Algunas funciones comunes
A la hora de prepararse para personalizar Oracle Cloud Guard, podemos encontrar varias funciones comunes a más de un área.
Puede obtener una vista previa de estas funciones en las siguientes secciones antes de empezar a personalizar Cloud Guard o seguir los enlaces de las tareas específicas en los que encontrará información útil.
Visión general de las recetas
Conozca las diferencias entre las recetas gestionadas por Oracle y las gestionadas por el usuario, cómo funcionan las recetas gestionadas por el usuario y qué valores se pueden cambiar en los niveles de receta y de destino.
Las tres secciones siguientes también aparecen en Acerca de las recetas de responsable de respuesta de OCI y en Acerca de las recetas de detector de OCI.
Conozca las diferencias entre estas dos categorías de recetas.
Tanto en el caso de los detectores como de los responsables de respuesta, Cloud Guard proporciona un amplio juego de recetas gestionadas por Oracle para:
- Detectores de actividad de OCI
- Detectores de configuración de OCI
- Detectores de seguridad de instancia de OCI
- Detectores de amenazas de OCI
- Responsables de respuesta
Aunque puede utilizar las recetas gestionadas por Oracle tal y como están, es probable que desee realizar cambios para adaptarlas a las necesidades específicas de su entorno. En particular, es posible que desee cambiar el nivel de riesgo asociado a algunas reglas, así como desactivar otras reglas directamente. Para realizar este tipo de cambios, clone primero la receta para obtener una copia gestionada por el usuario y, a continuación, realice los cambios en la copia.
Si se agregan nuevas reglas de detector a una receta gestionada por Oracle, dichas reglas se agregan automáticamente a todas las copias de esa receta gestionadas por el usuario (clonadas), con los valores por defecto del origen gestionado por Oracle. A continuación, podrá modificar la configuración de la nueva regla en las copias gestionadas por el usuario de la receta.
En la siguiente tabla se muestra un ejemplo de tres reglas de detector de una receta gestionada por Oracle y cómo se puede modificar una copia gestionada por el usuario. Los cambios de las reglas gestionadas por el usuario se muestran en negrita:
| Receta gestionada por Oracle | Receta gestionada por el usuario | |||
|---|---|---|---|---|
| Regla | Estado | Nivel de riesgo | Estado | Nivel de riesgo |
| El cubo es público | ACTIVADA | ALTO | DESACTIVADO | ALTO |
| Clave de KMS no rotada | ACTIVADA | MEDIO | ACTIVADA | ALTA |
| La instancia tiene una dirección IP pública | ACTIVADA | CRÍTICO | ACTIVADA | CRÍTICO |
Puede clonar la misma receta gestionada por Oracle tantas veces como necesite para crear copias gestionadas por el usuario que se ajusten a fines especiales. Entre las razones para tener diferentes recetas se incluyen:
- El tratamiento diferente de las cargas de trabajo de producción frente a las de no producción.
- Las operaciones o los procesos de notificación distintos entre los recursos de los diferentes compartimentos.
- Los requisitos regionales de los recursos en algunos compartimentos.
- La necesidad de los diferentes tipos de recursos de distintas reglas de configuración o actividad.
Descubra cómo una receta gestionada por el usuario conserva las relaciones con la receta gestionada por Oracle a partir de la que se ha clonado.
- Al clonar una receta gestionada por Oracle, crea una copia gestionada por el usuario. La copia gestionada por el usuario es exactamente igual que el original gestionado por Oracle, pero puede personalizarla.
Los cambios que realice en la copia clonada, incluidos los cambios en la configuración de la regla, no afectan a la receta de detector o responsable de respuesta original.
- En las recetas gestionadas por el usuario, no se puede cambiar todo. Para cada regla individual, puede cambiar el nivel de riesgo y activar y desactivar la regla. No se puede suprimir reglas ni agregar nuevas reglas.
- Para utilizar una receta gestionada por el usuario, debe agregarla a un destino. Los destinos solo pueden tener agregada una receta de cada tipo: detectores de configuración, detectores de actividad y responsables de respuesta. Si un destino ya tiene una receta del tipo que desea agregar, debe eliminar esa receta para poder agregar otra del mismo tipo. Consulte Edición de un destino de OCI y sus recetas asociadas.
- Cloud Guard mantiene las recetas gestionadas por el usuario sincronizadas con las recetas gestionadas por Oracle originales. Cualquier nueva regla que se agregue a la receta gestionada por Oracle original se agrega automáticamente a las copias clonadas. Además, las mejoras que se introduzcan en las reglas de la receta gestionada por Oracle original también se reflejan automáticamente en las mismas reglas de las copias clonadas.
- Compruebe si se agregan nuevas reglas a las recetas gestionadas por el usuario. Las nuevas reglas que se agregan están desactivadas por defecto. Examine de cerca estas nuevas reglas para ver si desea activarlas. Consulte las notas de versión de Cloud Guard para obtener información sobre estas actualizaciones.
- Supervise la lista de reglas que desactive en una receta gestionada por el usuario para ver si es necesario activar alguna. A medida que pasa el tiempo, es posible que se encuentre con que desea empezar a usar algunas de las recetas que desactivó anteriormente. Consulte las notas de versión de Cloud Guard para obtener información sobre estas actualizaciones.
Conozca cómo Oracle Cloud Guard separa los ajustes de las recetas en dos niveles, además de cómo actualizar diferentes ajustes de las recetas de detector y responsable de respuesta gestionadas por Oracle o gestionadas por el usuario (clonadas) en esos dos niveles.
Cloud Guard separa los ajustes que se pueden configurar en las reglas de detector y responsable de respuesta en dos grupos, el nivel de receta y el nivel de destino. Se accede a estos niveles desde páginas diferentes.
Si no comprende los detalles, la gestión de las recetas de detector y responsable de respuesta en Oracle Cloud Guard puede resultar confusa. En la sección Referencia de las recetas de detector que se encuentra al final de esta sección se resume la información para todos los tipos de recetas, cuando se accede desde la página Destinos o las correspondientes páginas de las recetas.
Al actualizar una receta gestionada por Oracle, las actualizaciones se aplican automáticamente a todas las recetas gestionadas por el usuario clonadas a partir de ella. Cualquiera que sea la página desde la que empiece cuando cambie una receta, los cambios se conservarán cuando acceda a la receta desde la otra página.
- Los entornos de nivel de receta son de naturaleza "estratégica". Es decir, tienen el impacto más amplio y afectan a todos los destinos a los que está asociada la receta. Estos ajustes deben requerir el nivel más alto de permisos para realizar cambios.
- Principio de seguridad: la configuración de receta tiene un amplio impacto en Cloud Guard, por lo que se debe permitir a menos usuarios cambiar la configuración en este nivel.
- Ajustes que puede cambiar en el nivel de receta:
- Detectores:
- Estado (activar o desactivar regla, solo en las gestionadas por el usuario).
- Nivel de riesgo (solo en las gestionadas por el usuario).
- Etiquetas (solo en las gestionadas por el usuario).
- Valor de entrada (si se aplica a la regla).
- Configuración de Grupo condicional.
- Responsables de Respuesta:
- Estado (activar o desactivar regla, solo en las gestionadas por el usuario).
- Detectores:
- Alcance: los cambios realizados en las reglas de detector y responsable de respuesta en el nivel de receta:
- Cambios de estado (activar o desactivar reglas):
- Solo se pueden realizar en recetas gestionadas por el usuario (clonadas).
- Se aplican globalmente a todos los destinos en los que el detector o el responsable de respuesta ya se haya asociado o se asocie más tarde.
- Configuración de Grupo condicional:
- Proporcionan los valores por defecto para todos los destinos en los que la receta de detector o responsable de respuesta se agregue más tarde.
- Después de agregar una receta a un destino, los cambios de los ajustes del grupo condicional solo se pueden realizar desde ese destino.
- Sentencias de política (para reglas de responsable de respuesta, solo en el nivel de destino):
- La activación de una sentencia de política es global, ya que se aplica a todas las reglas de responsable de respuesta que necesitan la política, tanto en el nivel de receta como en el nivel de destino.
- Solo necesita activar una política una vez en un arrendamiento.
- Cambios de estado (activar o desactivar reglas):
- Acceso: acceda a las reglas de detector y responsable de respuesta desde las páginas de las recetas, Detector Recipes o Responder Recipes, para cambiar estos ajustes, como se describe anteriormente.
- Los ajustes del nivel de destino son de naturaleza "táctica". Es decir, afectan solo a un único destino y, por lo tanto, pueden requerir un nivel inferior de permisos para realizar cambios.
- Principio de seguridad: los destinos tienden a tener un impacto más limitado y afectan solo a un subconjunto de sus compartimentos, por lo que se puede permitir que más usuarios cambien los ajustes en este nivel.
- Ajustes que puede cambiar en el nivel de destino:
- Detectores:
- Grupos condicionales (solo gestionados por el usuario).
- Responsables de Respuesta:
- Estado (activar o desactivar regla, solo en las gestionadas por el usuario).
- Valor de entrada, para activar o desactivar la notificación posterior a la solución (si se aplica en el caso de la regla).
- Cambiar Disparador de Regla entre Ejecutar Automáticamente y Preguntarme antes...
- Cambiar otros ajustes (por ejemplo, activar o desactivar las soluciones de política necesarias y la notificación de solución).
- Detectores:
- Alcance: los cambios realizados en las reglas de detector y responsable de respuesta en el nivel de destino se aplican a:
- Generalmente: los cambios se aplican al destino actual. Los cambios no afectan a ninguna configuración de los destinos en los que ya se ha asociado la receta de detector o responsable de respuesta. Después de asociar recetas a un destino, cualquier cambio adicional de la configuración de ese destino se debe realizar desde el mismo destino. Los cambios realizados posteriormente en el nivel de receta actualizan automáticamente la receta asociada al destino.
- Para activación de las políticas necesarias y activación y desactivación de las notificaciones de solución (ambas opciones solo para recetas de responsable de respuesta), los cambios proporcionan los valores por defecto para todos los destinos en los que se agregue más tarde el detector gestionado por el usuario (clonado) o la receta del responsable de respuesta.
- Acceso: acceda a las reglas de detector y responsable de respuesta desde la página Objetivos para cambiar estos ajustes, como se describe anteriormente.
- Resumen de limitaciones importantes: algunos valores solo se pueden cambiar en el nivel de receta o de destino, o solo en recetas gestionadas por Oracle o por el usuario:
- Detectores:
- Estado (activar o desactivar regla): solo en recetas gestionadas por el usuario, en el nivel de receta.
- Nivel de riesgo: solo en recetas gestionadas por el usuario, en el nivel de receta.
- Etiquetas: solo en recetas gestionadas por el usuario, en el nivel de receta.
- Responsables de Respuesta:
- Estado (Activar o Desactivar reglas): solo en recetas gestionadas por el usuario, en el nivel de receta.
- Valor de entrada, para activar o desactivar la notificación posterior a la solución (si se aplica en el caso de la regla), solo en el nivel de destino (tanto para recetas gestionadas por Oracle como por el usuario).
- Activador de regla (entre Ejecutar automáticamente y Preguntarme antes...): solo en el nivel de destino (para recetas tanto de responsable de respuesta gestionadas por Oracle como gestionadas por el usuario).
- Detectores:
En la siguiente tabla se resumen los ajustes de las reglas de detector y responsable de respuesta que se pueden cambiar en el nivel de receta y en el nivel de destino, tanto en las recetas gestionadas por Oracle como en las gestionadas por el usuario.
|
Tipo de cambios (a continuación) |
Cambios de recetas de detector realizados desde... | Cambios de recetas de responsable de respuesta realizados desde... | ||||||
|---|---|---|---|---|---|---|---|---|
| Gestionadas por Oracle | Gestionadas por el usuario (clonadas) | Gestionadas por Oracle | Gestionadas por el usuario (clonadas) | |||||
| Página Recetas | Página Destinos | Página Recetas | Página Destinos | Página Recetas | Página Destinos | Página Recetas | Página Destinos | |
| Estado (Activar y Desactivar reglas) | No | No | Sí | No | No | No | Sí | No |
| Nivel de riesgo | No | No | Sí | No | N/A | N/A | N.A. | N/A |
| Etiquetas | No | No | Sí | No | N/A | N/A | N/A | N/A |
| Valores de Entrada | Sí | No | Sí | No | No | Sí | No | Sí |
| Grupos condicionales | Sí | Sí | Sí | Sí | No | Sí | No | Sí |
| Activar sentencias de política | N/A | N/A | N/A | N/A | No | Sí | No | Sí |
| Activador de regla (Manual o Ejecución automática) | N/A | N/A | N/A | N/A | No | Sí | No | Sí |
| Notificación de solución (opción) | N/A | N/A | N/A | N/A | No | Sí | No | Sí |
| Para obtener más información sobre Instrucciones, consulte: | Tema | Tema | Tema | Tema | Tema | Tema | Tema | Tema |
Asigna una jerarquía de compartimentos a un destino. Las recetas de detector que asocie a su destino supervisan los recursos de la jerarquía de compartimentos.
Si un compartimento tiene otros compartimentos debajo, las reglas de la receta de detector se aplican automáticamente a todos los compartimentos de nivel inferior de la jerarquía.
Cuando una jerarquía de compartimentos tiene recetas de detector aplicadas a compartimentos de diferentes niveles, siempre que las reglas entren en conflicto, las reglas de la receta de detector aplicada en un nivel inferior sustituirán a las reglas de cualquier receta de detector aplicada en un nivel superior. Esto se aplica al compartimento en el que se aplica una receta de detector y a todos los compartimentos debajo de él.
Podemos encontrar cuatro niveles en los que los campos de una receta de detector y sus reglas de detector se pueden modificar. Cada uno tiene su propio conjunto de restricciones.
La prioridad de las reglas de las recetas de detector que se aplican en estos diferentes niveles es similar a la prioridad en una jerarquía de compartimentos: cuando las reglas entran en conflicto, aquellas de un nivel más específico (número más alto en la lista que aparece a continuación) sustituyen a las de un nivel más amplio (número más bajo en la siguiente lista).
- Oracle: cuando Cloud Guard necesita actualizar o crear nuevas recetas gestionadas por Oracle, estas están disponibles para todos los inquilinos.
- Inquilino: se trata de cambios que solo son aplicables a un inquilino en particular.
- Los siguientes campos se pueden modificar en el nivel de inquilino en el caso de las recetas gestionadas por Oracle:
- Etiquetas (solo se pueden agregar)
- Configuraciones (también llamadas Ajustes)
- Condiciones
- Los siguientes campos no se pueden modificar en el nivel de inquilino en el caso de las recetas gestionadas por Oracle:
- Estado (activada o desactivada)
- Nivel de riesgo
- Los siguientes campos se pueden modificar en el nivel de inquilino en el caso de las recetas no gestionadas por Oracle:
- Estado (activada o desactivada)
- Nivel de riesgo
- Etiquetas
- Configuraciones (también llamadas Ajustes)
- Condiciones
- Los siguientes campos se pueden modificar en el nivel de inquilino en el caso de las recetas gestionadas por Oracle:
- Destino: se trata de cambios que solo son aplicables a un destino en particular.
- Los siguientes campos se pueden modificar en el nivel de destino tanto en el caso de las recetas gestionadas por Oracle como de las no gestionadas por el mismo:
- Condiciones
- Los siguientes campos se pueden modificar en el nivel de destino en el caso de las recetas no gestionadas por Oracle:
- Estado (activada o desactivada)
- Nivel de riesgo
- Etiquetas
- Configuraciones (también llamadas Ajustes)
- Los siguientes campos se pueden modificar en el nivel de destino tanto en el caso de las recetas gestionadas por Oracle como de las no gestionadas por el mismo:
- Subcompartimentos de un destino: se trata de cambios aplicables solo a un compartimento seleccionado en el árbol de descendientes de un destino.
- Los siguientes campos se pueden modificar en el nivel de destino tanto en el caso de las recetas gestionadas por Oracle como de las no gestionadas por el mismo:
- Condiciones
- Los siguientes campos se pueden modificar en el nivel de destino en el caso de las recetas no gestionadas por Oracle:
- Estado (activada o desactivada)
- Nivel de riesgo
- Etiquetas
- Configuraciones (también llamadas Ajustes)
- Los siguientes campos se pueden modificar en el nivel de destino tanto en el caso de las recetas gestionadas por Oracle como de las no gestionadas por el mismo:
Uso de grupos condicionales con reglas de receta
Los grupos condicionales permiten definir rápidamente el ámbito para el que se debe activar una regla de detector o responsable de respuesta.
Grupos condicionales para detectores
Un grupo condicional define parámetros que usted especifica para limitar el ámbito de las situaciones para las que la infracción de una regla de detector genera un problema:
- Para los detadores de configuración, los grupos condicionados permiten la inclusión o exclusión de recursos específicos de la supervisión.
- En el caso de los detectores de actividad, los grupos condicionales permiten limitarlos a determinados espacios de IP, regiones, usuarios, grupos o recursos.
- Para implementar grupos condicionales, al modificar una regla de una receta de detector:
- Seleccione el Parámetro, el Operador y la Lista Personalizada o una Lista Gestionada.
- Introduzca una o varias entradas para hacer coincidir el valor.
- Para definir una condición en un parámetro que no sean las etiquetas, siga estos pasos:
- Para definir una condición en las etiquetas, siga estos pasos:
- En la lista Parámetro, seleccione Etiquetas.
- Seleccione un operador (En o No en).
Si selecciona En, la regla solo afecta a los elementos que están etiquetados con una de las etiquetas de la lista que proporcione.
Si selecciona No en, la regla solo afecta a los elementos que no están etiquetados con una de las etiquetas de la lista que proporcione.
- seleccione Seleccionar etiquetas.
- En el cuadro de diálogo Seleccionar etiquetas, defina una condición para las etiquetas definidas o de formato libre:
Para definir una condición para las etiquetas definidas, seleccione un espacio de nombres de etiqueta distinto de Ninguno, seleccione una clave de etiqueta y, a continuación, seleccione o introduzca el valor de etiqueta:
Para definir una condición para etiquetas de formato libre, en Espacio de nombres de etiqueta, seleccione Ninguno en Espacio de nombres de etiqueta, introduzca una Clave de etiqueta y, a continuación, opcionalmente, introduzca el Valor de etiqueta.
Agregue más etiquetas según sea necesario.Nota
Al especificar varias etiquetas, la regla solo se aplica si se cumplen todas las condiciones.
- Puede agregar una condición para un solo recurso y entrada de cada vez mediante una lista personalizada o agregar varios recursos y entradas a la vez mediante las listas gestionadas.
Por ejemplo: tiene 10 instancias informáticas. Dos de las instancias (Instance1 y Instance2) deben ser públicas, por lo que no quiere que la regla "La instancia es de acceso público" genere problemas en estas instancias. Puede utilizar grupos condicionales para excluir esas dos instancias, ya sea mediante listas personalizadas o listas gestionadas.
Tanto en las recetas de detector como en las de responsable de respuesta, algunas reglas tienen opciones de parámetros que requieren que escriba una o varias entradas válidas para el valor. La siguiente lista proporciona enlaces a fuentes que contienen los valores válidos para cada tipo de parámetro. Cuando no hay enlaces disponibles, se proporciona una breve explicación de cómo encontrar los valores válidos.
- IPV4: Partes de la dirección IPv4
- IPV6: Partes de la dirección IPv6
- Ciudad: no hay ningún estándar internacional para los nombres o códigos de las ciudades. Cloud Guard utiliza los nombres reales de las ciudades y no cuenta con ninguna lista completa de los nombres de ciudad soportados.
- Estado o provincia: Códigos de estado o provincia ISO 3166-2
- País: códigos ISO 3166-1 alfa-2, tal como se muestran en List of ISO 3166 country codes
- Nombre de usuario: nombre de usuario tal y como se muestra en la consola de Oracle Cloud Infrastructure
- OCID de recurso: ID de recurso tal y como se muestra en la pantalla de la consola de OCI para el recurso
- Región: una de las regiones de OCI soportadas que se muestran en Acerca de las regiones y los dominios de disponibilidad
- Tags: puede utilizar etiquetas para organizar y mostrar los recursos según las necesidades de negocio. Consulte Visión general de Tagging.
Utilice las listas personalizadas cuando el número de elementos que se vayan a hacer coincidir sea pequeño y no espere que necesite reutilizar la misma lista varias veces.
- Abra la página de detalles de la receta de detector en la que está activada la regla "La instancia es de acceso público".
Consulte Edición de una receta de detector de OCI gestionada por usuario.
- En la página de detalles de la receta de detector, en Reglas de detector, localice la fila de la regla "La instancia es de acceso público".
- En el extremo derecho de esa fila, abra el menú Acciones
y seleccione Editar. - En el cuadro de diálogo Edit Detector Rule, en la sección Conditional Group:
- Defina Pámetro en OCID de instancia.
- Defina Operador en No en.
- Defina Lista en Lista personalizada.
- En Valor, introduzca el OCID de Instance1.
- seleccione Agregar condición.
- En la fila de nueva condición:
- Defina Pámetro en OCID de instancia.
- Defina Operador en No en.
- Defina Lista en Lista personalizada.
- En Valor, introduzca el OCID de Instance2.
- seleccione Guardar.
La regla "La instancia es de acceso público" ahora supervisa todas las instancias para detectar configuraciones públicas, excepto Instance1 y Instance2.
Utilice las listas gestionadas cuando el número de elementos que se vayan a hacer coincidir sea grande o espere necesitar reutilizar la misma lista varias veces.
- En primer lugar, cree una lista gestionada de OCID de instancias que contenga los OCID de Instance1 y Instance2.
Consulte Creación de una lista gestionada.
Supongamos que llama a esa lista "OCID de instancias informáticas públicas".
- Abra la página de detalles de la receta de detector en la que está activada la regla "La instancia es de acceso público".
Consulte Edición de una receta de detector de OCI gestionada por usuario.
- En la página de detalles de la receta de detector, en Reglas de detector, localice la fila de la regla "La instancia es de acceso público".
- En el extremo derecho de esa fila, abra el menú Acciones y seleccione Editar.
- En el cuadro de diálogo Edit Detector Rule, en la sección Conditional Group:
- Defina Pámetro en OCID de instancia.
- Defina Operador en No en.
- Defina Lista en Lista gestionada.
- En Valor, seleccione el nombre de la lista gestionada que ha creado ("OCID de instancias informáticas públicas") en el ejemplo del paso 1.
- seleccione Guardar.
La regla "La instancia es de acceso público" ahora supervisa todas las instancias para detectar configuraciones públicas, excepto Instance1 y Instance2.
Nota
Los OCID de las instancias informáticas que agregue a la lista gestionada en el futuro también se verán excluidos de la supervisión.
Uso de listas gestionadas y personalizadas con reglas de receta
Las listas gestionadas permiten definir rápidamente el ámbito al que se debe aplicar una regla de receta mediante la inclusión o exclusión de una lista predefinida de parámetros. Las listas personalizadas permiten introducir una lista corta de parámetros con el mismo fin.
Ejemplo: si una instancia informática tiene una dirección IP pública, desea que se genere un problema. Sin embargo, tiene algunas instancias que deben tener direcciones IP públicas y no desea que esas instancias generen problemas.
- Cree una lista gestionada que contenga todos los OCID de recursos de las instancias informáticas que deben tener direcciones IP públicas.
Consulte Creación de una lista gestionada.
- Asigne esta lista gestionada como una entrada de un grupo condicional para la regla de detector de configuración "La instancia tiene una IP pública".
Consulte Edición de una receta de detector de OCI gestionada por usuario.
Ejemplo: si la actividad iniciada desde direcciones IP sospechosas específicas crea un cubo o una instancia, desea que se produzca un problema.
- Cree una lista gestionada que contenga las direcciones IP sospechosas conocidas.
Consulte Creación de una lista gestionada.
- Asigne esta lista gestionada como una entrada de un grupo condicional para la regla de detector "Actividad de IP sospechosa".
Consulte Edición de una receta de detector de OCI gestionada por usuario.
Alternativamente, en caso de saber que los cubos o las instancias solo se deben crear desde determinadas direcciones IP de confianza, podría:
- Crear una lista gestionada que contenga las direcciones IP de confianza.
- A continuación, utilizar el operador "No en" en la entrada del grupo condicional para la regla de detector "Actividad de IP sospechosa".