Documentación de Oracle Cloud Infrastructure

Sobre el detector de amenazas

Conozca los conceptos y la terminología que necesita para trabajar con el componente de detector de amenazas de Cloud Guard.

El componente Threat Detector de Cloud Guard recopila y procesa información sobre posibles amenazas de la siguiente forma:

  1. La información se recopila desde los destinos de Cloud Guard.
  2. Threat Detector obtiene información sobre posibles amenazas del servicio de información sobre amenazas. Estos son indicadores de posibles riesgos, como direcciones IP y dominios, que están asociados a servidores de gestión y control de malware conocidos.
  3. Esa información se ejecuta a través de modelos alineados con el marco MITRE ATT&CK para clasificar las posibles tácticas y técnicas implicadas.
  4. Esos modelos producen "vistas", instancias individuales de posible comportamiento malicioso, que se puntúan para evaluar la gravedad de las consecuencias si el ataque es real y la probabilidad de que el ataque sea real.
  5. A continuación, las vistas se clasifican en un perfil de recurso.
  6. El perfil de recurso se puntúa para evaluar el riesgo descrito por la secuencia de vistas.
  7. Se asigna un nivel de riesgo basado en la puntuación de riesgo más alta de los últimos 14 días.
  8. Si el nivel de riesgo se vuelve crítico, se genera un problema.

En las páginas Supervisión de amenazas y Detalles de supervisión de amenazas se muestra información para cada perfil de recurso mostrado. Para interpretar la información mostrada, familiarícese con los siguientes conceptos y terminología clave.

Conceptos de supervisión de amenazas de alto nivel

Estos conceptos son básicos para comprender la supervisión de amenazas en Cloud Guard, especialmente al trabajar con las páginas Supervisión de amenazas y Detalles de supervisión de amenazas.

  • Vista: instancia específica de un posible comportamiento malicioso detectado por Cloud Guard. Las vistas individuales se correlacionan en el tiempo y en las distintas regiones. La recopilación de vistas relacionadas se evalúa sobre la probabilidad de que represente un ataque y sobre la gravedad que tendría dicho ataque.
  • Tipo de vista: Cloud Guard detecta varios tipos de vista diferentes. Consulte Referencia de tipo de vista.
  • Correlación: Cloud Guard recopila datos no procesados en cada región. A continuación, Cloud Guard correlaciona las vistas relacionadas entre regiones y calcula una puntuación normalizada para las vistas relacionadas. Si la puntuación de riesgo normalizada supera un umbral, Cloud Guard crea un problema y asigna un nivel de gravedad y un nivel de confianza al problema.
  • Confianza: un nivel de confianza representa una estimación de la probabilidad de que una vista represente realmente a un atacante real. Cloud Guard utiliza las mismas categorías tanto para los niveles de gravedad como de confianza en los detalles de vista resultantes:

    La combinación de factores que utiliza Cloud Guard para determinar el nivel de confianza es diferente para los diferentes tipos de vista. Consulte las secciones "Gravedad" y "Confianza" para cada tipo de vista en Referencia de tipo de vista.

  • Gravedad: un nivel de gravedad representa el posible nivel de amenaza que supone una vista: la gravedad de la vista, suponiendo que representa un atacante real. Un nivel de gravedad representa el posible nivel de amenaza que supone una vista: la gravedad de la vista, suponiendo que representa un atacante real. Cloud Guard muestra las siguientes categorías tanto para los niveles de gravedad como de confianza en los detalles de vista resultantes:

    La combinación de factores que utiliza Cloud Guard para determinar el nivel de gravedad es diferente para los diferentes tipos de vista. Consulte las secciones "Gravedad" y "Confianza" para cada tipo de vista en Referencia de tipo de vista.

  • Puntuación de inspección: combina evaluaciones de gravedad y confianza, junto con otros factores, para obtener una estimación numérica de la gravedad de la amenaza.

    La puntuación de inspección es diferente de la puntuación de riesgo asociada a los problemas.

  • Puntuación de riesgo: Cloud Guard recopila datos no procesados en cada región y calcula una puntuación de riesgo no procesada para las vistas relacionadas. A continuación, Cloud Guard correlaciona las vistas relacionadas entre regiones y calcula una puntuación normalizada para las vistas relacionadas. Si la puntuación de riesgo normalizada supera un umbral, Cloud Guard crea un problema y asigna un nivel de gravedad y un nivel de confianza al problema.
  • Nivel de riesgo: se basa en la puntuación máxima de riesgo de 14 días. (Crítico, Alto, Medio, Bajo, Menor). El nivel de riesgo aumenta inmediatamente cuando se registra una puntuación de riesgo alta. Si no se registran más puntuaciones de riesgo altas, el nivel de riesgo disminuye lentamente, porque esa puntuación de riesgo alta tarda 14 días en eliminarse del cálculo del nivel de riesgo.

    Para obtener definiciones de estos niveles de riesgo, consulte Visualización de problemas de la instantánea de problemas.

  • Táctica: desde la perspectiva del marco MITRE ATT&CK, la vista se clasificaría como una instancia de esta táctica de MITRE. Por ejemplo, Escalada de Privilegios o Acceso a credenciales.
  • Técnica: desde la perspectiva del marco MITRE ATT&CK, la vista se clasificaría como una instancia de esta técnica o subtécnica de MITRE. Por ejemplo, Adivinación o robo de contraseñas a Cloud Storage.
  • Perfil de recurso: recopilación de información que Cloud Guard ha observado para recursos específicos que podrían sufrir un ataque, como indica la puntuación de riesgo derivada de las vistas relacionadas. Esta información incluye vistas, puntuaciones e ID de recursos. A medida que Cloud Guard supervisa los destinos, crea perfiles para los recursos que observa y crea vistas a medida que se detectan comportamientos maliciosos. Actualmente, el perfil de recurso siempre se centra en un usuario.

Parámetros notificados para las vistas

También se supervisan los siguientes parámetros. Algunos de estos parámetros aparecen solo en la página Supervisión de amenazas o en la página Detalles de supervisión de amenazas.

  • Recurso, ID de recurso, Nombre del recurso: identificador del recurso de la vista.
  • Compartimento: compartimento de OCI donde se encuentra el recurso.
  • Destino: destino de Cloud Guard que contiene el compartimento de OCI.
  • Regiones: región o regiones en las que se ha detectado la vista.
  • Primera detección: fecha y hora en que se ha detectado la vista por primera vez.
  • Última detección: fecha y hora en que se ha detectado la vista por última vez.
  • Puntuación de riesgo máxima: puntuación de riesgo más alta para un perfil de riesgo determinado.
  • Fecha máxima: fecha de puntuación de riesgo más alta para un perfil de riesgo determinado.
  • ASN de punto final: número de sistema autónomo asociado a la dirección IP de punto final identificada en una vista.
  • Servicio de punto final: servicios específicos utilizados del punto final identificado en una vista.
  • Tipo de punto final: si la dirección IP es conocida por el servicio OCI Threath Intelligence, se declara "sospechoso" y la dirección IP se convierte en un enlace a la información de ese servicio.