Sécurité d'instance
Instance Security est une nouvelle recette de détecteur Oracle Cloud Guard qui surveille les hôtes de calcul pour détecter les activités suspectes.
- La rubrique À propos de la sécurité des instances présente des concepts utiles à comprendre lorsque vous utilisez la sécurité des instances.
- Activation de la sécurité d'instance vous montre comment démarrer avec la sécurité d'instance en appliquant une recette de détecteur de sécurité d'instance à une cible.
- La rubrique Recettes de détecteur de sécurité d'instance décrit les recettes de détecteur de sécurité d'instance.
À propos de la sécurité des instances
Instance Security assure la sécurité d'exécution pour les charges de travail des hôtes virtuels et sans système d'exploitation de Compute. Instance Security étend le service de protection d'infrastructure en nuage de la gestion de la posture de sécurité infonuagique à la protection des charges de travail en nuage. Elle garantit que les besoins en matière de sécurité sont satisfaits en un seul endroit, avec une visibilité cohérente et une compréhension globale de l'état de sécurité de l'infrastructure.
Instance Security collecte des informations de sécurité importantes sur les hôtes de calcul, telles que les alertes de sécurité (appelées problèmes dans le service de protection d'infrastructure en nuage), les vulnérabilités et les ports ouverts, afin de vous fournir des conseils pratiques pour la détection et la prévention. Vous pouvez détecter les processus suspects, créer des ports ouverts et exécuter des scripts pour les charges de travail, avec une visibilité au niveau du système d'exploitation. Instance Security fournit de nouvelles détections prêtes à l'emploi gérées par Oracle et les interrogations gérées par le client pour les cas d'utilisation de la recherche de menaces.
Instance Security est intégrée de manière native au service de journalisation pour OCI afin que vous puissiez facilement exporter les journaux vers vos outils de sécurité de tierce partie.
Solution de sécurité basée sur EBPF
Instance Security utilise la technologie EBPF (Extended Berkeley Packet Filter) pour détecter les événements de sécurité au niveau du noyau. eBPF est une technologie de noyau qui permet aux programmes de s'exécuter sans avoir à modifier le code source du noyau.
Vous pouvez collecter automatiquement des données pour détecter des anomalies de sécurité et obtenir des informations détaillées sur les systèmes d'exploitation, sans modifier le code du noyau et sans affecter significativement les performances.
Aligné sur le cadre MITRE ATT&CK
Instance Security fournit une suite de règles de détecteur prêtes à l'emploi gérées par Oracle qui sont alignées sur le cadre MITRE ATT&CK visant à réduire le travail manuel de votre centre d'opérations de sécurité (SOC) pour trouver des activités adverses connues.
Les informations sont exécutées au moyen de modèles conformes au cadre MITRE ATT&CK pour catégoriser les tactiques et techniques potentielles concernées.
Exécuter des interrogations sur demande
Vous pouvez exécuter des interrogations sur demande sur des instances de calcul périodiquement ou sur demande pour vous donner une visibilité en temps réel de l'état de votre machine.
Instance Security exécute OSquery sous le capot qui expose les données du système d'exploitation en tant que base de données relationnelle haute performance. Osquery est un agent hôte multi-plateforme performant, open source et offrant visibilité et informations à votre parc. Il collecte et normalise les données indépendamment du système d'exploitation et augmente la visibilité sur l'ensemble de votre infrastructure. OSquery est fourni avec la prise en charge de centaines de tables couvrant tout, des processus en cours d'exécution aux extensions de noyau chargées. Instance Security prend en charge la plupart des tables d'interrogation à code source libre, en plus des tables personnalisées OCI.
Programmer des interrogations
Une fois que vous avez exécuté une requête et que vous êtes satisfait du résultat de la requête, vous pouvez programmer son exécution à une fréquence régulière. Si vous avez besoin de fournir des preuves du respect de certains contrôles de sécurité dans le cadre des exigences de conformité et de vérification pour vos hôtes de calcul, vous pouvez utiliser des interrogations programmées. Instance Security est intégré au service de journalisation OCI et vous pouvez configurer le service de journalisation OCI pour envoyer vos données brutes à un service de gestion des informations de sécurité et des événements (SIEM) ou à un agrégateur de données de tierce partie.
Recettes de détecteur de sécurité d'instance
Il existe deux recettes de détecteur de sécurité d'instance gérées par Oracle :
- Recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).
- Recette de détecteur de sécurité d'instance OCI (gérée par Oracle).
Vous pouvez effectuer des configurations personnalisées des recettes de détecteur en clonant ces recettes et règles. Voir Clonage d'une recette de détecteur OCI.
Vous ne pouvez appliquer qu'une seule recette de détecteur de sécurité d'instance à une cible. Si vous voulez modifier la recette, vous devez d'abord supprimer la recette existante de la cible, puis appliquer l'autre.
Recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle)
Cette recette est une offre payante qui offre des fonctionnalités de service complètes. Il vous fournit des alertes en fonction des détections prêtes à l'emploi d'Oracle et vous permet d'interroger votre parc à l'aide d'interrogations personnalisées et programmées.
Cette recette de détecteur prête à l'emploi utilise toutes les règles de détecteur de sécurité d'instance qui sont détaillées dans Règles de détecteur de sécurité d'instance OCI.
Pour en savoir plus sur son coût, consultez les informations de tarification du service de protection d'infrastructure en nuage dans la liste de prix pour le nuage. Vous pouvez utiliser l'outil d'évaluation des coûts pour vous aider à déterminer votre utilisation mensuelle et votre facture. Voir Aperçu de la facturation et de la gestion des coûts.
| Ressource | Nombre par location |
|---|---|
| Nombre d'instances couvertes par région | Sans limite |
| Règles de détecteur prêtes à l'emploi | Sans limite |
| Interrogations sur demande | Sans limite |
| Interrogations programmées | 25 interrogations par instance et par jour |
| Taille des résultats d'interrogation programmés | 5 Mo par instance et par jour |
Cet exemple montre comment fonctionnent les limites d'interrogation programmées.
La taille limite des résultats d'interrogation programmés est par instance. Par conséquent, si vous avez 10 instances dans une région, la limite régionale au niveau du locataire est de 5*10 = 50 Mo par jour
Lorsque vous atteignez la limite des résultats d'interrogation programmés dans une région, les interrogations affichent un statut Failed et le message suivant s'affiche :
Scheduled query size limit has reached, the limit will reset the next dayUne fois la limite réinitialisée le jour suivant, les interrogations programmées réussissent jusqu'à ce que la limite soit de nouveau atteinte.
Recette de détecteur de sécurité d'instance OCI (gérée par Oracle)
Si vous n'êtes pas prêt à investir dans Instance Security mais que vous souhaitez goûter au service, vous pouvez essayer cette recette gratuite. Il vous avertira de la vulnérabilité et des problèmes d'analyse des ports ouverts, et vous pourrez exécuter un nombre limité de requêtes.
Cette recette de détecteur utilise les règles de détecteur de sécurité d'instance :
| Ressource | Nombre par location |
|---|---|
| Nombre d'instances couvertes par région | 5 |
| Règles de détecteur prêtes à l'emploi | 2 |
| Interrogations sur demande | 30 par mois par région |
| Interrogations programmées | 0 |
Cet exemple montre comment les limites d'interrogation sur demande fonctionnent en tenant compte de deux scénarios.
Vous disposez d'une limite mensuelle de 30 interrogations sur demande dans une région :
- Vous exécutez votre première interrogation sur demande et ciblez 25 instances actives, et toutes réussissent, donnant 25 résultats.
- Vous exécutez une deuxième interrogation sur demande et ciblez 25 instances actives, mais cette fois, vous n'obtiendrez que cinq résultats sur cinq instances sélectionnées au hasard, car il ne vous reste plus que 5 interrogations sur demande pour le mois.
- Si vous exécutez ensuite une troisième interrogation sur demande et que vous ciblez une seule instance, le message suivant s'affiche :
You have consumed free adhoc units for this month, your limit will reset next month
Les requêtes expirées sont remboursées à la limite mensuelle après environ 15 minutes.
- Votre première interrogation sur demande ciblait 25 instances (24 agents actifs et 1 agent inactif) et le résultat est qu'elle a expiré avec 24 résultats des agents actifs.
- Vous avez exécuté une deuxième interrogation sur demande et ciblez 25 instances (24 actives et 1 agent inactif). Cette fois-ci, vous n'obtenez que cinq résultats sur cinq instances sélectionnées au hasard, car il ne vous reste plus que 5 interrogations sur demande pour le mois.
- Si vous exécutez ensuite une troisième interrogation sur demande et que vous ciblez une seule instance, le message suivant s'affiche :
You have consumed free adhoc units for this month, your limit will reset next month