Note:

Este tutorial requiere acceso a Oracle Cloud. Para registrarse en una cuenta gratuita, consulte Introducción a la cuenta gratuita de Oracle Cloud Infrastructure.
Utiliza valores de ejemplo para credenciales, arrendamiento y compartimentos de Oracle Cloud Infrastructure. Al completar el laboratorio, sustituya estos valores por otros específicos de su entorno en la nube.

Visualización de logs de autenticación multifactor con Oracle Cloud Infrastructure Logging Analytics

Introducción

En el panorama digital actual, garantizar la seguridad de su infraestructura en la nube es primordial. La autenticación multifactor (MFA) es un componente crítico de esta seguridad, que proporciona una capa adicional de protección para las cuentas de usuario. Sin embargo, la implementación de MFA es solo el comienzo. Para proteger realmente sus sistemas, debe supervisar y analizar continuamente los logs de MFA para detectar cualquier anomalía o posible amenaza para la seguridad.

Oracle Cloud Infrastructure (OCI) Logging Analytics para OCI Audit le permite recopilar, analizar y visualizar registros de auditoría de manera eficiente, lo que garantiza el cumplimiento y mejora la supervisión de la seguridad. Al aprovechar los potentes análisis, puedes detectar anomalías y obtener información sobre las actividades de los usuarios en tu entorno OCI.

En este tutorial, profundizaremos en las complejidades del análisis de logs de MFA en los logs de OCI Audit mediante OCI Logging Analytics. Tanto si es un profesional de la seguridad como un administrador del sistema o un arquitecto de la nube, este tutorial le proporcionará los conocimientos y las herramientas necesarios para supervisar e interpretar de forma eficaz los logs de MFA.

Objetivos

Extraiga campos ampliados en OCI Logging Analytics para obtener información de MFA específica de los logs de OCI Audit y configure paneles de control visuales para fines empresariales y de seguridad. Descargaremos un panel de control que contiene widgets que ha incorporado consultas de búsqueda que muestran los diferentes factores de autenticación múltiple utilizados para conectarse a la consola de OCI, lo que garantiza la visibilidad de cualquier amenaza de seguridad con MFA y los usuarios que cumplen con los estándares del sector.

Nota: El panel de control solo es efectivo si la MFA se configura y realiza a través de Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) como proveedor de identidad (IdP). Si utiliza otro IdP, asegúrese de que los eventos de MFA se registran en esa herramienta IdP respectiva.

Requisitos

Acceso de administrador necesario a un arrendamiento de OCI, ya que la mayoría de los recursos se crean en el compartimento raíz.
Conocimientos básicos de OCI Logging Analytics.
Activar OCI Logging Analytics y configurar la recopilación de logs de OCI Audit. Para obtener más información, consulte Análisis de logs de ejemplo con OCI Logging Analytics.

Visualización de logs de autenticación multifactor

Conéctese a la consola de OCI, vaya a Observability and Management, Logging Analytics, Administration, Sources, OCI Audit Logs y haga clic en Edit.
En la página Editar origen, cree tres campos ampliados. Pruebe cada definición y el estado debe indicar Correcto, como se muestra en las siguientes capturas de pantalla. Después de la prueba, haga clic en Guardar.
1. Primer campo ampliado.
  - Campo base: seleccione Contenido de log original.
  - Campo base de ejemplo: introduzca \"ssoAuthFactor\":\"TOTP\".
  - Expresión de extracción: introduzca \\"ssoAuthFactor\\":\\"{User Authentication Method:\w+}.
2. Segundo campo ampliado.
  - Campo base: seleccione Contenido de log original.
  - Campo base de ejemplo: introduzca \"ssoMatchedSignOnRule\":\"OciConsoleMFANonAdminRule\".
  - Expresión de extracción: introduzca \\"ssoMatchedSignOnRule\\":\\"{Rule:\w+}.
3. Tercer Campo Ampliado.
  - Campo base: seleccione Contenido de log original.
  - Campo base de ejemplo: introduzca \"ssoMatchedSignOnPolicyName\":\"Security Policy for OCI Console\".
  - Expresión de extracción: introduzca \\"ssoMatchedSignOnPolicyName\\":\\"{User Authentication Policy:[^\"\,]+}\\"?.
(Opcional) Una vez que el usuario se conecte a la consola de OCI, los campos respectivos creados se rellenarán en la página Explorador de logs.
Descargue el archivo zip desde aquí: OCI-MFA-Dashboard-main.zip, que contiene el panel de control en el archivo json. Este archivo se utilizará para importarlo en OCI Logging Analytics.
En la ventana Importar paneles de control, seleccione Especificar un compartimento y un compartimento raíz para ambos Compartimentos para paneles de control.
Los datos se rellenarán en el panel de control en función de las consultas de búsqueda disponibles en cada widget. Consulte los widgets en el panel de control de ejemplo según las siguientes capturas de pantalla.

Pasos Siguientes

En este tutorial, hemos tratado cómo configurar fácilmente la visualización de logs de autenticación multifactor (MFA) mediante OCI Logging Analytics. Ha aprendido a extraer campos ampliados para información específica de MFA y a configurar paneles de control visuales para supervisar las actividades de autenticación. Si sigue estos pasos, puede mejorar su estrategia de seguridad y garantizar el cumplimiento de los estándares del sector. Es importante realizar un seguimiento continuo para detectar y abordar posibles amenazas de seguridad.

Agradecimientos

Autor: Vishak Chittuvalapil (ingeniero sénior en la nube)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en Oracle Learning Explorer.

Para obtener documentación sobre el producto, visite Oracle Help Center.

Título e Información de Copyright

Visualize Multi-Factor Authentication Logs with Oracle Cloud Infrastructure Logging Analytics

G10608-01

June 2024

Oracle y/o sus filiales.