Hinweis:

Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zum Anmelden für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Wenn Sie Ihre Übung abgeschlossen haben, ersetzen Sie diese Werte durch die Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Oracle Cloud Guard-Detektorregeln zur Erkennung von Problemen basierend auf Bedingungen konfigurieren

Einführung

Oracle Cloud Guard ist ein kostenloser cloud-nativer Service, der Ziele scannt - also Oracle Cloud Infrastructure-(OCI-)Compartments und Probleme basierend auf Regeln erkennt, die in den Policys als Detektor-Policys definiert sind. Sobald eine Regel erfüllt ist, entsteht ein Problem, das Sie in der Konsole prüfen können. Cloud Guard wirkt auf die Probleme mit Regeln, die in den Responder-Policys definiert sind. Cloud Guard enthält verschiedene sofort einsatzbereite Detektorrezepte. Beispiel: Konfigurationsdetektorrezepte, Aktivitätsdetektorrezepte usw. Detektorrezepte haben mehrere Detektorregeln. Wenn diese Regeln ausgelöst werden, erstellt Cloud Guard ein Problem.

Bild des Überblicksbildschirms von Cloud Guard

Nachdem Sie Cloud Guard konfiguriert haben, werden Probleme basierend auf den sofort einsatzbereiten Detektor-Policys erkannt. Wenn Sie die von Cloud Guard erkannten Probleme prüfen, sind möglicherweise basierend auf Ihrem Anwendungsfall falsche positive Ergebnisse. Beispiel: Mit den Detektorregeln "Instanz ist öffentlich zugänglich" von Cloud Guard und "Instanz hat eine öffentliche IP" werden Instanzen in Ihren Zielen (Compartment) ermittelt, auf die über das Internet zugegriffen werden kann und die eine öffentliche IP aufweisen. Sie möchten jedoch zulassen, dass eine Demo-/Schulungs-Compute-Instanz über eine öffentliche IP verfügt und über das Internet zugänglich ist.

Dazu können Sie Bedingungsgruppen in Cloud Guard-Detektorregeln konfigurieren und für fast alle Detektorregeln ausführen.

Ziele

Konfigurieren Sie Cloud Guard-Detektorregeln, um Probleme basierend auf Bedingungen zu erkennen.

Voraussetzungen

Zugriff auf einen OCI-Mandanten mit dem Administratoraccount oder Zugriff zur Verwaltung von Cloud Guard-Detektorregeln und verwalteter Liste.
Cloud Guard ist aktiviert und erkennt Probleme mit Konfigurationsdetektoren.

Aufgabe 1: Detektorregel angeben, die basierend auf einer Bedingung ausgeführt werden soll

Bevor Sie mit der Konfiguration von Bedingungsgruppen für Detektorregeln beginnen, müssen Sie wissen, welche Detektorregeln Sie bearbeiten müssen. In diesem Tutorial wird die Verwendung einer Konfigurationsdetektorregel "Instanz hat eine öffentliche IP-Adresse" veranschaulicht. Diese Detektorregel scannt die Compute-Instanzen in einem Ziel. Wenn der Instanz eine öffentliche IP zugewiesen ist, erstellt Cloud Guard ein Problem, und wenn die entsprechende Responder-Regel so festgelegt ist, dass sie automatisch gelöscht wird

Das Image der Cloud Guard-Instanz weist eine öffentliche IP-Adressdetektorregel auf

Ebenso können Sie andere Detektorregeln identifizieren, die den Geltungsbereich für Detektorregeln festlegen möchten. Beispiel: Die Detektorregel "Bucket ist öffentlich", mit der erkannt wird, ob der Bucket öffentlich ist, und Cloud Guard macht ihn nach der Erkennung durch die Responder-Regel privat. Möglicherweise haben Sie jedoch einen öffentlichen Bucket, in dem öffentliche Dokumente gehostet werden. Cloud Guard soll dann ein Problem für diesen Bucket erstellen.

Image des Cloud Guard-Buckets ist eine öffentliche Detektorregel

Cloud Guard verfügt über Responder, die automatisch ausgelöst werden können (konfigurierbar, Standard deaktiviert), wenn eine Detektorregel ein Problem erkennt. In diesen Fällen werden Sie über die Detektorregeln informiert, die bedingten Zugriff durch die Benutzer benötigen, die aufgrund der Ausführung der Cloud Guard-Responder-Regel nicht auf die Ressource zugreifen können. Beispiel: Wenn ein Benutzer eine öffentliche IP für eine Compute-Instanz aus echtem Grund benötigt, die Cloud Guard-Responder-Aktivität jedoch die öffentliche IP nach der Erkennung aus der Instanz entfernt hat.

Hinweis Beachten Sie beim Hinzufügen einer Bedingung zu einem Rezept, dass Bedingungen, die in dem Rezept auf Zielebene definiert sind, für dieses spezifische Ziel gelten und sich nicht auf andere Rezepte in anderen Zielen auswirken. Die auf Rezeptebene definierte Bedingung wirkt sich auf alle Ziele aus, an die das Rezept angehängt ist. Weitere Informationen dazu finden Sie hier.

In den folgenden Tabellen werden einige der unterstützten Parameter angezeigt, die für Rezepte verfügbar sind. In der Tabelle wird angezeigt, dass die Parameter für Aktivitätsrezepte für den Schauspieler bestimmt sind und die Parameter für Konfigurationsrezepte auf die Ressource ausgerichtet sind.

Rezept	Bedingungen
Aktivitätsrezept	Region - Region, aus der der der Schauspieler stammt. Standort (Stadt, Bundesland, Provinz, Land) - Standort des Schauspielers. Tags - Auf den Akteur angewendet. IPv6/IPv4 Address: Actor-IP-Adresse. Benutzernamen - Benutzername des Akteurs.
Konfigurationsrezept	Tags - Auf die Ressource angewendete Tags. OCID: OCID der Ressource. Beispiel: OCID der Compute-Instanz, des DB-Systems, des Load Balancers, des Benutzers, der Gruppe, der Policy, der VNIC, des VCN usw. Bucket-Namespace/Name CIDR/IPv6/IPv4-Adresse - IP der Ressource, sofern zutreffend (Beispiel: Datenbanksystem hat öffentliche IP-Adresse, Instanz hat eine öffentliche IP-Adresse).

Rezept

Bedingungen

Aktivitätsrezept

Region - Region, aus der der der Schauspieler stammt.
Standort (Stadt, Bundesland, Provinz, Land) - Standort des Schauspielers.
Tags - Auf den Akteur angewendet.
IPv6/IPv4 Address: Actor-IP-Adresse.
Benutzernamen - Benutzername des Akteurs.

Konfigurationsrezept

Tags - Auf die Ressource angewendete Tags.
OCID: OCID der Ressource. Beispiel: OCID der Compute-Instanz, des DB-Systems, des Load Balancers, des Benutzers, der Gruppe, der Policy, der VNIC, des VCN usw.
Bucket-Namespace/Name
CIDR/IPv6/IPv4-Adresse - IP der Ressource, sofern zutreffend (Beispiel: Datenbanksystem hat öffentliche IP-Adresse, Instanz hat eine öffentliche IP-Adresse).

Aufgabe 2: Bedingungsgruppe in der Detektorregel erstellen

Navigieren Sie zu Cloud Guard, Zielen, (Zielname), Zieldetails, Detektorrezept, OCI-Konfigurationsdetektorrezept (von Oracle verwaltet).

Hinweis: Wenn Sie das Out-of-the-box-Detektorrezept geklont haben, navigieren Sie zu diesem. In unserem Beispiel fügen wir der Detektorregel "Instanz hat eine öffentliche IP-Adresse" eine Bedingung hinzu.
Suchen Sie unter "Detektorregel" nach Instanz, und es werden instanzbezogene Detektorregeln angezeigt
Bearbeiten Sie die Detektorregel, indem Sie auf die drei Punkte rechts klicken. Unter-Bedingungsgruppe:
- Wählen Sie im Beispiel iam-demo das Compartment aus, in dem diese Regel angewendet werden soll.
- Wählen Sie den Parameter in der Liste aus. Beispiel: instance OCID.
- Wählen Sie den Operator aus. In diesem Beispiel "nicht in", weil Cloud Guard eine der Instanzen mit öffentlicher IP ermitteln soll.
- Wählen Sie eine benutzerdefinierte Liste aus der Liste aus. Die verwaltete Liste wird ebenfalls im nächsten Schritt behandelt.
- Wenn mehrere Compute-Instanzen mit öffentlicher IP vorhanden sind, die Sie ausschließen möchten, fügen Sie eine weitere Bedingung hinzu.
- Geben Sie die OCID der Instanz ein, und speichern Sie.
  
  Hinweis: Die Parameterliste ist spezifisch für die Detektorregeln. Jede Regel verfügt über allgemeine Parameter und einige spezifische Regeln. Mehrere Bedingungen in einer Bedingungsgruppe verwenden logisches AND.
Zeigen Sie das gelöste Problem an. Nachdem die Änderungen gespeichert wurden, erkennt Cloud Guard die Änderung nach kurzer Zeit und löst vorhandene Probleme für die Compute-Instanz automatisch, indem das Problem als gelöst markiert wird. Sie können dies in der Liste der gelösten Probleme anzeigen.

Wir haben gesehen, wie wir eine einzelne oder mehrere Bedingungen in einer Detektorregel statisch hinzufügen können, indem wir die Detektorregel bearbeiten. Was geschieht, wenn Sie mehrere Bedingungen desselben Typs mit nur einem anderen Wert hinzufügen müssen. Eine Möglichkeit besteht darin, die Detektorregel weiter zu bearbeiten, aber es gibt eine bessere Möglichkeit, dies zu tun, indem eine verwaltete Liste verwendet wird, die im nächsten Schritt angezeigt wird.

Aufgabe 3: Verwaltete Liste in den Detektorregeln verwenden

Erstellen Sie eine verwaltete Liste.

Hinweis: In unserem Beispiel stehen einige Compute-Instanzen zur Verfügung, die über eine öffentliche IP verfügen dürfen. Daher haben wir eine verwaltete Liste mit dem Namen "PublicInstances" vom Typ "Ressourcen-OCID" erstellt und OCID aller Compute-Instanzen mit öffentlicher IP hinzugefügt. In diesem Dokument erfahren Sie, wie Sie eine verwaltete Liste erstellen.
Verwenden Sie die verwaltete Liste in den Detektorregeln, anstatt die Werte statisch hinzuzufügen.

Hinweis: In unserem Beispiel wurde die Detektorregel "Instanz hat öffentliche IP" von der benutzerdefinierten Liste in die verwaltete Liste geändert, und der Listenname wurde als "PublicInstance" angegeben. Die verwaltete Liste erleichtert das Hinzufügen/Löschen der Instanz-OCID an einer Stelle, anstatt die Detektorregel zu bearbeiten.

Nächste Schritte

Prüfen Sie die von Cloud Guard generierten Probleme, um herauszufinden, wo Sie Bedingungen zu den Detektorregeln hinzufügen können, sodass Cloud Guard keine Probleme basierend auf Ihrer Geschäftslogik generiert und falsche positive Werte entfernt.

Danksagungen

Autor: Sunil Joshi (OCI Identity/IDCS)

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem die Website education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie im Oracle Help Center.

Titel und Copyright-Informationen

Configure Oracle Cloud Guard detector rules to detect problems based on conditions

F82942-02

September 2023