Referencia de las recetas de detector

Descripción: alerta cuando se crea una nueva instancia de Bastion.

Recomendación: asegúrese de que solo los usuarios autorizados creen instancias de Bastion.

Anterior: las instancias de Bastion proporcionan a los usuarios acceso SSH seguro e ininterrumpido a los hosts de destino en subredes privadas, al tiempo que restringen el acceso público directo.

Parámetros de Regla:

• Tipo de servicio: Bastión
• Tipo de recurso: instancia
• Nivel de riesgo: BAJO
• Etiquetas: Bastion

• Deje la configuración por defecto.

Descripción: alerta cuando se crea una nueva sesión de Bastion.

Recomendación: asegúrese de que solo los usuarios autorizados creen sesiones de Bastion.

Antecedentes: una sesión de Bastion proporciona acceso SSH delimitado por tiempo, seguro e inconsútil a un host de destino en subredes privadas, al tiempo que restringe el acceso público directo.

Parámetros de Regla:

• Tipo de servicio: Bastión
• Tipo de recurso: instancia
• Nivel de riesgo: BAJO
• Etiquetas: Bastion

• Deje la configuración por defecto.

Descripción: alerta cuando se actualiza un grupo de autoridades de certificación.

Consejo: asegúrese de que solo los usuarios autorizados actualicen los grupos de autoridades de certificación. Si el usuario no está autorizado, revierta la actualización.

Antecedente: un grupo de autoridades de certificación es un archivo que contiene certificados raíz e intermedios. La autoridad de certificación del grupo da fe de los certificados intermedios de los usuarios. Cuando se actualiza un grupo de autoridades de certificación, un usuario que está asociado a un certificado intermedio suprimido ya no puede acceder a los recursos de los que ha dado fe la autoridad de certificación. Del mismo modo, un usuario asociado a un certificado intermedio que se agrega ahora puede acceder a esos recursos.

Parámetros de Regla:

• Tipo de servicio: Certificados
• Tipo de recurso: usuario
• Nivel de riesgo: MEDIO
• Etiquetas: Certificados

• Deje la configuración por defecto.

Descripción: alerta cuando se suprime un grupo de autoridades de certificación (CA).

Consejo: asegúrese de que solo los usuarios autorizados supriman los grupos de autoridades de certificación. Si el usuario no está autorizado, cancele la supresión.

Antecedente: un grupo de autoridades de certificación es un archivo que contiene certificados raíz e intermedios. La autoridad de certificación del grupo da fe del certificado intermedio de los usuarios. Cuando se suprime un grupo de autoridades de certificación, los usuarios asociados a los certificados intermedios ya no pueden acceder a recursos que requieren que una autoridad de certificación aprobada dé fe.

Parámetros de Regla:

• Tipo de servicio: Certificados
• Tipo de recurso: usuario
• Nivel de riesgo: MEDIO
• Etiquetas: Certificados

• Deje la configuración por defecto.

Descripción: alerta cuando se revoca un certificado intermedio en un grupo de autoridades de certificación (CA).

Recommendation: asegúrese de que solo los usuarios autorizados revocan certificados intermedios en los grupos de autoridades de certificación. Si el usuario no está autorizado, cancele la revocación.

Antecedentes: cuando se revoca un certificado intermedio en un grupo de autoridades de certificación, el usuario asociado ya no puede acceder a recursos que requieren que una CA aprobada dé fe del certificado intermedio del usuario.

Parámetros de Regla:

• Tipo de servicio: Certificados
• Tipo de recurso: usuario
• Nivel de riesgo: MEDIO
• Etiquetas: Certificados

• Deje la configuración por defecto.

Descripción: alerta cuando se exporta una imagen de Compute.

Recomendación: las imágenes que contengan elementos patentados se deben etiquetar en consecuencia con privilegios de exportación que se otorguen únicamente a los administradores de OCI adecuados.

Antecedentes: las imágenes de Compute pueden ser equivalentes a "unidades de datos" y contener información confidencial. Las imágenes que puedan contener elementos patentados se deben identificar en consecuencia con privilegios de exportación que se otorguen únicamente a los administradores de OCI adecuados.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: MENOR
• Etiquetas: Compute

• Deje la configuración por defecto.

Descripción: alerta cuando se importa una imagen de Compute.

Recomendación: asegúrese de que la persona que se espera que introduzca nuevas imágenes en el entorno importa la imagen de Compute de orígenes de confianza, como Oracle o un administrador de Compute de confianza.

Background: las imágenes de Compute son la base de las instancias de Compute. Una nueva imagen afecta a toda instancia de Compute futura que se lance desde esa imagen y las imágenes importadas deben provenir de fuentes conocidas y de confianza.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: MENOR
• Etiquetas: Compute

• Deje la configuración por defecto.

Descripción: alerta cuando se termina una instancia de Compute.

Recomendación: utilice políticas de IAM para restringir las operaciones de terminación de instancias.

Antecedentes: las instancias de Compute pueden ofrecer funciones críticas.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: Compute

• Deje la configuración por defecto.

Descripción: alerta cuando se actualiza una imagen de Compute.

Recomendación:

Asegúrese de que:

• La persona que se espera que brinde nuevas imágenes al entorno es quien importa la imagen.
• La imagen se importa de orígenes de confianza, como Oracle o un administrador de Compute de confianza.

Background: las imágenes de Compute son la base de las instancias de Compute. Una modificación de las imágenes afecta a toda instancia de Compute futura que se lance desde esa imagen. Las imágenes y cualquier cambio relacionado con ellas deben provenir de fuentes conocidas y de confianza.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: BAJO
• Etiquetas: Compute

• Deje la configuración por defecto.

Descripción: alerta cuando se termina un sistema de base de datos.

Recomendación: asegúrese de que un administrador permitido sanciona y realiza la terminación del sistema de base de datos y las bases de datos relacionadas.

Background: los sistemas de base de datos pueden contener datos confidenciales y proporcionar funcionalidades críticas. La terminación de un sistema de base de datos suprime permanentemente el sistema, las bases de datos que se ejecutan en él y los volúmenes de almacenamiento asociados a él.

Parámetros de Regla:

• Tipo de servicio: sistema de base de datos
• Tipo de recurso: sistema
• Nivel de riesgo: ALTO
• Etiquetas: Database

• Deje la configuración por defecto.

Descripción: alerta cuando se crean claves de API de IAM para un usuario.

Recomendación: asegúrese de que las claves de API solo las crean los usuarios autorizados para ello, ya sea para ellos mismos o para otros usuarios.

Antecedentes: las claves de API son necesarias para utilizar uno de los SDK de Oracle u otras herramientas para desarrolladores. El uso de estas herramientas para desarrolladores por parte de personas cuya función de trabajo no lo requiere conforma una vulnerabilidad de seguridad.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear claves de API para usuarios.

Descripción: alerta cuando se suprime la clave de API de IAM de un usuario.

Recomendación: asegúrese de que las claves de API solo las suprimen los usuarios autorizados para crear y suprimir claves de API.

Antecedentes: las claves de API son necesarias para utilizar uno de los SDK de Oracle u otras herramientas para desarrolladores. La supresión de claves de API para un usuario que esté trabajando con herramientas para desarrolladores de Oracle puede afectar gravemente a la productividad.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir claves de API de usuarios.

Descripción: alerta cuando se crea un token de autenticación de IAM para un usuario.

Recomendación: asegúrese de que los tokens de autenticación de IAM se crean por y para los usuarios autorizados.

Antecedente: los tokens de autenticación se pueden utilizar para autenticarse con API de terceros. La disponibilidad de los tokens de autenticación para las personas cuya función de trabajo no los necesita crea una vulnerabilidad de seguridad. Consulte Credenciales de usuario.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear tokens de autenticación de IAM.

Descripción: alerta cuando se suprime un token de autenticación de IAM para un usuario.

Recomendación: Asegúrese de que los tokens de autenticación de IAM los suprimen los usuarios autorizados.

Antecedente: los tokens de autenticación se pueden utilizar para autenticarse con API de terceros. La disponibilidad de los tokens de autenticación para las personas cuya función de trabajo no los necesita crea una vulnerabilidad de seguridad. Consulte Credenciales de usuario.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir tokens de autenticación de IAM.

Descripción: alerta cuando se crean claves de cliente de IAM.

Recomendación: asegúrese de que estas claves se crean solo para usuarios autorizados.

En segundo plano: las claves secretas de cliente se crean para utilizar la API de compatibilidad de Amazon S3 con Object Storage.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear claves de cliente de IAM.

Descripción: alerta cuando se suprimen claves de cliente de IAM.

Recomendación: asegúrese de que se espera la supresión de estas claves.

En segundo plano: las claves secretas de cliente se crean para utilizar la API de compatibilidad de Amazon S3 con Object Storage.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir claves de cliente de IAM.

Descripción: alerta cuando se crea un grupo de IAM.

Recomendación: asegúrese de que solo los usuarios autorizados crean grupos de IAM.

Background: los grupos controlan el acceso a los recursos y los privilegios.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: grupo
• Nivel de riesgo: MENOR
• Etiquetas: IAM

• Deje la configuración por defecto.

Descripción: alerta cuando se suprime un grupo de IAM.

Recomendación: asegúrese de que solo los usuarios autorizados realizan supresiones de grupos de IAM.

Background: los grupos controlan el acceso a los recursos y los privilegios.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de Recurso: GRUPO
• Nivel de riesgo: MENOR
• Etiquetas: IAM

• Deje la configuración por defecto.

Descripción: alerta cuando se crean credenciales OAuth 2.0 de IAM.

Recomendación: asegúrese de que estas credenciales se crean solo para usuarios autorizados para ello.

Antecedentes: las credenciales OAuth 2.0 de IAM se utilizan para interactuar con las API de los servicios que utilizan la autorización OAuth 2.0. Consulte Credenciales de usuario.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear credenciales OAuth 2.0 de IAM.

Descripción: alerta cuando se suprimen credenciales OAuth 2.0 de IAM

Recomendación: asegúrese de que se espera la supresión de estas credenciales.

Antecedentes: las credenciales OAuth 2.0 de IAM se utilizan para interactuar con las API de los servicios que utilizan la autorización OAuth 2.0. Consulte Credenciales de usuario.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir credenciales OAuth 2.0 de IAM.

Descripción: alerta cuando se editan las funciones de un usuario de IAM.

Recomendación: asegúrese de que solo los usuarios autorizados cambian las funciones de un usuario de IAM.

Antecedentes: para acceder a Oracle Cloud Infrastructure, los usuarios deben tener las credenciales necesarias, como claves de API, tokens de autenticación u otras credenciales.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Deje la configuración por defecto.

Descripción: alerta cuando se crea un usuario local o federado en OCI IAM.

Recomendación: asegúrese de que solo los usuarios autorizados crean usuarios de IAM.

Introducción: un usuario de IAM puede ser un empleado o sistema individual que necesita gestionar o utilizar los recursos de Oracle Cloud Infrastructure de su empresa.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: MENOR
• Etiquetas: IAM

• Deje la configuración por defecto.

Descripción: alerta cuando se crea o restablece la contraseña de la consola de un usuario.

Se recomienda: asegúrese de que la contraseña de un usuario la restablezca el propio usuario o un usuario administrador autorizado para restablecer contraseñas.

Anterior: el restablecimiento de la contraseña de un usuario varias veces o el restablecimiento por parte de un usuario que no está autorizado para restablecer contraseñas de usuario puede indicar un riesgo de seguridad.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para restablecer contraseñas de usuario.

Descripción: alerta cuando se modifica una política de seguridad.

Recomendación:

Introducción: el cambio de las políticas afecta a todos los usuarios del grupo y puede otorgar privilegios a usuarios que no las necesitan.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: política
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.1_MONITORING, IAM

• Deje la configuración por defecto.

Descripción: alerta cuando se autentica un usuario local que no tiene la autenticación multifactor (MFA) activada.

Recomendación: asegúrese de que todos los usuarios tengan activada la MFA.

Antecedentes: la autenticación multifactor (MFA) aumenta la seguridad al requerir el compromiso de más de una credencial para suplantar a un usuario. Los usuarios no autorizados no podrán cumplir el segundo requisito de autenticación y no podrán acceder al entorno.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: ALTO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Deje la configuración por defecto.

Descripción: alerta cuando se agrega un usuario a un grupo.

Recomendación: asegúrese de que el usuario tiene derecho a ser miembro del grupo.

Background: los grupos controlan el acceso a los recursos y los privilegios. Los grupos confidenciales se deben supervisar de cerca para detectar cambios en los miembros.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: grupo
• Nivel de riesgo: MENOR
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Deje la configuración por defecto.

Descripción: alerta cuando se elimina un usuario de un grupo.

Recomendación: asegúrese de que el usuario tiene derecho a ser miembro del grupo.

Background: los grupos controlan el acceso a los recursos y los privilegios. Los grupos confidenciales se deben supervisar de cerca para detectar cambios en los miembros.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: MENOR
• Etiquetas: IAM

• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para eliminar usuarios de este grupo.

Descripción: alerta cuando un gateway del enrutamiento dinámico (DRG) se asocia a una VCN.

Recomendación: asegúrese de que el recurso ( usuario) permite y espera la asociación de este DRG a la VCN en este compartimento.

Antecedentes: los DRG se utilizan para conectar redes locales existentes a una red virtual en la nube (VCN) con VPN IPSec o FastConnect.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: Networking
• Tipo de recurso: DRG
• Nivel de riesgo: MENOR
• Etiquetas: Network

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para asociar DRG a VCN.

Descripción: alerta cuando se crea un gateway de enrutamiento dinámico (DRG).

Recomendación: asegúrese de que el recurso ( usuario) permite y espera la creación de este DRG en este compartimento.

Antecedentes: los DRG se utilizan para conectar redes locales existentes a una red virtual en la nube (VCN) con IPSEC VPN o FastConnect.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: Networking
• Tipo de recurso: DRG
• Nivel de riesgo: MENOR
• Etiquetas: Network

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear DRG.

Descripción: alerta cuando se suprime un gateway de enrutamiento dinámico (DRG).

Recomendación: asegúrese de que el recurso (usuario) permite y espera la supresión de este DRG.

Antecedentes: los DRG se utilizan para conectar redes locales existentes a una red virtual en la nube (VCN) con VPN IPSec o FastConnect.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: Networking
• Tipo de recurso: DRG
• Nivel de riesgo: MENOR
• Etiquetas: Network

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir DRG.

Descripción: alerta cuando se desasocia un gateway de enrutamiento dinámico (DRG) de una VCN.

Recomendación: asegúrese de que el recurso (usuario) permite y espera la desasociación de este DRG de la VCN en este compartimento.

Antecedentes: los DRG se utilizan para conectar redes locales existentes a una red virtual en la nube (VCN) con VPN IPSec o FastConnect.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: Networking
• Tipo de recurso: DRG
• Nivel de riesgo: MENOR
• Etiquetas: Network

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para desasociar DRG de VCN.

Descripción: alerta cuando se cambia una subred.

Recomendación: asegúrese de que el cambio de la VCN se permite y se espera en este compartimento.

Antecedentes: las subredes son subdivisiones de una VCN. Las instancias informáticas conectadas en la misma subred utilizan la misma tabla de rutas, listas de seguridad y opciones de DHCP.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: subred
• Nivel de riesgo: BAJO
• Etiquetas: Network

• Deje la configuración por defecto.

Descripción: alerta cuando se suprime una subred.

Recomendación: active la autenticación multifactor (MFA) para asegurarse de que el usuario es un usuario conectado de manera genuina y de que las credenciales no se ven comprometidas.

Antecedentes: las subredes son subdivisiones de una VCN. Las instancias informáticas conectadas en la misma subred utilizan la misma tabla de rutas, listas de seguridad y opciones de DHCP.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: subred
• Nivel de riesgo: BAJO
• Etiquetas: Network

• Deje la configuración por defecto.

Descripción: alerta cuando un usuario se conecta, o se realiza una llamada a una API, desde una dirección IP sospechosa. Si está en vigor la política adecuada, proporcione un enlace desde el problema de Cloud Guard a información detallada sobre la dirección IP sospechosa en el servicio de información sobre amenazas. Para obtener más información sobre la política necesaria, consulte Políticas de IAM de información sobre amenazas.

Recomendación: active la autenticación multifactor (MFA) para asegurarse de que el usuario es un usuario conectado de manera genuina y de que las credenciales no se ven comprometidas.

Antecedentes: un usuario que se conecta desde una dirección IP sospechosa es una amenaza potencial.

Parámetros de Regla:

• Tipo de servicio: Cloud Guard
• Tipo de recurso: seguridad
• Nivel de riesgo: CRÍTICO
• Etiquetas: Network

• Configuración: incluya en la sección Valor de entrada de la regla bloques de CIDR o direcciones IP específicas.

Descripción: alerta cuando se crea una VCN.

Recomendación: asegúrese de que la creación de una nueva VCN se permite y se espera en este compartimento.

Antecedentes: una VCN es una red privada virtual que se configura en los centros de datos de Oracle. Al igual que una red tradicional, puede contener reglas de firewall y tipos específicos de gateways de comunicación.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se crea una VCN.

Recomendación: asegúrese de que la supresión de una VCN se permite y se espera en este compartimento.

Antecedentes: una VCN es una red privada virtual que se configura en los centros de datos de Oracle. Al igual que una red tradicional, puede contener reglas de firewall y tipos específicos de gateways de comunicación. La supresión de una VCN puede cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se cambia una opción de DHCP de una VCN.

Recomendación: asegúrese de que el cambio de la información de DHCP y DNS está permitido para esta VCN y los recursos relacionados.

Antecedentes: las opciones de DHCP controlan ciertos tipos de configuración en las instancias de una VCN, incluida la especificación de dominios de búsqueda y solucionadores de DNS que pueden dirigir las comunicaciones dentro de las redes virtuales a los recursos de Internet. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: DHCP
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se crea un gateway de Internet de una VCN.

Recomendación: asegúrese de que la creación de un gateway de Internet está permitida para esta VCN y los recursos relacionados.

Antecedente: los gateways de Internet son enrutadores virtuales que se pueden agregar a una VCN para activar la conectividad directa (entrada o salida) a Internet. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: gateway de Internet
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se termina un gateway de Internet de una VCN.

Recomendación: asegúrese de que la supresión de un gateway de Internet está permitida para esta VCN y los recursos relacionados.

Antecedente: los gateways de Internet son enrutadores virtuales que se pueden agregar a una VCN para activar la conectividad directa (entrada o salida) a Internet. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: gateway de Internet
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se cambia un gateway de intercambio de tráfico local de una VCN.

Recomendación: asegúrese de que los cambios del LPG están permitidos para esta VCN y los recursos relacionados.

Antecedentes: los gateways de intercambio de tráfico local (LPG) de la VCN conectan dos VCN en la misma región sin enrutar el tráfico a través de Internet. Los LPG utilizan los recursos de las VCN para comunicarse directamente con direcciones IP privadas. Los cambios de los LPG pueden afectar al acceso a los recursos y a las comunicaciones entre VCN. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: gateway de intercambio de tráfico local
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se suprime un NSG de una VCN.

Recomendación: asegúrese de que la eliminación del NSG está permitida para esta VCN y los recursos relacionados.

Antecedentes: los grupos de seguridad de red (NSG) actúan como un firewall virtual para las instancias informáticas y otros tipos de recursos. Los NSG cuentan con un juego de reglas de seguridad de entrada y de salida aplicadas a un juego de NIC virtuales de una VCN. La supresión de NSG puede eliminar las protecciones entre los recursos de la VCN y acarrear una denegación del acceso a los recursos o una pérdida de datos.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de Recurso: Grupo de Seguridad de Red
• Nivel de riesgo: ALTO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se cambia la regla de salida de un NSG de una VCN.

Recomendación: asegúrese de que las nuevas reglas de salida están permitidas para este NSG y los recursos relacionados.

Antecedentes: los grupos de seguridad de red (NSG) actúan como un firewall virtual para las instancias informáticas y otros tipos de recursos. Los NSG cuentan con un juego de reglas de seguridad de entrada y de salida aplicadas a un juego de NIC virtuales de una VCN. Los cambios de la regla de salida pueden acarrear una denegación del acceso a los recursos.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de Recurso: Grupo de Seguridad de Red
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se cambia la regla de entrada de un NSG de una VCN.

Recomendación: asegúrese de que las nuevas reglas de entrada están permitidas para este NSG y los recursos relacionados.

Antecedentes: los grupos de seguridad de red (NSG) actúan como un firewall virtual para las instancias informáticas y otros tipos de recursos. Los NSG cuentan con un juego de reglas de seguridad de entrada y de salida aplicadas a un juego de NIC virtuales de una VCN. Los cambios de las reglas de entrada de los NSG pueden permitir conexiones y tráfico a nuevos recursos y VNIC de la VCN.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de Recurso: Grupo de Seguridad de Red
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se cambia una tabla de rutas de una VCN.

Recomendación: asegúrese de que el cambio de la tabla de rutas se permite y se espera en este compartimento.

Antecedentes: las tablas de rutas virtuales tienen reglas que parecen y actúan como las reglas de ruta de red tradicionales. Las tablas de rutas mal configuradas pueden hacer que el tráfico se anule (desaparezca sin avisar) o se envíe a un destino no deseado. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: tabla de rutas
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se crea una lista de seguridad para una VCN.

Recomendación: asegúrese de que la creación de esta lista de seguridad está permitida para esta VCN y los recursos relacionados.

Anterior: las listas de seguridad actúan como firewalls virtuales para instancias informáticas y otros recursos y consisten en juegos de reglas de entrada y de salida que se aplican a todas las VNIC de cualquier subred asociada a esa lista de seguridad. Pueden aplicarse varias listas de seguridad a los recursos, que pueden dar acceso a dichos recursos a puertos y direcciones IP. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: lista de valores
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se suprime una lista de seguridad de una VCN.

Recomendación: asegúrese de que la eliminación de esta lista de seguridad está permitida para esta VCN y los recursos relacionados.

Anterior: las listas de seguridad actúan como firewalls virtuales para instancias informáticas y otros recursos y consisten en juegos de reglas de entrada y de salida que se aplican a todas las VNIC de cualquier subred asociada a esa lista de seguridad. Pueden aplicarse varias listas de seguridad a los recursos, que pueden dar acceso a dichos recursos a puertos y direcciones IP. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: lista de valores
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se cambian las reglas de salida de una lista de seguridad de una VCN.

Recomendación: asegúrese de que los cambios de las reglas de salida están permitidos para esta lista de seguridad y los recursos relacionados.

Anterior: las listas de seguridad actúan como firewalls virtuales para instancias informáticas y otros recursos y consisten en juegos de reglas de entrada y de salida que se aplican a todas las VNIC de cualquier subred asociada a esa lista de seguridad. Pueden aplicarse varias listas de seguridad a los recursos, que pueden dar acceso a dichos recursos a puertos y direcciones IP. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: lista de valores
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se cambian las reglas de entrada de una lista de seguridad de una VCN.

Recomendación: asegúrese de que los cambios de las reglas de entrada están permitidos para esta lista de seguridad y los recursos relacionados.

Anterior: las listas de seguridad actúan como firewalls virtuales para instancias informáticas y otros recursos y consisten en juegos de reglas de entrada y de salida que se aplican a todas las VNIC de cualquier subred asociada a esa lista de seguridad. Pueden aplicarse varias listas de seguridad a los recursos, que pueden dar acceso a dichos recursos a puertos y direcciones IP. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: lista de valores
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando una instancia de cálculo tiene una dirección IP pública.

Recomendación: considere cuidadosamente la posibilidad de permitir el acceso desde Internet a cualquier instancia. Por ejemplo, tiene que tener cuidado con no permitir accidentalmente el acceso desde Internet a instancias de base de datos confidenciales.

Antecedentes: para que una instancia sea accesible públicamente, debe:

• Tener una dirección IP pública
• Existir en una subred de una red virtual en la nube (VCN) pública
• Encontrarse en una VCN que tenga activado un gateway de Internet que esté configurado para el tráfico saliente
• Encontrarse en una subred donde la lista de seguridad esté configurada para todas las direcciones IP y todos los puertos (0.0.0.0/0)

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Compute

• Supresión de la IP pública de la instancia: siga las instrucciones de Supresión de una IP pública efímera de una instancia.

Descripción: alerta cuando una instancia de cálculo no está creada a partir de una imagen pública de Oracle.

Recomendación: asegúrese de que todas las instancias están ejecutando imágenes sancionadas de fuentes de confianza.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: BAJO
• Etiquetas: Compute

• Deje la configuración por defecto.

Descripción: alerta cuando una instancia es de acceso público.

Recomendación: considere cuidadosamente la posibilidad de permitir el acceso desde Internet a cualquier instancia.

Antecedentes: para que una instancia sea accesible públicamente, debe:

• Tener una dirección IP pública
• Existir en una subred de una VCN pública
• Encontrarse en una VCN que tenga activado un gateway de Internet que esté configurado para el tráfico saliente
• Encontrarse en una subred donde la lista de seguridad esté configurada para todas las direcciones IP y todos los puertos (0.0.0.0/0)

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: CRÍTICO
• Etiquetas: Compute

• Grupos condicionales: filtre los OCID de las instancias que deben tener una dirección IP pública.

Descripción: alerta cuando una instancia de Compute que se está ejecutando está creada a partir de una imagen pública de Oracle.

Recomendación: asegúrese de que todas las instancias están ejecutando imágenes sancionadas de fuentes de confianza.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: BAJO
• Etiquetas: Compute

• Deje la configuración por defecto.

Descripción: alerta cuando una instancia de cálculo se está ejecutando sin las etiquetas necesarias configuradas.

Recomendación: asegúrese de que las instancias utilizan las etiquetas necesarias.

Fondo: las etiquetas son importantes para fines de auditoría y seguimiento.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configuración: agregue las etiquetas necesarias en la sección Valor de entrada de la regla.

  Se permiten estos formatos en el cuadro Valor de entrada. Separe las diversas entradas con comas.

  • <namespace>.<definedkey>=<definedValue>
  • <namespace>.<definedKey>
  • <freeformkey>=<freeformValue>
  • <freeformkey>

  Ejemplos:

  • <namespace>.<definedkey>=<definedValue>
    • Operations.Environment=Production: si el recurso tiene una etiqueta definida en el espacio de nombres Operations, una clave definida como Environment y el valor definido Production, la regla no crea un problema.
    • Operations.*=*: si el recurso tiene una etiqueta definida en el espacio de nombres Operations, con cualquier clave definida y cualquier valor definido, la regla no crea un problema.
  • <namespace>.<definedkey>
    • Operations.Environment: si el recurso tiene una etiqueta definida en el espacio de nombres Operations, con una clave definida como Environment y cualquier valor definido, la regla no crea un problema.
  • <freeformKey>
    • Project: si el recurso tiene una etiqueta definida en la clave de formato libre Project, la regla no dispara un problema.
  • <freeformKey>=freeformValue
    • Project=APPROVED: si el recurso tiene una etiqueta definida en la clave de formato libre Project con el valor APPROVED, la regla no crea un problema.

Descripción: alerta cuando se detecta una base de datos para la que no está activado Data Safe.

Recomendación: asegúrese de que Data Safe está activado para todos los compartimentos que Cloud Guard está supervisando, que contienen bases de datos. Consulte Introducción.

Antecedentes: Data Safe ayuda a garantizar que las bases de datos se configuren de forma segura. Este servicio debe estar activado para ayudar a supervisar, proteger y mitigar los riesgos en sus bases de datos Oracle en la nube.

Parámetros de Regla:

• Tipo de servicio: Seguridad de los datos
• Tipo de recurso: Arrendamiento
• Nivel de riesgo: ALTO
• Etiquetas: Seguridad de base de datos

• Deje la configuración por defecto.

Descripción: alerta cuando la copia de seguridad automática no está activada para una base de datos.

Recomendación: asegúrese de que la copia de seguridad automática está activada.

Introducción: la activación de la copia de seguridad automática garantiza que, si se produce un fallo catastrófico en el hardware, pueda restaurar la base de datos con una pérdida mínima de datos.

Parámetros de Regla:

• Tipo de servicio: Database
• Tipo de recurso: sistema de base de datos
• Nivel de riesgo: ALTO
• Etiquetas: Database

• Grupos condicionales: elimine los OCID de las bases de datos que no necesiten una copia de seguridad automática, por ejemplo, los OCID de entornos de pruebas de desarrolladores.

Descripción: alerta cuando se detecta una instancia de base de datos que no está registrada en Data Safe.

Recomendación: registre esta instancia de base de datos con Data Safe y configure evaluaciones para evaluar y supervisar la configuración, comprobar las actividades del usuario y mitigar los riesgos. Consulte Registro de la base de datos de destino.

Antecedentes: Data Safe ayuda a garantizar que las bases de datos se configuren de forma segura. Todas las bases de datos en la nube. Este servicio debe estar activado para permitir supervisar, proteger y mitigar los riesgos en sus bases de datos Oracle en la nube.

Parámetros de Regla:

• Tipo de servicio: Seguridad de los datos
• Tipo de recurso: Arrendamiento
• Nivel de riesgo: MEDIO
• Etiquetas: Seguridad de base de datos

• Deje la configuración por defecto.

Descripción: alerta cuando un parche de base de datos disponible no se ha aplicado dentro del número de días especificado.

Recomendación: aplique los parches publicados a la base de datos cuando estén disponibles.

Introducción: los parches de base de datos abordan problemas de funcionalidad, seguridad y rendimiento. La mayoría de las infracciones de seguridad se pueden evitar mediante la aplicación de los parches disponibles.

Parámetros de Regla:

• Tipo de servicio: Database
• Tipo de recurso: sistema de base de datos
• Nivel de riesgo: MEDIO
• Etiquetas: Database

• Configuración: defina Número de días para aplicar el parche en la sección Valor de entrada de la regla.
• Grupos condicionales: elimine los OCID de las bases de datos que no necesiten tener aplicado el parche más reciente, por ejemplo, los OCID de entornos de pruebas de desarrolladores.

Recomendación: Asegúrese de que el sistema de base de datos no tiene una dirección IP pública.

Antecedentes: el uso de una dirección IP pública para acceder a una base de datos aumenta la exposición a posibles riesgos de seguridad y continuidad del negocio.

Parámetros de Regla:

• Tipo de servicio: Database
• Tipo de recurso: sistema de base de datos
• Nivel de riesgo: ALTO
• Etiquetas: Database

• Grupos condicionales: filtre los OCID de las bases de datos que deban ser públicas.

Descripción: alerta cuando una base de datos es de acceso público.

Recomendación: considere detenidamente la posibilidad de permitir el acceso desde Internet a cualquier sistema de base de datos.

Introducción: para que una base de datos sea de acceso público, debe:

• Tener una dirección IP pública.
• Estar en una subred de una VCN pública.
• Encontrarse en una subred que tenga activado un gateway de Internet que esté configurado para el tráfico de salida.
• Encontrarse en:
  • Una subred en la que la lista de seguridad permita el tráfico desde cualquier rango de CIDR de origen y "Todos los protocolos" o...
  • Encontrarse en un grupo de seguridad de red que permita el tráfico desde cualquier rango de CIDR de origen y "Todos los protocolos".

Parámetros de Regla:

• Tipo de servicio: Database
• Tipo de recurso: ExadataBareMetalVM
• Nivel de riesgo: CRÍTICO
• Etiquetas: Database

• Grupos condicionales: filtre los OCID de las bases de datos que deban ser públicas.

Descripción: alerta cuando un parche del sistema de base de datos disponible no se ha aplicado.

Recomendación: aplique los parches publicados al sistema de base de datos cuando estén disponibles.

Antecedentes: los parches de los sistemas de base de datos a menudo incluyen actualizaciones que eliminan las vulnerabilidades de seguridad conocidas.

Parámetros de Regla:

• Tipo de servicio: Database
• Tipo de recurso: sistema de base de datos
• Nivel de riesgo: MEDIO
• Etiquetas: Database

• Configuración: defina Número de días para aplicar el parche en la sección Valor de entrada de la regla.
• Grupos condicionales: filtre los OCID de los sistemas de base de datos que no necesiten tener aplicado el último parche, por ejemplo, los OCID de entornos de pruebas de desarrolladores.

Descripción: alerta cuando un sistema de base de datos se ejecuta con una versión que no está sancionada.

Recommendation: asegúrese de que la versión del sistema de base de datos desplegado está aprobada y analizada.

Antecedentes: la ejecución de versiones no sancionadas de los sistemas de base de datos podría aumentar las posibilidades de que se produzca una infracción de seguridad, poniendo en riesgo la confidencialidad, integridad y disponibilidad de los datos.

Parámetros de Regla:

• Tipo de servicio: Database
• Tipo de recurso: sistema de base de datos
• Nivel de riesgo: CRÍTICO
• Etiquetas: Database

• Grupos condicionales: filtre los OCID de los sistemas de base de datos que no necesiten tener una versión sancionada, por ejemplo, los OCID de entornos de pruebas de desarrolladores.

Descripción: alerta cuando una base de datos se ejecuta con una versión que no está sancionada.

Recommendation: asegúrese de que la versión de la base de datos desplegada está aprobada y analizada.

Antecedentes: la versión sancionada de una base de datos cuenta con las funciones de seguridad y los parches para vulnerabilidades más recientes. La ejecución de versiones no sancionadas de una base de datos podría aumentar las posibilidades de que se produzca una infracción de seguridad, poniendo en riesgo la confidencialidad, integridad y disponibilidad de los datos.

Parámetros de Regla:

• Tipo de servicio: Database
• Tipo de recurso: sistema de base de datos
• Nivel de riesgo: CRÍTICO
• Etiquetas: Database

• Grupos condicionales: filtre los OCID de las bases de datos que no necesiten tener una versión sancionada, por ejemplo, los OCID de entornos de pruebas de desarrolladores.

Descripción: alerta cuando un par de claves públicas/ privadas de IAM asignado a un usuario es demasiado antiguo.

Recomendación: rote las claves de API con regularidad, al menos cada 90 días.

Fondo: el cambio de las claves de API de IAM al menos cada 90 días es una de las mejores prácticas de seguridad. Cuanto más tiempo permanezcan sin cambios las credenciales de IAM, mayor será el riesgo de que se vean comprometidas.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: IAMKey
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configuración: (Opcional) puede cambiar el valor de 90 días en la sección Valor de entrada de la regla.

Descripción: alerta cuando los tokens de autenticación de IAM superen el número máximo de días especificado.

Recomendación: rote los tokens de autenticación de IAM con regularidad, al menos cada 90 días.

Background: El cambio de los tokens de autenticación de IAM al menos cada 90 días es una práctica recomendada de seguridad. Cuanto más tiempo permanezcan sin cambios los tokens de autenticación de IAM, mayor será el riesgo de que se vean comprometidos.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.1_IAM, IAM

• Configuración: defina el número máximo de días para los tokens de autenticación de IAM (es 90) en la sección Valor de entrada de la regla.

Descripción: alerta cuando las claves secretas de cliente de IAM superan el número máximo de días especificado.

Recomendación: rote las claves secretas de cliente de IAM con regularidad, al menos cada 90 días.

Introducción: el cambio de claves secretas de cliente de IAM al menos cada 90 días es una mejor práctica de seguridad. Cuanto más tiempo permanezcan sin cambios las claves secretas del cliente de IAM, mayor será el riesgo de que se vean comprometidas.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.1_IAM, IAM

• Configuración: defina el número máximo de días para las claves secretas de cliente de IAM (es 90) en la sección Valor de entrada de la regla.

Descripción: alerta cuando un grupo de IAM tiene menos miembros que el número mínimo especificado.

Recomendación: aumente el número de miembros del grupo para que sea menor que el número mínimo de miembros especificado.

Antecedentes: la pertenencia a grupos de IAM suele otorgar acceso a recursos y funciones. Los grupos que tienen muy pocos miembros podrían implicar que hubiese demasiados privilegios que se quedasen "huérfanos" (que dejasen de estar disponibles para los usuarios).

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: grupo
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Deje la configuración por defecto.

Descripción: alerta cuando un grupo de IAM supera el número máximo especificado de miembros.

Recomendación: reduzca el número de miembros del grupo para que sea menor que el número máximo de miembros especificado.

Antecedentes: la pertenencia a grupos de IAM suele otorgar acceso a recursos y funciones. Los grupos que tienen demasiados miembros podrían implicar que se estuviese otorgando privilegios demasiado permisivos a demasiados usuarios.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: grupo
• Nivel de riesgo: MEDIO
• Etiquetas: IAM

• Deje la configuración por defecto.

Descripción: alerta cuando una contraseña de IAM supere el número máximo de días especificado.

Se recomienda: rote las contraseñas de IAM con regularidad, al menos cada 90 días.

Antecedentes: el cambio de las contraseñas de IAM al menos cada 90 días forma parte de las mejores prácticas de seguridad. Cuanto más tiempo permanezcan sin cambios las credenciales de IAM, mayor será el riesgo de que se vean comprometidas.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configuración: defina el número máximo de días para las contraseñas (el valor por defecto es 90) en la sección Valor de entrada de la regla.

Descripción: la política de contraseñas no cumple los requisitos de complejidad.

Recomendación: Oracle recomienda que una política de contraseñas segura incluya al menos una letra minúscula.

Antecedentes: las contraseñas complejas son más difíciles de adivinar y pueden disminuir las posibilidades de que se produzca un acceso no autorizado o de que los datos se vean comprometidos.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: política
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Deje la configuración por defecto.

Descripción: alerta cuando una política de IAM otorga un acceso de rol de administrador a un usuario que no es miembro del grupo de administradores.

Recomendación: asegúrese de que la política está restringida y solo permite el acceso de usuarios específicos a los recursos necesarios para llevar a cabo sus funciones de trabajo.

Antecedentes: una política es un documento que especifica quién puede acceder a qué recursos de OCI de los que dispone su empresa y de qué forma. Una política simplemente permite a un grupo trabajar de determinadas formas con tipos de recursos específicos de un compartimento concreto.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: política
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configuración: agregue los OCID de los grupos a los que se deben otorgar estos privilegios en la sección Valor de entrada de la regla.

Descripción: alerta cuando el privilegio de administrador del arrendamiento se otorga a un grupo adicional de IAM.

Recomendación: verifique con el administrador de OCI que esta concesión de derecho se ha sancionado y que la pertenencia del grupo sigue válida después de la concesión del privilegio de administrador.

Antecedentes: los miembros del grupo de administradores del arrendamiento por defecto pueden realizar cualquier acción en todos los recursos de ese arrendamiento. Este derecho de alto privilegio debe controlarse y restringirse únicamente a los usuarios que lo necesiten para llevar a cabo sus funciones de trabajo.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: política
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configuración: agregue los OCID de los grupos que deben tener privilegios de administrador en la sección Valor de entrada de la regla.

Descripción: alerta cuando un usuario no tiene activada la autenticación multifactor (MFA).

Consejo: active la MFA para todos los usuarios utilizando la aplicación Oracle Mobile Authenticator (OMA) en el dispositivo móvil de cada usuario y el código de acceso de un momento (OTP) enviado a la dirección de correo electrónico registrada del usuario.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: CRÍTICO
  Nota
  
  Si su organización comenzó a utilizar Cloud Guard antes de abril de 2023, el nivel de riesgo por defecto es MEDIUM.
• Etiquetas: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Deje la configuración por defecto.

Descripción: alerta cuando un usuario tiene claves de API activadas.

Recomunicación: asegúrese de que los administradores no accedan a OCI a través de claves de API, como excepción. No codifique credenciales de IAM directamente en el software o en documentos para un público amplio.

Antecedentes: las claves de API de IAM son credenciales que se utilizan para otorgar acceso programático a los recursos. Los usuarios humanos no deben utilizar claves de API.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Deje la configuración por defecto.

Descripción: alerta cuando una clave de KMS no se rotó dentro del período de tiempo especificado.

Recomendación: asegúrese de rotar las claves de KMS con regularidad.

Antecedentes: para garantizar la seguridad de la información, debe cambiar o rotar periódicamente las contraseñas, las claves y los materiales criptográficos. Al rotar sus claves en KMS, se reduce el impacto y la probabilidad de que se comprometan dichas claves. Defina el periodo mínimo. Puede cambiar el tiempo por defecto para la rotación de las claves de 180 días en la sección Valor de entrada de la regla.

Parámetros de Regla:

• Tipo de servicio: KMS
• Tipo de recurso: clave de KMS
• Nivel de riesgo: CRÍTICO
• Etiquetas: CIS_OCI_V1.1_MONITORING, KMS

• Configuración: defina el tiempo por defecto para la rotación de las claves en la sección Valor de entrada de la regla.

Descripción: alerta cuando un recurso no está etiquetado de conformidad con los requisitos de etiquetado que ha especificado.

Recomendación: compruebe que las etiquetas configuradas están en uso para imágenes informáticas, instancias informáticas, sistemas de base de datos, VCN, almacenamiento de objetos y volúmenes en bloque de almacenamiento.

Antecedentes: verifique que las etiquetas configuradas estén en uso para imágenes informáticas, instancias informáticas, sistemas de base de datos, VCN, almacenamiento de objetos y volúmenes en bloque de almacenamiento.

Parámetros de Regla:

• Tipo de servicio: varios
• Tipo de recurso: varios
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configuración: agregue las etiquetas adecuadas en la sección Valor de entrada de la regla.

Descripción: alerta cuando un equilibrador de carga tiene un conjunto de cifrado configurado que es oci-wider-compatible-ssl-cipher-suite-v1. Este conjunto de cifrado incluye algoritmos como DES y RC4 que se consideran débiles y propensos a ataques. Solo se aplica a conjuntos de cifrado predefinidos y no a los valores de conjuntos de cifrado personalizados.

Opcionalmente, utilice condiciones para especificar conjuntos de cifrado adicionales que se van a marcar.

Para utilizar cifrados adicionales:

1. Edite la regla de detector El equilibrador de carga permite conjuntos de cifrado débiles.
2. En Configuración de entrada, introduzca los cifrados adicionales como una lista separada por comas en Lista de cifrados débiles de BL.
   • Cuando Valor de entrada está vacío (valor por defecto), oci-wider-compatible-ssl-cipher-suite-v1 se marca y se marca.
   • Cuando Configuración de entrada tiene entradas, se comprueban los cifrados adicionales y oci-wider-compatible-ssl-cipher-suite-v1.
   Los cifrados adicionales son:

   • oci-compatible-ssl-cipher-suite-v1
   • oci-default-ssl-cipher-suite-v1
   • oci-modern-ssl-cipher-suite-v1
   • oci-tls-11-12-13-wider-ssl-cipher-suite-v1
   • oci-tls-12-13-wider-ssl-cipher-suite-v1

Recommendation: utilice los modernos juegos de cifrado por defecto que soportan un cifrado más sólido.

Introducción: no se recomiendan algunas versiones de conjuntos de cifrado con algoritmos como DES.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: equilibrador de carga
• Nivel de riesgo: MEDIO
• Etiquetas: Network

• Deje la configuración por defecto.

Descripción: alerta cuando un equilibrador de carga tiene un protocolo configurado como parte de su política SSL que incluye cualquier versión anterior a la Seguridad de Capa de Transporte (TLS) 1.2.

Recomendación: asegúrese de que la versión de la política de SSL configurada sea al menos TLS 1.2.

Antecedentes: las versiones más antiguas de la política son peligrosas y vulnerables a muchos tipos de ataques. Varios estándares, como PCI-DSS y NIST, recomiendan encarecidamente el uso de TLS 1.2.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: equilibrador de carga
• Nivel de riesgo: ALTO
• Etiquetas: Network

• Deje la configuración por defecto.

Descripción: alerta cuando un equilibrador de carga no tiene ningún juego de backends asociado.

Recomendación: asegúrese de configurar equilibradores de carga con juegos de backends para controlar el estado y el acceso a un equilibrador de carga por parte de instancias definidas.

Antecedentes: un juego de backends es una entidad lógica que se define mediante una política de equilibrio de carga, una política de comprobación del sistema y una lista de servidores backend.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: equilibrador de carga
• Nivel de riesgo: CRÍTICO
• Etiquetas: Network

• Deje la configuración por defecto.

Descripción: alerta cuando una lista de seguridad de un equilibrador de carga tiene reglas de entrada que aceptan tráfico de un origen abierto (0.0.0.0/0).

Recomendación: asegúrese de que los equilibradores de carga de OCI utilizan listeners o reglas de entrada para permitir el acceso únicamente desde recursos conocidos.

Antecedentes: los equilibradores de carga de OCI activan conexiones TLS integrales entre las aplicaciones de un cliente y su VCN. Un listener es una entidad lógica que busca el tráfico entrante en la dirección IP del equilibrador de carga. Para manejar el tráfico TCP, HTTP y HTTPS, debe configurar al menos un listener por tipo de tráfico.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: equilibrador de carga
• Nivel de riesgo: MENOR
• Etiquetas: Network

• Deje la configuración por defecto.

Descripción: alerta cuando un equilibrador de carga se está ejecutando con una dirección IP pública.

Recomendación: asegúrese de que todos los equilibradores de carga que no necesitan acceso público se estén ejecutando con direcciones IP privadas.

Anterior: una dirección IP pública de un equilibrador de carga que no está destinada a utilizarse para contenido disponible públicamente crea una vulnerabilidad de seguridad innecesaria.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: equilibrador de carga
• Nivel de riesgo: Alto
• Etiquetas: Network

• Grupos condicionales: filtre los OCID de cualquier equilibrador de carga que deba tener una dirección IP pública.

Descripción: alerta cuando el certificado SSL de un equilibrador de carga caduca dentro del período de tiempo especificado.

Recomendación: asegúrese de que los certificados se rotan a su debido tiempo.

Antecedentes: para garantizar una seguridad y usabilidad continuas, los certificados SSL se deben rotar en OCI.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: equilibrador de carga
• Nivel de riesgo: CRÍTICO
• Etiquetas: Network

• Configuración: defina Días antes de la caducidad (el valor por defecto es 48) en la sección Valor de entrada de la regla.

Descripción: alerta cuando la regla de salida de un grupo de seguridad de red (NSG) contiene un número de puerto y una dirección IP de destino no permitidos.

Recomendación: asegúrese de que las reglas de salida para la comunicación con la IP/el puerto están permitidas para este NSG.

Background: los NSG actúan como un firewall virtual para las instancias informáticas y otros tipos de recursos. Las reglas de seguridad de salida de un NSG se aplican a un juego de NIC virtuales en una VCN para permitir el acceso a puertos y direcciones IP específicos.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de Recurso: Grupo de Seguridad de Red
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Network

• Configuración: agregue los puertos no permitidos en la sección Valor de entrada de la regla.

Descripción: alerta cuando la regla de entrada de un grupo de seguridad de red contiene un número de puerto y una dirección IP de destino no permitidos.

Recomendación: asegúrese de que las reglas de entrada para la comunicación con la IP/el puerto están permitidas para este NSG.

Background: los NSG actúan como un firewall virtual para las instancias informáticas y otros tipos de recursos. Las reglas de seguridad de entrada de un NSG se aplican a un juego de NIC virtuales en una VCN para permitir el acceso a puertos y direcciones IP específicos.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de Recurso: Grupo de Seguridad de Red
• Nivel de riesgo: ALTO
• Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Network

• Configuración: agregue los puertos no permitidos en la sección Valor de entrada de la regla.

Descripción: alerta cuando una VCN está asociada a una puerta de enlace de Internet.

Recomendación: asegúrese de que los gateways de Internet cuentan con la autorización para estar asociados a una VCN y de que dicha asociación no expone recursos a Internet. Asegúrese de que las listas de seguridad con reglas de entrada y esas listas de seguridad no están configuradas para permitir el acceso desde todas las direcciones IP 0.0.0.0/0.

Antecedentes: los gateways proporcionan conectividad externa a los hosts de una VCN. Entre ellos se incluyen los gateways de Internet (IGW) para disponer de conectividad a Internet.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando una VCN está asociada a un gateway de intercambio de tráfico local.

Recomendación: asegúrese de que los gateways de intercambio de tráfico local cuentan con la autorización para estar asociados a una VCN y de que dicha asociación no expone recursos a Internet.

Antecedentes: los gateways proporcionan conectividad externa a los hosts de una VCN. Entre ellos se incluyen los gateways de intercambio de tráfico local (LPG) para disponer de conectividad a una VCN con intercambio de tráfico.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando una VCN no tiene ninguna lista de seguridad de entrada.

Recomendación: asegúrese de que las VCN de OCI utilizan listas de seguridad con reglas de entrada para permitir el acceso únicamente desde recursos conocidos.

Antecedentes: las listas de seguridad proporcionan capacidad de firewall con estado y sin estado para controlar el acceso de red a las instancias. Una lista de seguridad se configura en el nivel de la subred y se aplica en el nivel de la instancia. Puede aplicar varias listas de seguridad a una subred en la que se permita un paquete de red si este coincide con alguna de las reglas de las listas de seguridad.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: MEDIO
• Etiquetas: Network

• Deje la configuración por defecto.

Descripción: alerta cuando la lista de seguridad de una VCN permite el tráfico sin restricciones a un puerto no público desde un origen abierto (0.0.0.0/0).

Recomendación: utilice listas de seguridad de VCN para restringir el acceso de red a las instancias de una subred. Para evitar el acceso no autorizado o los ataques a instancias informáticas, Oracle le recomienda que:

• Utilice una lista de seguridad de VCN para permitir el acceso SSH o RDP solo desde bloques de CIDR autorizados
• No deje instancias informáticas abiertas a Internet (0.0.0.0/0)

Antecedentes: una VCN cuenta con una recopilación de funciones para aplicar un control del acceso a la red y proteger el tráfico de la VCN. Las listas de seguridad proporcionan capacidad de firewall con estado y sin estado para controlar el acceso de red a las instancias. Una lista de seguridad se configura en el nivel de la subred y se aplica en el nivel de la instancia. Puede aplicar varias listas de seguridad a una subred en la que se permita un paquete de red si este coincide con alguna de las reglas de las listas de seguridad.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: CRÍTICO
• Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Network

• Deje la configuración por defecto.

Descripción: alerta cuando la lista de seguridad de una VCN permite que ciertos puertos restringidos (consulte Valores de entrada, Protocolo restringido: Lista de puertos) formen parte de la regla de entrada de la lista de seguridad.

Recomendación: asegúrese de que las VCN de OCI utilicen listas de seguridad que no incluyan un puerto que aparezca en la lista "Protocolo restringido:Lista de puertos" en la configuración de entrada de esta regla de detector con cualquier regla de entrada o entrada. La sección Detalles adicionales de un problema muestra los puertos restringidos abiertos específicos que dispararon este problema.

Antecedentes: las listas de seguridad proporcionan capacidad de firewall con estado y sin estado para controlar el acceso de red a las instancias. Una lista de seguridad se configura en el nivel de la subred y se aplica en el nivel de la instancia. Puede aplicar varias listas de seguridad a una subred en la que se permita un paquete de red si este coincide con alguna de las reglas de las listas de seguridad.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: MENOR
• Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Network

• Configuración:
  • Modifique Protocolo restringido: Lista de puertos según sea necesario en la sección Valor de entrada de la regla.

  Puede introducir listas de puertos manualmente o puede introducir nombres de una o más listas de seguridad que haya definido. Consulte Listas de seguridad.

Descripción: alerta cuando una tarjeta de interfaz de red virtual (VNIC) no tiene ningún NSG asociado.

Recomendación: asegúrese de que todas las VNIC tienen un NSG asociado.

Antecedentes: una VNIC es un componente de red que permite que un recurso, como una instancia informática, se conecte a una VCN. La VNIC determina cómo se conecta la instancia con los puntos finales de dentro y fuera de la VCN. Cada VNIC reside en una subred de una VCN. Una VNIC sin un NSG puede generar un problema de conectividad.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: MENOR
• Etiquetas: Network

• Configuración: modifique Protocolo restringido: Lista de puertos según sea necesario en la sección Valor de entrada de la regla.

Descripción: alerta cuando Oracle Vulnerability Scanning Service (VSS) explora contenedores e identifica vulnerabilidades de ciberseguridad conocidas. Para utilizar esta regla, debe crear una receta de exploración de host y un destino de exploración de host en el servicio Scanning. Consulte Scanning: Getting Started en la documentación de Scanning.

Se recomienda: realice las acciones recomendadas que se documentan para cada vulnerabilidad, como la aplicación de un parche del sistema operativo.

Background: el servicio Scanning identifica vulnerabilidades en aplicaciones, bibliotecas, sistemas operativos y servicios. Cada vulnerabilidad de la base de datos tiene un identificador o CVE propio.

Parámetros de Regla:

• Tipo de servicio: Scanning, Compute
• Tipo de recurso: Contenedor
• Nivel de riesgo: CRÍTICO
• Etiquetas: VSS

• Deje la configuración por defecto (se detectan todos los CVE)

Descripción: alerta cuando Oracle Vulnerability Scanning Service (VSS) explora instancias de Compute (hosts) e identifica puertos abiertos. Para utilizar esta regla, debe crear una receta de exploración de host y un destino de exploración de host en el servicio Scanning. Consulte Scanning: Getting Started en la documentación de Scanning.

Recomendación: revise si los puertos identificados deben estar abiertos en este host y ciérrelos si no es necesario que estén abiertos. Si todos los puertos abiertos son correctos, asegúrese de que la lista de puertos permitidos contenga todos los números de puerto abiertos. Además, asegúrese de que la lista de puertos no permitidos no contenga ninguno de los números de puerto abiertos.

Antecedentes: algunos puertos son necesarios para el funcionamiento y la prestación de los servicios, pero cualquier puerto que esté abierto y no esté incluido en la lista prevista podrá utilizarse potencialmente para aprovechar los servicios.

Parámetros de Regla:

• Tipo de servicio: Scanning, Compute
• Tipo de recurso: Compute
• Nivel de riesgo: CRÍTICO
• Etiquetas: VSS

• Configuración: agregue los puertos que se deban ignorar a la lista Puertos permitidos de la sección Valor de entrada de la regla.
  Nota
  
  

  Si agrega el mismo número de puerto tanto a la lista Puertos permitidos como a la lista Puertos no permitidos de la sección Configuración de entrada de la regla, la lista Puertos no permitidos tiene prioridad; aún se dispara un problema cuando Cloud Guard encuentra el puerto abierto.

Descripción: alerta cuando Oracle Vulnerability Scanning Service (VSS) explora instancias de Compute (hosts) e identifica vulnerabilidades de seguridad cibernética conocidas. Para utilizar esta regla, debe crear una receta de exploración de host y un destino de exploración de host en el servicio Scanning. Consulte Scanning: Getting Started en la documentación de Scanning.

Se recomienda: realice las acciones recomendadas que se documentan para cada vulnerabilidad, como la aplicación de un parche del sistema operativo.

Background: el servicio Scanning identifica vulnerabilidades en aplicaciones, bibliotecas, sistemas operativos y servicios. Cada vulnerabilidad de la base de datos tiene un identificador o CVE propio.

Parámetros de Regla:

• Tipo de servicio: Scanning, Compute
• Tipo de recurso: Compute
• Nivel de riesgo: CRÍTICO
• Etiquetas: VSS

• Deje la configuración por defecto (se detectan todos los CVE)

Descripción: alerta cuando un volumen en bloque está cifrado con claves gestionadas por Oracle.

Recomendación: asigne una clave de KMS a este volumen.

Anterior: el cifrado de los volúmenes proporciona un nivel adicional de seguridad a los datos. La gestión de las claves de cifrado es fundamental para proteger y acceder a los datos protegidos. Algunos clientes desean poder identificar los volúmenes en bloque cifrados con claves gestionadas por Oracle frente a las claves gestionadas por el usuario.

Parámetros de Regla:

• Tipo de servicio: almacenamiento
• Tipo de recurso: volumen en bloque
• Nivel de riesgo: MENOR
• Etiquetas: KMS

• Claves gestionadas por Oracle: recomendadas para proteger los volúmenes en bloque.
• Claves gestionadas por el usuario:
  • Utilice KMS siempre que sea posible.
  • Implemente Oracle Security Zones en los compartimentos para asegurarse de que se sigue la práctica.
• Grupos condicionales: debido al gran número de volúmenes, evite su uso.

Descripción: alerta cuando un volumen en bloque no está asociado a su instancia.

Recomendación: asegúrese de que el volumen está asociado.

Parámetros de Regla:

• Tipo de servicio: almacenamiento
• Tipo de recurso: volumen en bloque
• Nivel de riesgo: MEDIO
• Etiquetas: Storage

• Grupos condicionales: evite su uso, debido al gran número de volúmenes.

Descripción: alerta cuando un cubo es público.

Recomendación: asegúrese de que el cubo está sancionado para acceso público y, si no es así, póngase en contacto con el administrador de OCI para restringir la política del cubo y que solo se permite el acceso de usuarios específicos a los recursos necesarios para realizar las funciones de trabajo.

Antecedentes: Object Storage soporta el acceso anónimo y no autenticado a un cubo. Un cubo público que tenga el acceso de lectura activado para los usuarios anónimos permite a cualquier persona obtener metadatos del objeto, descargar objetos del cubo y, opcionalmente, mostrar el contenido del cubo.

Parámetros de Regla:

• Tipo de servicio: almacenamiento
• Tipo de recurso: cubo
• Nivel de riesgo: CRÍTICO
• Etiquetas: CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Grupos condicionales: filtre los nombres de los cubos (<namespace>/<name>) que deban ser públicos.

Descripción: alerta cuando un cubo de Object Storage está cifrado con una clave gestionada por Oracle.

Recomendación: asigne una clave de Vault a este cubo.

Antecedentes: el cifrado de los cubos de almacenamiento proporciona un nivel adicional de seguridad a los datos. La gestión de las claves de cifrado es fundamental para proteger y acceder a los datos protegidos. Algunos clientes desean poder identificar los cubos de almacenamiento cifrados con claves gestionadas por Oracle.

Parámetros de Regla:

• Tipo de servicio: almacenamiento
• Tipo de recurso: cubo
• Nivel de riesgo: MENOR
• Etiquetas: CIS_OCI_V1.1_ObjectStorage, ObjectStorage, KMS

• Configuración: esta regla está desactivada por defecto en el detector de configuración de OCI, ya que podría generar problemas que pueden no ser críticos para muchos operadores de Cloud Guard. Si activa esta regla, asegúrese de definir cuidadosamente los grupos condicionales para que se dirijan solo a los cubos específicos que NO desea cifrar con una clave gestionada por Oracle. Si necesita un control de claves estricto mediante el uso de claves gestionadas por el usuario a través de Vault, cree un compartimento de zona de seguridad de Oracle y cree recursos en ese compartimento.

Descripción: alerta cuando los logs de acceso de lectura no están activados para un cubo de Object Storage.

Recomendación: asegúrese de que los logs de lectura están activados para el cubo y de que las herramientas de seguridad supervisan continuamente los logs.

Antecedentes: los logs de acceso ayudan a proteger los objetos confidenciales proporcionando visibilidad de las actividades relacionadas con las operaciones de lectura y escritura en los objetos del cubo de almacenamiento de objetos.

Parámetros de Regla:

• Tipo de servicio: almacenamiento
• Tipo de recurso: cubo
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configuración: esta regla está desactivada por defecto en OCI Configuration Detector y no se puede activar allí. Activar esta Regla:
  1. Clonación del detector de configuración de OCI. Consulte Clonación de una receta de OCI Detector.
  2. Active la regla en la copia gestionada por el usuario (clonada) del detector de configuración de OCI. Consulte Edición de ajustes de reglas en una receta de OCI Detector.
  3. Asocie la copia gestionada por el usuario (clonada) del detector de configuración de OCI a todos los destinos en los que desea activar la regla. Consulte Edición de un destino de OCI y sus recetas asociadas.

Descripción: alerta cuando los logs de acceso de escritura no están activados para un cubo de Object Storage.

Recomendación: asegúrese de que los logs de escritura están activados para el cubo y de que las herramientas de seguridad supervisan continuamente los logs.

Antecedentes: los logs de acceso ayudan a proteger los objetos confidenciales proporcionando visibilidad de las actividades relacionadas con las operaciones de lectura y escritura en los objetos del cubo de almacenamiento de objetos.

Parámetros de Regla:

• Tipo de servicio: almacenamiento
• Tipo de recurso: cubo
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.1_MONITORING, CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configuración: esta regla está desactivada por defecto en OCI Configuration Detector y no se puede activar allí. Activar esta Regla:
  1. Clonación del detector de configuración de OCI. Consulte Clonación de una receta de OCI Detector.
  2. Active la regla en la copia gestionada por el usuario (clonada) del detector de configuración de OCI. Consulte Edición de ajustes de reglas en una receta de OCI Detector.
  3. Asocie la copia gestionada por el usuario (clonada) del detector de configuración de OCI a todos los destinos en los que desea activar la regla. Consulte s.

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux/Windows

Descripción: detecta si la seguridad de instancia no está instalada o no se está ejecutando como se esperaba. Por ejemplo:

InstanceOCID: <redacted>, currently in active state. The agent was last detected on 2024-03-19 21:11:27.41, more than 24 hours ago

Recomendación: hay algunos motivos por los que puede recibir esta alerta:

• Si el host de Compute está caído y el agente de seguridad de la instancia no puede acceder al host durante más de 24 horas. Investigue el host de recursos informáticos para ver si esto es lo que ha sucedido.
• Si las políticas de seguridad de la instancia no son correctas. Compruebe que se hayan agregado todas las estas políticas.
• Si no está presente la última versión de seguridad de instancia. Oracle Cloud Agent (OCA) actualiza automáticamente el agente de seguridad de instancia en un host, por lo que si no se ha producido, compruebe lo siguiente:

  En Linux:

  1. ¿Está activado Oracle Cloud Agent (OCA) y se está ejecutando en la instancia?

     sudo systemctl status oracle-cloud-agent.service

  2. Compruebe si el plugin de seguridad de instancia se está ejecutando. Es responsable de gestionar el ciclo de vida del agente de seguridad de instancia. Si el plugin de seguridad de instancia se está ejecutando pero tiene este problema, significa que puede haber algún error en el agente de seguridad de instancia o que el plugin está recibiendo un error 4xx y el agente no está instalado o no se está ejecutando.

     pgrep oci-wlp

  3. Compruebe si el plugin de seguridad de instancia está recibiendo un error 404 en el log.

     sudo vim /var/log/oracle-cloud-agent/plugins/oci-wlp/oci-wlp.log

  4. Confirme que el agente de seguridad de instancia se está ejecutando en la instancia.

     sudo systemctl status wlp-agent-osqueryd.service

     Si la salida del comando contiene errores, intente reiniciar el servicio.

     sudo systemctl restart wlp-agent-osqueryd.service

  En Windows:

  1. Compruebe que el plugin de seguridad de instancia está activado en Oracle Cloud Agent (OCA) para la instancia.
     1. Vaya al Menú de inicio > Herramientas administrativas de Windows > Servicios.
     2. Compruebe el estado de la protección de carga de trabajo de Oracle Cloud Agent Cloud Guard. Debe mostrar que se está ejecutando.
     3. Si se detiene, seleccione con la derecha y seleccione Start (Iniciar).
  2. Compruebe si el agente de seguridad de instancia se está ejecutando en la instancia.
     1. Vaya al Menú de inicio > Herramientas administrativas de Windows > Servicios.
     2. Compruebe el estado del servicio wlp-agent. Debe mostrar que se está ejecutando.
     3. Si se detiene, seleccione con la derecha y seleccione Start (Iniciar).

Una vez que haya encontrado el problema y lo haya solucionado, espere 24 horas para que este problema desaparezca. Si sigue viéndolo después de 24 horas y ha vuelto a comprobar los pasos anteriores, póngase en contacto con los Servicios de Soporte Oracle.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: seguridad de instancia

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: WMI es la infraestructura para datos de gestión y operaciones en sistemas operativos basados en Windows. Es un proceso de nivel de servicio utilizado para ejecutar scripts y se puede utilizar para iniciar terminales de scripts o para intentar descargar una carga útil.

Recomendación: supervise objetos WMI recientemente construidos que puedan establecer persistencia y/o elevar privilegios mediante mecanismos del sistema.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1546

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: detecta la posible desactivación de las funciones de seguridad de Windows. Alerta si los servicios Windows Defender (windefend), Firewall de Windows) mpssvc y Windows Security Service (wscvcs) no se están ejecutando. Por ejemplo:

Windows security service in stopped state: windefend

Recomendación: la desactivación de la regla de seguridad de Windows puede dejar los recursos en riesgo. Pesar los riesgos y reactivar las reglas aplicables.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1562.001

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: puede indicar el uso de contraseñas en cuentas de Windows, es decir, el uso repetido de la misma contraseña en varias cuentas.

Recomendación: determine si la cuenta de usuario en cuestión es el usuario real que intenta conectarse.

Utilice la autenticación multifactor. Siempre que sea posible, active la autenticación multifactor en servicios orientados al exterior. Defina políticas para bloquear cuentas después de un determinado número de intentos de conexión fallidos para evitar que se adivinen las contraseñas.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1110

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux

Descripción: es común que los actores de amenazas carguen un shell web en servicios HTTP. Esto busca sockets abiertos en servicios HTTP comunes como Apache.

Recomendación: confirme con el propietario del sistema si se supone que la ruta del servidor web tiene un archivo con un puerto de servidor de recepción.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: MEDIO
• Etiquetas: MITRE_T1505.003

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux

Descripción: devuelve posibles shells inversos en procesos del sistema. Por ejemplo:

Possible reverse shell on system process (pid | path | remote_address | remote_port): 10129 | /usr/bin/bash | | 0, 10164 | /usr/bin/bash | | 0]

Recomendación: recopile la lista de IP que se conectan al shell inverso y determine si la IP está en la lista de mala reputación. Investigue si hay otros procesos asociados con el PID de shell inverso.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1505.003

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: el malware intenta ejecutarse desde el espacio de privilegios de usuario. En esta consulta lo estamos limitando al espacio temporal y observando la línea de comandos para las herramientas comunes utilizadas para lateral / reconocimiento del entorno.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere aislar la instancia para realizar más investigaciones.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1059

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: detecta los procesos que intentan enmascararse como procesos legítimos de Windows mediante rutas incorrectas. Por ejemplo:

Process masquerading as legitimate windows process explorer.exe at path(s): c:\users\opc\downloads\new folder\explorer\bin\debug\explorer.exe

Recomendación: recopile el hash del archivo y determine si se trata de un binario erróneo conocido. Determine si el binario enmascarado está intentando llamar o ejecutar otros archivos en el sistema.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1574.009

Esta regla está presente en las siguientes recetas:

Sistema operativo: Linux/Windows

• Receta de detector de seguridad de instancia de OCI: Enterprise (gestionada por Oracle)
• Receta de detector de seguridad de instancia de OCI (gestionada por Oracle)

Descripción: detecta los procesos que reciben conexiones de red. Por ejemplo:

Disallowed open ports: {"scannedIps":[{"hostIp":"127.0.0.53","ports":[{"port":"53","type":null,"process":"systemd-resolve : /lib/systemd/systemd-resolved","family":"ipv4","protocol":"tcp"}

Recomendación: revise si estos puertos deben estar abiertos en este host y ciérrelos si no es necesario que estén abiertos.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: CRÍTICO
• Etiquetas: MITRE_T1505.003

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: búsqueda de Putty en modo de recepción para crear un túnel SSH.

Recomendación: recopile la lista de direcciones IP que se conectan al proceso de Putty e investigue las que parezcan sospechosas.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1572

Esta regla está presente en las siguientes recetas:

Sistema operativo: Linux

• Receta de detector de seguridad de instancia de OCI: Enterprise (gestionada por Oracle)
• Receta de detector de seguridad de instancia de OCI (gestionada por Oracle)

Descripción: explora las instancias informáticas para identificar vulnerabilidades de ciberseguridad conocidas relacionadas con aplicaciones, bibliotecas, sistemas operativos y servicios. Este detector informa de problemas cuando el servicio detecta que una instancia tiene una o más vulnerabilidades en el nivel de gravedad de CVE configurado o superior. Las vulnerabilidades con un nivel de gravedad de CVE inferior al nivel seleccionado no tendrán un problema de Cloud Guard creado, pero se reflejarán como parte de los problemas agregados que se muestran en la página Recursos de Cloud Guard.

Recomendación: revise las vulnerabilidades encontradas y priorícelas. Tome las medidas de corrección o mitigación adecuadas para la vulnerabilidad.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: CRÍTICO
• Etiquetas: seguridad de instancia

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux

Descripción: búsqueda de Putty en modo de recepción para crear un túnel SSH para un comando de terminal incorporado de Linux.

Recomendación: recopile la lista de direcciones IP que se conectan al proceso de Putty e investigue las que parezcan sospechosas.

Siempre que sea posible, solo permita la ejecución de scripts firmados. Utilice el control de aplicaciones cuando corresponda.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1572

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux

Descripción: el malware puede utilizar trabajos cron que se ejecutan en un programa periódico para comprobar si hay puertas traseras.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere aislar la instancia para realizar más investigaciones.

Siempre que sea posible, solo permita la ejecución de scripts firmados. Utilice el control de aplicaciones cuando corresponda.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: MEDIO
• Etiquetas: MITRE_T1547

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: el malware puede utilizar una tarea programada que se ejecuta desde la carpeta temporal para volver a ejecutar una puerta trasera al reiniciar.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere aislar la instancia para realizar más investigaciones.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1053

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: esta detección busca servicios de Windows sospechosos que se ejecuten desde la carpeta temporal, que puede ser un mecanismo común utilizado por el malware para garantizar que la puerta trasera se ejecute de forma periódica.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere aislar la instancia para realizar más investigaciones.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1547

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: el malware puede utilizar una ejecución de inicio de una puerta trasera de nuevo al reiniciar.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere aislar la instancia para realizar más investigaciones.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: MEDIO
• Etiquetas: MITRE_T1547

Descripción: alerta cuando un usuario ha realizado actividades que generan una puntuación de riesgo que supera el umbral del problema, lo que podría indicar una cuenta comprometida o una amenaza interna. Los adversarios pueden utilizar técnicas de fuerza bruta para conseguir acceder a cuentas cuando no se saben las contraseñas. Los usuarios pueden abusar de sus privilegios asignados y realizar tareas que van mucho más allá de los requisitos de la compañía, lo que puede afectar a la organización.

Recomendación: puede desactivar temporalmente la cuenta mientras investiga la actividad y solicitar un restablecimiento de contraseña si el usuario no reconoce la actividad.

Antecedentes: la puntuación de riesgo de un usuario que supera el umbral del problema podría indicar una cuenta comprometida o un empleado degradado.

Parámetros de regla: esta regla no tiene parámetros que pueda modificar.

• Deje la configuración por defecto.