Oracle Cloud Infrastructure-Dokumentation

Bedrohungsdetektor

Lernen Sie die Konzepte und Begriffe kennen, die Sie für die Arbeit mit der Cloud Guard-Komponente "Bedrohungsdetektor" benötigen.

Die Komponente "Bedrohungsdetektor" in Cloud Guard erfasst und verarbeitet Informationen zu potenziellen Bedrohungen wie folgt:

  1. Informationen werden aus Cloud Guard-Zielen erfasst.
  2. Der Bedrohungsdetektor erhält Informationen zu potenziellen Bedrohungen von Threat Intelligence Service. Dies sind Kompromittierungsindikatoren wie IP-Adressen und Domains, die bekannten Malware-Command-and-Control-Servern zugeordnet werden.
  3. Diese Informationen werden über Modelle verarbeitet, die mit dem MITRE ATT&CK-Framework abgestimmt sind, um die potenziellen Taktiken und Methoden zu kategorisieren.
  4. Diese Modelle erzeugen "Sichtungen" - einzelne Instanzen des potenziell böswilligen Verhaltens. Diese werden bewertet, um die Ernsthaftigkeit der Konsequenzen zu beurteilen, falls der Angriff echt ist, und die Wahrscheinlichkeit, dass der Angriff echt ist.
  5. Anschließend werden die Sichtungen in einem Ressourcenprofil zusammengefasst.
  6. Das Ressourcenprofil wird bewertet, um das Risiko zu beurteilen, das durch die Abfolge von Sichtungen beschrieben wird.
  7. Eine Risikostufe wird basierend auf dem höchsten Risikoscore der letzten 14 Tage zugewiesen.
  8. Wenn die Risikostufe kritisch wird, wird ein Problem generiert.

Auf den Seiten Bedrohungsmonitoring und Bedrohungsmonitoringdetails werden Informationen zu jedem aufgeführten Ressourcenprofil angezeigt. Um die angezeigten Informationen zu interpretieren, machen Sie sich mit den folgenden Schlüsselkonzepten und Begriffen vertraut.

Allgemeine Konzepte zum Monitoring von Bedrohungen

Diese Konzepte sind grundlegend, um das Bedrohungsmonitoring in Cloud Guard zu verstehen, insbesondere wenn Sie mit den Seiten Bedrohungsmonitoring und Bedrohungsmonitoringdetails arbeiten.

  • Sichtung: Eine bestimmte Instanz des potenziell böswilligen Verhaltens, die von Cloud Guard festgestellt wurde. Einzelne Sichtungen werden über Zeit und Regionen hinweg korreliert. Die Sammlung zugehöriger Sichtungen wird anhand der Wahrscheinlichkeit bewertet, dass sie einen Angriff darstellt, und wie schwerwiegend die Folgen dieses Angriffs sein könnten.
  • Sichtungstyp: Cloud Guard erkennt verschiedene Sichtungstypen. Siehe Sichtungstypreferenz.
  • Korrelation: Cloud Guard erfasst Rohdaten in jeder Region. Cloud Guard korreliert dann zugehörige Sichtungen über Regionen hinweg und berechnet einen normalisierten Score für die zugehörigen Sichtungen. Wenn der normalisierte Risikoscore einen Schwellenwert überschreitet, löst Cloud Guard ein Problem aus und weist dem Problem einen Schweregrad und ein Konfidenzniveau zu.
  • Konfidenz: Ein Konfidenzniveau stellt eine Schätzung der Wahrscheinlichkeit dar, dass eine Sichtung einen tatsächlichen Angreifer darstellt. Cloud Guard verwendet dieselben Kategorien für den Schweregrad und das Konfidenzniveau in den resultierenden Details der Sichtung:

    Die Kombination von Faktoren, die Cloud Guard zur Ermittlung des Konfidenzniveaus verwendet, unterscheidet sich bei verschiedenen Sichtungstypen. Weitere Informationen zu den einzelnen Sichtungstypen finden Sie in den Abschnitten "Schweregrad" und "Konfidenz" unter Sichtungstypreferenz.

  • Schweregrad: Ein Konfidenzniveau stellt eine Schätzung der Wahrscheinlichkeit dar, dass eine Sichtung einen tatsächlichen Angreifer darstellt. Ein Schweregrad stellt die potenzielle Bedrohungsstufe dar, die von einer Prüfung ausgeht, d.h. wie ernst die Sichtung sein könnte, vorausgesetzt, sie stellt einen tatsächlichen Angreifer dar. Cloud Guard verwendet die folgenden Kategorien für den Schweregrad und das Konfidenzniveau in den resultierenden Details der Sichtung:

    Die Kombination von Faktoren, die Cloud Guard zur Ermittlung des Schweregrads verwendet, unterscheidet sich bei verschiedenen Sichtungstypen. Weitere Informationen zu den einzelnen Sichtungstypen finden Sie in den Abschnitten "Schweregrad" und "Konfidenz" unter Sichtungstypreferenz.

  • Sichtungsscore: Kombiniert Schweregrad- und Konfidenzbewertungen zusammen mit anderen Faktoren, um eine numerische Schätzung des Bedrohungsschweregrads abzuleiten.

    Der Sichtungsscore unterscheidet sich vom Risikoscore bei Problemen.

  • Risikoscore: Cloud Guard erfasst Rohdaten in jeder Region und berechnet einen Rohrisikoscore für zugehörige Sichtungen. Cloud Guard korreliert dann zugehörige Sichtungen über Regionen hinweg und berechnet einen normalisierten Score für die zugehörigen Sichtungen. Wenn der normalisierte Risikoscore einen Schwellenwert überschreitet, löst Cloud Guard ein Problem aus und weist dem Problem einen Schweregrad und ein Konfidenzniveau zu.
  • Risikohöhe: Basiert auf dem Risikoscore bei Spitzenlast der letzten 14 Tage. (Kritisch, Hohe, Mittlere, Niedrige, Gängige). Die Risikostufe steigt sofort an, wenn ein hoher Risikoscore registriert wird. Wenn keine weiteren hohen Risikoscores registriert werden, sinkt die Risikostufe langsam, da es 14 Tage dauert, bis dieser hohe Risikoscore aus der Berechnung der Risikostufe herausgenommen wird.

    Definitionen dieser Risikostufen finden Sie unter Probleme aus dem Problem-Snapshot anzeigen.

  • Taktik: Aus Sicht des MITRE ATT&CK-Frameworks wird die Sichtung als Instanz dieser MITRE-Taktik klassifiziert. Beispiel: Berechtigungseskalation oder Zugangsdatenzugriff.
  • Methode: Aus Sicht des MITRE ATT&CK-Frameworks wird die Sichtung als Instanz dieser MITRE-Methode oder -Untermethode klassifiziert. Beispiel: Erraten von Kennwörtern oder Exfiltration in Cloud-Speicher.
  • Ressourcenprofil: Die Sammlung von Informationen, die Cloud Guard für bestimmte Ressourcen beobachtet hat, die angegriffen werden können. Dies wird durch den Risikoscore angegeben, der aus den korrelierten Sichtungen abgeleitet wurde. Diese Informationen umfassen Sichtungen, Scores und Ressourcen-IDs. Während Cloud Guard Ziele überwacht, werden Profile für die beobachteten Ressourcen und Sichtungen erstellt, wenn böswillige Verhaltensweisen erkannt werden. Derzeit konzentriert sich das Ressourcenprofil immer auf einen Benutzer.

Für Sichtungen gemeldete Parameter

Die folgenden Parameter werden ebenfalls überwacht. Einige dieser Parameter werden nur auf der Seite Bedrohungsmonitoring oder Bedrohungsmonitoringdetails angezeigt.

  • Ressource, Ressourcen-ID, Ressourcenname: Eine ID für die Ressource, die das Ziel einer Sichtung darstellt.
  • Compartment: Das OCI- Compartment mit dem Speicherort der Ressource.
  • Ziel: Das Cloud Guard-Ziel, das das OCI-Compartment enthält.
  • Regionen: Eine oder mehrere Regionen, in denen die Sichtung festgestellt wurde.
  • Zuerst festgestellt: Datum und Uhrzeit, zu der die Prüfung zuletzt festgestellt wurde.
  • Zuletzt festgestellt: Datum und Uhrzeit, zu der die Prüfung zuletzt festgestellt wurde.
  • Peak Risk Score: Der höchste Risikoscore für ein bestimmtes Risikoprofil.
  • Datum der Spitzenlast: Das Datum des höchsten Risikobewertungen für ein bestimmtes Risikoprofil.
  • Endpunkt-ASN: Die AS-Nummer, die der in einer Sichtung identifizierten Endpunkt-IP-Adresse zugeordnet ist.
  • Endpunktservice: Bestimmte Services, die von dem Endpunkt verwendet werden, der in einer Sichtung identifiziert wird.
  • Endpunkttyp: Wenn die IP-Adresse dem OCI Threat Intel-Service bekannt ist, wird sie als "verdächtig" deklariert, und die IP-Adresse wird zu einem Link zu den Informationen in diesem Service.