Oracle Cloud Infrastructure-Dokumentation

Sichtungen auflisten und ihre Details abrufen

Zeigen Sie Ressourcenprofile und ihre Schlüsselattribute in Cloud Guard an, um schnell die Ereignisse mit der höchsten Priorität zu identifizieren.

Voraussetzung: Aktivieren Sie das OCI-Bedrohungsdetektorrezept in mindestens einem Cloud Guard-Ziel, das in Ihrer Umgebung definiert ist und das Root Compartment enthält.

  • Informationen zum Erstellen eines Ziels und Hinzufügen des Rezepts finden Sie unter OCI-Ziel erstellen.
    Hinweis

    Wenn Sie ein Ziel erstellen, erfordert Cloud Guard, dass ein Aktivitätsdetektorrezept und ein Konfigurationsdetektorrezept angehängt werden. Wenn Sie diese Detektoren im Ziel nicht aktivieren möchten, können Sie sie entfernen, nachdem Sie das Ziel erstellt haben. Siehe OCI-Ziel und seine angehängten Rezepte bearbeiten.
  • Informationen zum Hinzufügen des OCI-Bedrohungsdetektorrezepts zu einem vorhandenen Ziel finden Sie unter OCI-Ziel und zugehörige Rezepte bearbeiten.
Hinweis

Sobald die oben genannte Voraussetzung erfüllt wurde, beginnt der Cloud Guard-Lernzeitraum. Der Lernzeitraum kann je nach Sichtungstyp einige Stunden bis einige Tage dauern. Cloud Guard beginnt erst mit der Überwachung, um Bedrohungen zu erkennen, wenn der Lernzeitraum endet. Wenn keine verdächtigen Aktivitäten auftreten, werden auf der Seite Bedrohungsmonitoring weiterhin keine Bedrohungsinformationen angezeigt.
    1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Cloud Guard die Option Bedrohungsüberwachung aus.
    2. Um den Geltungsbereich zu ändern, in dem Bedrohungen enthalten sind, verwenden Sie die folgenden Optionen unter Geltungsbereich:
      • Compartment: Wählen Sie ein Compartment aus. Um alle Compartments darunter in den Geltungsbereich aufzunehmen, wählen Sie Untergeordnete Compartments einbeziehen aus.
      • Tagfilter: Wählen Sie Hinzufügen aus, und füllen Sie dann das Dialogfeld Tagfilter aus. Wenn Sie mehrere Tags hinzufügen, müssen alle übereinstimmen.
    3. Um die Liste nach Datum und Risikoscorewerten zu filtern, treffen Sie eine Auswahl in den Listen unter dem Diagramm am Anfang der Seite.
    4. Um die Liste nach anderen Parametern zu filtern, wählen Sie Filter hinzufügen aus, wählen Sie einen Filtertyp aus, und wählen Sie einen oder mehrere Werte aus.
    5. Zeigen Sie im Diagramm 30-Tage-Trend für Risikoscore oben auf der Seite Änderungen des Risikoscore im Zeitverlauf an.
      • Standardmäßig werden im Diagramm die Gesamtrisikoscores für die Ressourcenprofile mit den Top 10 Risikoscores in den letzten 30 Tagen grafisch dargestellt.
      • Ändern Sie die angezeigten Daten, indem Sie in der Liste Top 10 in der oberen rechten Ecke des Diagramms eine andere Auswahl treffen. Diese Optionen werden in der Regel für einen kürzeren Zeitraum angezeigt.
    6. Um die Diagramminformationen für ein bestimmtes Ressourcenprofil hervorzuheben, zeigen Sie mit der Maus auf den Namen in der Liste im Auswahlfeld Top 10.
    7. Um bestimmte Risikoscoreinformationen für einen Punkt im Diagramm anzuzeigen, zeigen Sie mit der Maus auf den Punkt.
      Das Ressourcenprofil für die Risikoscoreinformationen wird ebenfalls in der Liste unter dem Auswahlfeld Top 10 markiert.
    8. Um Übersichtsinformationen für die aufgelisteten Ressourcenprofile anzuzeigen, scrollen Sie nach unten zur Tabelle mit dem ersten Spaltenheader Ressourcenprofil:
      In der Tabelle werden die folgenden Ressourcenprofilinformationen angezeigt:
      • Ressourcenprofil: Der Name des betroffenen Ressourcenprofils. Ein Ressourcenprofil konsolidiert Sichtungen, die einer bestimmten Ressource zugeordnet sind.
      • Risikoscore: Der Risikoscore für das Ressourcenprofil. Der Risikoscore spiegelt die Schwere der Bedrohung wider.
      • Sichtungen: Die Anzahl der Sichtungen, die für die Ressourcen-ID im Ressourcenprofil gebucht wurden. Eine Sichtung ist eine Instanz einer bestimmten MITRE ATT&CK® Framework-Technik innerhalb einer MITRE ATT&CK®-Taktik.
      • Taktiken: Die Anzahl der MITRE ATT&CK®-Taktiken, die an den Sichtungen beteiligt sind. Eine höhere Zahl hier kann darauf hindeuten, dass ein Eindringling Fortschritte bei der Durchdringung Ihrer Sicherheitsmaßnahmen macht.
      • Ressourcentyp: Der Ressourcentyp im betroffenen Ressourcenprofil.
      • Zuerst ermittelt: Datum und Uhrzeit, zu der Cloud Guard die Sichtung zum ersten Mal erkannt hat.
      • Zuletzt ermittelt: Datum und Uhrzeit, zu der Cloud Guard die Sichtung zuletzt erkannt hat.
      • Erster Vorfall: Datum und Uhrzeit des ersten Vorfalls.
      • Zuletzt aufgetreten: Datum und Uhrzeit des letzten Vorgangs.
    9. Um detaillierte Informationen für ein bestimmtes Ressourcenprofil anzuzeigen, wählen Sie dessen Link in der Spalte Ressourcenprofil aus.
      Auf der Seite Details zur Bedrohungsüberwachung werden die folgenden Informationen angezeigt:
      • Auf der Registerkarte Allgemeine Informationen werden die Informationen zur Bedrohung zusammengefasst.
      • Im Diagramm 30-Tage-Trend für Risikoscore werden Risikoscore-Änderungen für dieses bestimmte Ressourcenprofil im Laufe der Zeit angezeigt.
      • Im Abschnitt Sichtungen werden die Sichtungen aufgeführt, die sich auf den Risikoscore auswirken.
      • Wählen Sie unter Ressourcen eine andere Ressource aus, um verschiedene Informationen anzuzeigen:
        • Unter Betroffene Ressourcen werden Informationen zu den beteiligten Ressourcen angezeigt.
        • Unter Endpunkte werden die betroffenen IP-Adressen angezeigt.
      Tipp

      Wenn der Riskscore für ein Ressourcenprofil auf der Seite Bedrohungsmonitoring mindestens 80 beträgt, wurde ein Problem ausgelöst. So verarbeiten Sie das Problem:
      1. Wählen Sie den Link in der Spalte Risikoprofil aus.
      2. Wählen Sie auf der Registerkarte Allgemeine Informationen oben auf der Detailseite den Link für den Problemnamen neben Probleme aus.

        Weitere Informationen zur Verarbeitung von Problemen finden Sie unter Probleme auf der Seite "Probleme" verarbeiten und lösen

  • Eine vollständige Liste der Kennzeichen und Variablenoptionen für CLI-Befehle finden Sie in der Befehlszeilenreferenz.

    Sichtungen

    Verwenden Sie den Befehl oci cloud-guard Vising get und die erforderlichen Parameter, um eine bestimmte Sichtung abzurufen:

    oci cloud-guard sighting get --sighting-id <sighting_ocid> [OPTIONS]

    Verwenden Sie den Befehl oci cloud-guard vising-summary list-sightings und die erforderlichen Parameter, um alle Sichtungen für ein Compartment aufzulisten:

    oci cloud-guard sighting-summary list-sightings --compartment-id, -c <compartment_ocid> [OPTIONS]

    Sichtungsendpunkte

    Verwenden Sie den Befehl oci cloud-guard vising-endpoint-summary list-sighting-endpoints und die erforderlichen Parameter, um Endpunkte für eine bestimmte Sichtung aufzulisten:

    oci cloud-guard sighting-endpoint-summary list-sighting-endpoints --sighting-id <sighting_ocid> [OPTIONS]

    Betroffene Ressourcen

    Verwenden Sie den Befehl oci cloud-guard vising-summary list-sightings und die erforderlichen Parameter, um alle betroffenen Ressourcen für Sichtungen für eine Sichtung aufzulisten:

    oci cloud-guard sighting-impacted-resource-summary list-sighting-impacted-resources --sighting-id <sighting_ocid> [OPTIONS]

  • Sichtungen

    Führen Sie den Vorgang GetSighting aus, um eine bestimmte Sichtung abzurufen.

    Führen Sie den Vorgang ListSightings aus, um alle Sichtungen für ein Compartment aufzulisten.

    Sichtungsendpunkte

    Führen Sie den Vorgang ListSightingEndpoints aus, um Endpunkte für eine bestimmte Sichtung aufzulisten.

    Betroffene Ressourcen

    Führen Sie den Vorgang ListSightingImpactedResources aus, um alle betroffenen Ressourcen für Sichtungen für ein Compartment aufzulisten.