Oracle Cloud Infrastructure-Dokumentation

Voraussetzungen

Führen Sie diese Aufgaben aus, bevor Sie Oracle Cloud Guard aktivieren.

Hinweis

Cloud Guard ist für kostenlose Oracle Cloud Infrastructure- Mandanten nicht verfügbar. Bevor Sie versuchen, Cloud Guard zu aktivieren, stellen Sie Folgendes sicher:
  • Sie haben einen kostenpflichtigen Mandanten.
  • Ihr Mandantenaccounttyp ist einer der folgenden:
    • default_dbaas
    • enterprise_dbaas
    • enterprise

Cloud Guard-Benutzergruppe erstellen

Damit Benutzer mit Cloud Guard arbeiten können, erstellen Sie eine Benutzergruppe mit Administratorberechtigungen.

Cloud Guard verarbeitet Sicherheitsinformationen global und darf einer eingeschränkten Zielgruppe zur Verfügung stehen.

  1. Melden Sie als Mandantenadministrator bei der Oracle Cloud Infrastructure-Konsole an.
  2. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  3. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Wählen Sie dann Gruppen aus. Eine Liste der Gruppen in der Domain wird angezeigt.

    Sie benötigen die Berechtigung, in einem Compartment zu arbeiten, um die darin enthaltenen Ressourcen anzuzeigen. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, wenden Sie sich an einen Administrator. Weitere Informationen finden Sie unter Compartments.

  4. Wählen Sie Gruppe erstellen aus.
  5. Füllen Sie die Pflichtfelder aus, und wählen Sie Erstellen aus.
    Geben Sie einen Namen an, der die Gruppe eindeutig identifiziert, wie CloudGuardUsers. Geben Sie dabei keine vertraulichen Informationen ein.

Weitere Schritte

Fügen Sie Cloud Guard-Benutzer zur erstellten Gruppe hinzu.

Wenn Sie einen Identitätsprovider (IdP) wie Oracle Identity Cloud Service zur föderierten Authentifizierung von Benutzern verwenden möchten, ordnen Sie die Identitätsprovidergruppe der erstellten OCI-IAM-Gruppe zu. Schritte für Oracle Identity Cloud Service finden Sie unter Oracle Identity Cloud Service-Benutzer in der Konsole verwalten.

Policy-Anweisungen für Benutzer

Fügen Sie eine Policy-Anweisung hinzu, mit der die definierte Cloud Guard-Benutzergruppe zur Verwaltung von Cloud Guard-Ressourcen autorisiert wird.

Hinweis

Sie finden alle Policys, die für die Aktivierung von Cloud Guard erforderlich sind, im Thema Oracle Cloud Infrastructure Identity and Access Management (IAM) Allgemeine Policys. Suchen Sie auf dieser Seite nach "Cloud Guard", und blenden Sie die vier gesuchten Listen ein.

Ausführliche Informationen zu einzelnen Cloud Guard-Policys finden Sie unter Cloud Guard-Policys.

Um Cloud Guard-Ressourcen zu verwalten, fügen Sie die folgende Policy-Anweisung hinzu. Damit werden alle Benutzer in der Gruppe CloudGuardUsers aktiviert. Wenn Sie der Gruppe einen anderen Namen zugewiesen haben, geben sie diesen anstelle von CloudGuardUsers ein.

allow group <identity_domain_name>/CloudGuardUsers to manage cloud-guard-family in tenancy

Wenn sich die Cloud Guard-Benutzergruppe nicht in der Standardidentitätsdomain befindet, müssen Sie <identity_domain_name> gefolgt von einem Schrägstrich ("/") vor dem Gruppennamen einfügen:

allow group <identity_domain_name>/CloudGuardUsers to manage cloud-guard-family in tenancy

Mit dieser Policy können Benutzer, die Sie der Cloud Guard-Benutzergruppe hinzufügen, jetzt mit Cloud Guard aktivieren fortfahren.

Hinweis

Wenn Sie nicht genau die oben angegebene Policy-Anweisung hinzufügen möchten, müssen Sie die folgende Policy-Anweisung als Mindestanforderung hinzufügen, damit Benutzer auf Cloud Guard zugreifen können: 
allow group CloudGuardUsers to use cloud-guard-config in tenancy

Wenn sich die Cloud Guard-Benutzergruppe nicht in der Standardidentitätsdomain befindet, müssen Sie <identity_domain_name> gefolgt von einem Schrägstrich ("/") vor dem Gruppennamen einfügen:

allow group <identity_domain_name>/CloudGuardUsers to use cloud-guard-config in tenancy
Berechtigungen und zugehörige IAM-Policys

Basierend auf typischen Sicherheitsfunktionen, die in einer Organisation vorhanden sein könnten, unterstützt Cloud Guard die folgenden Administratorrollen. Jede Rolle weist zugehörige IAM-Ressourcennamen und Policys auf, mit denen Sie den Zugriff auf Cloud Guard-Funktionen kontrollieren können.

Administrator-Rolle Cloud Guard-Funktionen IAM-Berechtigungsressourcen Zugängliche Funktionen
Serviceeigentümer (Root oder Superadministrator)
  • Cloud Guard aktivieren
  • IAM-Gruppen und -Policys erstellen
 cloud-guard-family cloud-guard-family im Mandanten verwalten
Sicherheitsarchitektur (Sicherheitsanalyst)
  • Detektorrezepte klonen
  • Detektoren verwalten
  • Detektorrezepte zu Zielen zuweisen
  • Probleme und Problemscores und andere Metriken lesen/verwalten

cloud-guard-detectors

cloud-guard-targets

cloud-guard-detector-recipes

cloud-guard-responder-recipes

cloud-guard-managed-lists

cloud-guard-problems

cloud-guard-risk-scores

cloud-guard-security-scores

 Diese Ressourcen im Mandanten/Compartment verwalten/prüfen/lesen*
Sicherheitsvorgangs-Admin
  • Cloud Guard-Probleme verwalten, prüfen oder lesen*
 cloud-guard-problems Cloud Guard-Probleme verwalten/prüfen/lesen*

*Unterschied zwischen Lesen und Prüfen: Lesen ermöglicht die Anzeige von Details zu aufgelisteten Problemen, während "Prüfen" nur die Anzeige der Problemliste ermöglicht. Lesen ist eine Obermenge von Prüfen.

Achtung

Stellen Sie sicher, dass nur der Root-Administrator Ziele löschen kann.
Beispiele für Policy-Anwendungsfälle

Die in der folgenden Tabelle aufgeführten Anwendungsfälle stellen Beispiele für Administratorrollen und IAM-Policys dar, die Sie zur Unterstützung konfigurieren können.

Anwendungsfall Minimal erforderliche Policys Funktionen zulässig, unzulässig Berechtigungen Authentifizierung.
Schreibgeschützter Zugriff auf Cloud Guard-Daten und -Konfiguration für alle Compartments Admin kann eine spezielle Gruppe wie cgreadgroup erstellen, Benutzer zu dieser Gruppe hinzufügen und dann diese Policys hinzufügen:
  • allow group cgreadgroup to read cloud-guard-family in tenancy
  • allow group cgreadgroup to read compartments in tenancy

Zulässig: Seiten "Überblick", "Probleme, Detektoren, Ziele und Responder-Aktivitäten" lesen.

Nicht zulässig: Detektorrezepte bearbeiten oder kopieren, Ziele erstellen, Rezepte aus Zielen löschen und verwaltete Listen erstellen.

 Seite "Überblick" - Lesen: Ja
Probleme - Lesen: Ja
Probleme - Verwalten: Nein
Probleme - Beheben: Nein
Ziele - Lesen: Ja
Ziele - Verwalten: Nein
Detektorrezepte/Regeln - Lesen: Ja
Detektorrezepte/Regeln - Verwalten: Nein
Responder-Aktivität - Lesen: Ja
Schreibgeschützter Zugriff auf Cloud Guard-Daten und -Konfiguration für ein Compartment Admin kann eine spezielle Gruppe wie cggroupcomptonly erstellen, Benutzer zu dieser Gruppe hinzufügen und dann diese Policys hinzufügen ("OCIDemo" ist hier der Name des Compartments):
  • allow group cggroupcomptonly to read compartments in tenancy where target.compartment.name = 'OCIDemo'
  • allow group cggroupcomptonly to read cloud-guard-family in compartment OCIDemo
  • allow group cggroupcomptonly to inspect cloud-guard-config in tenancy

Zulässig: Lesen Sie Daten nur für das angegebene Compartment auf den Seiten "Überblick", "Probleme", " Detektoren" und "Ziele".

Nicht zulässig: Diese Seiten mit Daten für andere Compartments lesen.

 Seite "Überblick" - Lesen: Ja
Probleme - Lesen: Ja
Probleme - Verwalten: Nein
Probleme - Beheben: Nein
Ziele - Lesen: Ja
Ziele - Verwalten: Nein
Detektorrezepte und Regeln - Lesen: Ja
Detektorrezepte und Regeln - Verwalten: Nein
Responder-Aktivität - Lesen: Ja
Schreibgeschützter Zugriff auf Cloud Guard-detektorrezepte Admin kann eine spezielle Gruppe wie cgreaddetrecipes erstellen, Benutzer zu dieser Gruppe hinzufügen und dann diese Policys hinzufügen:
  • allow group cgreaddetrecipes to read cloud-guard-detector-recipes in tenancy
  • allow group cgreaddetrecipes to read compartments in tenancy
  • allow group cgreaddetrecipes to inspect cloud-guard-config in tenancy

Zulässig: Seiten für Deteorrezepte und Regeln lesen.

Nicht zulässig: Rezepte kopieren oder löschen. Regeln für ein Rezept verwalten, Seiten außerhalb von Detektoren und Respondern anzeigen.

 Seite "Überblick" - Lesen: Nein
Probleme - Lesen: Nein
Probleme - Verwalten: Nein
Probleme - Beheben: Nein
Ziele - Lesen: Nein
Ziele - Verwalten: Nein
Detektorrezepte und Regeln - Lesen: Ja
Detektorrezepte und Regeln - Verwalten: Nein
Responder-Aktivität - Lesen: Nein
Schreibgeschützter Zugriff auf Cloud Guard-Probleme, ausgenommen Sicherheitsscore und Risikoscore Admin kann eine spezielle Gruppe wie cgreadproblems erstellen, Benutzer zu dieser Gruppe hinzufügen und dann diese Policys hinzufügen:
  • allow group cgreadproblems to read cloud-guard-problems in tenancy
  • allow group cgreadproblems to read compartments in tenancy
  • allow group cgreadproblems to inspect cloud-guard-config in tenancy

Zulässig auf der Seite "Überblick": Anzeige von:

  • Problem-Snapshot
  • Probleme gruppiert nach...
  • Benutzeraktivitätsprobleme
  • Trendlinie für neue Probleme

Nicht zulässig auf der Seite "Überblick": Zugriff auf:

  • Sicherheitsscore
  • Risikoscore
  • Sicherheitsempfehlungen
  • Responder-Status
  • Trendlinie für Sicherheitsscore
  • Trendlinie für Korrekturen

Der Zugriff auf alle anderen Seiten ist ebenfalls unzulässig.

 Seite "Überblick" - Lesen:

(beschränkt auf Problem-Snapshot, Probleme gruppiert nach..., Benutzeraktivitätsprobleme und Trendlinie für neue Probleme)

 Ja
Probleme - Lesen: Nein
Probleme - Verwalten: Nein
Probleme - Beheben: Nein
Ziele - Lesen: Nein
Ziele - Verwalten: Nein
Detektorrezepte und Regeln - Lesen: Nein
Detektorrezepte und Regeln - Verwalten: Nein
Responder-Aktivität - Lesen: Nein
Schreibgeschützter Zugriff auf Cloud Guard-Probleme, einschließlich Security Score und Risk Score Admin kann eine spezielle Gruppe von Benutzern wie in der vorhergehenden Zeile mit den dort genannten Policys erstellen und dann diese Policys hinzufügen:
  • allow group cgreadproblems to inspect cloud-guard-risk-scores in tenancy
  • allow group cgreadproblems to inspect cloud-guard-security-scores in tenancy

Zulässig auf der Seite "Überblick": Anzeige von:

  • Sicherheitsscore
  • Risikoscore
  • Problem-Snapshot
  • Probleme gruppiert nach...
  • Benutzeraktivitätsprobleme
  • Trendlinie für neue Probleme

Nicht zulässig auf der Seite "Überblick": Zugriff auf:

  • Sicherheitsempfehlungen
  • Responder-Status
  • Trendlinie für Sicherheitsscore
  • Trendlinie für Korrekturen

Der Zugriff auf alle anderen Seiten ist ebenfalls unzulässig.

 Seite "Überblick" - Lesen:

(beschränkt auf Sicherheitsscore, Risikoscore, Problem-Snapshot, Probleme gruppiert nach..., Benutzeraktivitätsprobleme und Trendlinie für neue Probleme)

 Ja
Probleme - Lesen: Nein
Probleme - Verwalten: Nein
Probleme - Beheben: Nein
Ziele - Lesen: Nein
Ziele - Verwalten: Nein
Detektorrezepte und Regeln - Lesen: Nein
Detektorrezepte und Regeln - Verwalten: Nein
Responder-Aktivität - Lesen: Nein
Cloud Guard-Berechtigungsreferenz

In der folgenden Tabelle werden die verfügbaren Cloud Guard-Berechtigungen zusammengefasst.

Berechtigung Zweck Erforderlicher Bereich Hinweise

cloud-guard-family

Fasst alle Berechtigungen für Cloud Guard in einer einzigen Berechtigung zusammen.

Die Verwendung eines Metaverbs (inspect, read, use und manage) hierbei erteilt dieselben Berechtigungen für alle anderen Berechtigungen.

Verwenden Sie diese Berechtigung mit Vorsicht.

Mandant oder Compartment

Gemeinsamer Berechtigungsname für alle Berechtigungen.

cloud-guard-detectors

Nicht mehr erforderlich. Statische Daten sind ohne Autorisierung verfügbar.

N/V

Wird nicht aus Konsole verwendet.

cloud-guard-targets

Erforderlich zum Anzeigen und Verwalten von Zieldaten für Compartment oder Mandant.

Das Metaverb inspect ist erforderlich, um die Auswahlliste zum Filtern von Problemen minimal aufzufüllen. Dabei können Sie entweder den Mandanten oder ein oder mehrere Compartments als Geltungsbereich festlegen.

Das Metaverb read erteilt die Berechtigung zum Anzeigen der Zielkonfiguration.

Das Metaverb use ist erforderlich, um ein zuvor erstelltes Ziel zu aktualisieren.

Das Metaverb manage ist erforderlich, um den Lebenszyklus eines Ziels zu verwalten.

Empfehlung: Legen Sie ein Compartment als Geltungsbereich für diese Berechtigung fest, damit Benutzer Vorgänge nur in diesem Compartment ausführen können.

Mandant oder Compartment

Die Daten werden auf der Seite Ziele und zum Auffüllen des Dropdown-Feldes zum Filtern der Seite Probleme verwendet.

cloud-guard-config

Erforderlich, um die Cloud Guard-Konfiguration für den Mandanten anzuzeigen.

Ohne diese Berechtigung können Benutzer nicht die Seite Überblick oder andere Cloud Guard-Seiten anzeigen. Sie werden auf die Cloud Guard-Seite Aktivieren umgeleitet.

Das Metaverb inspect ist erforderlich, um den Aktivierungsstatus von Cloud Guard zusammen mit konfigurierten Berichtsregionsdetails anzeigen zu können.

Die Metaverben use und manage müssen auf Benutzer eingeschränkt werden, die Funktionen zur Aktivierung oder Deaktivierung von Cloud Guard benötigen.

Mandant

Mit diesen Daten werden Cloud Guard-Status und Berichtsregionsdetails identifiziert. Alle nachfolgenden Aufrufe aus der Konsole werden zur Ausführung von CRUDL-Vorgängen an die Berichtsregion umgeleitet.

Die konfigurierte Berichtsregion wird auf der Seite Einstellungen angezeigt.

cloud-guard-managed-lists

Erforderlich, um die verwalteten Listendaten für das Compartment oder den Mandanten anzuzeigen und zu verwalten.

Das Metaverb inspect ist im Mandantengeltungsbereich erforderlich, wenn Benutzer von Oracle verwaltete Listen klonen müssen, die im Root Compartment vorhanden sind.

Das Metaverb read ist erforderlich, um eine verwaltete Listenkonfiguration anzuzeigen und die verwaltete Liste mit einer Bedingungsgruppe oder mit Einstellungen zu verknüpfen, die im Ziel, Detektorrezept oder Responder-Rezept vorhanden sind. Wenn eine verwaltete Liste im Mandantengeltungsbereich vorhanden ist, muss der Mandant als Geltungsbereich für die Policy festgelegt sein. Wenn eine verwaltete Liste im Compartment vorhanden ist, muss das Compartment als Geltungsbereich festgelegt sein.

Das Metaverb use bietet zusätzlich zu read weitere Funktionen, um vorhandene verwaltete Listen zu ändern, für die Benutzer bereits Lesezugriff haben.

Das Metaverb manage ist erforderlich, um eine neue verwaltete Liste zu erstellen und den Lebenszyklus von vom Kunden erstellten verwalteten Listen zu verwalten.

Mandant oder Compartment

Die Daten werden auf der Seite Verwaltete Listen und zum Auffüllen der Werte verwendet, die eine verwaltete Liste mit Bedingungsgruppen oder Einstellungen verknüpfen, die in Zielen, Detektorrezepten oder Responder-Rezepten vorhanden sind.

cloud-guard-problems

Erforderlich zum Anzeigen und Ausführen von Aktionen bei Problemen, die im Compartment oder Mandanten vorhanden sind.

Das Metaverb inspect ist erforderlich, um Daten auf der Seite Überblick anzuzeigen und die Probleme auf der Seite Probleme aufzuführen. Als Geltungsbereich kann der Mandant festgelegt werden, sodass ermittelte Probleme für alle Compartments sichtbar sind. Der Geltungsbereich kann aber auch auf ein Compartment gesetzt werden, um den Zugriff auf Probleme für das jeweilige Compartment zu beschränken.

Wenn das Ziel darin besteht, Problemdetails anzuzeigen, ist das Metaverb read erforderlich.

Die Metaverben use und manage müssen der Policy hinzugefügt werden, wenn der Benutzer Aktionen für Probleme wie "Als gelöst markieren", "Verwerfen" oder "Beheben" bei einzelnen oder mehreren Problemen ausführen kann.

Mandant oder Compartment

Die Daten werden auf der Seite Probleme und auch auf der Seite Überblick zum Auffüllen der folgenden Bereiche verwendet:

  • Problem-Snapshot
  • Benutzeraktivitätsprobleme
  • Probleme gruppiert nach...
  • Trendlinie für neue Probleme

Für die Seite "Überblick" ist minimal das Metaverb inspect erforderlich, um die Bereiche anzuzeigen.

cloud-guard-detector-recipes

Erforderlich zum Anzeigen und Verwalten von Detektorrezeptdaten für Compartment oder Mandant.

Wenn Benutzer von Oracle verwaltete Rezepte klonen müssen, die im Root Compartment vorhanden sind, ist das Metaverb inspect im Mandantengeltungsbereich erforderlich.

Das Metaverb read ist erforderlich, um eine Rezeptkonfiguration anzuzeigen und Rezepte an ein Ziel anzuhängen. Wenn Rezepte im Mandantengeltungsbereich vorhanden sind, muss der Mandant als Geltungsbereich für die Policy festgelegt sein. Wenn Rezepte im Compartment vorhanden sind, muss das Compartment als Geltungsbereich festgelegt sein.

Das Metaverb use bietet weitere Funktionen zum Ändern von Bedingungsgruppen und anderen Einstellungen in vorhandenen Rezepten, für die Benutzer bereits Lesezugriff haben.

Das Metaverb manage ist erforderlich, um ein Rezept zu klonen und den Lebenszyklus geklonter Rezepte zu verwalten.

Mandant oder Compartment

Die Daten werden auf der Seite Detektorrezepte und zum Auffüllen der Auswahlliste verwendet, wenn das Detektorrezept an ein Ziel angehängt wird.

cloud-guard-responder-recipes

Erforderlich zum Anzeigen und Verwalten von Responder-Rezeptdaten für Compartment oder Mandant.

Wenn Benutzer von Oracle verwaltete Rezepte klonen müssen, die im Root Compartment vorhanden sind, ist das Metaverb inspect im Mandantengeltungsbereich erforderlich.

Das Metaverb read ist erforderlich, um eine Rezeptkonfiguration anzuzeigen und Rezepte an ein Ziel anzuhängen. Wenn Rezepte im Mandantengeltungsbereich vorhanden sind, muss der Mandant als Geltungsbereich für die Policy festgelegt sein. Wenn Rezepte im Compartment vorhanden sind, muss das Compartment als Geltungsbereich festgelegt sein.

Das Metaverb use bietet weitere Funktionen zum Ändern von Bedingungsgruppen und anderen Einstellungen in vorhandenen Rezepten, für die Benutzer bereits Lesezugriff haben.

Das Metaverb manage ist erforderlich, um ein Rezept zu klonen und den Lebenszyklus geklonter Rezepte zu verwalten.

Mandant oder Compartment

Die Daten werden auf der Seite Responder-Rezepte und zum Auffüllen der Auswahlliste verwendet, wenn Sie ein Responder-Rezept an ein Ziel anhängen.

cloud-guard-responder-executions

Erforderlich zum Anzeigen und Verwalten von Responder-Aktivitätsdaten für Compartment oder Mandant.

Das Meta-Verb inspect ist minimal erforderlich, um Daten auf der Seite Überblick und auf den Seiten Responder-Aktivität auffüllen zu können.

Das Metaverb read ist erforderlich, um bestimmte Responder-Aktivitätsdaten anzuzeigen. Von Konsole nicht erforderlich.

Die Metaverben use und manage sind erforderlich, um Aktionen wie "Überspringen" oder "Ausführen" für bestimmte Responder-Aktivitäten auszuführen oder die Ausführung für mehrere Responder-Aktivitäten zu überspringen.

Mandant oder Compartment

Das Metaverb inspect:

  • Mit diesen Daten werden der Bereich Responder-Status und Trendlinie für Korrekturen auf der Seite Überblick aufgefüllt.
  • Diese Daten werden auch auf der Seite Responder-Aktivität verwendet.

Das Metaverb read:

  • Für Konsole nicht erforderlich.

Die use- oder manage-Metaverben:

  • Erforderlich zum Überspringen und Ausführen von Aktionen für bestimmte Responder-Aktivitäten oder zum Ausführen von Bulküberspringung für mehrere Responder-Aktivitäten.

cloud-guard-recommendations

Erforderlich, um Empfehlungen anzuzeigen, die den Risikoscore und den Sicherheitsscore des Mandanten verbessern.

Das Metaverb inspect ist die minimale Anforderung.

Mandant oder Compartment

Diese Daten werden auf der Seite Überblick im Bereich Sicherheitsempfehlungen angezeigt.

cloud-guard-user-preferences

Erforderlich zum Verwalten von Benutzervoreinstellungen für die Cloud Guard-Konsole. Wird derzeit zum Verwalten des Status einer geführten Tour für angemeldete Benutzer verwendet. Wenn Sie die Benutzervoreinstellung speichern, wird der Prompt zum Abschließen der Tour bei nachfolgenden Anmeldungen übersprungen.

Das Metaverb inspect ist die minimale Anforderung, um die Voreinstellung des aktuellen Benutzers abzurufen.

Das Metaverb use oder manage muss verwendet werden, um die Voreinstellung auch zu persistieren.

Mandant

Diese Daten werden im Abschnitt Geführte Tour der Seite Einstellungen angezeigt.

cloud-guard-risk-scores

Erforderlich, um Risikoscoredaten für den Mandanten anzuzeigen.

Ohne diese Berechtigung können die Benutzer den Risikoscore für den Mandanten nicht anzeigen.

Das Metaverb inspect ist die minimale Anforderung.

Mandant

Diese Daten werden auf der Seite Übersicht im Bereich Risikoscore angezeigt.

cloud-guard-security-scores

Erforderlich, um die Bewertung des Sicherheitsscores für den Mandanten anzuzeigen.

Ohne diese Berechtigung können Benutzer den Sicherheitsscore für den Mandanten nicht anzeigen.

Das Metaverb inspect ist die minimale Anforderung.

Mandant

Diese Daten sind auf der Seite Überblick unter Bewertung für Sicherheitsbewertung und Trendlinie für Sicherheitsbewertung sichtbar.