Referencia de las recetas de detector

Descripción: alerta cuando se crea una nueva instancia de Bastion.

Recomendación: Asegúrese de que solo las instancias de Bastion las crean los usuarios autorizados.

Antecedentes: los bastiones permiten a los usuarios acceso SSH seguro e ininterrumpido a los hosts de destino en subredes privadas, al tiempo que restringen el acceso público directo.

Parámetros de Regla:

• Tipo de servicio: Bastion
• Tipo de recurso: instancia
• Nivel de riesgo: BAJO
• Etiquetas: Bastion

• Deje la configuración por defecto.

Descripción: alerta cuando se crea una nueva sesión de Bastion.

Recomendación: Asegúrese de que sólo los usuarios autorizados creen sesiones de Bastion.

Antecedentes: una sesión de Bastion proporciona acceso SSH delimitado en tiempo, seguro e ininterrumpido a un host de destino en subredes privadas, al mismo tiempo que restringe el acceso público directo.

Parámetros de Regla:

• Tipo de servicio: Bastion
• Tipo de recurso: instancia
• Nivel de riesgo: BAJO
• Etiquetas: Bastion

• Deje la configuración por defecto.

Descripción: alerta cuando se actualiza un grupo de autoridades de certificación.

Recomendación: Asegúrese de que solo el usuario autorizado actualice los grupos de autoridades de certificación. Si el usuario no está autorizado, revierta la actualización.

Antecedentes: un paquete de autoridades de certificación es un archivo que contiene certificados raíz e intermedios. La autoridad de certificación del grupo da fe de los certificados intermedios de los usuarios. Cuando se actualiza un grupo de autoridades de certificación, un usuario que está asociado a un certificado intermedio suprimido ya no puede acceder a los recursos de los que ha dado fe la autoridad de certificación. Del mismo modo, un usuario asociado a un certificado intermedio que se agrega ahora puede acceder a esos recursos.

Parámetros de Regla:

• Tipo de servicio: Certificados
• Tipo de recurso: usuario
• Nivel de riesgo: MEDIO
• Etiquetas: certificados

• Deje la configuración por defecto.

Descripción: alerta cuando se suprime un grupo de autoridad de certificación (CA).

Recomendación: Asegúrese de que sólo los usuarios autorizados suprimen los grupos de CA los suprimen los usuarios autorizados. Si el usuario no está autorizado, cancele la supresión.

Antecedentes: un paquete de autoridades de certificación es un archivo que contiene certificados raíz e intermedios. La autoridad de certificación del grupo da fe del certificado intermedio de los usuarios. Cuando se suprime un grupo de autoridades de certificación, los usuarios asociados a los certificados intermedios ya no pueden acceder a recursos que requieren que una autoridad de certificación aprobada dé fe.

Parámetros de Regla:

• Tipo de servicio: Certificados
• Tipo de recurso: usuario
• Nivel de riesgo: MEDIO
• Etiquetas: certificados

• Deje la configuración por defecto.

Descripción: alerta cuando se revoca un certificado intermedio en un paquete de autoridades de certificación (CA).

Recomendación: Asegúrese de que solo los usuarios autorizados revoquen certificados intermedios en grupos de autoridades de certificación. Si el usuario no está autorizado, cancele la revocación.

Antecedentes: cuando se revoca un certificado intermedio en un grupo de autoridades de calificación, el usuario asociado ya no puede acceder a recursos que requieren que una autoridad de calificación aprobada dé fe de la certificación intermedio del usuario.

Parámetros de Regla:

• Tipo de servicio: Certificados
• Tipo de recurso: usuario
• Nivel de riesgo: MEDIO
• Etiquetas: certificados

• Deje la configuración por defecto.

Descripción: alerta cuando se exporta una imagen informática.

Recomendación: las imágenes que contengan cualquier elemento patentado se deben etiquetar en consecuencia con privilegios que se otorgan únicamente a los administradores adecuados de OCI.

Antecedentes: las imágenes de Compute pueden ser equivalentes a "unidades de dato" y contener información confidencial. Las imágenes que puedan contener elementos patentados se deben identificar en consecuencia con privilegios de exportación que se otorguen únicamente a los administradores de OCI adecuados.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: MINOR
• Etiquetas: Compute

• Deje la configuración por defecto.

Descripción: alerta cuando se importa una imagen del Compute.

Recomendación: Asegúrese de que una persona de la que se espera que incorpore nuevas imágenes en su entorno importa la imagen de computación de orígenes de confianza, como Oracle o un administrador del recurso informático de confianza.

Antecedentes: las imágenes de computación son la base de las instancias de computación. Una nueva imagen afecta a toda instancia de Compute futura que se lance desde esa imagen y las imágenes importadas deben provenir de fuentes conocidas y de confianza.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: MINOR
• Etiquetas: Compute

• Deje la configuración por defecto.

Descripción: alerta cuando se termina una instancia informática.

Recomendación: utilice políticas de IAM para restringir las operaciones de terminación de instancias.

Antecedentes: las instancias de Compute pueden entregar funciones críticas.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: Compute

• Deje la configuración por defecto.

Descripción: alerta cuando se actualiza una imagen del recurso informático.

Recomendación:

Asegúrese de que:

• La persona que se espera que brinde nuevas imágenes al entorno es quien importa la imagen.
• La imagen se importa de orígenes de confianza, como Oracle o un administrador de Compute de confianza.

Antecedentes: las imágenes de computación son la base de las instancias de computación. Una modificación de las imágenes afecta a toda instancia de Compute futura que se lance desde esa imagen. Las imágenes y cualquier cambio relacionado con ellas deben provenir de fuentes conocidas y de confianza.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: BAJO
• Etiquetas: Compute

• Deje la configuración por defecto.

Descripción: alerta cuando se termina un sistema de base de Datos.

Recomendación: Asegúrese de que un administrador permitido sanciona y realiza la terminación del sistema y las bases del datos relacionadas.

Antecedentes: los sistemas de base de Datos pueden retener datos confidenciales y proporcionar funcionalidades críticas. La terminación de un sistema de base de datos suprime permanentemente el sistema, las bases de datos que se ejecutan en él y los volúmenes de almacenamiento asociados a él.

Parámetros de Regla:

• Tipo de servicio: sistema de base de datos
• Tipo de recurso: sistema
• Nivel de riesgo: ALTO
• Etiquetas: Database

• Deje la configuración por defecto.

Descripción: alerta cuando se crean claves IAM API para un usuario.

Recomendación: asegúrese que las claves del API solo las crean los usuarios autorizados para crear claves del API, ya sean para ellos mismos o para otros usuarios.

Antecedentes: las claves del API son necesarias para utilizar uno de los SDK de Oracle u otras herramientas para desarrolladores. El uso de estas herramientas para desarrolladores por parte de personas cuya función de trabajo no lo requiere conforma una vulnerabilidad de seguridad.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear claves de API para usuarios.

Descripción: alerta cuando se suprime una clave de API de IAM de un usuario.

Recomendación: Asegúrese de que las claves del API solo las suprimen los usuarios autorizados para crear y suprimir claves del API.

Antecedentes: las claves del API son necesarias para utilizar uno de los SDK de Oracle u otras herramientas para desarrolladores. La supresión de claves de API para un usuario que esté trabajando con herramientas para desarrolladores de Oracle puede afectar gravemente a la productividad.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir claves de API de usuarios.

Descripción: alerta cuando se crea un token IAM de autenticación para un usuario.

Recomendación: Asegúrese de que los Tokens de Autenticación de IAM se crean por los usuarios autorizados y para ellos.

Antecedentes: se pueden utilizar los tokens de autenticación para autenticarse con API de terceros. La disponibilidad de los tokens de autenticación para las personas cuya función de trabajo no los necesita crea una vulnerabilidad de seguridad. Consulte Credenciales de usuario.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear tokens de autenticación de IAM.

Descripción: alerta cuando se suprime un token IAM de autenticación para un usuario.

Recomendación: Asegúrese de que los Tokens de Autenticación de IAM los suprimen los usuarios autorizados.

Antecedentes: se pueden utilizar los tokens de autenticación para autenticarse con API de terceros. La disponibilidad de los tokens de autenticación para las personas cuya función de trabajo no los necesita crea una vulnerabilidad de seguridad. Consulte Credenciales de usuario.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir tokens de autenticación de IAM.

Descripción: alerta cuando se crean claves IAM de cliente.

Recomendación: asegúrese de que estas claves se crean solo para usuarios autorizados.

Antecedentes: las claves secretas de cliente se crean para utilizar Amazon S3 Compatibility API con Object Storage.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear claves de cliente de IAM.

Descripción: alerta cuando se suprimen claves IAM de cliente.

Recomendación: Asegúrese de que se espera la supresión de estas claves.

Antecedentes: las claves secretas de cliente se crean para utilizar Amazon S3 Compatibility API con Object Storage.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir claves de cliente de IAM.

Descripción: alerta cuando se crea un grupo de la IAM.

Recomendación: Asegúrese de que solo los usuarios autorizados crean grupos de IAM.

Antecedentes: los grupos controlan el acceso a los recursos y privilegios.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: grupo
• Nivel de riesgo: MINOR
• Etiquetas: IAM

• Deje la configuración por defecto.

Descripción: alerta cuando se suprime un grupo de la IAM.

Recomendación: Asegúrese de que solo los usuarios autorizados realizan supresiones de grupos IAM.

Antecedentes: los grupos controlan el acceso a los recursos y privilegios.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: GROUP
• Nivel de riesgo: MINOR
• Etiquetas: IAM

• Deje la configuración por defecto.

Descripción: alerta cuando se crean credenciales OAuth 2.0 de IAM.

Recomendación: asegúrese de que estas credenciales las crean solo usuarios autorizados para ello.

Antecedentes: las credenciales OAuth 2.0 de IAM se usan para interactuar con las API de los servicios que utilizan esta autorización OAuth 2.0. Consulte Credenciales de usuario.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear credenciales OAuth 2.0 de IAM.

Descripción: alerta cuando se suprimen credenciales OAuth 2.0 de IAM.

Recomendación: Asegúrese de que se espera la supresión de estas credenciales.

Antecedentes: las credenciales OAuth 2.0 de IAM se usan para interactuar con las API de los servicios que utilizan esta autorización OAuth 2.0. Consulte Credenciales de usuario.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir credenciales OAuth 2.0 de IAM.

Descripción: alerta cuando se editan las capacidades de un usuario de IAM.

Recomendación: Asegúrese de que solo las funciones de un usuario de IAM cambian las de los usuarios autorizados.

Antecedentes: para acceder a Oracle Cloud Infrastructure, un usuario debe tener las credenciales necesarias, como claves de API, tokens de autenticación u otras credenciales.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Deje la configuración por defecto.

Descripción: alerta cuando se crea un usuario local o federado en OCI IAM.

Recomendación: Asegúrese de que solo los usuarios autorizados crean usuarios de la instancia de IAM.

Antecedentes: un usuario de IAM puede ser un empleado o sistema individual que necesita gestionar o utilizar el recurso de Oracle Cloud Infrastructure de su empresa.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: MINOR
• Etiquetas: IAM

• Deje la configuración por defecto.

Descripción: alerta cuando se crea o restablece la contraseña de la consola de un usuario.

Recomendación: asegúrese que el usuario o un usuario administrador autorizado para restablecer contraseñas restablezcan la contraseña de un usuario.

Antecedentes: si se restablece la contraseña de un usuario varias veces o se realiza un restablecimiento por parte de un usuario que no está autorizado para restablecer contraseñas del usuario, puede indicar un riesgo de seguridad.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para restablecer contraseñas de usuario.

Descripción: alerta cuando se modifica una política del sistema.

Recomendación:

Antecedentes: el cambio de políticas afecta los usuarios del grupo y puede otorgar privilegios a los usuarios que no los necesitan.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: política
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.1_MONITORING, IAM

• Deje la configuración por defecto.

Descripción: alerta cuando se autentica un usuario local que no tiene activada la autenticación multifactor (MFA).

Recomendación: asegúrese de que todos los usuarios tienen activada la MFA.

Antecedentes: la autenticación multifactor (MFA) aumenta la seguridad al requerir que se comprometa más de una credencial para suplantar a un usuario. Los usuarios no autorizados no podrán cumplir el segundo requisito de autenticación y no podrán acceder al entorno.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: ALTO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Deje la configuración por defecto.

Descripción: alerta cuando se agrega un usuario a un grupo.

Recomendación: asegúrese de que el usuario tiene derecho a ser miembro del grupo.

Antecedentes: los grupos controlan el acceso a los recursos y privilegios. Los grupos confidenciales se deben supervisar de cerca para detectar cambios en los miembros.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: grupo
• Nivel de riesgo: MINOR
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Deje la configuración por defecto.

Descripción: alerta cuando se elimina un usuario de un grupo.

Recomendación: asegúrese de que el usuario tiene derecho a ser miembro del grupo.

Antecedentes: los grupos controlan el acceso a los recursos y privilegios. Los grupos confidenciales se deben supervisar de cerca para detectar cambios en los miembros.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: MINOR
• Etiquetas: IAM

• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para eliminar usuarios de este grupo.

Descripción: alerta cuando un gateway (DRG) de enrutamiento dinámico se asocia a una VCN.

Recomendación: asegúrese de que el recurso (usuario) permite y espera la asociación de este DRG a la VCN en este compartimento.

En segundo plano: los DRG se utilizan para conectar redes locales existentes a una red virtual en la nube (VCN) con VPN IPSec o FastConnect.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: Networking
• Tipo de recurso: DRG
• Nivel de riesgo: MINOR
• Etiquetas: red

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para asociar DRG a VCN.

Descripción: alerta cuando se crea un gateway de enrutamiento dinámico (DRG).

Recomendación: asegúrese de que el recurso (usuario) permite y espera la creación de este DRG en este compartimento.

En segundo plano: los DRG se utilizan para conectar redes locales existentes a una red virtual en la nube (VCN) con IPSEC VPN o FastConnect.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: Networking
• Tipo de recurso: DRG
• Nivel de riesgo: MINOR
• Etiquetas: red

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para crear DRG.

Descripción: alerta cuando se suprime un gateway de enrutamiento dinámico (DRG).

Recomendación: asegúrese de que la supresión de este DRG esté permitida y esperada por el recurso (usuario).

En segundo plano: los DRG se utilizan para conectar redes locales existentes a una red virtual en la nube (VCN) con VPN IPSec o FastConnect.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: Networking
• Tipo de recurso: DRG
• Nivel de riesgo: MINOR
• Etiquetas: red

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para suprimir DRG.

Descripción: alerta cuando se desasocia un gateway DRG de enrutamiento dinámico de una VCN.

Recomendación: asegúrese de que el recurso (usuario) permite y espera la desasociación de este DRG de la VCN en este compartimento.

En segundo plano: los DRG se utilizan para conectar redes locales existentes a una red virtual en la nube (VCN) con VPN IPSec o FastConnect.

Parámetros de Regla:

• Estado: Desactivada
• Tipo de servicio: Networking
• Tipo de recurso: DRG
• Nivel de riesgo: MINOR
• Etiquetas: red

• Active la regla si desea ver qué usuarios están realizando operaciones relacionadas con grupos.
• Grupos condicionales: disparan un problema solo si el usuario no está en un grupo de administradores con permiso para desasociar DRG de VCN.

Descripción: alerta cuando se cambia una subred.

Recomendación: asegúrese de que el cambio de la VCN se permite y se espera en este compartimento.

Antecedentes: las subredes son subdivisiones de una VCN. Las instancias informáticas conectadas en la misma subred utilizan la misma tabla de rutas, listas de seguridad y opciones de DHCP.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: subred
• Nivel de riesgo: BAJO
• Etiquetas: red

• Deje la configuración por defecto.

Descripción: alerta cuando se suprime una subred.

Recomendación: activa la autenticación multifactor (MFA) para garantizar que el usuario es un usuario conectado y de manera genuina y que las credenciales no se ven comprometidas.

Antecedentes: las subredes son subdivisiones de una VCN. Las instancias informáticas conectadas en la misma subred utilizan la misma tabla de rutas, listas de seguridad y opciones de DHCP.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: subred
• Nivel de riesgo: BAJO
• Etiquetas: red

• Deje la configuración por defecto.

Descripción: alerta cuando un usuario se inicia sesión, o se realiza una llamada a una API, desde una dirección IP sospechosa. Si está en vigencia la política adecuada, proporcione un enlace desde el problema de Cloud Guard a información detallada sobre la dirección IP sospechosa en el servicio de datos sobre amenazas. Para obtener más información sobre la política necesaria, consulte Políticas de IAM de información sobre amenazas.

Recomendación: activa la autenticación multifactor (MFA) para garantizar que el usuario es un usuario conectado y de manera genuina y que las credenciales no se ven comprometidas.

Antecedentes: los usuarios que se conectan desde una dirección IP sospechosa son una amenaza potencial.

Parámetros de Regla:

• Tipo de servicio: Cloud Guard
• Tipo de recurso: seguridad
• Nivel de riesgo: CRÍTICO
• Etiquetas: red

• Configuración: incluya en la sección Valor de entrada de la regla bloques de CIDR o direcciones IP específicas.

Descripción: alerta cuando se crea una VCN.

Recomendación: Asegúrese de que la creación de una nueva VCN se permite y se espera en este compartimento.

Antecedentes: una VCN es una red privada virtual que se configura en los centros del dato de Oracle. Al igual que una red tradicional, puede contener reglas de firewall y tipos específicos de gateways de comunicación.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se crea una VCN.

Recomendación: Asegúrese de que la supresión de una VCN se permite y se espera en este compartimento.

Antecedentes: una VCN es una red privada virtual que se configura en los centros del dato de Oracle. Al igual que una red tradicional, puede contener reglas de firewall y tipos específicos de gateways de comunicación. La supresión de una VCN puede cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se cambia una opción DHCP en una VCN.

Recomendación: asegúrese de que el cambio de la información de DHCP y DNS está permitido para esta VCN y los recursos relacionados.

En segundo plano: las opciones de DHCP controlan determinados tipos de configuración en las instancias de una VCN, incluida la especificación de dominios de búsqueda y solucionadores de DNS que pueden dirigir las comunicaciones dentro de las redes virtuales en la nube a los recursos de Internet. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: DHCP
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se crea un gateway VCN de Internet.

Recomendación: Asegúrese de que la creación de un gateway de Internet está permitida para esta VCN y los recursos relacionados.

Antecedentes: los Gateways de Internet son enrutadores virtuales que puede agregar a la VCN para activar la conectividad directa (entrante o saliente) a Internet. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: gateway de Internet
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se termina un gateway VCN de Internet.

Recomendación: Asegúrese de que la supresión de un gateway de Internet está permitida para esta VCN y los recursos relacionados.

Antecedentes: los Gateways de Internet son enrutadores virtuales que puede agregar a la VCN para activar la conectividad directa (entrante o saliente) a Internet. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: gateway de Internet
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se cambia un gateway de intercambio de tránsito local de una VCN.

Recomendación: asegúrese de que los cambios del LPG están permitidos para esta VCN y los recursos relacionados.

En segundo plano: los gateways de intercambio de tráfico local (LPG) de la VCN conectan dos VCN en la misma región sin enrutar el tráfico a través de Internet. Los LPG utilizan los recursos de las VCN para comunicarse directamente con direcciones IP privadas. Los cambios de los LPG pueden afectar al acceso a los recursos y a las comunicaciones entre VCN. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: Gateway de intercambio de tráfico local
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se suprime un NSG de una VCN.

Recomendación: asegúrese de que la eliminación del NSG está permitida para esta VCN y los recursos relacionados.

Antecedentes: los grupos de seguridad de redes (NSG) actúan como un firewall virtual para los recursos informáticos y otros tipos de recursos. Los NSG cuentan con un juego de reglas de seguridad de entrada y de salida aplicadas a un juego de NIC virtuales de una VCN. La supresión de NSG puede eliminar las protecciones entre los recursos de la VCN y acarrear una denegación del acceso a los recursos o una pérdida de datos.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: grupo de seguridad de red
• Nivel de riesgo: ALTO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se cambia las reglas de salida del grupo de seguridad de red de una VCN.

Recomendación: asegúrese de que las nuevas reglas de salida están permitidas para este NSG y sus recursos relacionados.

Antecedentes: los grupos de seguridad de redes (NSG) actúan como un firewall virtual para los recursos informáticos y otros tipos de recursos. Los NSG cuentan con un juego de reglas de seguridad de entrada y de salida aplicadas a un juego de NIC virtuales de una VCN. Los cambios de la regla de salida pueden acarrear una denegación del acceso a los recursos.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: grupo de seguridad de red
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se cambia las reglas de entrada de un NSG en una VCN.

Recomendación: asegúrese de que las nuevas reglas de entrada están permitidas para este NSG y sus recursos relacionados.

Antecedentes: los grupos de seguridad de redes (NSG) actúan como un firewall virtual para los recursos informáticos y otros tipos de recursos. Los NSG cuentan con un juego de reglas de seguridad de entrada y de salida aplicadas a un juego de NIC virtuales de una VCN. Los cambios de las reglas de entrada de los NSG pueden permitir conexiones y tráfico a nuevos recursos y VNIC de la VCN.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: grupo de seguridad de red
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se cambia una tabla de rutas de una VCN.

Recomendación: asegúrese de que el cambio de la tabla de rutas se permite y se espera en este compartimento.

Antecedentes: las tablas de rutas virtuales tienen reglas que parecen y actúan como la reglas de rutas de red tradicionales. Las tablas de rutas mal configuradas pueden hacer que el tráfico se anule (desaparezca sin avisar) o se envíe a un destino no deseado. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: Tabla de rutas
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se crea un listado de seguridad para una VCN.

Recomendación: Asegúrese de que la creación de esta lista de seguridad está permitida para esta VCN y los recursos relacionados.

Antecedentes: las listas de seguridad actúan como firewalls virtuales para instancias informáticas y otros recursos y consisten en juegos de reglas de entrada y de salida que se aplican a todas las VNIC de cualquier subred asociada con esa lista de seguridad. Pueden aplicarse varias listas de seguridad a los recursos, que pueden dar acceso a dichos recursos a puertos y direcciones IP. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: lista de seguridad
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se suprime una lista de seguridad de una VCN.

Recomendación: Asegúrese de que la eliminación de esta lista de seguridad está permitida para esta VCN y los recursos relacionados.

Antecedentes: las listas de seguridad actúan como firewalls virtuales para instancias informáticas y otros recursos y consisten en juegos de reglas de entrada y de salida que se aplican a todas las VNIC de cualquier subred asociada con esa lista de seguridad. Pueden aplicarse varias listas de seguridad a los recursos, que pueden dar acceso a dichos recursos a puertos y direcciones IP. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: lista de seguridad
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se cambian las reglas para la salida de una lista de seguridad de una VCN.

Recomendación: asegúrese de que los cambios de las reglas que se utilizan para la salida están permitidos para esta lista de seguridad y sus recursos relacionados.

Antecedentes: las listas de seguridad actúan como firewalls virtuales para instancias informáticas y otros recursos y consisten en juegos de reglas de entrada y de salida que se aplican a todas las VNIC de cualquier subred asociada con esa lista de seguridad. Pueden aplicarse varias listas de seguridad a los recursos, que pueden dar acceso a dichos recursos a puertos y direcciones IP. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: lista de seguridad
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando se cambian las reglas que entran de una lista de seguridad de una VCN.

Recomendación: asegúrese de que los cambios de las reglas que entran están permitidos para esta lista de seguridad y sus recursos relacionados.

Antecedentes: las listas de seguridad actúan como firewalls virtuales para instancias informáticas y otros recursos y consisten en juegos de reglas de entrada y de salida que se aplican a todas las VNIC de cualquier subred asociada con esa lista de seguridad. Pueden aplicarse varias listas de seguridad a los recursos, que pueden dar acceso a dichos recursos a puertos y direcciones IP. Los cambios de las VCN pueden cambiar el enrutamiento, la resolución del FQDN y otras operaciones de red.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: lista de seguridad
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando una instancia informática tiene una dirección IP pública.

Recomendación: considere cuidadosamente la posibilidad para permitir el acceso desde Internet a cualquier instancia. Por ejemplo, tiene que tener cuidado con no permitir accidentalmente el acceso desde Internet a instancias de base de datos confidenciales.

Antecedentes: para que una instancia sea accesible públicamente, debe:

• Tener una dirección IP pública
• Existir en una subred de una red virtual en la nube (VCN) pública
• Encontrarse en una VCN que tenga activado un gateway de Internet que esté configurado para el tráfico saliente
• Encontrarse en una subred donde la lista de seguridad esté configurada para todas las direcciones IP y todos los puertos (0.0.0.0/0)

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Compute

• Supresión de la IP pública de la instancia: siga las instrucciones de Supresión de una IP pública efímera de una instancia.

Descripción: alerta cuando una instancia del Compute no está creada a partir de una imagen pública Oracle.

Recomendación: asegúrese de que todas las instancias están ejecutando imágenes sancionadas de fuentes de confianza.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: BAJO
• Etiquetas: Compute

• Deje la configuración por defecto.

Descripción: alerta cuando una instancia está de acceso público.

Recomendación: considere cuidadosamente la posibilidad para permitir el acceso desde Internet a cualquier instancia.

Antecedentes: para que una instancia sea accesible públicamente, debe:

• Tener una dirección IP pública
• Existir en una subred de una VCN pública
• Encontrarse en una VCN que tenga activado un gateway de Internet que esté configurado para el tráfico saliente
• Encontrarse en una subred donde la lista de seguridad esté configurada para todas las direcciones IP y todos los puertos (0.0.0.0/0)

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: CRÍTICO
• Etiquetas: Compute

• Grupos condicionales: filtre los OCID de las instancias que deben tener una dirección IP pública.

Descripción: alerta cuando una instancia informática que se está ejecutando está creada a partir de una imagen pública Oracle.

Recomendación: asegúrese de que todas las instancias están ejecutando imágenes sancionadas de fuentes de confianza.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: BAJO
• Etiquetas: Compute

• Deje la configuración por defecto.

Descripción: alerta cuando una instancia del Compute se está ejecutando sin las etiquetas configuradas necesarias.

Recomendación: asegúrese de que las instancias utilizan las etiquetas necesarias.

Antecedentes: las etiquetas son importantes para fines de auditoría y seguimiento.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configuración: agregue las etiquetas necesarias en la sección Valor de entrada de la regla.

  Se permiten estos formatos en el cuadro Valor de entrada. Separe las diversas entradas con comas.

  • <namespace>.<definedkey>=<definedValue>
  • <namespace>.<definedKey>
  • <freeformkey>=<freeformValue>
  • <freeformkey>

  Ejemplos:

  • <namespace>.<definedkey>=<definedValue>
    • Operations.Environment=Production: si el recurso tiene una etiqueta definida en el espacio de nombres Operations, una clave definida como Environment y el valor definido Production, la regla no crea un problema.
    • Operations.*=*: si el recurso tiene una etiqueta definida en el espacio de nombres Operations, con cualquier clave definida y cualquier valor definido, la regla no crea un problema.
  • <namespace>.<definedkey>
    • Operations.Environment: si el recurso tiene una etiqueta definida en el espacio de nombres Operations, con una clave definida como Environment y cualquier valor definido, la regla no crea un problema.
  • <freeformKey>
    • Project: si el recurso tiene una etiqueta definida en la clave de formato libre Project, la regla no dispara un problema.
  • <freeformKey>=freeformValue
    • Project=APPROVED: si el recurso tiene una etiqueta definida en la clave de formato libre Project con el valor APPROVED, la regla no crea un problema.

Descripción: alerta cuando se detecta una base de Datos para la que no está activado Data Safe.

Recomendación: asegúrese de que Data Safe está activado para todos los compartimentos que Cloud Guard está supervisando, que contienen bases de datos. Consulte Introducción.

Antecedentes: Data Safe ayuda a garantizar que las bases de Datos se configuran de forma segura. Este servicio debe estar activado para ayudar a supervisar, proteger y mitigar los riesgos en sus bases de datos Oracle en la nube.

Parámetros de Regla:

• Tipo de servicio: Data Safe
• Tipo de recurso: Arrendamiento
• Nivel de riesgo: ALTO
• Etiquetas: seguridad de base de datos

• Deje la configuración por defecto.

Descripción: alerta cuando las copias de seguridad automáticas no están activadas para una base de datos.

Recomendación: Asegúrese de que la copia de seguridad automática está activada.

Antecedentes: la activación de la copiade seguridad automática garantiza que, si se produce un fallo catastrófico de hardware, pueda restaurar la base de Datos con la mínima pérdida de Datos.

Parámetros de Regla:

• Tipo de servicio: base de datos
• Tipo de recurso: sistema de base de datos
• Nivel de riesgo: ALTO
• Etiquetas: Database

• Grupos condicionales: elimine los OCID de las bases de datos que no necesiten una copia de seguridad automática, por ejemplo, los OCID de entornos de pruebas de desarrolladores.

Descripción: alerta cuando se detecta una instancia de base de Datos que no está registrada en Data Safe.

Recomendación: registre esta instancia en la base de datos con Data Safe y configure evaluaciones para evaluar y controlar la configuración, comprobar la actividad del usuario y mitigar los riesgos. Consulte Registro de la base de datos de destino.

Antecedentes: Data Safe ayuda a garantizar que las bases de Datos se configuran de forma segura. Todas las bases de datos en la nube. Este servicio debe estar activado para permitir supervisar, proteger y mitigar los riesgos en sus bases de datos Oracle en la nube.

Parámetros de Regla:

• Tipo de servicio: Data Safe
• Tipo de recurso: Arrendamiento
• Nivel de riesgo: MEDIO
• Etiquetas: seguridad de base de datos

• Deje la configuración por defecto.

Descripción: alerta cuando un parche a base de datos disponible no se ha aplicado dentro del número de días especificado.

Recomendación: aplique a la base de datos los parches publicados cuando estén disponibles.

Antecedentes: los parches de base de datos abordan cuestiones de funcionalidad, seguridad y rendimiento. La mayoría de las infracciones de seguridad se pueden evitar mediante la aplicación de los parches disponibles.

Parámetros de Regla:

• Tipo de servicio: base de datos
• Tipo de recurso: sistema de base de datos
• Nivel de riesgo: MEDIO
• Etiquetas: Database

• Configuración: defina Número de días para aplicar el parche en la sección Valor de entrada de la regla.
• Grupos condicionales: elimine los OCID de las bases de datos que no necesiten tener aplicado el parche más reciente, por ejemplo, los OCID de entornos de pruebas de desarrolladores.

Recomendación: asegúrese de que el sistema de base de datos no tiene una dirección IP pública.

Antecedentes: el uso de una dirección IP pública con el fin de acceder a una base de datos aumenta su exposición a posibles riesgos de seguridad y continuidad empresarial.

Parámetros de Regla:

• Tipo de servicio: base de datos
• Tipo de recurso: sistema de base de datos
• Nivel de riesgo: ALTO
• Etiquetas: Database

• Grupos condicionales: filtre los OCID de las bases de datos que deban ser públicas.

Descripción: alerta cuando una base datos es de acceso público.

Recomendación: considere detenidamente la posibilidad a permitir el acceso desde Internet a cualquier sistema de base de datos.

Antecedentes: para que una base de datos sea accesible públicamente, debe:

• Tener una dirección IP pública.
• Estar en una subred de una VCN pública.
• Encontrarse en una subred que tenga activado un gateway de Internet que esté configurado para el tráfico de salida.
• Encontrarse en:
  • Una subred en la que la lista de seguridad permita el tráfico desde cualquier rango de CIDR de origen y "Todos los protocolos" o...
  • Encontrarse en un grupo de seguridad de red que permita el tráfico desde cualquier rango de CIDR de origen y "Todos los protocolos".

Parámetros de Regla:

• Tipo de servicio: base de datos
• Tipo de recurso: ExadataBareMetalVM
• Nivel de riesgo: CRÍTICO
• Etiquetas: Database

• Grupos condicionales: filtre los OCID de las bases de datos que deban ser públicas.

Descripción: alerta cuando un parche de sistema de base de datos disponible no se ha aplicado.

Recomendación: aplicar los parches publicados al sistema de base de datos cuando estén disponibles.

Antecedentes: los parches del sistema de base de datos suelen incluir actualizaciones que eliminan las vulnerabilidades que se conocen.

Parámetros de Regla:

• Tipo de servicio: base de datos
• Tipo de recurso: sistema de base de datos
• Nivel de riesgo: MEDIO
• Etiquetas: Database

• Configuración: defina Número de días para aplicar el parche en la sección Valor de entrada de la regla.
• Grupos condicionales: filtre los OCID de los sistemas de base de datos que no necesiten tener aplicado el último parche, por ejemplo, los OCID de entornos de pruebas de desarrolladores.

Descripción: alerta cuando un sistema de base de datos se ejecuta con una versión que no está sancionada.

Recomendación: Asegúrese de que la versión del Sistema de Base de Datos desplegado está aprobada y analizada.

Antecedentes: la ejecución de versiones no autorizadas de los sistemas de base de datos podría aumentar las posibilidades de que se provoque una infracción de seguridad, poniendo en riesgo su confidencialidad, integridad y disponibilidad de los datos.

Parámetros de Regla:

• Tipo de servicio: base de datos
• Tipo de recurso: sistema de base de datos
• Nivel de riesgo: CRÍTICO
• Etiquetas: Database

• Grupos condicionales: filtre los OCID de los sistemas de base de datos que no necesiten tener una versión sancionada, por ejemplo, los OCID de entornos de pruebas de desarrolladores.

Descripción: alerta cuando una base de datos se ejecuta con una versión que no está sancionada.

Recomendación: Asegúrese de que la versión de la base datos desplegada está aprobada y analizada.

Antecedentes: la versión sancionada de una base de datos dispone de las funciones de seguridad y de los parches de vulnerabilidad más recientes. La ejecución de versiones no sancionadas de una base de datos podría aumentar las posibilidades de que se produzca una infracción de seguridad, poniendo en riesgo la confidencialidad, integridad y disponibilidad de los datos.

Parámetros de Regla:

• Tipo de servicio: base de datos
• Tipo de recurso: sistema de base de datos
• Nivel de riesgo: CRÍTICO
• Etiquetas: Database

• Grupos condicionales: filtre los OCID de las bases de datos que no necesiten tener una versión sancionada, por ejemplo, los OCID de entornos de pruebas de desarrolladores.

Descripción: alerta cuando un par de claves públicas/privadas de de IAM asignado a un usuario es demasiado antiguo.

Recomendación: rote las claves del API con regularidad, al menos cada 90 días.

Antecedentes: el cambio en las claves del API de IAM al menos cada 90 días forma parte de la mejor práctica de seguridad. Cuanto más tiempo permanezcan sin cambios las credenciales de IAM, mayor será el riesgo de que se vean comprometidas.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: IAMKey
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configuración: (opcional) puede cambiar el valor de 90 días en la sección Valor de entrada de la regla.

Descripción: alerta cuando los tokens IAM de autenticación son anteriores al número máximo de días especificado.

Recomendación: rote los tokens IAM con regularidad, al menos cada 90 días.

Antecedentes: el cambio del token de autenticación de la IAM al menos cada 90 días es una mejor práctica de seguridad. Cuanto más tiempo permanezcan sin cambios los tokens de autenticación de IAM, mayor será el riesgo de que se vean comprometidos.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.1_IAM, IAM

• Configuración: defina el número máximo de días para los tokens de autenticación de IAM (es 90) en la sección Valor de entrada de la regla.

Descripción: alerta cuando las claves secretas de cliente de IAM tienen una antigüedad superior al número máximo de días especificado.

Recomendación: rote regularmente las claves secretas de cliente de IAM, al menos cada 90 días.

Antecedentes: el cambio del secreto de cliente de IAM al menos cada 90 días es una mejor práctica de seguridad. Cuanto más tiempo permanezcan sin cambios las claves secretas del cliente de IAM, mayor será el riesgo de que se vean comprometidas.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.1_IAM, IAM

• Configuración: defina el número máximo de días para las claves secretas de cliente de IAM (es 90) en la sección Valor de entrada de la regla.

Descripción: alerta cuando un grupo de IAM tiene menos del número mínimo especificado de miembros.

Recomendación: aumente el número de miembros del grupo paraque sea menor que la cantidad mínima de miembros especificada.

Antecedentes: la pertenencia a un grupo de IAM suele otorgar acceso a recursos y funciones. Los grupos que tienen muy pocos miembros podrían implicar que hubiese demasiados privilegios que se quedasen "huérfanos" (que dejasen de estar disponibles para los usuarios).

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: grupo
• Nivel de riesgo: BAJO
• Etiquetas: IAM

• Deje la configuración por defecto.

Descripción: alerta cuando un grupo de IAM supera la cantidad máxima de miembros especificada.

Recomendación: reduzca el número de miembros del grupo a que sea menor que la cantidad máxima de miembros especificada.

Antecedentes: la pertenencia a un grupo de IAM suele otorgar acceso a recursos y funciones. Los grupos que tienen demasiados miembros podrían implicar que se estuviese otorgando privilegios demasiado permisivos a demasiados usuarios.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: grupo
• Nivel de riesgo: MEDIO
• Etiquetas: IAM

• Deje la configuración por defecto.

Descripción: alerta cuando una contraseña de IAM tiene una antigüedad superior al número máximo de días especificado.

Recomendación: gire las contraseñas de la IAM con regularidad, al menos cada 90 días.

Antecedentes: el cambio de contraseñas de IAM al menos cada 90 días es una mejor práctica de seguridad. Cuanto más tiempo permanezcan sin cambios las credenciales de IAM, mayor será el riesgo de que se vean comprometidas.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configuración: defina el número máximo de días para las contraseñas (el valor por defecto es 90) en la sección Valor de entrada de la regla.

Descripción: la política de contraseñas no cumple los requisitos de complejidad.

Recomendación: Oracle recomienda que una directiva de contraseñas seguras incluya al menos una letra minúscula.

Antecedentes: las contraseñas complejas son más fáciles de adivinar y pueden disminuir las posibilidades de que se obtenga un acceso no autorizado o que los datos se vean comprometidos.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: política
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Deje la configuración por defecto.

Descripción: alerta cuando una política de de IAM otorga a un usuario que no es miembro del grupo Administradores acceso a cualquier rol del administrador.

Recomendación: Asegúrese de que la política está restringida y solo permite al usuario específico acceder a los recursos necesarios para llevar a cabo sus funciones de trabajo.

Antecedentes: una política es un documento que especifica quién puede acceder a qué recursos de OCI de entre el que posee su empresa y de qué forma. Una política simplemente permite a un grupo trabajar de determinadas formas con tipos de recursos específicos de un compartimento concreto.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: política
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configuración: agregue los OCID de los grupos a los que se deben otorgar estos privilegios en la sección Valor de entrada de la regla.

Descripción: alerta cuando el privilegio del administrador del arrendamiento se otorga a un grupo adicional de IAM.

Recomendación: verifique con el administrador del OCI que esta concesión de derechos se ha sancionado y que la pertenencia del grupo sigue siendo válida después del otorgamiento del privilegio del administrador.

Antecedentes: los miembros de los grupos de administradores del arrendamiento por defecto pueden realizar cualquier acción en todos los recursos de ese arrendamiento. Este derecho de alto privilegio debe controlarse y restringirse únicamente a los usuarios que lo necesiten para llevar a cabo sus funciones de trabajo.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: política
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configuración: agregue los OCID de los grupos que deben tener privilegios de administrador en la sección Valor de entrada de la regla.

Descripción: alerta cuando un usuario no tiene activada la autenticación multifactor (MFA).

Recomendación: active el MFA para todos los usuarios utilizando la aplicación Oracle Mobile Authenticator (OMA) en la aplicación móvil de cada usuario y el código de entrada de un solo usuario (OTP) enviado a la dirección del correo electrónico registrado del usuario.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: CRÍTICO
  Nota
  
  Si su organización comenzó a utilizar Cloud Guard antes de abril de 2023, el nivel de riesgo por defecto es MEDIUM.
• Etiquetas: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Deje la configuración por defecto.

Descripción: alerta cuando un usuario tiene claves para API activadas.

Recomendación: Asegúrese de que el acceso de los administradores a OCI a través de claves de API se realiza como excepción. No codifique credenciales de IAM directamente en el software o en documentos para un público amplio.

Antecedentes: las claves IAM API son credenciales que se utilizan para otorgar acceso programático a los recursos. Los usuarios humanos no deben utilizar claves de API.

Parámetros de Regla:

• Tipo de servicio: IAM
• Tipo de recurso: usuario
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Deje la configuración por defecto.

Descripción: alerta cuando una clave del KMS no se ha rotado dentro del período de tiempo especificado.

Recomendación: asegúrese de rotar las claves de KMS con regularidad.

Antecedentes: para mantener el nivel de seguridad de la información, debe cambiar o rotar periódicamente, contraseñas, claves y materiales criptográficos. Al rotar sus claves en KMS, se reduce el impacto y la probabilidad de que se comprometan dichas claves. Defina el periodo mínimo. Puede cambiar el tiempo por defecto para rotación de las claves de 180 días en la sección Valor de entrada de las reglas.

Parámetros de Regla:

• Tipo de servicio: KMS
• Tipo de recurso: clave de KMS
• Nivel de riesgo: CRÍTICO
• Etiquetas: CIS_OCI_V1.1_MONITORING, KMS

• Configuración: defina el tiempo por defecto para la rotación de las claves en la sección Valor de entrada de la regla.

Descripción: alerta cuando un recurso no está etiquetado de conformidad con los requisitos de etiquetado que ha especificado.

Recomendación: compruebe que las etiquetas configuradas están en uso para imágenes informáticas, instancias informáticas, sistemas de base de datos, redes virtuales en la nube, almacenamiento de objetos y volúmenes en bloque de almacenamiento.

En segundo plano: compruebe que las etiquetas configuradas estén en uso para imágenes informáticas, instancias informáticas, sistemas de base de datos, redes virtuales en la nube, almacenamiento de objetos y volúmenes en bloque de almacenamiento.

Parámetros de Regla:

• Tipo de servicio: varios
• Tipo de recurso: varios
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configuración: agregue las etiquetas adecuadas en la sección Valor de entrada de la regla.

Descripción: alerta cuando un equilibrador de carga tiene un conjunto de cifrado configurado que es oci-wider-compatible-ssl-cipher-suite-v1. Este conjunto de cifrado incluye algoritmos como DES y RC4 que se consideran débiles y propensos a ataques. Solo se aplica a conjuntos de cifrado predefinidos y no a los valores de conjuntos de cifrado personalizados.

Opcionalmente, utilice condiciones para especificar conjuntos de cifrado adicionales que se van a marcar.

Para utilizar cifrados adicionales:

1. Edite la regla de detector El equilibrador de carga permite conjuntos de cifrado débiles.
2. En Configuración de entrada, introduzca los cifrados adicionales como una lista separada por comas en Lista de cifrados débiles de BL.
   • Cuando Valor de entrada está vacío (valor por defecto), oci-wider-compatible-ssl-cipher-suite-v1 se marca y se marca.
   • Cuando Configuración de entrada tiene entradas, se comprueban los cifrados adicionales y oci-wider-compatible-ssl-cipher-suite-v1.
   Los cifrados adicionales son:

   • oci-compatible-ssl-cipher-suite-v1
   • oci-default-ssl-cipher-suite-v1
   • oci-modern-ssl-cipher-suite-v1
   • oci-tls-11-12-13-wider-ssl-cipher-suite-v1
   • oci-tls-12-13-wider-ssl-cipher-suite-v1

Recomendación: utilice los conjuntos de cifrado modernos y por defecto que soportan el cifrado más sólido.

Antecedentes: no se recomiendan algunas versiones de conjuntos de cifrado con algoritmos como DES.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: equilibrador de carga
• Nivel de riesgo: MEDIO
• Etiquetas: red

• Deje la configuración por defecto.

Descripción: alerta cuando un equilibrio de carga tiene un protocolo configurado como parte del protocolo de SSL que incluye cualquier versión anterior a La Seguridad de Capa del Transporte (TLS) 1.2.

Recomendación: Asegúrese de que la versión de las políticas de SSL configurada sea al menos TLS 1.2.

Antecedentes: las versiones anteriores de la política son peligrosas y vulnerables a muchos tipos de ataques. Varios estándares, como PCI-DSS y NIST, recomiendan encarecidamente el uso de TLS 1.2.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: equilibrador de carga
• Nivel de riesgo: ALTO
• Etiquetas: red

• Deje la configuración por defecto.

Descripción: alerta cuando un equilibrio de carga no tiene ningún juego de backends asociado.

Recomendación: Asegúrese de configurar los equilibradores de carga con juegos de backends para controlar el sistema y el acceso a un equilibrador de carga por partes de instancias definidas.

Antecedentes: un juego de backends es una entidad lógica definida mediante una política del equilibrio del sistema, una política del sistema y una lista de servidores backend.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: equilibrador de carga
• Nivel de riesgo: CRÍTICO
• Etiquetas: red

• Deje la configuración por defecto.

Descripción: alerta cuando una lista de seguridad de un equilibrador en carga tiene reglas que aceptan tráfico de un origen abierto (0.0.0.0/0).

Recomendación: Asegúrese de que sus equilibradores de carga de OCI utilizan reglas o listeners de entrada para permitir únicamente el acceso desde recursos conocidos.

Antecedentes: los equilibrio de carga de OCI activan conexiones TLS de extremo a lado entre las aplicaciones de un cliente y su VCN. Un listener es una entidad lógica que busca el tráfico entrante en la dirección IP del equilibrador de carga. Para manejar el tráfico TCP, HTTP y HTTPS, debe configurar al menos un listener por tipo de tráfico.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: equilibrador de carga
• Nivel de riesgo: MINOR
• Etiquetas: red

• Deje la configuración por defecto.

Descripción: alerta cuando un equilibrador de carga se está ejecutando con una dirección IP pública.

Recomendación: asegúrese que todos los equilibradores de carga de los que no se necesita acceso público se estén ejecutando con direcciones IP privadas.

Antecedentes: una dirección IP pública de un equilibrador de carga que no está destinada a utilizarse para contenido disponible públicamente crea una vulnerabilidad innecesaria de seguridad.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: equilibrador de carga
• Nivel de riesgo: alto
• Etiquetas: red

• Grupos condicionales: filtre los OCID de cualquier equilibrador de carga que deba tener una dirección IP pública.

Descripción: alerta cuando el certificado SSL de un equilibrador de carga caduca dentro del período de tiempo especificado.

Recomendación: asegúrese de que los certificados se rotan a su debido tiempo.

Antecedentes: para garantizar la seguridad y usabilidad continuas, los certificados SSL se deben rotar en OCI.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: equilibrador de carga
• Nivel de riesgo: CRÍTICO
• Etiquetas: red

• Configuración: defina Días antes de la caducidad (el valor por defecto es 48) en la sección Valor de entrada de la regla.

Descripción: alerta cuando la regla a la salida de un grupo de seguridad en red (NSG) contiene una dirección IP y un número del puerto de destino no permitidos.

Recomendación: asegúrese de que las reglas que permiten la comunicación con la IP/puerto están permitidas para este NSG.

Antecedentes: los NSG actúan como un firewall virtual para la instancias informáticas y otros tipos de recursos. Las reglas de seguridad de salida de un NSG se aplican a un juego de NIC virtuales en una VCN para permitir el acceso a puertos y direcciones IP específicos.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: grupo de seguridad de red
• Nivel de riesgo: MEDIO
• Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Network,

• Configuración: agregue los puertos no permitidos en la sección Valor de entrada de la regla.

Descripción: alerta cuando la regla del ingreso de un grupo de seguridad del red contiene un número y un número IP del destino no permitidos.

Recomendación: asegúrese de que las reglas que permiten la comunicación con la IP/puerto están permitidas para este NSG.

Antecedentes: los NSG actúan como un firewall virtual para la instancias informáticas y otros tipos de recursos. Las reglas de seguridad de entrada de un NSG se aplican a un juego de NIC virtuales en una VCN para permitir el acceso a puertos y direcciones IP específicos.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: grupo de seguridad de red
• Nivel de riesgo: ALTO
• Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Network,

• Configuración: agregue los puertos no permitidos en la sección Valor de entrada de la regla.

Descripción: alerta cuando una VCN está asociada a un gateway de Internet.

Recomendación: asegúrese que los gateways de Internet están autorizados para estar asociados a una VCN y que dicha asociación no expone recursos a Internet. Asegúrese de que las listas de seguridad con reglas de entrada y esas listas de seguridad no están configuradas para permitir el acceso desde todas las direcciones IP 0.0.0.0/0.

Antecedentes: los gateways proporcionan conectividad externa a los hosts de una VCN. Entre ellos se incluyen los gateways de Internet (IGW) para disponer de conectividad a Internet.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando una VCN está asociada a un gateway del intercambio de tráfico local.

Recomendación: asegúrese del hecho de que los gateways de interconexión local estén autorizados para estar asociados a una VCN y que dicha asociación no expone recursos a Internet.

Antecedentes: los gateways proporcionan conectividad externa a los hosts de una VCN. Entre ellos se incluyen los gateways de intercambio de tráfico local (LPG) para disponer de conectividad a una VCN con intercambio de tráfico.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Network

• Deje la configuración por defecto.

Descripción: alerta cuando una VCN no tiene ninguna lista de seguridad de entrada.

Recomendación: Asegúrese de que la VCN de OCI utiliza listas con reglas de entrada o de entrada para permitir únicamente el acceso desde recursos conocidos.

Antecedentes: las listas de seguridad proporcionan capacidad del firewall con estado y sin Estado para controlar el acceso de red a las instancias. Una lista de seguridad se configura en el nivel de la subred y se aplica en el nivel de la instancia. Puede aplicar varias listas de seguridad a una subred en la que se permita un paquete de red si este coincide con alguna de las reglas de las listas de seguridad.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: MEDIO
• Etiquetas: red

• Deje la configuración por defecto.

Description: Alert when a VCN security list allows unrestricted traffic to a non-public port from an open source (0.0.0.0/0).

Recomendación: utilice listas para restringir el acceso de red a las instancias de una subred de la VCN. Para evitar el acceso no autorizado o los ataques a instancias informáticas, Oracle le recomienda que:

• Utilice una lista de seguridad de VCN para permitir el acceso SSH o RDP solo desde bloques de CIDR autorizados
• No deje instancias informáticas abiertas a Internet (0.0.0.0/0)

Antecedentes: una VCN tiene una recopilación de funciones para aplicar el control de acceso de red y proteger el tráfico de la VCN. Las listas de seguridad proporcionan capacidad de firewall con estado y sin estado para controlar el acceso de red a las instancias. Una lista de seguridad se configura en el nivel de la subred y se aplica en el nivel de la instancia. Puede aplicar varias listas de seguridad a una subred en la que se permita un paquete de red si este coincide con alguna de las reglas de las listas de seguridad.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: CRÍTICO
• Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Network,

• Deje la configuración por defecto.

Descripción: alerta cuando la lista del seguro de una VCN permite que ciertos puertos restringidos (consulte Valores de entrada, Protocolo restringido: Lista de los puertos) formen parte de la regla del ingreso de la lista del seguro.

Recomendación: asegúrese de que las redes virtuales en la nube de OCI utilizan listas de seguridad que no incluyen un puerto que aparece en la lista "Protocolo restringido: Lista de puertos" en la configuración de entrada de esta regla de detector con cualquier regla de entrada o entrada. La sección Detalles adicionales de un problema muestra los puertos restringidos abiertos específicos que han disparado este problema.

Antecedentes: las listas de seguridad proporcionan capacidad del firewall con estado y sin Estado para controlar el acceso de red a las instancias. Una lista de seguridad se configura en el nivel de la subred y se aplica en el nivel de la instancia. Puede aplicar varias listas de seguridad a una subred en la que se permita un paquete de red si este coincide con alguna de las reglas de las listas de seguridad.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: MINOR
• Etiquetas: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Network,

• Configuración:
  • Modifique Protocolo restringido: Lista de puertos según sea necesario en la sección Valor de entrada de la regla.

  Puede introducir listas de puertos manualmente o puede introducir nombres de una o más listas de seguridad que haya definido. Consulte Listas de seguridad.

Descripción: alerta cuando una tarjeta del interfaz de red virtual (VNIC) no tiene ningún NSG asociado.

Recomendación: Asegúrese de que todas las VNIC tienen un NSG asociado.

Antecedentes: una VNIC es un componente del red que permite que un recurso, como una instancia informática, se conecte a una VCN. La VNIC determina cómo se conecta la instancia con los puntos finales de dentro y fuera de la VCN. Cada VNIC reside en una subred de una VCN. Una VNIC sin un NSG puede generar un problema de conectividad.

Parámetros de Regla:

• Tipo de servicio: Networking
• Tipo de recurso: VCN
• Nivel de riesgo: MINOR
• Etiquetas: red

• Configuración: modifique Protocolo restringido: Lista de puertos según sea necesario en la sección Valor de entrada de la regla.

Descripción: alerta cuando Oracle Vulnerability Scanning Service (VSS) explora contenedores e identifica vulnerabilidades de ciberseguridad conocidas. Para utilizar esta regla, debe crear una receta de exploración de host y un destino de exploración de host en el servicio Scanning. Consulte Scanning: Introducción en la documentación de Scanning.

Recomendación: realice las acciones recomendadas que se documentan para cada vulnerabilidad, como aplicar un parche del sistema operativo.

Antecedentes: el servicio Scanning identifica vulnerabilidades para aplicaciones, bibliotecas, sistemas operativos y servicios. Cada vulnerabilidad de la base de datos tiene un identificador o CVE propio.

Parámetros de Regla:

• Tipo de servicio: Scanning, Compute
• Tipo de recurso: contenedor
• Nivel de riesgo: CRÍTICO
• Etiquetas: VSS

• Deje la configuración por defecto (se detectan todos los CVE)

Descripción: alerta cuando Oracle Vulnerability Scanning Service (VSS) explora instancias (hosts) de Compute e identifica puertos abiertos. Para utilizar esta regla, debe crear una receta de exploración de host y un destino de exploración de host en el servicio Scanning. Consulte Scanning: Introducción en la documentación de Scanning.

Recomendación: revise si los puertos identificados deben estar abiertos en este host y ciérrelos si no es necesario que estén abiertos. Si todos los puertos abiertos son correctos, asegúrese de que la lista de puertos permitidos contenga todos los números de puerto abiertos. Además, asegúrese de que la lista de puertos no permitidos no contenga ninguno de los números de puerto abiertos.

Antecedentes: algunos puertos son necesarios para el funcionamiento y la prestación de los servicios, pero cualquier puerto abierto que esté disponible y no esté incluido en la lista prevista podrá utilizarse potencialmente para aprovechar los servicios.

Parámetros de Regla:

• Tipo de servicio: Scanning, Compute
• Tipo de recurso: Compute
• Nivel de riesgo: CRÍTICO
• Etiquetas: VSS

• Configuración: agregue los puertos que se deban ignorar a la lista Puertos permitidos de la sección Valor de entrada de la regla.
  Nota
  
  

  Si agrega el mismo número de puerto tanto a la lista Puertos permitidos como a la lista Puertos no permitidos de la sección Configuración de entrada de la regla, la lista Puertos no permitidos tiene prioridad; aún se dispara un problema cuando Cloud Guard encuentra el puerto abierto.

Descripción: alerta cuando Oracle Vulnerability Scanning Service (VSS) explora instancias (hosts) de Compute e identifica vulnerabilidades de ciberseguridad conocidas. Para utilizar esta regla, debe crear una receta de exploración de host y un destino de exploración de host en el servicio Scanning. Consulte Scanning: Introducción en la documentación de Scanning.

Recomendación: realice las acciones recomendadas que se documentan para cada vulnerabilidad, como aplicar un parche del sistema operativo.

Antecedentes: el servicio Scanning identifica vulnerabilidades para aplicaciones, bibliotecas, sistemas operativos y servicios. Cada vulnerabilidad de la base de datos tiene un identificador o CVE propio.

Parámetros de Regla:

• Tipo de servicio: Scanning, Compute
• Tipo de recurso: Compute
• Nivel de riesgo: CRÍTICO
• Etiquetas: VSS

• Deje la configuración por defecto (se detectan todos los CVE)

Descripción: alerta cuando un volumen en bloque está cifrado con claves gestionadas por Oracle.

Recomendación: asigne una clave de KMS a este volumen.

Antecedentes: el cifrado de los volúmenes proporciona un nivel adicional de seguridad a los datos. La gestión de las claves de cifrado es fundamental para proteger y acceder a los datos protegidos. Algunos clientes desean poder identificar los volúmenes en bloque cifrados con claves gestionadas por Oracle frente a las claves gestionadas por el usuario.

Parámetros de Regla:

• Tipo de servicio: almacenamiento
• Tipo de recurso: volumen en bloque
• Nivel de riesgo: MINOR
• Etiquetas: KMS

• Claves gestionadas por Oracle: recomendadas para proteger los volúmenes en bloque.
• Claves gestionadas por el usuario:
  • Utilice KMS siempre que sea posible.
  • Implemente Oracle Security Zones en los compartimentos para asegurarse de que se sigue la práctica.
• Grupos condicionales: debido al gran número de volúmenes, evite su uso.

Descripción: alerta cuando un volumen en bloque no está asociado a su instancia asociada.

Recomendación: asegúrese de que el volumen está asociado.

Parámetros de Regla:

• Tipo de servicio: almacenamiento
• Tipo de recurso: volumen en bloque
• Nivel de riesgo: MEDIO
• Etiquetas: almacenamiento

• Grupos condicionales: evite su uso, debido al gran número de volúmenes.

Descripción: alerta cuando un cubo es público.

Recomendación: asegurarse de que el cubo está sancionado para acceso público y, si no es asi, póngase en contactocon el administrador de OCI para restringir la política del cubo y de que solo se permita el acceso a usuarios específicos a los recursos necesarios para realizar sus funciones de trabajo.

Antecedentes: Object Storage soporta el acceso anónimo no autenticado a un cubo. Un cubo público que tenga el acceso de lectura activado para los usuarios anónimos permite a cualquier persona obtener metadatos del objeto, descargar objetos del cubo y, opcionalmente, mostrar el contenido del cubo.

Parámetros de Regla:

• Tipo de servicio: almacenamiento
• Tipo de recurso: cubo
• Nivel de riesgo: CRÍTICO
• Etiquetas: CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Grupos condicionales: filtre los nombres de los cubos (<namespace>/<name>) que deban ser públicos.

Descripción: alerta cuando un cubo de Object Storage está cifrado con una clave gestionada por Oracle.

Recomendación: asigne una clave del almacén de claves a este cubo.

Antecedentes: el cifrado de los cubos de almacenamiento proporciona un nivel adicional de seguridad a los datos. La gestión de las claves de cifrado es fundamental para proteger y acceder a los datos protegidos. Algunos clientes desean poder identificar los cubos de almacenamiento cifrados con claves gestionadas por Oracle.

Parámetros de Regla:

• Tipo de servicio: almacenamiento
• Tipo de recurso: cubo
• Nivel de riesgo: MINOR
• Etiquetas: CIS_OCI_V1.1_ObjectStorage, ObjectStorage, KMS

• Configuración: esta regla está desactivada por defecto en el detector de configuración de OCI, ya que podría generar problemas que pueden no ser críticos para muchos operadores de Cloud Guard. Si activa esta regla, asegúrese de definir cuidadosamente los grupos condicionales para que se dirijan solo a los cubos específicos que NO desea cifrar con una clave gestionada por Oracle. Si necesita un control de claves estricto mediante el uso de claves gestionadas por el usuario a través de Vault, cree un compartimento de zona de seguridad de Oracle y cree recursos en ese compartimento.

Descripción: alerta cuando los logs de acceso de lectura no están activados para un cubo de Object Storage.

Recomendación: asegúrese de que los logs de lectura están activados para el cubo y de que las herramientas de seguridad están supervisando continuamente los logs.

En segundo plano: los logs de acceso ayudan a proteger los objetos confidenciales proporcionando visibilidad de las actividades relacionadas con las operaciones de lectura y escritura en los objetos del cubo de almacenamiento de objetos.

Parámetros de Regla:

• Tipo de servicio: almacenamiento
• Tipo de recurso: cubo
• Nivel de riesgo: BAJO
• Labels: CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configuración: esta regla está desactivada por defecto en OCI Configuration Detector y no se puede activar allí. Activar esta Regla:
  1. Clonación del detector de configuración de OCI. Consulte Clonación de una receta de Detector de OCI.
  2. Active la regla en la copia gestionada por el usuario (clonada) del detector de configuración de OCI. Consulte Edición de valores de regla en una receta de detector en OCI.
  3. Asocie la copia gestionada por el usuario (clonada) del detector de configuración de OCI a todos los destinos en los que desee que se active la regla. Consulte Edición de un destino y sus recetas asociadas de OCI.

Descripción: alerta cuando los logs de acceso de escritura no están activados para un cubo de Object Storage.

Recomendación: asegúrese de que los logs de escritura están activados para el cubo y de que las herramientas de seguridad están supervisando continuamente los logs.

En segundo plano: los logs de acceso ayudan a proteger los objetos confidenciales proporcionando visibilidad de las actividades relacionadas con las operaciones de lectura y escritura en los objetos del cubo de almacenamiento de objetos.

Parámetros de Regla:

• Tipo de servicio: almacenamiento
• Tipo de recurso: cubo
• Nivel de riesgo: BAJO
• Etiquetas: CIS_OCI_V1.1_MONITORING, CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configuración: esta regla está desactivada por defecto en OCI Configuration Detector y no se puede activar allí. Activar esta Regla:
  1. Clonación del detector de configuración de OCI. Consulte Clonación de una receta de Detector de OCI.
  2. Active la regla en la copia gestionada por el usuario (clonada) del detector de configuración de OCI. Consulte Edición de valores de regla en una receta de detector en OCI.
  3. Asocie la copia gestionada por el usuario (clonada) del detector de configuración de OCI a todos los destinos en los que desee que se active la regla. Consulte s.

Descripción: alerta cuando un contenedor no tiene una comprobación de preparación.

Recomendación: asegúrese de que todos los contenedores tengan la comprobación de preparación.

Parámetros de Regla:

• Definición de configuraciones:
  • userRangeMin (int): límite inferior (incluido) del rango de ID de usuario de UNIX necesario. Corresponde a las secciones .spec.securityContext.runAsUser y .spec.containers[].securityContext.runAsUser de una especificación de pod.
  • userRangeMax (int): límite superior (incluido) del rango de ID de usuario de UNIX necesario. Corresponde a las secciones .spec.securityContext.runAsUser y .spec.containers[].securityContext.runAsUser de una especificación de pod.
• Nivel de riesgo: MEDIO
• Etiquetas: Container Availability

Descripción: alerta cuando un contenedor no utiliza un enlace de ciclo de vida posterior al inicio.

Recomendación: asegúrese de que todos los contenedores utilizan un enlace de ciclo de vida posterior al inicio.

Parámetros de Regla:

• Definición de configuraciones:
  • hookActions (lista): lista de acciones de enlace permitidas. Si se utiliza una acción no permitida, el gancho que falta o está vacío violará la regla. Utilice "any" para comprobar la existencia independientemente de la acción. Corresponde a la sección spec.containers[].lifecycle.postStart de una especificación de pod.
• Nivel de riesgo: BAJO
• Etiquetas: Container Availability

Descripción: alerta cuando un contenedor no utiliza un enlace de ciclo de vida previo a la parada.

Recomendación: asegúrese de que todos los contenedores utilizan un enlace de ciclo de vida de parada previa.

Parámetros de Regla:

• Definición de configuraciones:
  • hookActions (lista): lista de acciones de enlace permitidas. Si se utiliza una acción no permitida, el gancho que falta o está vacío violará la regla. Utilice "any" para comprobar la existencia independientemente de la acción. Corresponde a la sección spec.containers[].lifecycle.preStop de una especificación de pod.
• Nivel de riesgo: BAJO
• Etiquetas: Container Availability

Descripción: alerta cuando un contenedor utiliza un puerto con privilegios (1-1024).

Recomendación: tenga en cuenta cuidadosamente qué cargas de trabajo de contenedor requieren el uso de puertos con privilegios para lograr su objetivo.

Parámetros de Regla:

• Nivel de riesgo: ALTO
• Etiquetas: Container Networking

Descripción: alerta cuando solo hay una réplica para un despliegue de Kubernetes.

Recomendación: asegúrese de que todos los despliegues de Kubernetes tengan varias réplicas.

Parámetros de Regla:

• Nivel de riesgo: BAJO
• Etiquetas: Container Availability

Descripción: alerta cuando se encuentra un pod que utiliza un período de gracia de terminación de pod grande.

Recomendación: evite períodos de gracia de terminación excesivamente largos que puedan ralentizar los despliegues y los tiempos de recuperación.

Parámetros de Regla:

• Definición de configuraciones:
  • maximum (int) 60: umbral para el período de terminación de gracia de pod en segundos. Se considera que los pods sin período de gracia definido tienen el período por defecto de 30 segundos. Corresponde a la sección spec.terminationGracePeriodSeconds de una especificación de pod.
• Nivel de riesgo: BAJO
• Etiquetas: Container Availability

Descripción: alerta cuando se utiliza un puerto host.

Recomendación: considere cuidadosamente qué servicios deben exponerse a través de un puerto host para lograr su objetivo.

Parámetros de Regla:

• Nivel de riesgo: ALTO
• Etiquetas: Container Networking

Descripción: alerta cuando se utiliza un puerto de nodo.

Recomendación: considere cuidadosamente qué servicios deben exponerse a través de un puerto de nodo para lograr su objetivo.

Parámetros de Regla:

• Nivel de riesgo: MEDIO
• Etiquetas: Container Networking

Descripción: alerta cuando una política de extracción de imágenes no está definida en always.

Recomendación: asegúrese de que las imágenes de contenedor se extraen del registro cada vez que se inicia el pod.

Parámetros de Regla:

• Definición de configuraciones:
  • imagePullPolicy (cadena): lista separada por comas de las políticas de extracción de imágenes permitidas, una de las cuales debe ser definida explícitamente por la especificación del contenedor. Corresponde a la sección spec.containers[].imagePullPolicy de una especificación de pod.
• Nivel de riesgo: BAJO
• Etiquetas: Image Assurance

Descripción: alerta cuando no se hace referencia a una imagen desde uno de los registros de confianza configurados.

Recomendación: considere cuidadosamente el origen de las imágenes de contenedor y asegúrese de que provienen solo de registros aprobados.

Parámetros de Regla:

• Definición de configuraciones:
  • allowedRegistriesRegex (cadena): expresión regular que describe los registros de imágenes permitidos. Sintaxis detallada. Corresponde a la sección spec.containers[].image de una especificación de pod.
• Nivel de riesgo: ALTO
• Etiquetas: Image Assurance

Descripción: alerta cuando un hash SHA no hace referencia a una imagen.

Recomendación: haga referencia a las imágenes de contenedor mediante resúmenes SHA para garantizar que los despliegues siempre utilicen la imagen deseada y no modificada y para evitar actualizaciones involuntarias debido a cambios de etiqueta.

Parámetros de Regla :

• Nivel de riesgo: BAJO
• Etiquetas: Image Assurance

Descripción: alerta cuando se ejecuta un pod en la cuenta de servicio por defecto.

Recomendación: asegúrese de que los contenedores no utilicen la cuenta de servicio por defecto dentro de un espacio de nombres.

Parámetros de Regla:

• Nivel de riesgo: MEDIO
• Etiquetas: Kubernetes RBAC

Descripción: alerta cuando se utilizan símbolos comodín con ClusterRoles o roles.

Recomendación: evite el uso de comodines en roles de RBAC de Kubernetes para garantizar que los usuarios y servicios solo reciban los permisos específicos que necesitan.

Parámetros de Regla:

• Nivel de riesgo: MEDIO
• Etiquetas: Kubernetes RBAC

Descripción: alerta cuando se accede a un secreto a través de una variable de entorno en lugar de en un volumen.

Recomendación: asegúrese de que se accede a los secretos de Kubernetes a través de un volumen montado en lugar de variables de entorno.

Parámetros de Regla:

• Nivel de riesgo: MEDIO
• Etiquetas: secretos de Kubernetes

Descripción: alerta cuando un contenedor no tiene un límite de CPU definido.

Recomendación: asegúrese de que los contenedores siempre tengan un límite de CPU definido.

Parámetros de Regla:

• Definición de configuraciones:
  • maximum (cadena): los valores superiores al máximo se consideran una violación de la regla. Están soportados los calificadores de Kubernetes. Utilice "any" para comprobar la existencia sin un umbral. Corresponde a la sección spec.containers[].resources.limits.cpu de una especificación de pod.
• Nivel de riesgo: MEDIO
• Etiquetas: consumo de recursos

Descripción: alerta cuando un contenedor no tiene una solicitud de CPU definida.

Recomendación: asegúrese de que los contenedores siempre tengan una solicitud de CPU definida.

Parámetros de Regla:

• Definición de configuraciones:
  • maximum (cadena): los valores superiores al máximo se consideran una violación de la regla. Están soportados los calificadores de Kubernetes. Utilice "any" para comprobar la existencia sin un umbral. Corresponde a la sección spec.containers[].resources.requests.cpu de una especificación de pod.
• Nivel de riesgo: MEDIO
• Etiquetas: consumo de recursos

Descripción: alerta cuando un contenedor no tiene un límite de memoria definido.

Recomendación: asegúrese de que los contenedores siempre tengan un límite de memoria definido.

Parámetros de Regla:

• Definición de configuraciones:
  • maximum (cadena): los valores superiores al máximo se consideran una violación de la regla. Están soportados los calificadores de Kubernetes. Utilice "any" para comprobar la existencia sin un umbral. Corresponde a la sección spec.containers[].resources.limits.memory de una especificación de pod.
• Nivel de riesgo: MEDIO
• Etiquetas: consumo de recursos

Descripción: alerta cuando un contenedor no tiene solicitudes de memoria definidas.

Recomendación: asegúrese de que los contenedores siempre tengan solicitudes de memoria definidas.

Parámetros de Regla:

• Definición de configuraciones:
  • maximum (cadena): los valores superiores al máximo se consideran una violación de la regla. Están soportados los calificadores de Kubernetes. Utilice "any" para comprobar la existencia sin un umbral. Corresponde a la sección spec.containers[].resources.limits.memory de una especificación de pod.
• Nivel de riesgo: MEDIO
• Etiquetas: consumo de recursos

Descripción: alerta cuando un contenedor no tiene definido un límite de almacenamiento.

Recomendación: asegúrese de que todos los contenedores tengan definidas solicitudes de almacenamiento efímeras.

Parámetros de Regla:

• Definición de configuraciones:
  • maximum (cadena): los valores superiores al máximo se consideran una violación de la regla. Están soportados los calificadores de Kubernetes. Utilice "any" para comprobar la existencia sin un umbral. Corresponde a la sección spec.containers[].resources.limits.memory de una especificación de pod.
• Nivel de riesgo: BAJO
• Etiquetas: consumo de recursos

Descripción: alerta cuando un contenedor se puede ejecutar en el espacio de nombres IPC del host.

Recomendación: tenga en cuenta cuidadosamente qué cargas de trabajo de contenedor se deben ejecutar en el espacio de nombres IPC del host para lograr su objetivo.

Parámetros de Regla:

• Nivel de riesgo: ALTO
• Etiquetas: contexto de seguridad

Descripción: alerta cuando un contenedor se puede ejecutar en el espacio de nombres de red de Linux del host.

Recomendación: tenga en cuenta cuidadosamente qué cargas de trabajo de contenedor se deben ejecutar en el espacio de nombres de red del host para lograr su objetivo.

Parámetros de Regla:

• Nivel de riesgo: ALTO
• Etiquetas: contexto de seguridad

Descripción: alerta cuando un contenedor se puede ejecutar en el espacio de nombres PID del host.

Recomendación: tenga en cuenta cuidadosamente qué cargas de trabajo de contenedor se deben ejecutar en el espacio de nombres PID del host para lograr su objetivo.

Parámetros de Regla:

• Nivel de riesgo: ALTO
• Etiquetas: contexto de seguridad

Descripción: alerta cuando se permite a un contenedor montar el sistema de archivos del host.

Recomendación: tenga en cuenta cuidadosamente las rutas de montaje que las cargas de trabajo de contenedor necesitan para cumplir su objetivo.

Parámetros de Regla:

• Definición de configuraciones:
  • allowedHostPaths (lista): lista de prefijos de ruta de host permitidos. El montaje no tiene la opción de solo lectura especificada. Corresponde a la sección .spec.volumes.hostPath.path de una especificación de pod.
  • allowedReadOnlyHostPaths (lista): lista de prefijos de ruta de host permitidos. El montaje no especifica la opción de solo lectura. Corresponde a las secciones .spec.volumes.hostPath.path y .spec.containers[].volumeMounts[].readOnly de una especificación de pod.
• Nivel de riesgo: ALTO
• Etiquetas: contexto de seguridad

Descripción: alerta cuando se permite que un contenedor escale sus privilegios.

Recomendación: tenga en cuenta cuidadosamente qué cargas de trabajo de contenedor requieren la capacidad de escalar sus privilegios para lograr su objetivo.

Parámetros de Regla:

• Nivel de riesgo: ALTO
• Etiquetas: contexto de seguridad

Descripción: alerta cuando se ejecutan determinadas cargas de trabajo de contenedor con un GID no esperado.

Recomendación: asegúrese de que las cargas de trabajo de contenedor las ejecuta un grupo aprobado.

Parámetros de Regla:

• Definición de configuraciones:
  • runAsGroupRangeMin (int): límite inferior (incluido) del rango de ID de grupo de usuarios de UNIX necesario. Corresponde a las secciones .spec.securityContext.runAsGroup y .spec.containers[].securityContext.runAsGroup de una especificación de pod.
  • runAsGroupRangeMax (int): límite superior (incluido) del rango de ID de grupo de usuarios de UNIX necesario. Corresponde a las secciones .spec.securityContext.runAsGroup y .spec.containers[].securityContext.runAsGroup de una especificación de pod.
  • supplementalGroupsRangeMin (int): límite inferior (incluido) del rango de grupos de usuarios de UNIX suplementario necesario. Cada GID de la lista de grupos suplementarios debe pertenecer al rango especificado. Corresponde a las secciones .spec.securityContext.supplementalGroups y .spec.containers[].securityContext.supplementalGroups de una especificación de pod.
  • supplementalGroupsRangeMax (int): límite superior (incluido) del rango de grupos de usuarios de UNIX suplementario necesario. Cada GID de la lista de grupos suplementarios debe pertenecer al rango especificado. Corresponde a las secciones .spec.securityContext.supplementalGroups y .spec.containers[].securityContext.supplementalGroups de una especificación de pod.
  • fsGroupRangeMin (int): límite inferior (incluido) del rango de ID de grupo de usuarios de UNIX necesario utilizado para el contenido del grupo de volúmenes de Kubernetes. Corresponde a las secciones .spec.securityContext.fsGroup y .spec.containers[].securityContext.fsGroup de una especificación de pod; sin embargo, tenga en cuenta que la configuración de nivel de contenedor no se cumple en Kubernetes para este campo.
  • fsGroupRangeMax (int): límite superior (incluido) del rango de ID de grupo de usuarios de UNIX necesario utilizado para el contenido del grupo de volúmenes de Kubernetes. Corresponde a las secciones .spec.securityContext.fsGroup y .spec.containers[].securityContext.fsGroup de una especificación de pod; sin embargo, tenga en cuenta que la configuración de nivel de contenedor no se cumple en Kubernetes para este campo.
• Nivel de riesgo: MEDIO
• Etiquetas: contexto de seguridad

Descripción: alerta cuando se ejecutan determinadas cargas de trabajo de contenedor con un UID no esperado.

Recomendación: asegúrese de que un usuario aprobado ejecute las cargas de trabajo de contenedor.

Parámetros de Regla:

• Definición de configuraciones:
  • userRangeMin (int): límite inferior (incluido) del rango de ID de usuario de UNIX necesario. Corresponde a las secciones .spec.securityContext.runAsUser y .spec.containers[].securityContext.runAsUser de una especificación de pod.
  • userRangeMax (int): límite superior (incluido) del rango de ID de usuario de UNIX necesario. Corresponde a las secciones .spec.securityContext.runAsUser y .spec.containers[].securityContext.runAsUser de una especificación de pod.
• Nivel de riesgo: MEDIO
• Etiquetas: contexto de seguridad

Descripción: alerta cuando determinadas cargas de trabajo de contenedor se ejecutan como raíz.

Recomendación: tenga en cuenta cuidadosamente qué cargas de trabajo de contenedor requieren privilegios de raíz para lograr su objetivo y asegúrese de que solo los pods enlazados a esas imágenes se puedan ejecutar como raíz.

Parámetros de Regla:

• Nivel de riesgo: ALTO
• Etiquetas: contexto de seguridad

Descripción: alerta cuando un contenedor se está ejecutando en modo con privilegios.

Recomendación: tenga en cuenta cuidadosamente qué cargas de trabajo de contenedor necesitan ejecutarse en modo con privilegios para lograr su objetivo.

Parámetros de Regla:

• Nivel de riesgo: ALTO
• Etiquetas: contexto de seguridad

Descripción: alerta cuando un contenedor se está ejecutando con un sistema de archivos que no es de sólo lectura.

Recomendación: tenga en cuenta cuidadosamente qué cargas de trabajo de contenedor requieren un sistema de archivos que se pueda escribir para lograr su objetivo.

Parámetros de Regla:

• Nivel de riesgo: ALTO
• Etiquetas: contexto de seguridad

Descripción: alerta cuando se está ejecutando un contenedor con capacidades que no están en la lista permitida.

Recomendación: considere cuidadosamente qué cargas de trabajo de contenedor requieren capacidades administrativas especiales para lograr su objetivo.

Parámetros de Regla:

• Definición de configuraciones:
  • allowedCapabilities (lista): lista de capacidades de UNIX que el contenedor puede agregar. Utilice "ALL" para permitir agregar cualquier capacidad. Corresponde a la sección .spec.containers[].securityContext.capabiliteis.add de una especificación de pod. Consulte la página del comando man delinux para obtener una lista completa de las capacidades.
  • requiredDropCapabilities (list): lista de capacidades de UNIX que el contenedor debe borrar. Utilice "ALL" para requerir el borrado explícito de todas las capacidades. Corresponde a la sección .spec.containers[].securityContext.capabiliteis.drop de una especificación de pod. Consulte la página del comando man delinux para obtener una lista completa de las capacidades.
• Nivel de riesgo: MEDIO
• Etiquetas: contexto de seguridad

Descripción: alerta cuando un contenedor no tiene una comprobación del sistema.

Recomendación: asegúrese de que todos los contenedores tengan comprobación de actividad.

Parámetros de Regla:

• Definición de configuraciones:
  • probeTypes (lista): lista de acciones de sondeo permitidas. Si se utiliza una acción no permitida, el sondeo faltante o vacío violará la regla. Utilice "any" para comprobar la existencia independientemente de la acción. Corresponde a la sección spec.containers[].livenessProbe de una especificación de pod.
• Nivel de riesgo: MEDIO
• Etiquetas: disponibilidad de la carga de trabajo

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux/Windows

Descripción: detecta si la seguridad de instancia no está instalada o no se está ejecutando como se esperaba. Por ejemplo:

InstanceOCID: <redacted>, currently in active state. The agent was last detected on 2024-03-19 21:11:27.41, more than 24 hours ago

Recomendación: hay algunos motivos por los que podría recibir esta alerta:

• Si el host de Compute está caído y el agente de seguridad de la instancia no puede acceder al host durante más de 24 horas. Investigue el host de recursos informáticos para ver si esto es lo que ha sucedido.
• Si las políticas de seguridad de la instancia no son correctas. Compruebe que se hayan agregado todas las estas políticas.
• Si no está presente la última versión de seguridad de instancia. Oracle Cloud Agent (OCA) actualiza automáticamente el agente de seguridad de instancia en un host, por lo que si no se ha producido, compruebe lo siguiente:

  En Linux:

  1. ¿Está activado Oracle Cloud Agent (OCA) y se está ejecutando en la instancia?

     sudo systemctl status oracle-cloud-agent.service

  2. Compruebe si el plugin de seguridad de instancia se está ejecutando. Es responsable de gestionar el ciclo de vida del agente de seguridad de instancia. Si el plugin de seguridad de instancia se está ejecutando pero tiene este problema, significa que puede haber algún error en el agente de seguridad de instancia o que el plugin está recibiendo un error 4xx y el agente no está instalado o no se está ejecutando.

     pgrep oci-wlp

  3. Compruebe si el plugin de seguridad de instancia está recibiendo un error 404 en el log.

     sudo vim /var/log/oracle-cloud-agent/plugins/oci-wlp/oci-wlp.log

  4. Confirme que el agente de seguridad de instancia se está ejecutando en la instancia.

     sudo systemctl status wlp-agent-osqueryd.service

     Si la salida del comando contiene errores, intente reiniciar el servicio.

     sudo systemctl restart wlp-agent-osqueryd.service

  En Windows:

  1. Compruebe que el plugin de seguridad de instancia está activado en Oracle Cloud Agent (OCA) para la instancia.
     1. Vaya al Menú de inicio > Herramientas administrativas de Windows > Servicios.
     2. Compruebe el estado de la protección de carga de trabajo de Oracle Cloud Agent Cloud Guard. Debe mostrar que se está ejecutando.
     3. Si se detiene, seleccione con la derecha y seleccione Start (Iniciar).
  2. Compruebe si el agente de seguridad de instancia se está ejecutando en la instancia.
     1. Vaya al Menú de inicio > Herramientas administrativas de Windows > Servicios.
     2. Compruebe el estado del servicio wlp-agent. Debe mostrar que se está ejecutando.
     3. Si se detiene, seleccione con la derecha y seleccione Start (Iniciar).

Una vez que haya encontrado el problema y lo haya solucionado, espere 24 horas para que este problema desaparezca. Si sigue viéndolo después de 24 horas y ha vuelto a comprobar los pasos anteriores, póngase en contacto con los Servicios de Soporte Oracle.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: seguridad de instancia

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: WMI es la infraestructura para la gestión de datos y operaciones en sistemas operativos basados en Windows. Es un proceso de nivel de servicio que se utiliza para ejecutar scripts y se puede utilizar para iniciar terminales de scripts o para intentar descargar una carga útil.

Recomendación: supervise los objetos de WMI recién creados que puedan establecer la persistencia o elevar privilegios mediante los mecanismos del sistema.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1546

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: detecta la posible desactivación de las funciones de seguridad de Windows. Alerta si los servicios Windows Defender (windefend), Windows Firewall) mpssvc y Windows Security Service (wscvcs) no se están ejecutando. Por ejemplo:

Windows security service in stopped state: windefend

Recomendación: la desactivación de la regla de seguridad de Windows puede poner en riesgo los recursos. Pesar los riesgos y reactivar las reglas aplicables.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1562.001

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: puede indicar la pulverización de contraseñas en cuentas de Windows, es decir, el uso repetido de la misma contraseña en varias cuentas.

Recomendación: determine si la cuenta de usuario en cuestión es el usuario real que intenta conectarse.

Utilice la autenticación multifactor. Siempre que sea posible, active la autenticación multifactor en servicios orientados al exterior. Defina políticas para bloquear cuentas después de un determinado número de intentos de conexión fallidos para evitar que se adivinen las contraseñas.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1110

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux

Descripción: es común que los actores de amenazas carguen un shell web en servicios HTTP. Esto busca sockets abiertos en servicios HTTP comunes como Apache.

Recomendación: confirme con el propietario del sistema si la ruta del servidor web debe tener un archivo que reciba un puerto de servidor.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: MEDIO
• Etiquetas: MITRE_T1505.003

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux

Descripción: devuelve los posibles shells inversos en los procesos del sistema. Por ejemplo:

Possible reverse shell on system process (pid | path | remote_address | remote_port): 10129 | /usr/bin/bash | | 0, 10164 | /usr/bin/bash | | 0]

Recomendación: recopile la lista de IP que se conectan al shell inverso y determine si la IP está en una lista de reputación incorrecta. Investigar si hay otros procesos asociados con el PID de shell inverso.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1505.003

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: el malware intenta ejecutarse desde el espacio de privilegios de usuario. En esta consulta la estamos limitando al espacio temporal y estamos buscando en la línea de comandos herramientas comunes utilizadas para el lateral/reconocimiento del entorno.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere la posibilidad de aislar la instancia para realizar más investigaciones.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1059

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: permite detectar procesos que intentan enmascararse como procesos legítimos de Windows mediante rutas incorrectas. Por ejemplo:

Process masquerading as legitimate windows process explorer.exe at path(s): c:\users\opc\downloads\new folder\explorer\bin\debug\explorer.exe

Recomendación: recopile el hash del archivo y determine si es un binario erróneo conocido. Determine si el binario de enmascaramiento está intentando llamar o ejecutar otros archivos en el sistema.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1574.009

Esta regla está presente en las siguientes recetas:

Sistema operativo: Linux/Windows

• Receta de detector de seguridad de instancia de OCI: Enterprise (gestionada por Oracle)
• Receta de detector de seguridad de instancia de OCI (gestionada por Oracle)

Descripción: detecta los procesos que reciben las conexiones de red. Por ejemplo:

Disallowed open ports: {"scannedIps":[{"hostIp":"127.0.0.53","ports":[{"port":"53","type":null,"process":"systemd-resolve : /lib/systemd/systemd-resolved","family":"ipv4","protocol":"tcp"}

Recomendación: revise si estos puertos deben estar abiertos en este host y ciérrelos si no es necesario que estén abiertos.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: CRÍTICO
• Etiquetas: MITRE_T1505.003

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: busca Putty en modo de recepción para crear un túnel SSH.

Recomendación: recopile la lista de direcciones IP que se conectan al proceso de Putty e investigue cualquier dirección que parezca sospechosa.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1572

Esta regla está presente en las siguientes recetas:

Sistema operativo: Linux

• Receta de detector de seguridad de instancia de OCI: Enterprise (gestionada por Oracle)
• Receta de detector de seguridad de instancia de OCI (gestionada por Oracle)

Descripción: explora las instancias informáticas para identificar vulnerabilidades conocidas de ciberseguridad relacionadas con aplicaciones, bibliotecas, sistemas operativos y servicios. Este detector informa de problemas cuando el servicio detecta que una instancia tiene una o más vulnerabilidades en el nivel de gravedad de CVE configurado o superior. Las vulnerabilidades con un nivel de gravedad de CVE por debajo del nivel seleccionado no tendrán un problema de Cloud Guard creado, pero se reflejarán como parte de los problemas agregados que se muestran en la página Recursos de Cloud Guard.

Recomendación: revise las vulnerabilidades encontradas y priorícelas. Adoptar medidas de remediación o mitigación apropiadas para la vulnerabilidad.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: CRÍTICO
• Etiquetas: seguridad de instancia

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux

Descripción: busca Putty en modo de recepción para crear un túnel SSH para un comando de terminal incorporado de Linux.

Recomendación: recopile la lista de direcciones IP que se conectan al proceso de Putty e investigue cualquier dirección que parezca sospechosa.

Siempre que sea posible, solo permita la ejecución de scripts firmados. Utilice el control de aplicaciones cuando corresponda.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1572

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Linux

Descripción: el malware puede utilizar trabajos cron que se ejecutan de forma periódica para comprobar si hay puertas traseras.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere la posibilidad de aislar la instancia para realizar más investigaciones.

Siempre que sea posible, solo permita la ejecución de scripts firmados. Utilice el control de aplicaciones cuando corresponda.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: MEDIO
• Etiquetas: MITRE_T1547

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: el malware puede utilizar una tarea programada que se ejecuta desde la carpeta temporal para volver a ejecutar una puerta trasera al reiniciar.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere la posibilidad de aislar la instancia para realizar más investigaciones.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1053

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: esta detección busca servicios de Windows sospechosos que se ejecuten desde la carpeta temporal, que puede ser un mecanismo común utilizado por el malware para garantizar que la puerta trasera se ejecute de forma periódica.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere la posibilidad de aislar la instancia para realizar más investigaciones.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: ALTO
• Etiquetas: MITRE_T1547

Esta regla está presente en la receta de detector de seguridad de instancia de OCI: receta empresarial (gestionada por Oracle).

Sistema operativo: Windows

Descripción: el malware puede utilizar un inicio para volver a ejecutar una puerta trasera al reiniciar.

Recomendación: investigue el binario para determinar si es una ejecución legítima. Considere la posibilidad de aislar la instancia para realizar más investigaciones.

Parámetros de Regla:

• Tipo de servicio: Compute
• Tipo de recurso: instancia
• Nivel de riesgo: MEDIO
• Etiquetas: MITRE_T1547

Descripción: alerta cuando un usuario ha realizado actividades que generan una puntuación del riesgo que supera el umbral del problema, lo que podría indicar una cuenta comprometida o una amenaza interno. Los adversarios pueden utilizar técnicas de fuerza bruta para conseguir acceder a cuentas cuando no se saben las contraseñas. Los usuarios pueden abusar de sus privilegios asignados y realizar tareas que van mucho más allá de los requisitos de la compañía, lo que puede afectar a la organización.

Recomendación: puede desactivar temporalmente la cuenta mientras investiga la actividad y solicitar un restablecimiento en caso de que el usuario no reconozca la actividad.

Antecedentes: la puntuación de riesgo de una persona que supera el umbral del problema podría indicar una cuenta comprometida o un empleado descontento.

Parámetros de regla: esta regla no tiene parámetros que pueda modificar.

• Deje la configuración por defecto.