Algunas funciones comunes
A la hora de prepararse para personalizar Oracle Cloud Guard, podemos encontrar varias funciones comunes a más de un área.
Puede obtener una vista previa de estas funciones en las siguientes secciones antes de empezar a personalizar Cloud Guard o puede seguir los enlaces de las tareas específicas en los que encontrará información útil.
Visión general de las recetas
Conozca las diferencias entre las recetas gestionadas por Oracle y las gestionadas por el usuario, cómo funcionan las recetas gestionadas por el usuario y qué valores se pueden cambiar en los niveles de receta y de destino.
Las tres secciones siguientes también aparecen en Acerca de las recetas de responsable de respuesta de OCI y en Acerca de las recetas de detector de OCI.
Conozca las diferencias entre estas dos categorías de recetas.
Tanto en el caso de los detectores como de los responsables de respuesta, Cloud Guard proporciona un amplio juego de recetas gestionadas por Oracle para:
- Detectores de actividad de OCI
- Detectores de configuración de OCI
- Detectores de seguridad de instancias de OCI
- Detectores de amenazas de OCI
- Responsables de respuesta
Aunque puede utilizar las recetas gestionadas por Oracle tal y como están, es probable que desee realizar cambios para adaptarlas a las necesidades específicas de su entorno. En particular, es posible que desee cambiar el nivel de riesgo asociado a algunas reglas, así como desactivar otras reglas directamente. Para realizar este tipo de cambios, clone primero la receta para obtener una copia gestionada por el usuario y, a continuación, realice los cambios en la copia.
Si se agregan nuevas reglas de detector a una receta gestionada por Oracle, dichas reglas se agregan automáticamente a todas las copias de esa receta gestionadas por el usuario (clonadas), con los valores por defecto del origen gestionado por Oracle. A continuación, podrá modificar la configuración de la nueva regla en las copias gestionadas por el usuario de la receta.
En la siguiente tabla se muestra un ejemplo de tres reglas de detector de una receta gestionada por Oracle y cómo se puede modificar una copia gestionada por el usuario. Los cambios de las reglas gestionadas por el usuario se muestran en negrita:
| Receta gestionada por Oracle | Receta gestionada por el usuario | |||
|---|---|---|---|---|
| Regla | Estado | Nivel de riesgo | Estado | Nivel de riesgo |
| El cubo es público | ACTIVADA | ALTO | DESACTIVADO | ALTO |
| Clave de KMS no rotada | ACTIVADA | MEDIO | ACTIVADA | ALTA |
| La instancia tiene una dirección IP pública | ACTIVADA | CRÍTICO | ACTIVADA | CRÍTICO |
Puede clonar la misma receta gestionada por Oracle tantas veces como necesite para crear copias gestionadas por el usuario que se ajusten a fines especiales. Entre las razones para tener diferentes recetas se incluyen:
- El tratamiento diferente de las cargas de trabajo de producción frente a las de no producción.
- Las operaciones o los procesos de notificación distintos entre los recursos de los diferentes compartimentos.
- Los requisitos regionales de los recursos en algunos compartimentos.
- La necesidad de los diferentes tipos de recursos de distintas reglas de configuración o actividad.
Descubra cómo una receta gestionada por el usuario conserva las relaciones con la receta gestionada por Oracle a partir de la que se ha clonado.
- Al clonar una receta gestionada por Oracle, se crea una copia gestionada por el usuario. La copia gestionada por el usuario es exactamente igual que el original gestionado por Oracle, pero puede personalizarla.
Los cambios que realice en la copia clonada, incluidos los cambios en la configuración de la regla, no afectan a la receta de detector o responsable de respuesta original.
- En las recetas gestionadas por el usuario, no se puede cambiar todo. Para cada regla individual, puede cambiar el nivel de riesgo y activar y desactivar la regla. No se puede suprimir reglas ni agregar nuevas reglas.
- Para utilizar una receta gestionada por el usuario, debe agregarla a un destino. Los destinos solo pueden tener agregada una receta de cada tipo: detectores de configuración, detectores de actividad y responsables de respuesta. Si un destino ya tiene una receta del tipo que desea agregar, debe eliminar esa receta para poder agregar otra del mismo tipo. Consulte Edición de un destino de OCI y sus recetas asociadas.
- Cloud Guard mantiene las recetas gestionadas por el usuario sincronizadas con las recetas gestionadas por Oracle originales. Cualquier nueva regla que se agregue a la receta gestionada por Oracle original se agrega automáticamente a las copias clonadas. Además, las mejoras que se introduzcan en las reglas de la receta gestionada por Oracle original también se reflejan automáticamente en las mismas reglas de las copias clonadas.
- Compruebe si se agregan nuevas reglas a las recetas gestionadas por el usuario. Las nuevas reglas que se agregan están desactivadas por defecto. Examine de cerca estas nuevas reglas para ver si desea activarlas. Haga un seguimiento de las Notas de versión de Cloud Guard para acceder a estas actualizaciones.
- Supervise la lista de reglas que desactive en una receta gestionada por el usuario para ver si es necesario activar alguna. A medida que pasa el tiempo, es posible que se encuentre con que desea empezar a usar algunas de las recetas que desactivó anteriormente. Haga un seguimiento de las Notas de versión de Cloud Guard para acceder a estas actualizaciones.
Conozca cómo Oracle Cloud Guard separa los ajustes de las recetas en dos niveles, además de cómo actualizar diferentes ajustes de las recetas de detector y responsable de respuesta gestionadas por Oracle o gestionadas por el usuario (clonadas) en esos dos niveles.
Cloud Guard separa los ajustes que se pueden configurar en las reglas de detector y responsable de respuesta en dos grupos, el nivel de receta y el nivel de destino. Se accede a estos niveles desde páginas diferentes.
Si no comprende los detalles, la gestión de las recetas de detector y responsable de respuesta en Oracle Cloud Guard puede resultar confusa. En la sección Referencia de las recetas de detector que podrá encontrar al final de esta sección se resume la información para todos los tipos de recetas, cuando se accede desde la página Destinos o las correspondientes páginas de las recetas.
Al actualizar una receta gestionada por Oracle, las actualizaciones se aplican automáticamente a todas las recetas gestionadas por el usuario clonadas a partir de ella. Cualquiera que sea la página desde la que empiece cuando cambie una receta, los cambios se conservarán cuando acceda a la receta desde la otra página.
- Los ajustes del nivel de receta son de naturaleza "estratégica". Es decir, tienen el impacto más amplio y afectan a todos los destinos a los que está asociada la receta. Estos ajustes deben requerir el nivel más alto de permisos para realizar cambios.
- Principio de seguridad: los ajustes de receta tienen un amplio impacto en Cloud Guard, por lo que cambiar dichos ajustes en este nivel se debe permitir a menos usuarios.
- Ajustes que puede cambiar en el nivel de receta:
- Detectores:
- Estado (activar o desactivar regla, solo en las gestionadas por el usuario).
- Nivel de riesgo (solo en las gestionadas por el usuario).
- Etiquetas (solo en las gestionadas por el usuario).
- Valor de entrada (si se aplica a la regla).
- Configuración de Grupo condicional.
- Responsables de respuesta:
- Estado (activar o desactivar regla, solo en las gestionadas por el usuario).
- Detectores:
- Ámbito: los cambios realizados en las reglas de detector y responsable de respuesta en el nivel de receta:
- Cambios de estado (activar o desactivar reglas):
- Solo se pueden realizar en recetas gestionadas por el usuario (clonadas).
- Se aplican globalmente a todos los destinos en los que el detector o el responsable de respuesta ya se haya asociado o se asocie más tarde.
- Configuración de Grupo condicional:
- Proporcionan los valores por defecto para todos los destinos en los que la receta de detector o responsable de respuesta se agregue más tarde.
- Después de agregar una receta a un destino, los cambios de los ajustes del grupo condicional solo se pueden realizar desde ese destino.
- Sentencias de políticas (solo para las reglas de responsable de respuesta en el nivel de destino):
- La activación de una sentencia de política es global, ya que se aplica a todas las reglas de responsable de respuesta que necesitan la política, tanto en el nivel de receta como en el nivel de destino.
- Solo necesita activar una política una vez en un arrendamiento.
- Cambios de estado (activar o desactivar reglas):
- Acceso: acceda a las reglas de detector y responsable de respuesta desde las páginas de las recetas, Recetas de detector o Recetas de responsable de respuesta, para cambiar estos ajustes, como se describe anteriormente.
- Los ajustes del nivel de destino son de naturaleza "táctica". Es decir, afectan solo a un único destino y, por lo tanto, pueden requerir un nivel inferior de permisos para realizar cambios.
- Principio de seguridad: los destinos tienden a tener un impacto más limitado y afectan solo a un subconjunto de sus compartimentos, por lo que se puede permitir que más usuarios cambien los ajustes en este nivel.
- Ajustes que puede cambiar en el nivel de destino:
- Detectores:
- Grupos condicionales (solo gestionados por el usuario).
- Responsables de respuesta:
- Estado (activar o desactivar regla, solo en las gestionadas por el usuario).
- Valor de entrada, para activar o desactivar la notificación posterior a la solución (si se aplica en el caso de la regla).
- Cambiar Disparador de regla entre Ejecutar automáticamente y Preguntarme antes...
- Cambiar otros ajustes (por ejemplo, activar o desactivar las sentencias de política necesarias y la notificación de solución).
- Detectores:
- Ámbito: los cambios realizados en las reglas de detector y responsable de respuesta en el nivel de destino se aplican a:
- Generalmente, los cambios se aplican al destino actual. Los cambios no afectan a ninguna configuración de los destinos en los que ya se ha asociado la receta de detector o responsable de respuesta. Después de asociar recetas a un destino, cualquier cambio adicional de la configuración de ese destino se debe realizar desde el mismo destino. Los cambios realizados posteriormente en el nivel de receta actualizan automáticamente la receta asociada al destino.
- Para activar las políticas necesarias y activar y desactivar las notificaciones de solución (ambas opciones solo para recetas de responsable de respuesta), los cambios proporcionan los valores por defecto para todos los destinos en los que se agregue más tarde el detector gestionado por el usuario (clonado) o la receta del responsable de respuesta.
- Acceso: acceda a las reglas de detector y responsable de respuesta desde la página Destinos para cambiar estos ajustes, como se describe anteriormente.
- Resumen de limitaciones importantes: algunas opciones solo se pueden cambiar en el nivel de receta o de destino, o bien solo en recetas gestionadas por Oracle o por el usuario:
- Detectores:
- Estado (activar o desactivar regla): solo en recetas gestionadas por el usuario, en el nivel de receta.
- Nivel de riesgo: solo en recetas gestionadas por el usuario, en el nivel de receta.
- Etiquetas: solo en recetas gestionadas por el usuario, en el nivel de receta.
- Responsables de respuesta:
- Estado (Activar o Desactivar reglas): solo en recetas gestionadas por el usuario, en el nivel de receta.
- Valor de entrada, para activar o desactivar la notificación posterior a la solución (si se aplica en el caso de la regla), solo en el nivel de destino (tanto para recetas gestionadas por Oracle como por el usuario).
- Activador de regla (entre Ejecutar automáticamente y Preguntarme antes...): solo en el nivel de destino (para recetas tanto de responsable de respuesta gestionadas por Oracle como gestionadas por el usuario).
- Detectores:
En la siguiente tabla se resumen los ajustes de las reglas de detector y responsable de respuesta que se pueden cambiar en el nivel de receta y en el nivel de destino, tanto en las recetas gestionadas por Oracle como en las gestionadas por el usuario.
|
Tipo de cambios (a continuación) |
Cambios de recetas de detector realizados desde... | Cambios de recetas de responsable de respuesta realizados desde... | ||||||
|---|---|---|---|---|---|---|---|---|
| Gestionadas por Oracle | Gestionadas por el usuario (clonadas) | Gestionadas por Oracle | Gestionadas por el usuario (clonadas) | |||||
| Página Recetas | Página Destinos | Página Recetas | Página Destinos | Página Recetas | Página Destinos | Página Recetas | Página Destinos | |
| Estado (Activar y Desactivar reglas) | No | No | Si | No | No | No | Si | No |
| Nivel de riesgo | No | No | Si | No | N/A | N/A | N.A. | N/A |
| Etiquetas | No | No | Si | No | N/A | N/A | N/A | N/A |
| Configuración de entrada | Si | No | Si | No | No | Si | No | Si |
| Grupos condicionales | Si | Si | Si | Si | No | Si | No | Si |
| Active Sentencias de política | N/A | N/A | N/A | N/A | No | Si | No | Si |
| Activador de regla (Manual o Ejecución automática) | N/A | N/A | N/A | N/A | No | Si | No | Si |
| Notificación de solución (opción) | N/A | N/A | N/A | N/A | No | Si | No | Si |
| Para obtener información sobre las instrucciones, consulte: | Tema | Tema | Tema | Tema | Tema | Tema | Tema | Tema |
Asigna una jerarquía de compartimentos a un destino. Las recetas de detector que asocie al destino supervisan los recursos de la jerarquía de compartimentos.
Si un compartimento tiene otros compartimentos debajo, las reglas de la receta de detector se aplican automáticamente a todos los compartimentos de nivel inferior de la jerarquía.
Cuando una jerarquía de compartimentos tiene recetas de detector aplicadas a compartimentos de diferentes niveles, siempre que las reglas entren en conflicto, las reglas de la receta de detector aplicada en un nivel inferior sustituirán a las reglas de cualquier receta de detector aplicada en un nivel superior. Esto se aplica al compartimento en el que se aplica una receta de detector y a todos los compartimentos debajo de él.
Podemos encontrar cuatro niveles en los que los campos de una receta de detector y sus reglas de detector se pueden modificar. Cada uno tiene su propio conjunto de restricciones.
La prioridad de las reglas de las recetas de detector que se aplican en estos diferentes niveles es similar a la prioridad en una jerarquía de compartimentos: cuando las reglas entran en conflicto, aquellas de un nivel más específico (número más alto en la lista que aparece a continuación) sustituyen a las de un nivel más amplio (número más bajo en la siguiente lista).
- Oracle: cuando Cloud Guard necesita actualizar o crear nuevas recetas gestionadas por Oracle, estas están disponibles para todos los inquilinos.
- Inquilino: se trata de cambios que solo son aplicables a un inquilino en particular.
- Los siguientes campos se pueden modificar en el nivel de inquilino en el caso de las recetas gestionadas por Oracle:
- Etiquetas (solo se pueden agregar)
- Configuraciones (también denominadas Ajustes)
- Condiciones
- Los siguientes campos no se pueden modificar en el nivel de inquilino en el caso de las recetas gestionadas por Oracle:
- Estado (activada/desactivada)
- Nivel de riesgo
- Los siguientes campos se pueden modificar en el nivel de inquilino en el caso de las recetas no gestionadas por Oracle:
- Estado (activada/desactivada)
- Nivel de riesgo
- Etiquetas
- Configuraciones (también denominadas Ajustes)
- Condiciones
- Los siguientes campos se pueden modificar en el nivel de inquilino en el caso de las recetas gestionadas por Oracle:
- Destino: se trata de cambios que solo son aplicables a un destino en particular.
- Los siguientes campos se pueden modificar en el nivel de destino tanto en el caso de las recetas gestionadas por Oracle como de las no gestionadas por el mismo:
- Condiciones
- Los siguientes campos se pueden modificar en el nivel de destino en el caso de las recetas no gestionadas por Oracle:
- Estado (activada/desactivada)
- Nivel de riesgo
- Etiquetas
- Configuraciones (también denominadas Ajustes)
- Los siguientes campos se pueden modificar en el nivel de destino tanto en el caso de las recetas gestionadas por Oracle como de las no gestionadas por el mismo:
- Subcompartimentos de un destino: se trata de cambios que solo son aplicables a un compartimento seleccionado en el árbol de descendientes de un destino.
- Los siguientes campos se pueden modificar en el nivel de destino tanto en el caso de las recetas gestionadas por Oracle como de las no gestionadas por el mismo:
- Condiciones
- Los siguientes campos se pueden modificar en el nivel de destino en el caso de las recetas no gestionadas por Oracle:
- Estado (activada/desactivada)
- Nivel de riesgo
- Etiquetas
- Configuraciones (también denominadas Ajustes)
- Los siguientes campos se pueden modificar en el nivel de destino tanto en el caso de las recetas gestionadas por Oracle como de las no gestionadas por el mismo:
Uso de grupos condicionales con reglas de receta
Los grupos condicionales permiten definir rápidamente el ámbito para el que se debe activar una regla de detector o responsable de respuesta.
Grupos condicionales para detectores
Un grupo condicional define parámetros que usted especifica para limitar el ámbito de las situaciones para las que la infracción de una regla de detector genera un problema:
- Para los detectores de configuración, los grupos condicionales permiten la inclusión o exclusión de recursos específicos de la supervisión.
- Para los detectores de actividad, los grupos condicionales permiten limitar dichos detectores a determinados espacios de IP, regiones, usuarios, grupos o recursos.
- Para implementar grupos condicionales, al modificar una regla de una receta de detector:
- Seleccione el parámetro, el operador y la lista personalizada o una lista gestionada.
- Introduzca una o varias entradas para hacer coincidir el valor.
- Para definir una condición en un parámetro que no sean las etiquetas, siga estos pasos:
- Para definir una condición en las etiquetas, siga estos pasos:
- En la lista Parámetro, seleccione Etiquetas.
- Seleccione un operador (En o No en).
- Si selecciona En, la regla solo afecta a los elementos que están etiquetados con una de las etiquetas que están en la lista que proporciona.
- Si selecciona No en, la regla solo afecta a los elementos que no estén etiquetados con una de las etiquetas que se encuentran en la lista que proporcione.
- Haga clic en Seleccionar etiquetas.
- En el cuadro de diálogo Seleccionar etiquetas, defina una condición para las etiquetas definidas o de formato libre:
- Para definir una condición para las etiquetas definidas, seleccione un Espacio de nombres de etiqueta que no sea Ninguno, seleccione una Clave de etiqueta y, a continuación, seleccione o introduzca el Valor de etiqueta:
- Para definir una condición para etiquetas de formato libre, en Espacio de nombres de etiqueta, seleccione Ninguno para Espacio de nombres de etiqueta, introduzca una clave de etiqueta y, a continuación, introduzca opcionalmente el valor de etiqueta.
- Agregue más etiquetas según sea necesario.Nota
Al especificar varias etiquetas, la regla solo se aplica si se cumplen todas las condiciones.
- Puede agregar una condición para un solo recurso y entrada de cada vez mediante una lista personalizada o agregar varios recursos y entradas a la vez mediante las listas gestionadas.
Ejemplo: tiene 10 instancias informáticas. Dos de las instancias (Instancia1 e Instancia2) deben ser públicas, por lo que no quiere que la regla "La instancia es de acceso público" genere problemas en esas instancias. Puede utilizar grupos condicionales para excluir esas dos instancias, ya sea mediante listas personalizadas o listas gestionadas.
Tanto en las recetas de detector como en las de responsable de respuesta, algunas reglas tienen opciones de parámetros que requieren que escriba una o varias entradas válidas para el valor. La siguiente lista proporciona enlaces a fuentes que contienen los valores válidos para cada tipo de parámetro. Cuando no hay enlaces disponibles, se proporciona una breve explicación de cómo encontrar los valores válidos.
- IPV4: Partes de la dirección IPv4
- IPV6: Partes de la dirección IPv6
- Ciudad: no hay ningún estándar internacional para los nombres o códigos de las ciudades. Cloud Guard utiliza los nombres reales de las ciudades y no cuenta con ninguna lista completa de los nombres de ciudad soportados.
- Estado o provincia: Códigos de estado o provincia ISO 3166-2
- País: códigos ISO 3166-1 alfa-2, tal y como se muestran en List of ISO 3166 country codes
- Nombre de usuario: nombre de usuario tal y como se muestra en la consola de Oracle Cloud Infrastructure
- OCID de recurso: ID de recurso tal y como se muestra en la pantalla de la consola de OCI para el recurso
- Región: una de las regiones de OCI soportadas que se muestran en Acerca de las regiones y los dominios de disponibilidad
Utilice las listas personalizadas cuando el número de elementos que se vayan a hacer coincidir sea pequeño y no espere que necesite reutilizar la misma lista varias veces.
- Abra la página de detalles de la receta de detector en la que está activada la regla "La instancia es de acceso público".
Consulte Edición de una receta de detector de OCI gestionada por el usuario.
- En la página de detalles de la receta de detector, en Reglas de detector, localice la fila de la regla "La instancia es de acceso público".
- En el extremo derecho de esa fila, abra el menú Acciones
y seleccione Editar. - En el cuadro de diálogo Editar regla de detector, en la sección Grupo condicional:
- Defina Parámetro en OCID de instancia.
- Defina Operador en No en.
- Defina Lista en Lista personalizada.
- En Valor, introduzca el OCID de la Instancia1.
- Haga clic en Agregar Condición.
- En la fila de nueva condición:
- Defina Parámetro en OCID de instancia.
- Defina Operador en No en.
- Defina Lista en Lista personalizada.
- En Valor, introduzca el OCID de la Instancia2.
- Haga clic en Guardar.
La regla "La instancia es de acceso público" ahora supervisa todas las instancias para detectar configuraciones públicas con la excepción de Instancia1 e Instancia2.
Utilice las listas gestionadas cuando el número de elementos que se vayan a hacer coincidir sea grande o espere necesitar reutilizar la misma lista varias veces.
- En primer lugar, cree una lista gestionada de OCID de instancias que contenga los OCID de Instancia1 e Instancia2.
Consulte Creación de una lista gestionada.
Supongamos que llama a esa lista "OCID de instancias informáticas públicas".
- Abra la página de detalles de la receta de detector en la que está activada la regla "La instancia es de acceso público".
Consulte Edición de una receta de detector de OCI gestionada por el usuario.
- En la página de detalles de la receta de detector, en Reglas de detector, localice la fila de la regla "La instancia es de acceso público".
- En el extremo derecho de esa fila, abra el menú Acciones y seleccione Editar.
- En el cuadro de diálogo Editar regla de detector, en la sección Grupo condicional:
- Defina Parámetro en OCID de instancia.
- Defina Operador en No en.
- Defina Lista en Lista gestionada.
- En Valor, seleccione el nombre de la lista gestionada que ha creado ("OCID de instancias informáticas públicas" en el ejemplo del paso 1).
- Haga clic en Guardar.
La regla "La instancia es de acceso público" ahora supervisa todas las instancias para detectar configuraciones públicas con la excepción de Instancia1 e Instancia2.
Nota
Los OCID de las instancias informáticas que agregue a la lista gestionada en el futuro también se verán excluidos de la supervisión.
Uso de listas gestionadas y personalizadas con reglas de receta
Las listas gestionadas permiten definir rápidamente el ámbito al que se debe aplicar una regla de receta mediante la inclusión o exclusión de una lista predefinida de parámetros. Las listas personalizadas permiten introducir una lista corta de parámetros con el mismo fin.
Ejemplo: desea que se genere un problema cuando una instancia informática tenga una dirección IP pública. Sin embargo, tiene algunas instancias que deben tener direcciones IP públicas y no desea que esas instancias generen problemas.
- Cree una lista gestionada que contenga todos los OCID de recursos de las instancias informáticas que deben tener direcciones IP públicas.
Consulte Creación de una lista gestionada.
- Asigne esta lista gestionada como una entrada de un grupo condicional para la regla de detector de configuración "La instancia tiene una dirección IP pública".
Consulte Edición de una receta de detector de OCI gestionada por el usuario.
Ejemplo: desea que se genere un problema cuando la actividad iniciada desde direcciones IP sospechosas específicas crea un cubo o una instancia.
- Cree una lista gestionada que contenga las direcciones IP sospechosas conocidas.
Consulte Creación de una lista gestionada.
- Asigne esta lista gestionada como una entrada de un grupo condicional para la regla de detector "Actividad de IP sospechosa".
Consulte Edición de una receta de detector de OCI gestionada por el usuario.
Alternativamente, en caso de saber que los cubos o las instancias solo se deben crear desde determinadas direcciones IP de confianza, podría:
- Crear una lista gestionada que contenga las direcciones IP de confianza.
- A continuación, utilizar el operador "No en" en la entrada del grupo condicional para la regla de detector "Actividad de IP sospechosa".