Referencia de las recetas de detector

Revise la información de resumen de todos los tipos de recetas de detector gestionadas por Oracle.

Nota

Las siguientes secciones incluyen recomendaciones de mejores prácticas para modificar las reglas de las recetas de detector. Las recetas gestionadas por Oracle permiten realizar diferentes tipos de cambios en las reglas, en comparación con las recetas gestionadas por el usuario (clonadas). En general, esta información se aplica a todos los tipos de recetas de detector.

Del mismo modo, el acceso a una receta de detector desde la página Recetas de detector permite realizar diferentes tipos de cambios en las reglas, en comparación con el acceso desde la página Destinos. Consulte Modificación de recetas en los niveles de receta y de destino.

Reglas de detector de actividad de OCI

El material de referencia para la receta de detector de actividad gestionada por Oracle que proporciona Cloud Guard aparece agrupado a continuación por tipo de recurso. Amplíe un nombre mostrado de regla para ver los detalles.

Recursos de bastión

Bastión creado

Descripción: alerta cuando se crea una nueva instancia de Bastion.

Recomendación: asegúrese de que solo los usuarios autorizados creen instancias de Bastion.

Anterior: las instancias de Bastion proporcionan a los usuarios acceso SSH seguro e ininterrumpido a los hosts de destino en subredes privadas, al tiempo que restringen el acceso público directo.

Parámetros de Regla:

  • Tipo de servicio: Bastión
  • Tipo de recurso: instancia
  • Nivel de riesgo: BAJO
  • Etiquetas: Bastion
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Sesión de Bastion creada

Descripción: alerta cuando se crea una nueva sesión de Bastion.

Recomendación: asegúrese de que solo los usuarios autorizados creen sesiones de Bastion.

Antecedentes: una sesión de Bastion proporciona acceso SSH delimitado por tiempo, seguro e inconsútil a un host de destino en subredes privadas, al tiempo que restringe el acceso público directo.

Parámetros de Regla:

  • Tipo de servicio: Bastión
  • Tipo de recurso: instancia
  • Nivel de riesgo: BAJO
  • Etiquetas: Bastion
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.

Recursos de certificados

Grupo de autoridades de certificación actualizado

Descripción: alerta cuando se actualiza un grupo de autoridades de certificación.

Consejo: asegúrese de que solo los usuarios autorizados actualicen los grupos de autoridades de certificación. Si el usuario no está autorizado, revierta la actualización.

Antecedente: un grupo de autoridades de certificación es un archivo que contiene certificados raíz e intermedios. La autoridad de certificación del grupo da fe de los certificados intermedios de los usuarios. Cuando se actualiza un grupo de autoridades de certificación, un usuario que está asociado a un certificado intermedio suprimido ya no puede acceder a los recursos de los que ha dado fe la autoridad de certificación. Del mismo modo, un usuario asociado a un certificado intermedio que se agrega ahora puede acceder a esos recursos.

Parámetros de Regla:

  • Tipo de servicio: Certificados
  • Tipo de recurso: usuario
  • Nivel de riesgo: MEDIO
  • Etiquetas: Certificados
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Autoridad de certificación (CA) suprimida

Descripción: alerta cuando se suprime un grupo de autoridades de certificación (CA).

Consejo: asegúrese de que solo los usuarios autorizados supriman los grupos de autoridades de certificación. Si el usuario no está autorizado, cancele la supresión.

Antecedente: un grupo de autoridades de certificación es un archivo que contiene certificados raíz e intermedios. La autoridad de certificación del grupo da fe del certificado intermedio de los usuarios. Cuando se suprime un grupo de autoridades de certificación, los usuarios asociados a los certificados intermedios ya no pueden acceder a recursos que requieren que una autoridad de certificación aprobada dé fe.

Parámetros de Regla:

  • Tipo de servicio: Certificados
  • Tipo de recurso: usuario
  • Nivel de riesgo: MEDIO
  • Etiquetas: Certificados
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Autoridad de certificación (CA) intermedia revocada

Descripción: alerta cuando se revoca un certificado intermedio en un grupo de autoridades de certificación (CA).

Recommendation: asegúrese de que solo los usuarios autorizados revocan certificados intermedios en los grupos de autoridades de certificación. Si el usuario no está autorizado, cancele la revocación.

Antecedentes: cuando se revoca un certificado intermedio en un grupo de autoridades de certificación, el usuario asociado ya no puede acceder a recursos que requieren que una CA aprobada dé fe del certificado intermedio del usuario.

Parámetros de Regla:

  • Tipo de servicio: Certificados
  • Tipo de recurso: usuario
  • Nivel de riesgo: MEDIO
  • Etiquetas: Certificados
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.

Recursos informáticos

Exportar imagen

Descripción: alerta cuando se exporta una imagen de Compute.

Recomendación: las imágenes que contengan elementos patentados se deben etiquetar en consecuencia con privilegios de exportación que se otorguen únicamente a los administradores de OCI adecuados.

Antecedentes: las imágenes de Compute pueden ser equivalentes a "unidades de datos" y contener información confidencial. Las imágenes que puedan contener elementos patentados se deben identificar en consecuencia con privilegios de exportación que se otorguen únicamente a los administradores de OCI adecuados.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: MENOR
  • Etiquetas: Compute
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Importar imagen

Descripción: alerta cuando se importa una imagen de Compute.

Recomendación: asegúrese de que la persona que se espera que introduzca nuevas imágenes en el entorno importa la imagen de Compute de orígenes de confianza, como Oracle o un administrador de Compute de confianza.

Background: las imágenes de Compute son la base de las instancias de Compute. Una nueva imagen afecta a toda instancia de Compute futura que se lance desde esa imagen y las imágenes importadas deben provenir de fuentes conocidas y de confianza.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: MENOR
  • Etiquetas: Compute
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Instancia terminada

Descripción: alerta cuando se termina una instancia de Compute.

Recomendación: utilice políticas de IAM para restringir las operaciones de terminación de instancias.

Antecedentes: las instancias de Compute pueden ofrecer funciones críticas.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: ALTO
  • Etiquetas: Compute
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Actualizar imagen

Descripción: alerta cuando se actualiza una imagen de Compute.

Recomendación:

Asegúrese de que:

  • La persona que se espera que brinde nuevas imágenes al entorno es quien importa la imagen.
  • La imagen se importa de orígenes de confianza, como Oracle o un administrador de Compute de confianza.

Background: las imágenes de Compute son la base de las instancias de Compute. Una modificación de las imágenes afecta a toda instancia de Compute futura que se lance desde esa imagen. Las imágenes y cualquier cambio relacionado con ellas deben provenir de fuentes conocidas y de confianza.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: BAJO
  • Etiquetas: Compute
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.

Recursos de la base de datos

Sistema de base de datos terminado

Descripción: alerta cuando se termina un sistema de base de datos.

Recomendación: asegúrese de que un administrador permitido sanciona y realiza la terminación del sistema de base de datos y las bases de datos relacionadas.

Background: los sistemas de base de datos pueden contener datos confidenciales y proporcionar funcionalidades críticas. La terminación de un sistema de base de datos suprime permanentemente el sistema, las bases de datos que se ejecutan en él y los volúmenes de almacenamiento asociados a él.

Parámetros de Regla:

  • Tipo de servicio: sistema de base de datos
  • Tipo de recurso: sistema
  • Nivel de riesgo: ALTO
  • Etiquetas: Database
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.

Recursos de IAM

Claves de API de IAM creadas

Descripción: alerta cuando se crean claves de API de IAM para un usuario.

Recomendación: asegúrese de que las claves de API solo las crean los usuarios autorizados para ello, ya sea para ellos mismos o para otros usuarios.

Antecedentes: las claves de API son necesarias para utilizar uno de los SDK de Oracle u otras herramientas para desarrolladores. El uso de estas herramientas para desarrolladores por parte de personas cuya función de trabajo no lo requiere conforma una vulnerabilidad de seguridad.

Parámetros de Regla:

  • Estado: Desactivada
  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: BAJO
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
  • Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear claves de API para usuarios.
Claves de API de IAM suprimidas

Descripción: alerta cuando se suprime la clave de API de IAM de un usuario.

Recomendación: asegúrese de que las claves de API solo las suprimen los usuarios autorizados para crear y suprimir claves de API.

Antecedentes: las claves de API son necesarias para utilizar uno de los SDK de Oracle u otras herramientas para desarrolladores. La supresión de claves de API para un usuario que esté trabajando con herramientas para desarrolladores de Oracle puede afectar gravemente a la productividad.

Parámetros de Regla:

  • Estado: Desactivada
  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: BAJO
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
  • Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir claves de API de usuarios.
Token de autenticación de IAM creado

Descripción: alerta cuando se crea un token de autenticación de IAM para un usuario.

Recomendación: asegúrese de que los tokens de autenticación de IAM se crean por y para los usuarios autorizados.

Antecedente: los tokens de autenticación se pueden utilizar para autenticarse con API de terceros. La disponibilidad de los tokens de autenticación para las personas cuya función de trabajo no los necesita crea una vulnerabilidad de seguridad. Consulte Credenciales de usuario.

Parámetros de Regla:

  • Estado: Desactivada
  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: BAJO
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
  • Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear tokens de autenticación de IAM.
Token de autenticación de IAM suprimido

Descripción: alerta cuando se suprime un token de autenticación de IAM para un usuario.

Recomendación: Asegúrese de que los tokens de autenticación de IAM los suprimen los usuarios autorizados.

Antecedente: los tokens de autenticación se pueden utilizar para autenticarse con API de terceros. La disponibilidad de los tokens de autenticación para las personas cuya función de trabajo no los necesita crea una vulnerabilidad de seguridad. Consulte Credenciales de usuario.

Parámetros de Regla:

  • Estado: Desactivada
  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: BAJO
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
  • Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir tokens de autenticación de IAM.
Claves de cliente de IAM creadas

Descripción: alerta cuando se crean claves de cliente de IAM.

Recomendación: asegúrese de que estas claves se crean solo para usuarios autorizados.

En segundo plano: las claves secretas de cliente se crean para utilizar la API de compatibilidad de Amazon S3 con Object Storage.

Parámetros de Regla:

  • Estado: Desactivada
  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: BAJO
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
  • Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear claves de cliente de IAM.
Claves de cliente de IAM suprimidas

Descripción: alerta cuando se suprimen claves de cliente de IAM.

Recomendación: asegúrese de que se espera la supresión de estas claves.

En segundo plano: las claves secretas de cliente se crean para utilizar la API de compatibilidad de Amazon S3 con Object Storage.

Parámetros de Regla:

  • Estado: Desactivada
  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: BAJO
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
  • Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir claves de cliente de IAM.
Grupo de IAM creado

Descripción: alerta cuando se crea un grupo de IAM.

Recomendación: asegúrese de que solo los usuarios autorizados crean grupos de IAM.

Background: los grupos controlan el acceso a los recursos y los privilegios.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: grupo
  • Nivel de riesgo: MENOR
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Grupo de IAM suprimido

Descripción: alerta cuando se suprime un grupo de IAM.

Recomendación: asegúrese de que solo los usuarios autorizados realizan supresiones de grupos de IAM.

Background: los grupos controlan el acceso a los recursos y los privilegios.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de Recurso: GRUPO
  • Nivel de riesgo: MENOR
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Credenciales OAuth 2.0 de IAM creadas

Descripción: alerta cuando se crean credenciales OAuth 2.0 de IAM.

Recomendación: asegúrese de que estas credenciales se crean solo para usuarios autorizados para ello.

Antecedentes: las credenciales OAuth 2.0 de IAM se utilizan para interactuar con las API de los servicios que utilizan la autorización OAuth 2.0. Consulte Credenciales de usuario.

Parámetros de Regla:

  • Estado: Desactivada
  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: BAJO
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
  • Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear credenciales OAuth 2.0 de IAM.
Credenciales OAuth 2.0 de IAM suprimidas

Descripción: alerta cuando se suprimen credenciales OAuth 2.0 de IAM

Recomendación: asegúrese de que se espera la supresión de estas credenciales.

Antecedentes: las credenciales OAuth 2.0 de IAM se utilizan para interactuar con las API de los servicios que utilizan la autorización OAuth 2.0. Consulte Credenciales de usuario.

Parámetros de Regla:

  • Estado: Desactivada
  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: BAJO
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
  • Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir credenciales OAuth 2.0 de IAM.
Funciones de usuario de IAM modificadas

Descripción: alerta cuando se editan las funciones de un usuario de IAM.

Recomendación: asegúrese de que solo los usuarios autorizados cambian las funciones de un usuario de IAM.

Antecedentes: para acceder a Oracle Cloud Infrastructure, los usuarios deben tener las credenciales necesarias, como claves de API, tokens de autenticación u otras credenciales.

Parámetros de Regla:

  • Estado: Desactivada
  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: BAJO
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
  • Deje la configuración por defecto.
Usuario de IAM creado

Descripción: alerta cuando se crea un usuario local o federado en OCI IAM.

Recomendación: asegúrese de que solo los usuarios autorizados crean usuarios de IAM.

Introducción: un usuario de IAM puede ser un empleado o sistema individual que necesita gestionar o utilizar los recursos de Oracle Cloud Infrastructure de su empresa.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: MENOR
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Contraseña de interfaz de usuario de IAM creada o restablecida

Descripción: alerta cuando se crea o restablece la contraseña de la consola de un usuario.

Se recomienda: asegúrese de que la contraseña de un usuario la restablezca el propio usuario o un usuario administrador autorizado para restablecer contraseñas.

Anterior: el restablecimiento de la contraseña de un usuario varias veces o el restablecimiento por parte de un usuario que no está autorizado para restablecer contraseñas de usuario puede indicar un riesgo de seguridad.

Parámetros de Regla:

  • Estado: Desactivada
  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: BAJO
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
  • Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para restablecer contraseñas de usuario.
Política de seguridad modificada

Descripción: alerta cuando se modifica una política de seguridad.

Recomendación:

Asegúrese de que:
  • La política está restringida y solo permite el acceso de usuarios específicos a los recursos necesarios para llevar a cabo sus funciones de trabajo
  • La modificación está sancionada

Introducción: el cambio de las políticas afecta a todos los usuarios del grupo y puede otorgar privilegios a usuarios que no las necesitan.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: política
  • Nivel de riesgo: BAJO
  • Etiquetas: CIS_OCI_V1.1_MONITORING, IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.7: Garantía de Configuración de una Notificación para los Cambios de la Política de IAM.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Usuario local autenticado sin MFA

Descripción: alerta cuando se autentica un usuario local que no tiene la autenticación multifactor (MFA) activada.

Recomendación: asegúrese de que todos los usuarios tengan activada la MFA.

Antecedentes: la autenticación multifactor (MFA) aumenta la seguridad al requerir el compromiso de más de una credencial para suplantar a un usuario. Los usuarios no autorizados no podrán cumplir el segundo requisito de autenticación y no podrán acceder al entorno.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: ALTO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.7: Garantía de Configuración de una Notificación para los Cambios de la Política de IAM.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Usuario agregado a grupo

Descripción: alerta cuando se agrega un usuario a un grupo.

Recomendación: asegúrese de que el usuario tiene derecho a ser miembro del grupo.

Background: los grupos controlan el acceso a los recursos y los privilegios. Los grupos confidenciales se deben supervisar de cerca para detectar cambios en los miembros.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: grupo
  • Nivel de riesgo: MENOR
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.6 - Asegurar que se ha configurado una notificación para la modificación de los grupos de IAM.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Usuario eliminado de grupo

Descripción: alerta cuando se elimina un usuario de un grupo.

Recomendación: asegúrese de que el usuario tiene derecho a ser miembro del grupo.

Background: los grupos controlan el acceso a los recursos y los privilegios. Los grupos confidenciales se deben supervisar de cerca para detectar cambios en los miembros.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: MENOR
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para eliminar usuarios de este grupo.

Recursos de red

DRG asociado a una VCN

Descripción: alerta cuando un gateway del enrutamiento dinámico (DRG) se asocia a una VCN.

Recomendación: asegúrese de que el recurso ( usuario) permite y espera la asociación de este DRG a la VCN en este compartimento.

Antecedentes: los DRG se utilizan para conectar redes locales existentes a una red virtual en la nube (VCN) con VPN IPSec o FastConnect.

Parámetros de Regla:

  • Estado: Desactivada
  • Tipo de servicio: Networking
  • Tipo de recurso: DRG
  • Nivel de riesgo: MENOR
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
  • Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para asociar DRG a VCN.
DRG creado

Descripción: alerta cuando se crea un gateway de enrutamiento dinámico (DRG).

Recomendación: asegúrese de que el recurso ( usuario) permite y espera la creación de este DRG en este compartimento.

Antecedentes: los DRG se utilizan para conectar redes locales existentes a una red virtual en la nube (VCN) con IPSEC VPN o FastConnect.

Parámetros de Regla:

  • Estado: Desactivada
  • Tipo de servicio: Networking
  • Tipo de recurso: DRG
  • Nivel de riesgo: MENOR
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
  • Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear DRG.
DRG suprimido

Descripción: alerta cuando se suprime un gateway de enrutamiento dinámico (DRG).

Recomendación: asegúrese de que el recurso (usuario) permite y espera la supresión de este DRG.

Antecedentes: los DRG se utilizan para conectar redes locales existentes a una red virtual en la nube (VCN) con VPN IPSec o FastConnect.

Parámetros de Regla:

  • Estado: Desactivada
  • Tipo de servicio: Networking
  • Tipo de recurso: DRG
  • Nivel de riesgo: MENOR
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
  • Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir DRG.
DRG desasociado de una VCN

Descripción: alerta cuando se desasocia un gateway de enrutamiento dinámico (DRG) de una VCN.

Recomendación: asegúrese de que el recurso (usuario) permite y espera la desasociación de este DRG de la VCN en este compartimento.

Antecedentes: los DRG se utilizan para conectar redes locales existentes a una red virtual en la nube (VCN) con VPN IPSec o FastConnect.

Parámetros de Regla:

  • Estado: Desactivada
  • Tipo de servicio: Networking
  • Tipo de recurso: DRG
  • Nivel de riesgo: MENOR
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
  • Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para desasociar DRG de VCN.
Subred cambiada

Descripción: alerta cuando se cambia una subred.

Recomendación: asegúrese de que el cambio de la VCN se permite y se espera en este compartimento.

Antecedentes: las subredes son subdivisiones de una VCN. Las instancias informáticas conectadas en la misma subred utilizan la misma tabla de rutas, listas de seguridad y opciones de DHCP.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: subred
  • Nivel de riesgo: BAJO
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Subred suprimida

Descripción: alerta cuando se suprime una subred.

Recomendación: active la autenticación multifactor (MFA) para asegurarse de que el usuario es un usuario conectado de manera genuina y de que las credenciales no se ven comprometidas.

Antecedentes: las subredes son subdivisiones de una VCN. Las instancias informáticas conectadas en la misma subred utilizan la misma tabla de rutas, listas de seguridad y opciones de DHCP.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: subred
  • Nivel de riesgo: BAJO
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Actividad de IP sospechosa

Descripción: alerta cuando un usuario se conecta, o se realiza una llamada a una API, desde una dirección IP sospechosa. Si está en vigor la política adecuada, proporcione un enlace desde el problema de Cloud Guard a información detallada sobre la dirección IP sospechosa en el servicio de información sobre amenazas. Para obtener más información sobre la política necesaria, consulte Políticas de IAM de información sobre amenazas.

Recomendación: active la autenticación multifactor (MFA) para asegurarse de que el usuario es un usuario conectado de manera genuina y de que las credenciales no se ven comprometidas.

Antecedentes: un usuario que se conecta desde una dirección IP sospechosa es una amenaza potencial.

Parámetros de Regla:

  • Tipo de servicio: Cloud Guard
  • Tipo de recurso: seguridad
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: incluya en la sección Valor de entrada de la regla bloques de CIDR o direcciones IP específicas.
VCN creada

Descripción: alerta cuando se crea una VCN.

Recomendación: asegúrese de que la creación de una nueva VCN se permite y se espera en este compartimento.

Antecedentes: una VCN es una red privada virtual que se configura en los centros de datos de Oracle. Al igual que una red tradicional, puede contener reglas de firewall y tipos específicos de gateways de comunicación.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: VCN
  • Nivel de riesgo: BAJO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.9: Garantía de Configuración de una Notificación para los Cambios de las VCN.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
VCN suprimida

Descripción: alerta cuando se crea una VCN.

Recomendación: asegúrese de que la supresión de una VCN se permite y se espera en este compartimento.

Antecedentes: una VCN es una red privada virtual que se configura en los centros de datos de Oracle. Al igual que una red tradicional, puede contener reglas de firewall y tipos específicos de gateways de comunicación. La supresión de una VCN puede cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: VCN
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.9: Garantía de Configuración de una Notificación para los Cambios de las VCN.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Opción de DHCP de VCN cambiada

Descripción: alerta cuando se cambia una opción de DHCP de una VCN.

Recomendación: asegúrese de que el cambio de la información de DHCP y DNS está permitido para esta VCN y los recursos relacionados.

Antecedentes: las opciones de DHCP controlan ciertos tipos de configuración en las instancias de una VCN, incluida la especificación de dominios de búsqueda y solucionadores de DNS que pueden dirigir las comunicaciones dentro de las redes virtuales a los recursos de Internet. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: DHCP
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.9: Garantía de Configuración de una Notificación para los Cambios de las VCN.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Gateway de Internet de VCN creado

Descripción: alerta cuando se crea un gateway de Internet de una VCN.

Recomendación: asegúrese de que la creación de un gateway de Internet está permitida para esta VCN y los recursos relacionados.

Antecedente: los gateways de Internet son enrutadores virtuales que se pueden agregar a una VCN para activar la conectividad directa (entrada o salida) a Internet. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: gateway de Internet
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.13: Asegurar que se ha configurado una notificación para los cambios de los puertas de enlace de red.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Gateway de Internet de VCN terminado

Descripción: alerta cuando se termina un gateway de Internet de una VCN.

Recomendación: asegúrese de que la supresión de un gateway de Internet está permitida para esta VCN y los recursos relacionados.

Antecedente: los gateways de Internet son enrutadores virtuales que se pueden agregar a una VCN para activar la conectividad directa (entrada o salida) a Internet. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: gateway de Internet
  • Nivel de riesgo: BAJO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.13: Asegurar que se ha configurado una notificación para los cambios de los puertas de enlace de red.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Gateway de intercambio de tráfico local de VCN cambiado

Descripción: alerta cuando se cambia un gateway de intercambio de tráfico local de una VCN.

Recomendación: asegúrese de que los cambios del LPG están permitidos para esta VCN y los recursos relacionados.

Antecedentes: los gateways de intercambio de tráfico local (LPG) de la VCN conectan dos VCN en la misma región sin enrutar el tráfico a través de Internet. Los LPG utilizan los recursos de las VCN para comunicarse directamente con direcciones IP privadas. Los cambios de los LPG pueden afectar al acceso a los recursos y a las comunicaciones entre VCN. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: gateway de intercambio de tráfico local
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.13: Asegurar que se ha configurado una notificación para los cambios de los puertas de enlace de red.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Grupo de seguridad de red de VCN suprimido

Descripción: alerta cuando se suprime un NSG de una VCN.

Recomendación: asegúrese de que la eliminación del NSG está permitida para esta VCN y los recursos relacionados.

Antecedentes: los grupos de seguridad de red (NSG) actúan como un firewall virtual para las instancias informáticas y otros tipos de recursos. Los NSG cuentan con un juego de reglas de seguridad de entrada y de salida aplicadas a un juego de NIC virtuales de una VCN. La supresión de NSG puede eliminar las protecciones entre los recursos de la VCN y acarrear una denegación del acceso a los recursos o una pérdida de datos.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de Recurso: Grupo de Seguridad de Red
  • Nivel de riesgo: ALTO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.12: Asegurar que se Ha Configurado una Notificación para los Cambios de los Grupos de Seguridad de Red.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Regla de salida de grupo de seguridad de red de VCN cambiada

Descripción: alerta cuando se cambia la regla de salida de un NSG de una VCN.

Recomendación: asegúrese de que las nuevas reglas de salida están permitidas para este NSG y los recursos relacionados.

Antecedentes: los grupos de seguridad de red (NSG) actúan como un firewall virtual para las instancias informáticas y otros tipos de recursos. Los NSG cuentan con un juego de reglas de seguridad de entrada y de salida aplicadas a un juego de NIC virtuales de una VCN. Los cambios de la regla de salida pueden acarrear una denegación del acceso a los recursos.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de Recurso: Grupo de Seguridad de Red
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.12: Asegurar que se Ha Configurado una Notificación para los Cambios de los Grupos de Seguridad de Red.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Regla de entrada de grupo de seguridad de red de VCN cambiada

Descripción: alerta cuando se cambia la regla de entrada de un NSG de una VCN.

Recomendación: asegúrese de que las nuevas reglas de entrada están permitidas para este NSG y los recursos relacionados.

Antecedentes: los grupos de seguridad de red (NSG) actúan como un firewall virtual para las instancias informáticas y otros tipos de recursos. Los NSG cuentan con un juego de reglas de seguridad de entrada y de salida aplicadas a un juego de NIC virtuales de una VCN. Los cambios de las reglas de entrada de los NSG pueden permitir conexiones y tráfico a nuevos recursos y VNIC de la VCN.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de Recurso: Grupo de Seguridad de Red
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.12: Asegurar que se Ha Configurado una Notificación para los Cambios de los Grupos de Seguridad de Red.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Tabla de rutas de VCN cambiada

Descripción: alerta cuando se cambia una tabla de rutas de una VCN.

Recomendación: asegúrese de que el cambio de la tabla de rutas se permite y se espera en este compartimento.

Antecedentes: las tablas de rutas virtuales tienen reglas que parecen y actúan como las reglas de ruta de red tradicionales. Las tablas de rutas mal configuradas pueden hacer que el tráfico se anule (desaparezca sin avisar) o se envíe a un destino no deseado. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: tabla de rutas
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.10: Asegurar que se ha configurado una notificación para los cambios de las tablas de rutas.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Lista de seguridad de VCN creada

Descripción: alerta cuando se crea una lista de seguridad para una VCN.

Recomendación: asegúrese de que la creación de esta lista de seguridad está permitida para esta VCN y los recursos relacionados.

Anterior: las listas de seguridad actúan como firewalls virtuales para instancias informáticas y otros recursos y consisten en juegos de reglas de entrada y de salida que se aplican a todas las VNIC de cualquier subred asociada a esa lista de seguridad. Pueden aplicarse varias listas de seguridad a los recursos, que pueden dar acceso a dichos recursos a puertos y direcciones IP. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: lista de valores
  • Nivel de riesgo: BAJO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.11: Asegurar que se ha configurado una notificación para los cambios de las listas de seguridad.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Lista de seguridad de VCN suprimida

Descripción: alerta cuando se suprime una lista de seguridad de una VCN.

Recomendación: asegúrese de que la eliminación de esta lista de seguridad está permitida para esta VCN y los recursos relacionados.

Anterior: las listas de seguridad actúan como firewalls virtuales para instancias informáticas y otros recursos y consisten en juegos de reglas de entrada y de salida que se aplican a todas las VNIC de cualquier subred asociada a esa lista de seguridad. Pueden aplicarse varias listas de seguridad a los recursos, que pueden dar acceso a dichos recursos a puertos y direcciones IP. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: lista de valores
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.11: Asegurar que se ha configurado una notificación para los cambios de las listas de seguridad.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Reglas de salida de lista de seguridad de VCN cambiadas

Descripción: alerta cuando se cambian las reglas de salida de una lista de seguridad de una VCN.

Recomendación: asegúrese de que los cambios de las reglas de salida están permitidos para esta lista de seguridad y los recursos relacionados.

Anterior: las listas de seguridad actúan como firewalls virtuales para instancias informáticas y otros recursos y consisten en juegos de reglas de entrada y de salida que se aplican a todas las VNIC de cualquier subred asociada a esa lista de seguridad. Pueden aplicarse varias listas de seguridad a los recursos, que pueden dar acceso a dichos recursos a puertos y direcciones IP. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: lista de valores
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.11: Asegurar que se ha configurado una notificación para los cambios de las listas de seguridad.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Reglas de entrada de lista de seguridad de VCN cambiadas

Descripción: alerta cuando se cambian las reglas de entrada de una lista de seguridad de una VCN.

Recomendación: asegúrese de que los cambios de las reglas de entrada están permitidos para esta lista de seguridad y los recursos relacionados.

Anterior: las listas de seguridad actúan como firewalls virtuales para instancias informáticas y otros recursos y consisten en juegos de reglas de entrada y de salida que se aplican a todas las VNIC de cualquier subred asociada a esa lista de seguridad. Pueden aplicarse varias listas de seguridad a los recursos, que pueden dar acceso a dichos recursos a puertos y direcciones IP. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: lista de valores
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
  • CIS 1.1: 3.11: Asegurar que se ha configurado una notificación para los cambios de las listas de seguridad.
  • CIS 1.0: 4.6 Garantía de Configuración de una Notificación para los Cambios de los Grupos de IAM
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Reglas de detector de configuración de OCI

El material de referencia para las recetas de detector de configuración gestionadas por Oracle que Cloud Guard proporciona aparece agrupado a continuación por tipo de recurso. Amplíe un nombre mostrado de regla para ver los detalles.

Recursos informáticos

La instancia tiene una dirección IP pública

Descripción: alerta cuando una instancia de cálculo tiene una dirección IP pública.

Recomendación: considere cuidadosamente la posibilidad de permitir el acceso desde Internet a cualquier instancia. Por ejemplo, tiene que tener cuidado con no permitir accidentalmente el acceso desde Internet a instancias de base de datos confidenciales.

Antecedentes: para que una instancia sea accesible públicamente, debe:

  • Tener una dirección IP pública
  • Existir en una subred de una red virtual en la nube (VCN) pública
  • Encontrarse en una VCN que tenga activado un gateway de Internet que esté configurado para el tráfico saliente
  • Encontrarse en una subred donde la lista de seguridad esté configurada para todas las direcciones IP y todos los puertos (0.0.0.0/0)

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: ALTO
  • Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Compute
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 1.3: prohíba el acceso directo público entre Internet y cualquier componente del sistema en el entorno de datos de los titulares de tarjetas.
  • CIS 1.1:

    2.1: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.2: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389.

    2.3: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.4: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 3389.

  • CIS 1.0:

    2.1: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.2: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389.

    2.3: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.4: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 3389.

Mejores prácticas para las modificaciones de las reglas:
La instancia no está ejecutando una imagen pública de Oracle

Descripción: alerta cuando una instancia de cálculo no está creada a partir de una imagen pública de Oracle.

Recomendación: asegúrese de que todas las instancias están ejecutando imágenes sancionadas de fuentes de confianza.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: BAJO
  • Etiquetas: Compute
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 2.2: Desarrolle normas de configuración para todos los componentes de sistemas. Asegúrese de que estas normas contemplen todas las vulnerabilidades de seguridad conocidas y que concuerden con las normas de alta seguridad de sistema aceptadas en el sector.

    Entre las fuentes de las normas de alta seguridad del sistema aceptadas en el sector se incluyen, entre otras:

    • El centro de la seguridad informática (CIS, Center for Internet Security)
    • La Organización Internacional de Normalización (ISO)
    • El instituto de SysAdmin, auditorías, redes y seguridad (SANS, SysAdmin, Audit, Network, Security)
    • El Instituto Nacional de Estándares y Tecnología (NIST, National Institute of Standards and Technology)
  • CIS 1.1: no cubierto por CIS 1.1.
  • CIS 1.0: no cubierto por CIS 1.0.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
La instancia es de acceso público

Descripción: alerta cuando una instancia es de acceso público.

Recomendación: considere cuidadosamente la posibilidad de permitir el acceso desde Internet a cualquier instancia.

Antecedentes: para que una instancia sea accesible públicamente, debe:

  • Tener una dirección IP pública
  • Existir en una subred de una VCN pública
  • Encontrarse en una VCN que tenga activado un gateway de Internet que esté configurado para el tráfico saliente
  • Encontrarse en una subred donde la lista de seguridad esté configurada para todas las direcciones IP y todos los puertos (0.0.0.0/0)

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: Compute
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 1.3 Prohíba el acceso directo público entre Internet y cualquier componente del sistema en el entorno de datos de los titulares de tarjetas.
  • CIS 1.1:

    2.1: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.2: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389.

    2.3: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.4: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 3389.

  • CIS 1.0:

    2.1: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.2: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389.

    2.3: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.4: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 3389.

Mejores prácticas para las modificaciones de las reglas:
  • Grupos condicionales: filtre los OCID de las instancias que deben tener una dirección IP pública.
La instancia está ejecutando una imagen pública de Oracle

Descripción: alerta cuando una instancia de Compute que se está ejecutando está creada a partir de una imagen pública de Oracle.

Recomendación: asegúrese de que todas las instancias están ejecutando imágenes sancionadas de fuentes de confianza.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: BAJO
  • Etiquetas: Compute
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
La instancia se está ejecutando sin las etiquetas necesarias

Descripción: alerta cuando una instancia de cálculo se está ejecutando sin las etiquetas necesarias configuradas.

Recomendación: asegúrese de que las instancias utilizan las etiquetas necesarias.

Fondo: las etiquetas son importantes para fines de auditoría y seguimiento.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: agregue las etiquetas necesarias en la sección Valor de entrada de la regla.

    Se permiten estos formatos en el cuadro Valor de entrada. Separe las diversas entradas con comas.

    • <namespace>.<definedkey>=<definedValue>
    • <namespace>.<definedKey>
    • <freeformkey>=<freeformValue>
    • <freeformkey>

    Ejemplos:

    • <namespace>.<definedkey>=<definedValue>
      • Operations.Environment=Production: si el recurso tiene una etiqueta definida en el espacio de nombres Operations, una clave definida como Environment y el valor definido Production, la regla no crea un problema.
      • Operations.*=*: si el recurso tiene una etiqueta definida en el espacio de nombres Operations, con cualquier clave definida y cualquier valor definido, la regla no crea un problema.
    • <namespace>.<definedkey>
      • Operations.Environment: si el recurso tiene una etiqueta definida en el espacio de nombres Operations, con una clave definida como Environment y cualquier valor definido, la regla no crea un problema.
    • <freeformKey>
      • Project: si el recurso tiene una etiqueta definida en la clave de formato libre Project, la regla no dispara un problema.
    • <freeformKey>=freeformValue
      • Project=APPROVED: si el recurso tiene una etiqueta definida en la clave de formato libre Project con el valor APPROVED, la regla no crea un problema.

Recursos de la base de datos

Data Safe no está activado

Descripción: alerta cuando se detecta una base de datos para la que no está activado Data Safe.

Recomendación: asegúrese de que Data Safe está activado para todos los compartimentos que Cloud Guard está supervisando, que contienen bases de datos. Consulte Introducción.

Antecedentes: Data Safe ayuda a garantizar que las bases de datos se configuren de forma segura. Este servicio debe estar activado para ayudar a supervisar, proteger y mitigar los riesgos en sus bases de datos Oracle en la nube.

Parámetros de Regla:

  • Tipo de servicio: Seguridad de los datos
  • Tipo de recurso: Arrendamiento
  • Nivel de riesgo: ALTO
  • Etiquetas: Seguridad de base de datos
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
No se realiza una copia de seguridad automática de la base de datos

Descripción: alerta cuando la copia de seguridad automática no está activada para una base de datos.

Recomendación: asegúrese de que la copia de seguridad automática está activada.

Introducción: la activación de la copia de seguridad automática garantiza que, si se produce un fallo catastrófico en el hardware, pueda restaurar la base de datos con una pérdida mínima de datos.

Parámetros de Regla:

  • Tipo de servicio: Database
  • Tipo de recurso: sistema de base de datos
  • Nivel de riesgo: ALTO
  • Etiquetas: Database
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Grupos condicionales: elimine los OCID de las bases de datos que no necesiten una copia de seguridad automática, por ejemplo, los OCID de entornos de pruebas de desarrolladores.
La base de datos no está registrada en Data Safe

Descripción: alerta cuando se detecta una instancia de base de datos que no está registrada en Data Safe.

Recomendación: registre esta instancia de base de datos con Data Safe y configure evaluaciones para evaluar y supervisar la configuración, comprobar las actividades del usuario y mitigar los riesgos. Consulte Registro de la base de datos de destino.

Antecedentes: Data Safe ayuda a garantizar que las bases de datos se configuren de forma segura. Todas las bases de datos en la nube. Este servicio debe estar activado para permitir supervisar, proteger y mitigar los riesgos en sus bases de datos Oracle en la nube.

Parámetros de Regla:

  • Tipo de servicio: Seguridad de los datos
  • Tipo de recurso: Arrendamiento
  • Nivel de riesgo: MEDIO
  • Etiquetas: Seguridad de base de datos
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
El parche de la base de datos no se ha aplicado

Descripción: alerta cuando un parche de base de datos disponible no se ha aplicado dentro del número de días especificado.

Recomendación: aplique los parches publicados a la base de datos cuando estén disponibles.

Introducción: los parches de base de datos abordan problemas de funcionalidad, seguridad y rendimiento. La mayoría de las infracciones de seguridad se pueden evitar mediante la aplicación de los parches disponibles.

Parámetros de Regla:

  • Tipo de servicio: Database
  • Tipo de recurso: sistema de base de datos
  • Nivel de riesgo: MEDIO
  • Etiquetas: Database
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: defina Número de días para aplicar el parche en la sección Valor de entrada de la regla.
  • Grupos condicionales: elimine los OCID de las bases de datos que no necesiten tener aplicado el parche más reciente, por ejemplo, los OCID de entornos de pruebas de desarrolladores.
El sistema de base de datos tiene una dirección IP pública
Descripción: alerta cuando un sistema de base de datos tiene una dirección IP pública asignada.
Nota

Cloud Guard actualmente supervisa solo bases de datos de máquina virtual (VM) con hardware dedicado.

Recomendación: Asegúrese de que el sistema de base de datos no tiene una dirección IP pública.

Antecedentes: el uso de una dirección IP pública para acceder a una base de datos aumenta la exposición a posibles riesgos de seguridad y continuidad del negocio.

Parámetros de Regla:

  • Tipo de servicio: Database
  • Tipo de recurso: sistema de base de datos
  • Nivel de riesgo: ALTO
  • Etiquetas: Database
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Grupos condicionales: filtre los OCID de las bases de datos que deban ser públicas.
El sistema de base de datos es de acceso público

Descripción: alerta cuando una base de datos es de acceso público.

Recomendación: considere detenidamente la posibilidad de permitir el acceso desde Internet a cualquier sistema de base de datos.

Introducción: para que una base de datos sea de acceso público, debe:

  • Tener una dirección IP pública.
  • Estar en una subred de una VCN pública.
  • Encontrarse en una subred que tenga activado un gateway de Internet que esté configurado para el tráfico de salida.
  • Encontrarse en:
    • Una subred en la que la lista de seguridad permita el tráfico desde cualquier rango de CIDR de origen y "Todos los protocolos" o...
    • Encontrarse en un grupo de seguridad de red que permita el tráfico desde cualquier rango de CIDR de origen y "Todos los protocolos".

Parámetros de Regla:

  • Tipo de servicio: Database
  • Tipo de recurso: ExadataBareMetalVM
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: Database
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Grupos condicionales: filtre los OCID de las bases de datos que deban ser públicas.
El parche del sistema de base de datos no se ha aplicado

Descripción: alerta cuando un parche del sistema de base de datos disponible no se ha aplicado.

Recomendación: aplique los parches publicados al sistema de base de datos cuando estén disponibles.

Antecedentes: los parches de los sistemas de base de datos a menudo incluyen actualizaciones que eliminan las vulnerabilidades de seguridad conocidas.

Parámetros de Regla:

  • Tipo de servicio: Database
  • Tipo de recurso: sistema de base de datos
  • Nivel de riesgo: MEDIO
  • Etiquetas: Database
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: defina Número de días para aplicar el parche en la sección Valor de entrada de la regla.
  • Grupos condicionales: filtre los OCID de los sistemas de base de datos que no necesiten tener aplicado el último parche, por ejemplo, los OCID de entornos de pruebas de desarrolladores.
La versión del sistema de base de datos no está sancionada

Descripción: alerta cuando un sistema de base de datos se ejecuta con una versión que no está sancionada.

Recommendation: asegúrese de que la versión del sistema de base de datos desplegado está aprobada y analizada.

Antecedentes: la ejecución de versiones no sancionadas de los sistemas de base de datos podría aumentar las posibilidades de que se produzca una infracción de seguridad, poniendo en riesgo la confidencialidad, integridad y disponibilidad de los datos.

Parámetros de Regla:

  • Tipo de servicio: Database
  • Tipo de recurso: sistema de base de datos
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: Database
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Grupos condicionales: filtre los OCID de los sistemas de base de datos que no necesiten tener una versión sancionada, por ejemplo, los OCID de entornos de pruebas de desarrolladores.
La versión de la base de datos no está sancionada

Descripción: alerta cuando una base de datos se ejecuta con una versión que no está sancionada.

Recommendation: asegúrese de que la versión de la base de datos desplegada está aprobada y analizada.

Antecedentes: la versión sancionada de una base de datos cuenta con las funciones de seguridad y los parches para vulnerabilidades más recientes. La ejecución de versiones no sancionadas de una base de datos podría aumentar las posibilidades de que se produzca una infracción de seguridad, poniendo en riesgo la confidencialidad, integridad y disponibilidad de los datos.

Parámetros de Regla:

  • Tipo de servicio: Database
  • Tipo de recurso: sistema de base de datos
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: Database
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Grupos condicionales: filtre los OCID de las bases de datos que no necesiten tener una versión sancionada, por ejemplo, los OCID de entornos de pruebas de desarrolladores.

Recursos de IAM

La clave de API es demasiado antigua

Descripción: alerta cuando un par de claves públicas/ privadas de IAM asignado a un usuario es demasiado antiguo.

Recomendación: rote las claves de API con regularidad, al menos cada 90 días.

Fondo: el cambio de las claves de API de IAM al menos cada 90 días es una de las mejores prácticas de seguridad. Cuanto más tiempo permanezcan sin cambios las credenciales de IAM, mayor será el riesgo de que se vean comprometidas.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: IAMKey
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 8.2.4: Las credenciales se deben rotar al menos cada 90 días.
  • CIS 1.1: 1.8: Asegurar que las claves de API de usuario se rotan a los 90 días o menos.
  • CIS 1.0: no lo cubre.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: (Opcional) puede cambiar el valor de 90 días en la sección Valor de entrada de la regla.
El token de autenticación de IAM es demasiado antiguo

Descripción: alerta cuando los tokens de autenticación de IAM superen el número máximo de días especificado.

Recomendación: rote los tokens de autenticación de IAM con regularidad, al menos cada 90 días.

Background: El cambio de los tokens de autenticación de IAM al menos cada 90 días es una práctica recomendada de seguridad. Cuanto más tiempo permanezcan sin cambios los tokens de autenticación de IAM, mayor será el riesgo de que se vean comprometidos.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.1_IAM, IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 8.2.4: Las credenciales se deben rotar al menos cada 90 días.
  • CIS 1.1: 1.9: Asegúrese de que los tokens de autenticación se rotan a los 90 días o menos.
  • CIS 1.0: ninguno
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: defina el número máximo de días para los tokens de autenticación de IAM (es 90) en la sección Valor de entrada de la regla.
La clave secreta de cliente de IAM es demasiado antigua

Descripción: alerta cuando las claves secretas de cliente de IAM superan el número máximo de días especificado.

Recomendación: rote las claves secretas de cliente de IAM con regularidad, al menos cada 90 días.

Introducción: el cambio de claves secretas de cliente de IAM al menos cada 90 días es una mejor práctica de seguridad. Cuanto más tiempo permanezcan sin cambios las claves secretas del cliente de IAM, mayor será el riesgo de que se vean comprometidas.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.1_IAM, IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 8.2.4: Las credenciales se deben rotar al menos cada 90 días.
  • CIS 1.1: 1.9 - Asegúrese de que las claves secretas de cliente de usuario se roten en un plazo de 90 días o inferior.
  • CIS 1.0: ninguno
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: defina el número máximo de días para las claves secretas de cliente de IAM (es 90) en la sección Valor de entrada de la regla.
El grupo de IAM tiene muy pocos miembros

Descripción: alerta cuando un grupo de IAM tiene menos miembros que el número mínimo especificado.

Recomendación: aumente el número de miembros del grupo para que sea menor que el número mínimo de miembros especificado.

Antecedentes: la pertenencia a grupos de IAM suele otorgar acceso a recursos y funciones. Los grupos que tienen muy pocos miembros podrían implicar que hubiese demasiados privilegios que se quedasen "huérfanos" (que dejasen de estar disponibles para los usuarios).

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: grupo
  • Nivel de riesgo: BAJO
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
El grupo de IAM tiene demasiados miembros

Descripción: alerta cuando un grupo de IAM supera el número máximo especificado de miembros.

Recomendación: reduzca el número de miembros del grupo para que sea menor que el número máximo de miembros especificado.

Antecedentes: la pertenencia a grupos de IAM suele otorgar acceso a recursos y funciones. Los grupos que tienen demasiados miembros podrían implicar que se estuviese otorgando privilegios demasiado permisivos a demasiados usuarios.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: grupo
  • Nivel de riesgo: MEDIO
  • Etiquetas: IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
La contraseña es demasiado antigua

Descripción: alerta cuando una contraseña de IAM supere el número máximo de días especificado.

Se recomienda: rote las contraseñas de IAM con regularidad, al menos cada 90 días.

Antecedentes: el cambio de las contraseñas de IAM al menos cada 90 días forma parte de las mejores prácticas de seguridad. Cuanto más tiempo permanezcan sin cambios las credenciales de IAM, mayor será el riesgo de que se vean comprometidas.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 8.2.4: Las credenciales se deben rotar al menos cada 90 días.
  • CIS 1.1: 1.5: Asegurar que la política de contraseñas de IAM hace caducar las contraseñas en un plazo de 365 días.
  • CIS 1.0: 1.9 Garantía de que la política de contraseñas de IAM hace caducar las contraseñas en un plazo de 365 días.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: defina el número máximo de días para las contraseñas (el valor por defecto es 90) en la sección Valor de entrada de la regla.
La política de contraseñas no cumple los requisitos de complejidad

Descripción: la política de contraseñas no cumple los requisitos de complejidad.

Recomendación: Oracle recomienda que una política de contraseñas segura incluya al menos una letra minúscula.

Antecedentes: las contraseñas complejas son más difíciles de adivinar y pueden disminuir las posibilidades de que se produzca un acceso no autorizado o de que los datos se vean comprometidos.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: política
  • Nivel de riesgo: BAJO
  • Etiquetas: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 8.2.3: Las contraseñas y las frases de contraseña deben cumplir lo siguiente:
    • Requieren una longitud mínima de al menos siete caracteres.
    • Contienen caracteres numéricos y alfabéticos.

    Alternativamente, las contraseñas o frases de contraseña deben tener una complejidad y seguridad al menos equivalente a los parámetros especificados anteriormente.

  • CIS 1.1: 1.4: Garantía de que la política de contraseñas de IAM requiere una longitud mínima igual o superior a 14 caracteres.
  • CIS 1.0:

    1.4: Asegurar que la política de contraseñas de IAM requiere una longitud mínima igual o superior a 14 caracteres.

    1.5: Asegurar que la política de contraseñas de IAM requiere al menos una letra mayúscula.

    1.6: Asegurar que la política de contraseñas de IAM requiere al menos una letra minúscula.

    1.7: Asegurar que la política de contraseñas de IAM requiere al menos un símbolo.

    1.8: Asegurar que la política de contraseñas de IAM requiere al menos un número.

Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
La política otorga demasiados privilegios

Descripción: alerta cuando una política de IAM otorga un acceso de rol de administrador a un usuario que no es miembro del grupo de administradores.

Recomendación: asegúrese de que la política está restringida y solo permite el acceso de usuarios específicos a los recursos necesarios para llevar a cabo sus funciones de trabajo.

Antecedentes: una política es un documento que especifica quién puede acceder a qué recursos de OCI de los que dispone su empresa y de qué forma. Una política simplemente permite a un grupo trabajar de determinadas formas con tipos de recursos específicos de un compartimento concreto.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: política
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 7.1.2: Limite el acceso de usuarios con ID privilegiadas a la menor cantidad de privilegios necesarios para llevar a cabo las responsabilidades del trabajo.
  • CIS 1.1: 1.2 Asegurar que los permisos de todos los recursos solo se proporcionan al grupo de administradores del arrendamiento.
  • CIS 1.0: 1.2 Asegurar que los permisos de todos los recursos solo se proporcionan al grupo de administradores del arrendamiento.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: agregue los OCID de los grupos a los que se deben otorgar estos privilegios en la sección Valor de entrada de la regla.
Privilegio de administrador del arrendamiento otorgado a un grupo

Descripción: alerta cuando el privilegio de administrador del arrendamiento se otorga a un grupo adicional de IAM.

Recomendación: verifique con el administrador de OCI que esta concesión de derecho se ha sancionado y que la pertenencia del grupo sigue válida después de la concesión del privilegio de administrador.

Antecedentes: los miembros del grupo de administradores del arrendamiento por defecto pueden realizar cualquier acción en todos los recursos de ese arrendamiento. Este derecho de alto privilegio debe controlarse y restringirse únicamente a los usuarios que lo necesiten para llevar a cabo sus funciones de trabajo.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: política
  • Nivel de riesgo: BAJO
  • Etiquetas: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 7.1.2: Limite el acceso de usuarios con ID privilegiadas a la menor cantidad de privilegios necesarios para llevar a cabo las responsabilidades del trabajo.
  • CIS 1.1: 1.3 Garantía de que los administradores de IAM no pueden actualizar el grupo de administradores del arrendamiento.
  • CIS 1.0: 1.3 - Garantía de que los administradores de IAM no pueden actualizar el grupo de administradores del arrendamiento.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: agregue los OCID de los grupos que deben tener privilegios de administrador en la sección Valor de entrada de la regla.
El usuario no tiene activada la MFA

Descripción: alerta cuando un usuario no tiene activada la autenticación multifactor (MFA).

Consejo: active la MFA para todos los usuarios utilizando la aplicación Oracle Mobile Authenticator (OMA) en el dispositivo móvil de cada usuario y el código de acceso de un momento (OTP) enviado a la dirección de correo electrónico registrada del usuario.

Antecedentes: la MFA proporciona una capa adicional de seguridad, además del nombre de usuario y la contraseña. Se requiere un segundo factor de verificación cada vez que un usuario se conecta. Durante el proceso de autenticación, los usuarios pueden designar un solo dispositivo como el dispositivo de confianza durante un período máximo de un día. El código de acceso enviado a través de correo electrónico debe ser válido durante un máximo de 10 minutos. Estas características se combinan para proporcionar un grado de protección frente a ataques de password spraying, relleno de credenciales y robo de cuentas.
Nota

Solo aplicable a los usuarios locales. No se aplica a los usuarios de IDCS, a menos que estén asignados a usuarios locales.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: CRÍTICO
    Nota

    Si su organización comenzó a utilizar Cloud Guard antes de abril de 2023, el nivel de riesgo por defecto es MEDIUM.
  • Etiquetas: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 8.3: Asegure todo el acceso administrativo individual que no sea de consola y todo el acceso remoto al CDE mediante la autenticación de múltiples factores.
  • CIS 1.1: 1.7: Asegurar que la MFA está activada para todos los usuarios con una contraseña de la consola.
  • CIS 1.0: 1.11: Asegurar que la MFA está activada para todos los usuarios con una contraseña de la consola.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
El usuario tiene claves de API

Descripción: alerta cuando un usuario tiene claves de API activadas.

Recomunicación: asegúrese de que los administradores no accedan a OCI a través de claves de API, como excepción. No codifique credenciales de IAM directamente en el software o en documentos para un público amplio.

Antecedentes: las claves de API de IAM son credenciales que se utilizan para otorgar acceso programático a los recursos. Los usuarios humanos no deben utilizar claves de API.

Parámetros de Regla:

  • Tipo de servicio: IAM
  • Tipo de recurso: usuario
  • Nivel de riesgo: BAJO
  • Etiquetas: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 8.6 - Si se utilizan otros mecanismos de autenticación, como tokens de seguridad físicos o lógicos, tarjetas inteligentes o certificados, el uso de estos mecanismos se debe asignar de la siguiente manera:
    • Los mecanismos de autenticación se deben asignar a una sola cuenta y no compartirlos entre varias.
    • Se deben implementar controles físicos o lógicos, o ambos, para garantizar que solo la cuenta deseada usa esos mecanismos para acceder.
  • CIS 1.1: 1.11: Asegurar que no se crean claves de API para los usuarios administradores del arrendamiento.
  • CIS 1.0: 1.13: Asegurar que no se crean claves de API para los usuarios administradores del arrendamiento.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.

Recursos de KMS

La clave no se ha rotado

Descripción: alerta cuando una clave de KMS no se rotó dentro del período de tiempo especificado.

Recomendación: asegúrese de rotar las claves de KMS con regularidad.

Antecedentes: para garantizar la seguridad de la información, debe cambiar o rotar periódicamente las contraseñas, las claves y los materiales criptográficos. Al rotar sus claves en KMS, se reduce el impacto y la probabilidad de que se comprometan dichas claves. Defina el periodo mínimo. Puede cambiar el tiempo por defecto para la rotación de las claves de 180 días en la sección Valor de entrada de la regla.

Parámetros de Regla:

  • Tipo de servicio: KMS
  • Tipo de recurso: clave de KMS
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: CIS_OCI_V1.1_MONITORING, KMS
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 8.2.4: Las credenciales se deben rotar al menos cada 90 días.
  • CIS 1.1: 3.16: Asegurar que la Clave Administrada por el Cliente (CMK) creada por el cliente se rota al menos anualmente.
  • CIS 1.0: no cubierto por CIS 1.0.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: defina el tiempo por defecto para la rotación de las claves en la sección Valor de entrada de la regla.

Varios recursos

El recurso no está etiquetado correctamente

Descripción: alerta cuando un recurso no está etiquetado de conformidad con los requisitos de etiquetado que ha especificado.

Recomendación: compruebe que las etiquetas configuradas están en uso para imágenes informáticas, instancias informáticas, sistemas de base de datos, VCN, almacenamiento de objetos y volúmenes en bloque de almacenamiento.

Antecedentes: verifique que las etiquetas configuradas estén en uso para imágenes informáticas, instancias informáticas, sistemas de base de datos, VCN, almacenamiento de objetos y volúmenes en bloque de almacenamiento.

Parámetros de Regla:

  • Tipo de servicio: varios
  • Tipo de recurso: varios
  • Nivel de riesgo: BAJO
  • Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 2.4: Mantenga un inventario de los componentes del sistema que están dentro del alcance de las PCI DSS.
  • CIS 1.1: 3.2: Garantía de que las etiquetas por defecto se utilizan en los recursos.
  • CIS 1.0: 4.2: Garantía de que las etiquetas por defecto se utilizan en los recursos.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: agregue las etiquetas adecuadas en la sección Valor de entrada de la regla.

Recursos de red

El equilibrador de carga permite conjuntos de cifrado débil

Descripción: alerta cuando un equilibrador de carga tiene un conjunto de cifrado configurado que es oci-wider-compatible-ssl-cipher-suite-v1. Este conjunto de cifrado incluye algoritmos como DES y RC4 que se consideran débiles y propensos a ataques. Solo se aplica a conjuntos de cifrado predefinidos y no a los valores de conjuntos de cifrado personalizados.

Opcionalmente, utilice condiciones para especificar conjuntos de cifrado adicionales que se van a marcar.

Para utilizar cifrados adicionales:

  1. Edite la regla de detector El equilibrador de carga permite conjuntos de cifrado débiles.
  2. En Configuración de entrada, introduzca los cifrados adicionales como una lista separada por comas en Lista de cifrados débiles de BL.
    • Cuando Valor de entrada está vacío (valor por defecto), oci-wider-compatible-ssl-cipher-suite-v1 se marca y se marca.
    • Cuando Configuración de entrada tiene entradas, se comprueban los cifrados adicionales y oci-wider-compatible-ssl-cipher-suite-v1.
    Los cifrados adicionales son:
    • oci-compatible-ssl-cipher-suite-v1
    • oci-default-ssl-cipher-suite-v1
    • oci-modern-ssl-cipher-suite-v1
    • oci-tls-11-12-13-wider-ssl-cipher-suite-v1
    • oci-tls-12-13-wider-ssl-cipher-suite-v1

Recommendation: utilice los modernos juegos de cifrado por defecto que soportan un cifrado más sólido.

Introducción: no se recomiendan algunas versiones de conjuntos de cifrado con algoritmos como DES.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: equilibrador de carga
  • Nivel de riesgo: MEDIO
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
El equilibrador de carga permite una comunicación SSL débil

Descripción: alerta cuando un equilibrador de carga tiene un protocolo configurado como parte de su política SSL que incluye cualquier versión anterior a la Seguridad de Capa de Transporte (TLS) 1.2.

Recomendación: asegúrese de que la versión de la política de SSL configurada sea al menos TLS 1.2.

Antecedentes: las versiones más antiguas de la política son peligrosas y vulnerables a muchos tipos de ataques. Varios estándares, como PCI-DSS y NIST, recomiendan encarecidamente el uso de TLS 1.2.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: equilibrador de carga
  • Nivel de riesgo: ALTO
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
El equilibrador de carga no tiene ningún juego de backends

Descripción: alerta cuando un equilibrador de carga no tiene ningún juego de backends asociado.

Recomendación: asegúrese de configurar equilibradores de carga con juegos de backends para controlar el estado y el acceso a un equilibrador de carga por parte de instancias definidas.

Antecedentes: un juego de backends es una entidad lógica que se define mediante una política de equilibrio de carga, una política de comprobación del sistema y una lista de servidores backend.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: equilibrador de carga
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
El equilibrador de carga no tiene listeners ni reglas de entrada

Descripción: alerta cuando una lista de seguridad de un equilibrador de carga tiene reglas de entrada que aceptan tráfico de un origen abierto (0.0.0.0/0).

Recomendación: asegúrese de que los equilibradores de carga de OCI utilizan listeners o reglas de entrada para permitir el acceso únicamente desde recursos conocidos.

Antecedentes: los equilibradores de carga de OCI activan conexiones TLS integrales entre las aplicaciones de un cliente y su VCN. Un listener es una entidad lógica que busca el tráfico entrante en la dirección IP del equilibrador de carga. Para manejar el tráfico TCP, HTTP y HTTPS, debe configurar al menos un listener por tipo de tráfico.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: equilibrador de carga
  • Nivel de riesgo: MENOR
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
El equilibrador de carga tiene una dirección IP pública

Descripción: alerta cuando un equilibrador de carga se está ejecutando con una dirección IP pública.

Recomendación: asegúrese de que todos los equilibradores de carga que no necesitan acceso público se estén ejecutando con direcciones IP privadas.

Anterior: una dirección IP pública de un equilibrador de carga que no está destinada a utilizarse para contenido disponible públicamente crea una vulnerabilidad de seguridad innecesaria.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: equilibrador de carga
  • Nivel de riesgo: Alto
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Grupos condicionales: filtre los OCID de cualquier equilibrador de carga que deba tener una dirección IP pública.
El certificado SSL del equilibrador de carga caduca pronto

Descripción: alerta cuando el certificado SSL de un equilibrador de carga caduca dentro del período de tiempo especificado.

Nota

Cloud Guard supervisa los certificados por caducar para listeners y juegos de backends en el equilibrador de carga.

Para evitar la generación de problemas "falsos positivos", compruebe la fecha de caducidad de los certificados SSL agregados a los juegos de backends y al listener del equilibrador de carga. Si un certificado caducado, o un certificado que pronto caducará, sigue asociado al juego de backends de un equilibrador de carga, se generará un problema.

Recomendación: asegúrese de que los certificados se rotan a su debido tiempo.

Antecedentes: para garantizar una seguridad y usabilidad continuas, los certificados SSL se deben rotar en OCI.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: equilibrador de carga
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: defina Días antes de la caducidad (el valor por defecto es 48) en la sección Valor de entrada de la regla.
La regla de salida del NSG contiene una IP/un puerto no permitidos

Descripción: alerta cuando la regla de salida de un grupo de seguridad de red (NSG) contiene un número de puerto y una dirección IP de destino no permitidos.

Recomendación: asegúrese de que las reglas de salida para la comunicación con la IP/el puerto están permitidas para este NSG.

Background: los NSG actúan como un firewall virtual para las instancias informáticas y otros tipos de recursos. Las reglas de seguridad de salida de un NSG se aplican a un juego de NIC virtuales en una VCN para permitir el acceso a puertos y direcciones IP específicos.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de Recurso: Grupo de Seguridad de Red
  • Nivel de riesgo: MEDIO
  • Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 1.3.4 No permita que el tráfico saliente no autorizado proveniente del entorno de datos del titular de la tarjeta ingrese en Internet.
  • CIS 1.1:

    2.3: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.4: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 3389.

  • CIS 1.0:

    2.3: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.4: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 3389.

Mejores prácticas para las modificaciones de las reglas:
  • Configuración: agregue los puertos no permitidos en la sección Valor de entrada de la regla.
La regla de entrada del NSG contiene una IP/un puerto no permitidos

Descripción: alerta cuando la regla de entrada de un grupo de seguridad de red contiene un número de puerto y una dirección IP de destino no permitidos.

Recomendación: asegúrese de que las reglas de entrada para la comunicación con la IP/el puerto están permitidas para este NSG.

Background: los NSG actúan como un firewall virtual para las instancias informáticas y otros tipos de recursos. Las reglas de seguridad de entrada de un NSG se aplican a un juego de NIC virtuales en una VCN para permitir el acceso a puertos y direcciones IP específicos.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de Recurso: Grupo de Seguridad de Red
  • Nivel de riesgo: ALTO
  • Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 1.2.1 - Restricción del tráfico de entrada y salida a lo necesario para el entorno de datos de los titulares de tarjetas y denegación específica del tráfico restante.
  • CIS 1.1:

    2.3: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.4: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 3389.

  • CIS 1.0:

    2.3: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.4: Asegurar que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 3389.

Mejores prácticas para las modificaciones de las reglas:
  • Configuración: agregue los puertos no permitidos en la sección Valor de entrada de la regla.
La VCN tiene un gateway de Internet asociado

Descripción: alerta cuando una VCN está asociada a una puerta de enlace de Internet.

Recomendación: asegúrese de que los gateways de Internet cuentan con la autorización para estar asociados a una VCN y de que dicha asociación no expone recursos a Internet. Asegúrese de que las listas de seguridad con reglas de entrada y esas listas de seguridad no están configuradas para permitir el acceso desde todas las direcciones IP 0.0.0.0/0.

Antecedentes: los gateways proporcionan conectividad externa a los hosts de una VCN. Entre ellos se incluyen los gateways de Internet (IGW) para disponer de conectividad a Internet.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: VCN
  • Nivel de riesgo: BAJO
  • Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 1.3.4 No permita que el tráfico saliente no autorizado proveniente del entorno de datos del titular de la tarjeta ingrese en Internet.
  • CIS 1.1:

    2.1: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22

    2.2: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389

    2.5: Asegurar que la lista de seguridad por defecto de cada VCN restringe todo el tráfico a excepción del ICMP

    3.13: Asegurar que se ha configurado una notificación para los cambios de los gateways de red

  • CIS 1.0:

    2.1: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22

    2.2: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389

    2.7: Asegurar que la lista de seguridad por defecto de cada VCN restringe todo el tráfico a excepción del ICMP

Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
La VCN tiene un gateway de intercambio de tráfico local asociado

Descripción: alerta cuando una VCN está asociada a un gateway de intercambio de tráfico local.

Recomendación: asegúrese de que los gateways de intercambio de tráfico local cuentan con la autorización para estar asociados a una VCN y de que dicha asociación no expone recursos a Internet.

Antecedentes: los gateways proporcionan conectividad externa a los hosts de una VCN. Entre ellos se incluyen los gateways de intercambio de tráfico local (LPG) para disponer de conectividad a una VCN con intercambio de tráfico.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: VCN
  • Nivel de riesgo: BAJO
  • Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 1.2 Desarrolle configuraciones de firewall y enrutador que restrinjan las conexiones entre redes no confiables y cualquier componente del sistema en el entorno de los datos de titulares de tarjetas.
  • CIS 1.1:

    2.1: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.2: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389.

    2.5: Asegurar que la lista de seguridad por defecto de cada VCN restringe todo el tráfico a excepción del ICMP.

    3.13: Asegurar que se ha configurado una notificación para los cambios de los gateways de red.

  • CIS 1.0:

    2.1: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.2: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389.

    2.5: Asegurar que la lista de seguridad por defecto de cada VCN restringe todo el tráfico a excepción del ICMP.

Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
La VCN no tiene ninguna lista de seguridad de entrada

Descripción: alerta cuando una VCN no tiene ninguna lista de seguridad de entrada.

Recomendación: asegúrese de que las VCN de OCI utilizan listas de seguridad con reglas de entrada para permitir el acceso únicamente desde recursos conocidos.

Antecedentes: las listas de seguridad proporcionan capacidad de firewall con estado y sin estado para controlar el acceso de red a las instancias. Una lista de seguridad se configura en el nivel de la subred y se aplica en el nivel de la instancia. Puede aplicar varias listas de seguridad a una subred en la que se permita un paquete de red si este coincide con alguna de las reglas de las listas de seguridad.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: VCN
  • Nivel de riesgo: MEDIO
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
La lista de seguridad de la VCN permite el tráfico a un puerto no público desde todos los orígenes (0.0.0.0/0)

Descripción: alerta cuando la lista de seguridad de una VCN permite el tráfico sin restricciones a un puerto no público desde un origen abierto (0.0.0.0/0).

Recomendación: utilice listas de seguridad de VCN para restringir el acceso de red a las instancias de una subred. Para evitar el acceso no autorizado o los ataques a instancias informáticas, Oracle le recomienda que:

  • Utilice una lista de seguridad de VCN para permitir el acceso SSH o RDP solo desde bloques de CIDR autorizados
  • No deje instancias informáticas abiertas a Internet (0.0.0.0/0)

Antecedentes: una VCN cuenta con una recopilación de funciones para aplicar un control del acceso a la red y proteger el tráfico de la VCN. Las listas de seguridad proporcionan capacidad de firewall con estado y sin estado para controlar el acceso de red a las instancias. Una lista de seguridad se configura en el nivel de la subred y se aplica en el nivel de la instancia. Puede aplicar varias listas de seguridad a una subred en la que se permita un paquete de red si este coincide con alguna de las reglas de las listas de seguridad.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: VCN
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 1.3: prohíba el acceso directo público entre Internet y cualquier componente del sistema en el entorno de datos de los titulares de tarjetas.
  • CIS 1.1:

    2.1: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.2: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389.

  • CIS 1.0:

    2.1: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22.

    2.2: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389.

Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
La lista de seguridad de la VCN permite el tráfico a un puerto restringido

Descripción: alerta cuando la lista de seguridad de una VCN permite que ciertos puertos restringidos (consulte Valores de entrada, Protocolo restringido: Lista de puertos) formen parte de la regla de entrada de la lista de seguridad.

Recomendación: asegúrese de que las VCN de OCI utilicen listas de seguridad que no incluyan un puerto que aparezca en la lista "Protocolo restringido:Lista de puertos" en la configuración de entrada de esta regla de detector con cualquier regla de entrada o entrada. La sección Detalles adicionales de un problema muestra los puertos restringidos abiertos específicos que dispararon este problema.

Antecedentes: las listas de seguridad proporcionan capacidad de firewall con estado y sin estado para controlar el acceso de red a las instancias. Una lista de seguridad se configura en el nivel de la subred y se aplica en el nivel de la instancia. Puede aplicar varias listas de seguridad a una subred en la que se permita un paquete de red si este coincide con alguna de las reglas de las listas de seguridad.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: VCN
  • Nivel de riesgo: MENOR
  • Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 1.2: Desarrolle configuraciones de firewall y enrutador que restrinjan las conexiones entre redes no confiables y cualquier componente del sistema en el entorno de los datos de titulares de tarjetas.
  • CIS 1.1: 2.5: Garantía de que la lista de seguridad por defecto de cada VCN restringe todo el tráfico a excepción del ICMP.
  • CIS 1.0: 2.7: Garantía de que la lista de seguridad por defecto de cada VCN restringe todo el tráfico a excepción del ICMP.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración:
    • Modifique Protocolo restringido: Lista de puertos según sea necesario en la sección Valor de entrada de la regla.

    Puede introducir listas de puertos manualmente o puede introducir nombres de una o más listas de seguridad que haya definido. Consulte Listas de seguridad.

La VNIC no tiene ningún grupo de seguridad de red asociado

Descripción: alerta cuando una tarjeta de interfaz de red virtual (VNIC) no tiene ningún NSG asociado.

Recomendación: asegúrese de que todas las VNIC tienen un NSG asociado.

Antecedentes: una VNIC es un componente de red que permite que un recurso, como una instancia informática, se conecte a una VCN. La VNIC determina cómo se conecta la instancia con los puntos finales de dentro y fuera de la VCN. Cada VNIC reside en una subred de una VCN. Una VNIC sin un NSG puede generar un problema de conectividad.

Parámetros de Regla:

  • Tipo de servicio: Networking
  • Tipo de recurso: VCN
  • Nivel de riesgo: MENOR
  • Etiquetas: Network
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: modifique Protocolo restringido: Lista de puertos según sea necesario en la sección Valor de entrada de la regla.

Recursos de exploración

La imagen de contenedor explorada tiene vulnerabilidades

Descripción: alerta cuando Oracle Vulnerability Scanning Service (VSS) explora contenedores e identifica vulnerabilidades de ciberseguridad conocidas. Para utilizar esta regla, debe crear una receta de exploración de host y un destino de exploración de host en el servicio Scanning. Consulte Scanning: Getting Started en la documentación de Scanning.

Se recomienda: realice las acciones recomendadas que se documentan para cada vulnerabilidad, como la aplicación de un parche del sistema operativo.

Background: el servicio Scanning identifica vulnerabilidades en aplicaciones, bibliotecas, sistemas operativos y servicios. Cada vulnerabilidad de la base de datos tiene un identificador o CVE propio.

Parámetros de Regla:

  • Tipo de servicio: Scanning, Compute
  • Tipo de recurso: Contenedor
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: VSS
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto (se detectan todos los CVE)
El host explorado tiene puertos abiertos

Descripción: alerta cuando Oracle Vulnerability Scanning Service (VSS) explora instancias de Compute (hosts) e identifica puertos abiertos. Para utilizar esta regla, debe crear una receta de exploración de host y un destino de exploración de host en el servicio Scanning. Consulte Scanning: Getting Started en la documentación de Scanning.

Recomendación: revise si los puertos identificados deben estar abiertos en este host y ciérrelos si no es necesario que estén abiertos. Si todos los puertos abiertos son correctos, asegúrese de que la lista de puertos permitidos contenga todos los números de puerto abiertos. Además, asegúrese de que la lista de puertos no permitidos no contenga ninguno de los números de puerto abiertos.

Antecedentes: algunos puertos son necesarios para el funcionamiento y la prestación de los servicios, pero cualquier puerto que esté abierto y no esté incluido en la lista prevista podrá utilizarse potencialmente para aprovechar los servicios.

Parámetros de Regla:

  • Tipo de servicio: Scanning, Compute
  • Tipo de recurso: Compute
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: VSS
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: agregue los puertos que se deban ignorar a la lista Puertos permitidos de la sección Valor de entrada de la regla.
    Nota

    Si agrega el mismo número de puerto tanto a la lista Puertos permitidos como a la lista Puertos no permitidos de la sección Configuración de entrada de la regla, la lista Puertos no permitidos tiene prioridad; aún se dispara un problema cuando Cloud Guard encuentra el puerto abierto.

El host explorado tiene vulnerabilidades

Descripción: alerta cuando Oracle Vulnerability Scanning Service (VSS) explora instancias de Compute (hosts) e identifica vulnerabilidades de seguridad cibernética conocidas. Para utilizar esta regla, debe crear una receta de exploración de host y un destino de exploración de host en el servicio Scanning. Consulte Scanning: Getting Started en la documentación de Scanning.

Se recomienda: realice las acciones recomendadas que se documentan para cada vulnerabilidad, como la aplicación de un parche del sistema operativo.

Background: el servicio Scanning identifica vulnerabilidades en aplicaciones, bibliotecas, sistemas operativos y servicios. Cada vulnerabilidad de la base de datos tiene un identificador o CVE propio.

Parámetros de Regla:

  • Tipo de servicio: Scanning, Compute
  • Tipo de recurso: Compute
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: VSS
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto (se detectan todos los CVE)

Recursos de almacenamiento

El volumen en bloque está cifrado con una clave gestionada por Oracle

Descripción: alerta cuando un volumen en bloque está cifrado con claves gestionadas por Oracle.

Recomendación: asigne una clave de KMS a este volumen.

Anterior: el cifrado de los volúmenes proporciona un nivel adicional de seguridad a los datos. La gestión de las claves de cifrado es fundamental para proteger y acceder a los datos protegidos. Algunos clientes desean poder identificar los volúmenes en bloque cifrados con claves gestionadas por Oracle frente a las claves gestionadas por el usuario.

Parámetros de Regla:

  • Tipo de servicio: almacenamiento
  • Tipo de recurso: volumen en bloque
  • Nivel de riesgo: MENOR
  • Etiquetas: KMS
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Claves gestionadas por Oracle: recomendadas para proteger los volúmenes en bloque.
  • Claves gestionadas por el usuario:
    • Utilice KMS siempre que sea posible.
    • Implemente Oracle Security Zones en los compartimentos para asegurarse de que se sigue la práctica.
  • Grupos condicionales: debido al gran número de volúmenes, evite su uso.
El volumen en bloque no está asociado

Descripción: alerta cuando un volumen en bloque no está asociado a su instancia.

Recomendación: asegúrese de que el volumen está asociado.

Antecedentes: al desasociar un volumen en bloque, el volumen se desacopla de su instancia asociada y puede afectar a la disponibilidad de los datos, desde datos críticos para el negocio hasta copias puntuales de los volúmenes como copias de seguridad.
Nota

Esta regla está desactivada por defecto en los nuevos arrendamientos de Cloud Guard.

Parámetros de Regla:

  • Tipo de servicio: almacenamiento
  • Tipo de recurso: volumen en bloque
  • Nivel de riesgo: MEDIO
  • Etiquetas: Storage
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no aplicable.
Mejores prácticas para las modificaciones de las reglas:
  • Grupos condicionales: evite su uso, debido al gran número de volúmenes.
El cubo es público

Descripción: alerta cuando un cubo es público.

Recomendación: asegúrese de que el cubo está sancionado para acceso público y, si no es así, póngase en contacto con el administrador de OCI para restringir la política del cubo y que solo se permite el acceso de usuarios específicos a los recursos necesarios para realizar las funciones de trabajo.

Antecedentes: Object Storage soporta el acceso anónimo y no autenticado a un cubo. Un cubo público que tenga el acceso de lectura activado para los usuarios anónimos permite a cualquier persona obtener metadatos del objeto, descargar objetos del cubo y, opcionalmente, mostrar el contenido del cubo.

Parámetros de Regla:

  • Tipo de servicio: almacenamiento
  • Tipo de recurso: cubo
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: CIS_OCI_V1.1_ObjectStorage, ObjectStorage
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 1.2.1 - Restricción del tráfico de entrada y salida a lo necesario para el entorno de datos de los titulares de tarjetas y denegación específica del tráfico restante.
  • CIS 1.1: 4.1: Asegurar que ningún cubo de Object Storage sea públicamente visible.
  • CIS 1.0: no cubierto por CIS 1.0.
Mejores prácticas para las modificaciones de las reglas:
  • Grupos condicionales: filtre los nombres de los cubos (<namespace>/<name>) que deban ser públicos.
El cubo de Object Storage está cifrado con una clave gestionada por Oracle

Descripción: alerta cuando un cubo de Object Storage está cifrado con una clave gestionada por Oracle.

Recomendación: asigne una clave de Vault a este cubo.

Antecedentes: el cifrado de los cubos de almacenamiento proporciona un nivel adicional de seguridad a los datos. La gestión de las claves de cifrado es fundamental para proteger y acceder a los datos protegidos. Algunos clientes desean poder identificar los cubos de almacenamiento cifrados con claves gestionadas por Oracle.

Parámetros de Regla:

  • Tipo de servicio: almacenamiento
  • Tipo de recurso: cubo
  • Nivel de riesgo: MENOR
  • Etiquetas: CIS_OCI_V1.1_ObjectStorage, ObjectStorage, KMS
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: no es un problema para PCI.
  • CIS 1.1: 4.2: Asegurar que los cubos de Object Storage están cifrados con una clave administrada por el cliente (CMK).
  • CIS 1.0: no cubierto por CIS 1.0.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: esta regla está desactivada por defecto en el detector de configuración de OCI, ya que podría generar problemas que pueden no ser críticos para muchos operadores de Cloud Guard. Si activa esta regla, asegúrese de definir cuidadosamente los grupos condicionales para que se dirijan solo a los cubos específicos que NO desea cifrar con una clave gestionada por Oracle. Si necesita un control de claves estricto mediante el uso de claves gestionadas por el usuario a través de Vault, cree un compartimento de zona de seguridad de Oracle y cree recursos en ese compartimento.
Acceso de log de lectura desactivado para el cubo

Descripción: alerta cuando los logs de acceso de lectura no están activados para un cubo de Object Storage.

Recomendación: asegúrese de que los logs de lectura están activados para el cubo y de que las herramientas de seguridad supervisan continuamente los logs.

Antecedentes: los logs de acceso ayudan a proteger los objetos confidenciales proporcionando visibilidad de las actividades relacionadas con las operaciones de lectura y escritura en los objetos del cubo de almacenamiento de objetos.

Parámetros de Regla:

  • Tipo de servicio: almacenamiento
  • Tipo de recurso: cubo
  • Nivel de riesgo: BAJO
  • Etiquetas: CIS_OCI_V1.1_ObjectStorage, ObjectStorage
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 1.2.1 - Restricción del tráfico de entrada y salida a lo necesario para el entorno de datos de los titulares de tarjetas y denegación específica del tráfico restante.
  • CIS 1.1: 4.1: Asegurar que ningún cubo de Object Storage sea públicamente visible.
  • CIS 1.0: no cubierto por CIS 1.0.
Mejores prácticas para las modificaciones de las reglas:
Acceso de log de escritura desactivado para el cubo

Descripción: alerta cuando los logs de acceso de escritura no están activados para un cubo de Object Storage.

Recomendación: asegúrese de que los logs de escritura están activados para el cubo y de que las herramientas de seguridad supervisan continuamente los logs.

Antecedentes: los logs de acceso ayudan a proteger los objetos confidenciales proporcionando visibilidad de las actividades relacionadas con las operaciones de lectura y escritura en los objetos del cubo de almacenamiento de objetos.

Parámetros de Regla:

  • Tipo de servicio: almacenamiento
  • Tipo de recurso: cubo
  • Nivel de riesgo: BAJO
  • Etiquetas: CIS_OCI_V1.1_MONITORING, CIS_OCI_V1.1_ObjectStorage, ObjectStorage
Asignación de control de conformidad:
  • PCI-DSS 3.2.1: 1.2.1 - Restricción del tráfico de entrada y salida a lo necesario para el entorno de datos de los titulares de tarjetas y denegación específica del tráfico restante.
  • CIS 1.1: 4.1: Asegurar que ningún cubo de Object Storage sea públicamente visible.
  • CIS 1.0: no cubierto por CIS 1.0.
Mejores prácticas para las modificaciones de las reglas:
  • Configuración: esta regla está desactivada por defecto en OCI Configuration Detector y no se puede activar allí. Activar esta Regla:
    1. Clonación del detector de configuración de OCI. Consulte Clonación de una receta de OCI Detector.
    2. Active la regla en la copia gestionada por el usuario (clonada) del detector de configuración de OCI. Consulte Edición de ajustes de reglas en una receta de OCI Detector.
    3. Asocie la copia gestionada por el usuario (clonada) del detector de configuración de OCI a todos los destinos en los que desea activar la regla. Consulte s.
Reglas de detector de seguridad de instancia de OCI

Material de referencia para recetas de detector de seguridad de instancia gestionadas por Oracle.

Nota

Si alguna regla de detector supera el uso esperado de CPU o memoria, podemos desactivar y modificar temporalmente la regla.
El agente no está instalado o no está en ejecución como se esperaba

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux/Windows

Descripción: detecta si la seguridad de instancia no está instalada o no se está ejecutando como se esperaba. Por ejemplo:

InstanceOCID: <redacted>, currently in active state. The agent was last detected on 2024-03-19 21:11:27.41, more than 24 hours ago

Recomendación: hay algunos motivos por los que puede recibir esta alerta:

  • Si el host de Compute está caído y el agente de seguridad de la instancia no puede acceder al host durante más de 24 horas. Investigue el host de recursos informáticos para ver si esto es lo que ha sucedido.
  • Si las políticas de seguridad de la instancia no son correctas. Compruebe que se hayan agregado todas las estas políticas.
  • Si no está presente la última versión de seguridad de instancia. Oracle Cloud Agent (OCA) actualiza automáticamente el agente de seguridad de instancia en un host, por lo que si no se ha producido, compruebe lo siguiente:

    En Linux:

    1. ¿Está activado Oracle Cloud Agent (OCA) y se está ejecutando en la instancia?
      sudo systemctl status oracle-cloud-agent.service
    2. Compruebe si el plugin de seguridad de instancia se está ejecutando. Es responsable de gestionar el ciclo de vida del agente de seguridad de instancia. Si el plugin de seguridad de instancia se está ejecutando pero tiene este problema, significa que puede haber algún error en el agente de seguridad de instancia o que el plugin está recibiendo un error 4xx y el agente no está instalado o no se está ejecutando.
      pgrep oci-wlp
    3. Compruebe si el plugin de seguridad de instancia está recibiendo un error 404 en el log.
      sudo vim /var/log/oracle-cloud-agent/plugins/oci-wlp/oci-wlp.log
    4. Confirme que el agente de seguridad de instancia se está ejecutando en la instancia.
      sudo systemctl status wlp-agent-osqueryd.service

      Si la salida del comando contiene errores, intente reiniciar el servicio.

      sudo systemctl restart wlp-agent-osqueryd.service

    En Windows:

    1. Compruebe que el plugin de seguridad de instancia está activado en Oracle Cloud Agent (OCA) para la instancia.
      1. Vaya al Menú de inicio > Herramientas administrativas de Windows > Servicios.
      2. Compruebe el estado de la protección de carga de trabajo de Oracle Cloud Agent Cloud Guard. Debe mostrar que se está ejecutando.
      3. Si se detiene, seleccione con la derecha y seleccione Start (Iniciar).
    2. Compruebe si el agente de seguridad de instancia se está ejecutando en la instancia.
      1. Vaya al Menú de inicio > Herramientas administrativas de Windows > Servicios.
      2. Compruebe el estado del servicio wlp-agent. Debe mostrar que se está ejecutando.
      3. Si se detiene, seleccione con la derecha y seleccione Start (Iniciar).

Una vez que haya encontrado el problema y lo haya solucionado, espere 24 horas para que este problema desaparezca. Si sigue viéndolo después de 24 horas y ha vuelto a comprobar los pasos anteriores, póngase en contacto con los Servicios de Soporte Oracle.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: ALTO
  • Etiquetas: seguridad de instancia
Detección de lanzamientos de procesos sospechosos a través de WMIC

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: WMI es la infraestructura para datos de gestión y operaciones en sistemas operativos basados en Windows. Es un proceso de nivel de servicio utilizado para ejecutar scripts y se puede utilizar para iniciar terminales de scripts o para intentar descargar una carga útil.

Recomendación: supervise objetos WMI recientemente construidos que puedan establecer persistencia y/o elevar privilegios mediante mecanismos del sistema.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: ALTO
  • Etiquetas: MITRE_T1546
Desactivación de la regla de seguridad de Windows

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: detecta la posible desactivación de las funciones de seguridad de Windows. Alerta si los servicios Windows Defender (windefend), Firewall de Windows) mpssvc y Windows Security Service (wscvcs) no se están ejecutando. Por ejemplo:

Windows security service in stopped state: windefend

Recomendación: la desactivación de la regla de seguridad de Windows puede dejar los recursos en riesgo. Pesar los riesgos y reactivar las reglas aplicables.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: ALTO
  • Etiquetas: MITRE_T1562.001
Error excesivo de inicio de sesión en la cuenta

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: puede indicar el uso de contraseñas en cuentas de Windows, es decir, el uso repetido de la misma contraseña en varias cuentas.

Recomendación: determine si la cuenta de usuario en cuestión es el usuario real que intenta conectarse.

Utilice la autenticación multifactor. Siempre que sea posible, active la autenticación multifactor en servicios orientados al exterior. Defina políticas para bloquear cuentas después de un determinado número de intentos de conexión fallidos para evitar que se adivinen las contraseñas.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: ALTO
  • Etiquetas: MITRE_T1110
Marco MITRE ATT&CK
Posible socket de shell web abierto que se está quedando sin rutas de servidor web

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux

Descripción: es común que los actores de amenazas carguen un shell web en servicios HTTP. Esto busca sockets abiertos en servicios HTTP comunes como Apache.

Recomendación: confirme con el propietario del sistema si se supone que la ruta del servidor web tiene un archivo con un puerto de servidor de recepción.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: MEDIO
  • Etiquetas: MITRE_T1505.003
Marco MITRE ATT&CK
Posible shell inverso en procesos del sistema

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux

Descripción: devuelve posibles shells inversos en procesos del sistema. Por ejemplo:

Possible reverse shell on system process (pid | path | remote_address | remote_port): 10129 | /usr/bin/bash | | 0, 10164 | /usr/bin/bash | | 0]

Recomendación: recopile la lista de IP que se conectan al shell inverso y determine si la IP está en la lista de mala reputación. Investigue si hay otros procesos asociados con el PID de shell inverso.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: ALTO
  • Etiquetas: MITRE_T1505.003
Marco MITRE ATT&CK
Proceso de la carpeta temporal que intenta ejecutar la actividad de movimiento lateral

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: el malware intenta ejecutarse desde el espacio de privilegios de usuario. En esta consulta lo estamos limitando al espacio temporal y observando la línea de comandos para las herramientas comunes utilizadas para lateral / reconocimiento del entorno.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere aislar la instancia para realizar más investigaciones.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: ALTO
  • Etiquetas: MITRE_T1059
Marco MITRE ATT&CK
Proceso enmascarado como proceso legítimo de Windows a través de una ruta incorrecta

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: detecta los procesos que intentan enmascararse como procesos legítimos de Windows mediante rutas incorrectas. Por ejemplo:

Process masquerading as legitimate windows process explorer.exe at path(s): c:\users\opc\downloads\new folder\explorer\bin\debug\explorer.exe

Recomendación: recopile el hash del archivo y determine si se trata de un binario erróneo conocido. Determine si el binario enmascarado está intentando llamar o ejecutar otros archivos en el sistema.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: ALTO
  • Etiquetas: MITRE_T1574.009
Procesos que reciben en puertos abiertos

Esta regla está presente en las siguientes recetas:

Sistema operativo: Linux/Windows

  • Receta de detector de seguridad de instancia de OCI: Enterprise (gestionada por Oracle)
  • Receta de detector de seguridad de instancia de OCI (gestionada por Oracle)

Descripción: detecta los procesos que reciben conexiones de red. Por ejemplo:

Disallowed open ports: {"scannedIps":[{"hostIp":"127.0.0.53","ports":[{"port":"53","type":null,"process":"systemd-resolve : /lib/systemd/systemd-resolved","family":"ipv4","protocol":"tcp"}

Recomendación: revise si estos puertos deben estar abiertos en este host y ciérrelos si no es necesario que estén abiertos.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: MITRE_T1505.003
Marco MITRE ATT&CK
Proceso de Putty en modo de recepción

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: búsqueda de Putty en modo de recepción para crear un túnel SSH.

Recomendación: recopile la lista de direcciones IP que se conectan al proceso de Putty e investigue las que parezcan sospechosas.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: ALTO
  • Etiquetas: MITRE_T1572
Marco MITRE ATT&CK
El host explorado tiene vulnerabilidades

Esta regla está presente en las siguientes recetas:

Sistema operativo: Linux

  • Receta de detector de seguridad de instancia de OCI: Enterprise (gestionada por Oracle)
  • Receta de detector de seguridad de instancia de OCI (gestionada por Oracle)

Descripción: explora las instancias informáticas para identificar vulnerabilidades de ciberseguridad conocidas relacionadas con aplicaciones, bibliotecas, sistemas operativos y servicios. Este detector informa de problemas cuando el servicio detecta que una instancia tiene una o más vulnerabilidades en el nivel de gravedad de CVE configurado o superior. Las vulnerabilidades con un nivel de gravedad de CVE inferior al nivel seleccionado no tendrán un problema de Cloud Guard creado, pero se reflejarán como parte de los problemas agregados que se muestran en la página Recursos de Cloud Guard.

Nota

  1. Esta regla puede ayudarle a corregir rápidamente vulnerabilidades y exposiciones, pero el servicio no es un escáner compatible con la industria de tarjetas de pago (PCI). No lo utilice para cumplir los requisitos de conformidad con PCI.
  2. No recomendamos utilizar esta regla para identificar problemas en los sistemas de base de datos de máquina virtual y, a continuación, modificar el sistema operativo para abordar cada problema. En su lugar, siga las instrucciones de Actualización de un sistema de base de datos para aplicar las últimas actualizaciones de seguridad al sistema operativo.
  3. Esta regla actualmente busca vulnerabilidades solo en paquetes rpm y debian.

Recomendación: revise las vulnerabilidades encontradas y priorícelas. Tome las medidas de corrección o mitigación adecuadas para la vulnerabilidad.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: CRÍTICO
  • Etiquetas: seguridad de instancia
Proceso SSH en modo de recepción

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux

Descripción: búsqueda de Putty en modo de recepción para crear un túnel SSH para un comando de terminal incorporado de Linux.

Recomendación: recopile la lista de direcciones IP que se conectan al proceso de Putty e investigue las que parezcan sospechosas.

Siempre que sea posible, solo permita la ejecución de scripts firmados. Utilice el control de aplicaciones cuando corresponda.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: ALTO
  • Etiquetas: MITRE_T1572
Marco MITRE ATT&CK
Trabajo cron sospechoso que se ejecuta desde el perfil de inicio

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux

Descripción: el malware puede utilizar trabajos cron que se ejecutan en un programa periódico para comprobar si hay puertas traseras.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere aislar la instancia para realizar más investigaciones.

Siempre que sea posible, solo permita la ejecución de scripts firmados. Utilice el control de aplicaciones cuando corresponda.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: MEDIO
  • Etiquetas: MITRE_T1547
Marco MITRE ATT&CK
Tarea programada sospechosa creada desde la carpeta temporal

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: el malware puede utilizar una tarea programada que se ejecuta desde la carpeta temporal para volver a ejecutar una puerta trasera al reiniciar.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere aislar la instancia para realizar más investigaciones.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: ALTO
  • Etiquetas: MITRE_T1053
Marco MITRE ATT&CK
Servicio sospechoso que se ejecuta desde la carpeta temporal

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: esta detección busca servicios de Windows sospechosos que se ejecuten desde la carpeta temporal, que puede ser un mecanismo común utilizado por el malware para garantizar que la puerta trasera se ejecute de forma periódica.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere aislar la instancia para realizar más investigaciones.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: ALTO
  • Etiquetas: MITRE_T1547
Marco MITRE ATT&CK
Se han detectado elementos de inicio sospechosos

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: el malware puede utilizar una ejecución de inicio de una puerta trasera de nuevo al reiniciar.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere aislar la instancia para realizar más investigaciones.

Parámetros de Regla:

  • Tipo de servicio: Compute
  • Tipo de recurso: instancia
  • Nivel de riesgo: MEDIO
  • Etiquetas: MITRE_T1547
Marco MITRE ATT&CK
Reglas de OCI Threat Detector

Material de referencia para la receta de detector de amenazas gestionada por Oracle que proporciona Cloud Guard.

Amplíe un nombre mostrado de regla para ver los detalles. Amplíe "Referencia de tipo de vista" al final para ver información técnica sobre los diferentes tipos de vista que se incluyen en el procesamiento de OCI Threat Detector.

Usuario no autorizado

Descripción: alerta cuando un usuario ha realizado actividades que generan una puntuación de riesgo que supera el umbral del problema, lo que podría indicar una cuenta comprometida o una amenaza interna. Los adversarios pueden utilizar técnicas de fuerza bruta para conseguir acceder a cuentas cuando no se saben las contraseñas. Los usuarios pueden abusar de sus privilegios asignados y realizar tareas que van mucho más allá de los requisitos de la compañía, lo que puede afectar a la organización.

Recomendación: puede desactivar temporalmente la cuenta mientras investiga la actividad y solicitar un restablecimiento de contraseña si el usuario no reconoce la actividad.

Antecedentes: la puntuación de riesgo de un usuario que supera el umbral del problema podría indicar una cuenta comprometida o un empleado degradado.

Parámetros de regla: esta regla no tiene parámetros que pueda modificar.

Asignación de control de conformidad:
  • No aplicable
Mejores prácticas para las modificaciones de las reglas:
  • Deje la configuración por defecto.
Referencia de tipo de vista

Revise los detalles de cómo se derivan los datos de tipo de vista y cómo se introducen en el cálculo de la puntuación de riesgo y la puntuación de seguridad.

Nota

Para todos los tipos de vista, puede haber información más detallada disponible del problema notificado, mediante un enlace que permite acceder al servicio de información sobre amenazas. Para usar este enlace es necesario que haya una política en vigor que otorgue permiso al usuario:

... to read threat-intel-family in tenancy

Consulte Políticas de IAM de información sobre amenazas.

Acceso avanzado

Descripción: los adversarios podrían realizar actividades con privilegios que están más allá de las responsabilidades o privilegios cotidianos de los usuarios y que podrían haberse sobreaprovisionado.

Marco MITRE ATT&CK
orígenes de datos:
  • Eventos de auditoría de OCI
  • Reputación de la dirección IP

Período de aprendizaje: Cloud Guard tarda 90 días en aprender el patrón de actividad de un nuevo usuario, antes de empezar a identificar las vistas de escalada de privilegios.

Gravedad y confianza: Cloud Guard asigna los niveles de gravedad y confianza en función de factores como estos:

  • ¿Es el permiso solicitado el nuevo permiso más alto para el servicio en las últimas semanas?
  • ¿La solicitud se originó a partir de una dirección IP sospechosa o una nueva ubicación geográfica?
  • ¿Se ha utilizado un nuevo agente de usuario?
  • ¿El usuario estuvo inactivo durante al menos siete días antes de la solicitud?
  • ¿La solicitud se realizó a través de un nodo de salida TOR, un proxy público o una VPN anónima?

Cuantos más factores estén involucrados, mayor será la gravedad y los niveles de confianza asignados.

Número elevado de solicitudes autenticadas previamente (PAR)

Descripción: creación anormal de solicitudes autenticadas previamente. Las solicitudes previamente autenticadas proporcionan una forma de permitir a los usuarios acceder a un cubo privado o a un objeto sin tener sus propias credenciales, lo que podría ayudar a un atacante a robar datos en lugar de pasar por un canal de gestión y control.

Marco MITRE ATT&CK
orígenes de datos:
  • Eventos de auditoría de OCI

Período de aprendizaje: si las PAR no están separadas en el tiempo, Cloud Guard puede empezar a detectar PAR a las pocas horas del inicio de este tipo de ataque. Cuanto más espaciadas estén las SAP en el tiempo, más tardará Cloud Guard en detectarlas.

Gravedad: Cloud Guard asigna el nivel de gravedad según la duración, la cantidad y el tipo de SAP. Cuanto mayor sea la duración y la cantidad de SAP, mayor será el nivel de gravedad asignado.

Confianza: Cloud Guard asigna el nivel de confianza según los patrones de actividad relacionada con SAP detectados. Cuanto más sospechoso sea el patrón de actividad relacionada con la SAP, mayor será el nivel de confianza asignado.

Debilitar las defensas

Descripción: los adversarios pueden aprovechar los privilegios adquiridos para desactivar mecanismos defensivos como herramientas de seguridad en la nube, listas de seguridad de redes virtuales en la nube (VCN) y copia de seguridad de datos.

orígenes de datos:
  • Eventos de auditoría de OCI

Período de aprendizaje: Cloud Guard comienza a detectar las defensas contra las deficiencias a las pocas horas del inicio de este tipo de ataque.

Gravedad: Cloud Guard asigna el nivel de gravedad según el estado de la solicitud de las API relacionadas con las defensas de discapacidad y el tipo de servicio afectado. Cuantos más servicios relacionados con la seguridad se vean afectados, mayor será el nivel de gravedad asignado.

Confianza: Cloud Guard asigna el nivel de confianza según los patrones de actividad de defensas de deterioro detectados. Cuanto más instancias de actividad sospechosa se hayan producido y más sospechoso sea el patrón de actividad relacionada con las defensas de discapacidad, mayor será el nivel de confianza asignado.

Desplazamiento imposible

Descripción: los adversarios podrían obtener las credenciales de una cuenta en la nube y usarlas de forma incorrecta, lo que les daría acceso a recursos restringidos. Una forma de detectar el uso ilegítimo de credenciales legítimas es identificar el acceso a la misma cuenta desde diferentes ubicaciones geográficas, cuando el período de tiempo entre accesos es insuficiente para ser físicamente posible.

Marco MITRE ATT&CK
orígenes de datos:
  • Direcciones IP
    Nota

    Para considerarse como desplazamiento imposible, los dos accesos a la cuenta deben ser de direcciones IP que:
    • Procedan de diferentes países.
    • No se encuentren en las consideradas como direcciones de confianza.

    Un algoritmo de Machine Learning ignora los falsos positivos obvios que parecen ser instancias de desplazamientos imposibles, como VPN y ubicaciones utilizadas normalmente por otros usuarios de la organización.

Período de aprendizaje: Cloud Guarda los siete días necesarios para aprender un nuevo patrón de actividad del usuario, antes de empezar a comparar las direcciones IP en los sucesivos accesos.

Gravedad: Cloud Guard asigna el nivel de gravedad según el nivel de privilegio de IAM observado del usuario de destino. Cuanto más amplios sean los privilegios del usuario en su entorno, mayor será el nivel de gravedad asignado.

Confianza: Cloud Guard asigna el nivel de confianza basándose principalmente en los patrones detectados en el tiempo y la distancia entre accesos secuenciales. Cuanto menor sea el tiempo en comparación con la distancia, mayor será el nivel de confianza asignado. Cloud Guard también tiene en cuenta las diferencias en los patrones de uso de privilegios: cuanto más difiere el patrón actual de privilegios utilizados de los patrones pasados, mayor será el nivel de confianza asignado.

Adivinación de contraseña

Descripción: un ataque de fuerza bruta, contra un solo usuario, por parte de adversarios que no conocen con anterioridad las credenciales legítimas podría adivinar contraseñas para intentar acceder a las cuentas. Sin conocer la contraseña de una cuenta, un adversario puede intentar adivinar sistemáticamente la contraseña mediante un mecanismo repetitivo, iterativo o mediante una lista de contraseñas comunes. Si el proceso automatizado del atacante tiene un tiempo de espera incorporado suficiente entre intentos de autenticación con fallos, no causa un bloqueo de cuenta.

Marco MITRE ATT&CK
orígenes de datos:
  • Eventos de conexión
  • Reputación de la dirección IP
  • Logs de cambios de contraseña

Período de aprendizaje: Cloud Guard comienza a detectar la adivinación de contraseñas a las pocas horas del inicio de este tipo de ataque.

Gravedad: Cloud Guard asigna el nivel de gravedad según el nivel de privilegio de IAM observado del usuario de destino. Cuanto más amplios sean los privilegios del usuario en su entorno, mayor será el nivel de gravedad asignado.

Confianza: Cloud Guard asigna el nivel de confianza según los patrones de actividad sospechosa detectados. Cuantas más instancias de actividad sospechosa se hayan producido y más sospechosas sean las instancias individuales, mayor será el nivel de confianza asignado.

Password Spraying

Descripción: un ataque de fuerza bruta, contra varios usuarios, por adversarios que no conocen con anterioridad las credenciales legítimas podría adivinar las contraseñas para obtener acceso a las cuentas. Los adversarios podrían utilizar una lista única o pequeña de contraseñas de uso común en muchas cuentas diferentes para intentar obtener credenciales de cuenta válidas. Se intentan realizar inicios de sesión en distintas cuentas para evitar bloqueos que normalmente se producirían cuando se usaba un ataque de fuerza bruta en una sola cuenta con muchas contraseñas.

Marco MITRE ATT&CK
orígenes de datos:
  • Eventos de conexión
  • Reputación de la dirección IP
  • Logs de cambios de contraseña

Período de aprendizaje: Cloud Guard comienza a detectar el caducidad de la contraseña a las pocas horas del inicio de este tipo de ataque.

Gravedad: Cloud Guard asigna el nivel de gravedad según el nivel de privilegio de IAM observado del usuario de destino. Cuanto más amplios sean los privilegios del usuario en su entorno, mayor será el nivel de gravedad asignado.

Confianza: Cloud Guard asigna el nivel de confianza según los patrones de actividad sospechosa detectados. Cuantas más instancias de actividad sospechosa se hayan producido y más sospechosas sean las instancias individuales, mayor será el nivel de confianza asignado.

Persistencia

Descripción: los adversarios pueden agregar una clave de API controlada por el adversario para mantener el acceso persistente a las cuentas e instancias de la víctima.

orígenes de datos:
  • Reputación de IP
  • Eventos de auditoría de OCI

Período de aprendizaje: Cloud Guard comienza a detectar la persistencia a los pocos días del inicio de este tipo de ataque.

Gravedad: Cloud Guard asigna el nivel de gravedad según el nivel de privilegio de IAM observado del usuario víctima. Cuanto más amplios sean los privilegios del usuario en su entorno, mayor será el nivel de gravedad asignado.

Confianza: Cloud Guard asigna el nivel de confianza según los patrones de actividad de persistencia detectados. Cuantas más instancias de actividad sospechosa se hayan producido y más sospechoso sea el patrón de actividad relacionada con la persistencia, mayor será el nivel de confianza asignado.