Oracle Cloud Infrastructure-Dokumentation

OCI-Responder-Rezepte

Cloud Guard-Detektoren folgen Regeln, die in Rezepten gesammelt werden, um Probleme zu identifizieren.

Ein Responder ist eine Aktion, die Cloud Guard ausführen kann, wenn ein Detektor ein Problem ermittelt hat. Die verfügbaren Aktionen sind ressourcenspezifisch. Jeder Responder verwendet ein Responder-Rezept, das die Aktion oder Aktionen definiert, die als Reaktion auf ein Problem ausgeführt werden sollen, das ein Detektor identifiziert hat.

Jedes Responder-Rezept verwendet mehrere Responder-Regeln, von denen jede die gewünschten Aktionen definiert.

Cloud Guard stellt ein Set von Respondern mit Standardregeln bereit. Sie können:

  • Sie können diese Responder unverändert verwenden.
  • Sie können alle Standard-Responder klonen und die Regeln entsprechend spezifischen Anforderungen ändern.
  • Sie können Responder-Regeln einzeln aktivieren und deaktivieren.
  • Sie können den Geltungsbereich einzelner Regeln begrenzen, indem Sie Bedingungen angeben, die erfüllt werden müssen.

Cloud Guard unterstützt zwei Rezepte:

  • Von Oracle verwaltete Rezepte werden von Oracle bereitgestellt, und Sie können nur einige Einstellungen in den Rezeptregeln ändern.
  • Benutzerdefinierte Rezepte müssen erstellt werden, in der Regel indem ein von Oracle verwaltetes Rezept geklont wird. Sie können weitere Einstellungen in Regeln für benutzerdefinierte Rezepte ändern.

Weitere Informationen dazu, was Sie in von Oracle verwalteten oder benutzerdefinierten Rezepten ändern können und ob Sie Änderungen auf Rezept- oder Zielebene vornehmen, finden Sie unter Rezepte auf Rezept- und Zielebene ändern.

Policy-Anweisungen für OCI-Responder

Fügen Sie Policy-Anweisungen hinzu, die für bestimmte Responder erforderlich sind.

Achtung

Das Aktivieren von Antwortenden erteilt Cloud Guard die Berechtigung, Sicherheitseinstellungen in Ihrer Umgebung zu ändern, um die von den Antwortenden erkannten Probleme in Ihrem Namen zu beheben. Stellen Sie sicher, dass die Erteilung dieser Berechtigungen nicht gegen die Sicherheits-Policys Ihrer Organisation verstößt.

Für bestimmte Responder sind die folgenden Policy-Anweisungen erforderlich. Basierend auf dem Responder-Typ ist eine dieser Policys bei der manuellen oder automatischen Korrektur erforderlich.

allow service cloudguard to manage instance-family in compartment <compartment_name>
allow service cloudguard to manage object-family in compartment <compartment_name>
allow service cloudguard to manage buckets in compartment <compartment_name>
allow service cloudguard to manage users in compartment <compartment_name>
allow service cloudguard to manage policies in compartment <compartment_name>
allow service cloudguard to manage keys in compartment <compartment_name>