameter:

• Service-Typ: Compute
• Ressourcenart: Instanz
• Risikostufe: MEDIUM
• Labels: MITRE_T1547

Beschreibung: Alert, wenn ein Benutzer Aktivitäten ausgeführt hat, die einen Risikoscore über dem Problemschwellenwert generieren, der auf einen beschädigten Account oder eine Insiderbedrohung hinweisen könnte. Angreifer können Brute-Force-Techniken verwenden, um Zugriff auf Accounts zu erhalten, wenn Kennwörter unbekannt sind. Benutzer können die ihnen zugewiesenen Berechtigungen missbrauchen und Aufgaben ausführen, die weit über die Geschäftsanforderungen hinausgehen, was sich negativ auf die Organisation auswirken kann.

Empfehlung: Sie sollten den Account vorübergehend deaktivieren, während Sie die Aktivität untersuchen. Setzen Sie das Kennwort zurück, wenn der Benutzer die Aktivität nicht erkennt.

Hintergrund: Ein Benutzerrisikoscore, der den Problemschwellenwert überschreitet, kann auf einen kompromittierten Account oder einen unzufriedenen Mitarbeiter hinweisen.

Regelparameter: Diese Regel enthält keine Parameter, die Sie ändern können.

• Behalten Sie die Standardeinstellungen bei.