Hinweis:

Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zum Registrieren eines kostenlosen Accounts finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Wenn Sie Ihre Übung abgeschlossen haben, ersetzen Sie diese Werte durch spezifische Werte für Ihre Cloud-Umgebung.

Multifaktor-Authentifizierungslogs mit Oracle Cloud Infrastructure Logging Analytics visualisieren

Einführung

In der heutigen digitalen Landschaft ist die Gewährleistung der Sicherheit Ihrer Cloud-Infrastruktur von größter Bedeutung. Die Multifaktor-Authentifizierung (MFA) ist eine wichtige Komponente dieser Sicherheit und bietet eine zusätzliche Schutzebene für Benutzerkonten. Die Implementierung von MFA ist jedoch erst der Anfang. Um Ihre Systeme wirklich zu schützen, müssen Sie MFA-Protokolle kontinuierlich überwachen und analysieren, um Anomalien oder potenzielle Sicherheitsbedrohungen zu erkennen.

Mit Oracle Cloud Infrastructure (OCI) Logging Analytics für OCI Audit können Sie Auditlogs effizient erfassen, analysieren und visualisieren, die Compliance sicherstellen und das Sicherheitsmonitoring verbessern. Durch die Nutzung leistungsstarker Analysen können Sie Anomalien erkennen und Einblicke in Benutzeraktivitäten in Ihrer OCI-Umgebung erhalten.

In diesem Tutorial werden die Feinheiten der Analyse von MFA-Logs in OCI-Auditlogs mit OCI Logging Analytics behandelt. Unabhängig davon, ob Sie ein Sicherheitsexperte, Systemadministrator oder Cloud-Architekt sind, dieses Tutorial vermittelt Ihnen das Wissen und die Tools, die Sie benötigen, um MFA-Logs effektiv zu überwachen und zu interpretieren.

Ziele

Extrahieren Sie erweiterte Felder in OCI Logging Analytics für bestimmte MFA-Informationen aus OCI-Auditlogs, und richten Sie visuelle Dashboards für Geschäfts- und Sicherheitszwecke ein. Wir laden ein Dashboard mit Widgets herunter, das in Suchabfragen integrierte Suchabfragen enthält, in denen die verschiedenen Multi-Authentifizierungsfaktoren angezeigt werden, die für die Anmeldung bei der OCI-Konsole verwendet werden. So wird sichergestellt, dass alle Sicherheitsbedrohungen mit MFA sichtbar sind und die Benutzer den Branchenstandards entsprechen.

Hinweis: Das Dashboard ist nur wirksam, wenn MFA über Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) als Identitätsprovider (IdP) konfiguriert und ausgeführt wird. Wenn Sie eine andere IdP verwenden, stellen Sie sicher, dass MFA-Ereignisse in dem jeweiligen IdP-Tool angemeldet sind.

Voraussetzungen

Erforderlicher Admin-Zugriff auf einen OCI-Mandanten, da die meisten Ressourcen im Root Compartment erstellt werden.
Grundlegende Kenntnisse in OCI Logging Analytics.
Aktivieren Sie OCI Logging Analytics, und konfigurieren Sie die OCI-Auditlogerfassung. Weitere Informationen finden Sie unter Beispiellogs mit OCI Logging Analytics analysieren.

Multifaktor-Authentifizierungslogs visualisieren

Melden Sie sich bei der OCI-Konsole an, navigieren Sie zu Observability and Management, Logging Analytics, Administration, Quellen, OCI-Auditlogs, und klicken Sie auf Bearbeiten.
Erstellen Sie auf der Seite Quelle bearbeiten drei Erweiterte Felder. Testen Sie jede Definition, und der Status muss Erfolgreich angeben, wie in den folgenden Screenshots dargestellt. Klicken Sie nach dem Testen auf Speichern.
1. Erstes erweitertes Feld.
  - Basisfeld: Wählen Sie Ursprünglicher Loginhalt aus.
  - Beispielbasisfeld: Geben Sie \"ssoAuthFactor\":\"TOTP\" ein.
  - Extraktionsausdruck: Geben Sie \\"ssoAuthFactor\\":\\"{User Authentication Method:\w+} ein.
2. Zweites erweitertes Feld.
  - Basisfeld: Wählen Sie Ursprünglicher Loginhalt aus.
  - Beispielbasisfeld: Geben Sie \"ssoMatchedSignOnRule\":\"OciConsoleMFANonAdminRule\" ein.
  - Extraktionsausdruck: Geben Sie \\"ssoMatchedSignOnRule\\":\\"{Rule:\w+} ein.
3. Das dritte erweiterte Feld.
  - Basisfeld: Wählen Sie Ursprünglicher Loginhalt aus.
  - Beispielbasisfeld: Geben Sie \"ssoMatchedSignOnPolicyName\":\"Security Policy for OCI Console\" ein.
  - Extraktionsausdruck: Geben Sie \\"ssoMatchedSignOnPolicyName\\":\\"{User Authentication Policy:[^\"\,]+}\\"? ein.
(Optional) Nachdem sich der Benutzer bei der OCI-Konsole angemeldet hat, werden die entsprechenden erstellten Felder auf der Seite Log Explorer aufgefüllt.
Laden Sie die ZIP-Datei von hier herunter: OCI-MFA-Dashboard-main.zip, das das Dashboard in der json-Datei enthält. Diese Datei wird zum Importieren in OCI Logging Analytics verwendet.
Wählen Sie im Fenster Dashboards importieren die Option Compartment angeben und das Root Compartment für beide Compartments für Dashboards aus.
Die Daten werden im Dashboard basierend auf den verfügbaren Suchabfragen in jedem Widget aufgefüllt. Die Widgets im Beispiel-Dashboard finden Sie in den folgenden Screenshots.

Nächste Schritte

In diesem Tutorial wurde erläutert, wie Sie die Visualisierung von MFA-(Multifaktor-Authentifizierungs-)Logs mit OCI Logging Analytics einfach einrichten können. Sie haben gelernt, wie Sie erweiterte Felder für MFA-spezifische Informationen extrahieren und visuelle Dashboards zur Überwachung von Authentifizierungsaktivitäten einrichten. Mit diesen Schritten können Sie Ihren Sicherheitsstatus verbessern und die Einhaltung von Branchenstandards sicherstellen. Es ist wichtig, kontinuierlich zu überwachen, um potenzielle Sicherheitsbedrohungen zu erkennen und zu beheben.

Danksagungen

Autor - Vishak Chittuvalapil (Senior Cloud Engineer)

Weitere Lernressourcen

Lernen Sie andere Übungen auf docs.oracle.com/learn kennen, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube Channel zu. Außerdem können Sie education.oracle.com/learning-explorer besuchen, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

Titel und Copyright-Informationen

Visualize Multi-Factor Authentication Logs with Oracle Cloud Infrastructure Logging Analytics

G10607-01

June 2024

Oracle und/oder verbundene Unternehmen.