Activación de Seguridad de instancia

Active Seguridad de instancias en Cloud Guard.

Para activar la seguridad de instancia en su arrendamiento:

Aplique una de las recetas de detector de Instance Security gestionadas por Oracle a un destino de Cloud Guard. Esto permite la seguridad de instancias en Cloud Guard para su arrendamiento. Consulte Recetas de detector de seguridad de instancias.
Puede crear un destino nuevo, o puede utilizar un destino existente. Consulte Acerca de los destinos de OCI.
Agregue las políticas de seguridad de instancia a su arrendamiento.

Aplicación de una receta de seguridad de instancia a un nuevo destino de Cloud Guard

Abra el menú de navegación y haga clic en Identidad y seguridad. En Cloud Guard, haga clic en Configuración.
En Targets, haga clic en Create new target.
En la página Crear destino, en el panel Información básica, introduzca un nombre de destino y una descripción opcional para el destino.
Seleccione el compartimento que desea asignar al destino.
Haga clic en Siguiente.
En el panel Configuración, en la receta de seguridad de instancia, seleccione Todas las instancias informáticas y elija una de las recetas de detector de Seguridad de instancia gestionadas por Oracle:
- Receta de detector de seguridad de instancias de OCI: empresa (gestionada por Oracle)
- Receta de detector de seguridad de instancia de OCI (gestionada por Oracle)
Consulte Recetas de detector de seguridad de instancias.
Revise el nuevo destino y haga clic en Create.
En la página Configuración, haga clic en el separador Seguridad de instancia. Puede ver la receta de detector de seguridad de instancia que ha aplicado al nuevo destino. Desplácese a la parte inferior y, junto a Registro, haga clic en Activar/Editar.
Para cada región que desee, haga clic en el menú Acciones () y seleccione Activar log.
1. En el panel Activar log, se muestra el compartimento en el que se encuentra el destino. No puede cambiarlo.
2. Seleccione un grupo de logs existente o cree uno nuevo haciendo clic en Crear nuevo grupo. Consulte Gestión de grupos de logs.
3. Seleccione el tiempo que el log mantendrá, para valores entre 30 días y 180 días, o defina un valor de retención de log personalizado.
4. Haga clic en Activar log.

El paso final de la activación de Seguridad de instancia es agregar las sentencias de política en la consola.

Aplicación de una receta de seguridad de instancia a un destino de Cloud Guard

Abra el menú de navegación y haga clic en Identidad y seguridad. En Cloud Guard, haga clic en Configuración.
Localice el destino que desea utilizar y haga clic en el nombre del destino.
En Configuración, haga clic en el separador Seguridad de instancia, haga clic en Agregar recetas y seleccione una de las recetas de detector de Seguridad de instancia gestionadas por Oracle:
- Receta de detector de seguridad de instancias de OCI: empresa (gestionada por Oracle)
- Receta de detector de seguridad de instancia de OCI (gestionada por Oracle)
Consulte Recetas de detector de seguridad de instancias.
Acepte la petición de datos para agregar las políticas de seguridad de instancia al entorno.
En el cuadro de diálogo Agregar recetas de detector, seleccione la receta de detector de Seguridad de instancia gestionada por Oracle que desea utilizar y haga clic en Agregar recetas.
Desplácese a la parte inferior y, junto a Registro, haga clic en Activar/Editar.
Para cada región que desee, haga clic en el menú Acciones () y seleccione Activar log.
1. En el panel Activar log, se muestra el compartimento en el que se encuentra el destino. No puede cambiarlo.
2. Seleccione un grupo de logs existente o cree uno nuevo haciendo clic en Crear nuevo grupo. Consulte Gestión de grupos de logs.
3. Seleccione el tiempo que el log mantendrá, para valores entre 30 días y 180 días, o defina un valor de retención de log personalizado.
4. Haga clic en Activar log.

El paso final de la activación de Seguridad de instancia es agregar las sentencias de política en la consola.

Sentencias de política para seguridad de instancias

Debe agregar estas políticas en la consola como parte de la activación de la seguridad de instancia.

Las políticas permiten al agente de seguridad de instancia acceder a los recursos necesarios en el arrendamiento y, sin estas políticas, no obtendrá ningún resultado.

Para obtener información sobre cómo introducir las sentencias de política en la consola, consulte Creación de una política.

Sentencias de Política de Usuario

Estas políticas proporcionan permisos de usuario para utilizar la seguridad de instancias para consultas bajo demanda y consultas programadas. Agréguelas a las políticas de usuario, sustituyendo group por el nombre de un grupo de usuarios adecuado.

Allow group <group> to { INSTANCE_READ } in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_READ} in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_CREATE} in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_INSPECT } in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_DELETE } in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_READ} in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_CREATE} in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_INSPECT } in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_DELETE } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_INSPECT} in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_READ } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_CREATE } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_DELETE } in compartment <compartment>

Sentencias de política de registro de servicio

Estas políticas permiten a los usuarios acceder a los logs. Agréguelas a las políticas de usuario, sustituyendo group por el nombre de un grupo de usuarios adecuado.

Allow group <group> to { CG_SERVICE_LOGGING_READ } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_CREATE } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_UPDATE } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_DELETE } in compartment <compartment>

Sentencias de política del arrendamiento

Estas políticas permiten a la seguridad de instancias acceder a los recursos necesarios en el arrendamiento.

Allow any-user to { WLP_BOM_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_CONFIG_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_ADHOC_QUERY_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_ADHOC_RESULTS_CREATE } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Endorse any-user to { WLP_LOG_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_METRICS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_ADHOC_QUERY_READ } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_ADHOC_RESULTS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }