Informations de référence sur les recettes de détecteur

Description : Alerte lors de la création d'une nouvelle instance d'hôte base.

Recommandation : Assurez-vous que seuls les utilisateurs autorisés créent des instances d'hôte bastion.

Carrière-plan : Les hôtes bastions fournissent aux utilisateurs un accès SSH sécurisé et transparent aux hôtes cibles dans des sous-réseaux privés, tout en limitant l'accès public direct.

Paramètres de la règle :

• Type de service : Hôte bastion
• Type de ressource : Instance
• Niveau de risque : Faible
• Labels : Hôte bastion

• Conservez les paramètres par défaut.

Description : alerte lorsqu'une nouvelle session d'hôte bastion est créée.

Recommandation : Assurez-vous que seuls les utilisateurs autorisés créent des sessions d'hôte bastion.

Carrière-plan : Une session d'hôte bastion fournit un accès SSH à durée définie, sécurisé et transparent à un hôte cible dans des sous-réseaux privés, tout en limitant l'accès public direct.

Paramètres de la règle :

• Type de service : Hôte bastion
• Type de ressource : Instance
• Niveau de risque : Faible
• Labels : Hôte bastion

• Conservez les paramètres par défaut.

Description : alerte lorsqu'un ensemble AC est mis à jour.

Recommandation : Assurez-vous que seuls les utilisateurs autorisés mettent à jour les ensembles AC. Si l'utilisateur n'est pas autorisé, annulez la mise à jour.

Carrière-plan : Un ensemble AC est un fichier qui contient le certificat racine et des certificats intermédiaires. L'autorité de certification de l'ensemble est garante des certificats intermédiaires des utilisateurs. Lorsqu'un ensemble AC est mis à jour, un utilisateur associé à un certificat intermédiaire supprimé n'est plus en mesure d'accéder aux ressources pour lesquelles l'autorité de certification se porte garante. De même, un utilisateur associé à un certificat intermédiaire qui est ajouté peut maintenant accéder à ces ressources.

Paramètres de la règle :

• Type de service : certificats
• Type de ressource : Utilisateur :
• Niveau de risque : Moyen
• Labels (Labels) : certificats

• Conservez les paramètres par défaut.

Description : alerte lorsqu'un ensemble AC est supprimé.

Recommandation : Assurez-vous que seuls les utilisateurs autorisés suppriment des ensembles AC. Si l'utilisateur n'est pas autorisé, annulez la suppression.

Carrière-plan : Un ensemble AC est un fichier qui contient le certificat racine et des certificats intermédiaires. L'autorité de certification de l'ensemble se porte garante du certificat intermédiaire des utilisateurs. Lorsqu'un ensemble AC est supprimé, les utilisateurs associés aux certificats intermédiaires ne sont plus en mesure d'accéder aux ressources pour lesquelles l'autorité de certification doit se porter garante.

Paramètres de la règle :

• Type de service : certificats
• Type de ressource : Utilisateur :
• Niveau de risque : Moyen
• Labels (Labels) : certificats

• Conservez les paramètres par défaut.

Description : alerte lorsqu'un certificat intermédiaire d'un ensemble CA est annulé.

Recommandation : Assurez-vous que seuls les utilisateurs autorisés révoquent les certificats intermédiaires d'ensembles AC. Si l'utilisateur n'est pas autorisé, annulez la révocation.

Contexte : Lorsqu'un certificat intermédiaire d'un ensemble AC est révoqué, l'utilisateur associé n'est plus en mesure d'accéder aux ressources pour lesquelles une autorité de certification approuvée doit se porter garante du certificat intermédiaire de l'utilisateur.

Paramètres de la règle :

• Type de service : certificats
• Type de ressource : Utilisateur :
• Niveau de risque : Moyen
• Labels (Labels) : certificats

• Conservez les paramètres par défaut.

Description : alerte lorsqu'une image de calcul est exportée.

Recommandation : Les images qui contiennent des éléments propriétaires doivent être marquées en conséquence avec des privilèges d'exportation autorisés uniquement aux administrateurs OCI appropriés.

Carrière-plan : Les images de calcul peuvent être équivalentes à des "lecteurs de données" et contenir des informations sensibles. Les images qui contiennent des éléments propriétaires doivent être marquées en conséquence avec des privilèges d'exportation autorisés uniquement aux administrateurs OCI appropriés.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Mineur
• étiquettes : Calcul

• Conservez les paramètres par défaut.

Description : alerte lorsqu'une image de calcul est importée.

Recommandation Assurez-vous qu'une personne qui doit apporter de nouvelles images dans votre environnement importe l'image de calcul depuis des sources fiables, comme Oracle ou un administrateur approuvé du service de calcul.

Carrière-plan : Les images de calcul constituent la base des instances de calcul. Une nouvelle image a une incidence sur chaque instance de calcul qui sera lancée à partir d'elle. Les images importées doivent donc provenir de sources connues et fiables.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Mineur
• étiquettes : Calcul

• Conservez les paramètres par défaut.

Description : alerte lorsqu'une instance de calcul prend fin.

Recommandation : Utilisez des politiques IAM pour limiter les opérations de fin d'instance.

Carrière-plan : Les instances de calcul peuvent fournir des fonctions essentielles.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Élevé
• étiquettes : Calcul

• Conservez les paramètres par défaut.

Description : alerte lorsqu'une image de calcul est mise à jour.

Recommandation :

Assurez-vous que :

• L'image est importée par une personne censée apporter de nouvelles images dans votre environnement.
• L'image est importée de sources fiables, comme Oracle ou un administrateur approuvé du service de calcul.

Carrière-plan : Les images de calcul constituent la base des instances de calcul. Une modification des images affecte chaque instance de calcul future lancée à partir de celles-ci. Les images et tous les changements les concernant devraient provenir de sources connues et fiables.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Faible
• étiquettes : Calcul

• Conservez les paramètres par défaut.

Description : alerte lorsqu'un système de base de données est interrompu.

Recommandation : Assurez-vous qu'un administrateur autorisé approuve et effectue l'arrêt du système de base de données et des bases de données connexes.

Carrière-plan : Les systèmes de base de données peuvent contenir des données sensibles et fournir des fonctionnalités essentielles. La fin d'un système de base de données le supprime définitivement, ainsi que toutes les bases de données qui s'y exécutent et tous les volumes de stockage qui lui sont attachés.

Paramètres de la règle :

• Type de service : Système de BD
• Type de ressource : Système
• Niveau de risque : Élevé
• Nom : Base de données

• Conservez les paramètres par défaut.

Description : Alerte émise lorsque des clés d'API IAM sont créées pour un utilisateur.

Recommandation : Assurez-vous que les clés d'API ne sont créées que par des utilisateurs autorisés à le faire, pour eux-mêmes ou pour d'autres utilisateurs.

Carrière-plan : Des clés d'API sont nécessaires pour utiliser l'une des trousses SDK Oracle ou d'autres outils de développement. L'utilisation de ces outils de développement par des personnes dont la fonction ne l'exige pas constitue une vulnérabilité de sécurité.

Paramètres de la règle :

• (Statut : désactivé)
• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Faible
• Étiquettes : IAM

• Activez la règle si vous voulez voir quels utilisateurs effectuent des opérations liées au groupe.
• Groupes conditionnels : Déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs autorisés à créer des clés d'API pour les utilisateurs.

Description : Alerte émise lorsque la clé d'API IAM d'un utilisateur est supprimée.

Recommandation : Assurez-vous que les clés d'API ne sont supprimées que par les utilisateurs autorisés à les créer et à les supprimer.

Carrière-plan : Des clés d'API sont nécessaires pour utiliser l'une des trousses SDK Oracle ou d'autres outils de développement. La suppression de clés d'API pour un utilisateur qui travaille avec les outils de développement Oracle peut avoir une incidence grave sur la productivité.

Paramètres de la règle :

• (Statut : désactivé)
• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Faible
• Étiquettes : IAM

• Activez la règle si vous voulez voir quels utilisateurs effectuent des opérations liées au groupe.
• Groupes conditionnels : Déclencher un problème uniquement si l'utilisateur n'appartient pas à un groupe d'administrateurs autorisés à supprimer les clés d'API des utilisateurs.

Description : Alerte émise lorsqu'un jeton d'authentification IAM est créé pour un utilisateur.

Recommandation : Assurez-vous que les jetons d'authentification IAM sont créés par et pour les utilisateurs autorisés.

Carrière-plan : Les jetons d'authentification peuvent être utilisés pour l'authentification avec des API tierces. L'accessibilité de jetons d'authentification pour des personnes dont la fonction n'en exige pas constitue une vulnérabilité de sécurité. Voir Données d'identification d'utilisateur.

Paramètres de la règle :

• (Statut : désactivé)
• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Faible
• Étiquettes : IAM

• Activez la règle si vous voulez voir quels utilisateurs effectuent des opérations liées au groupe.
• Groupes conditionnels : Déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs autorisés à créer des jetons d'authentification IAM.

Description : Alerte émise lorsqu'un jeton d'authentification IAM est supprimé pour un utilisateur.

Recommandation : Assurez-vous que les jetons d'authentification IAM sont supprimés par les utilisateurs autorisés.

Carrière-plan : Les jetons d'authentification peuvent être utilisés pour l'authentification avec des API tierces. L'accessibilité de jetons d'authentification pour des personnes dont la fonction n'en exige pas constitue une vulnérabilité de sécurité. Voir Données d'identification d'utilisateur.

Paramètres de la règle :

• (Statut : désactivé)
• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Faible
• Étiquettes : IAM

• Activez la règle si vous voulez voir quels utilisateurs effectuent des opérations liées au groupe.
• Groupes conditionnels : Déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs autorisés à supprimer des jetons d'authentification IAM.

Description : Alerte émise lorsque des clés de client IAM sont créées.

Recommandation : Assurez-vous que ces clés ne sont créées que pour les utilisateurs autorisés.

Carrière-plan : Les clés secrètes du client sont créées pour l'utilisation de l'API de compatibilité Amazon S3 avec le stockage d'objets.

Paramètres de la règle :

• (Statut : désactivé)
• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Faible
• Étiquettes : IAM

• Activez la règle si vous voulez voir quels utilisateurs effectuent des opérations liées au groupe.
• Groupes conditionnels : Déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs autorisés à créer des clés de client IAM.

Description : Alerte émise lorsque les clés de client IAM sont supprimées.

Recommandation : Assurez-vous que la suppression de ces clés est prévue.

Carrière-plan : Les clés secrètes du client sont créées pour l'utilisation de l'API de compatibilité Amazon S3 avec le stockage d'objets.

Paramètres de la règle :

• (Statut : désactivé)
• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Faible
• Étiquettes : IAM

• Activez la règle si vous voulez voir quels utilisateurs effectuent des opérations liées au groupe.
• Groupes conditionnels : Déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs autorisés à supprimer des clés de client IAM.

Description : Alerte émise lorsqu'un groupe IAM est créé.

Recommandation : Assurez-vous que seuls les utilisateurs autorisés créent des groupes IAM.

Carrière-plan : Les groupes contrôlent l'accès aux ressources et aux privilèges.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Groupe
• Niveau de risque : Mineur
• Étiquettes : IAM

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'un groupe IAM est supprimé.

Recommandation : Assurez-vous que seuls les utilisateurs autorisés effectuent des suppressions de groupe IAM.

Carrière-plan : Les groupes contrôlent l'accès aux ressources et aux privilèges.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : GROUP
• Niveau de risque : Mineur
• Étiquettes : IAM

• Conservez les paramètres par défaut.

Description : Alerte émise lorsque les données d'identification IAM OAuth 2.0 sont créées.

Recommandation : Assurez-vous que ces données d'identification ne sont créées que pour les utilisateurs autorisés.

Contexte : Les données d'identification IAM OAuth 2.0 permettent d'interagir avec les API de ces services qui utilisent l'autorisation OAuth 2.0. Voir Données d'identification d'utilisateur.

Paramètres de la règle :

• (Statut : désactivé)
• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Faible
• Étiquettes : IAM

• Activez la règle si vous voulez voir quels utilisateurs effectuent des opérations liées au groupe.
• Groupes conditionnels : Déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs autorisés à créer des données d'identification IAM OAuth 2.0.

Description : Alerte émise lorsque les données d'identification IAM OAuth 2.0 sont supprimées.

Recommandation : Assurez-vous que la suppression de ces données d'identification est prévue.

Contexte : Les données d'identification IAM OAuth 2.0 permettent d'interagir avec les API de ces services qui utilisent l'autorisation OAuth 2.0. Voir Données d'identification d'utilisateur.

Paramètres de la règle :

• (Statut : désactivé)
• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Faible
• Étiquettes : IAM

• Activez la règle si vous voulez voir quels utilisateurs effectuent des opérations liées au groupe.
• Groupes conditionnels : Déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs autorisés à supprimer les données d'identification IAM OAuth 2.0.

Description : Alerte émise lorsque les capacités d'un utilisateur IAM sont modifiées.

Recommandation : Assurez-vous que seuls les utilisateurs autorisés modifient les capacités d'un utilisateur IAM.

Carrière-plan : Pour accéder à Oracle Cloud Infrastructure, un utilisateur doit disposer des données d'identification requises telles que des clés d'API et des jetons d'authentification, entre autres.

Paramètres de la règle :

• (Statut : désactivé)
• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Faible
• Étiquettes : IAM

• Activez la règle si vous voulez voir quels utilisateurs effectuent des opérations liées au groupe.
• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'un utilisateur local ou fédéré est créé dans le service IAM pour OCI.

Recommandation : Assurez-vous que seuls les utilisateurs autorisés créent des utilisateurs IAM.

Contexte : Un utilisateur IAM peut être un employé ou un système individuel qui a besoin de gérer ou d'utiliser les ressources Oracle Cloud Infrastructure de votre entreprise.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Mineur
• Étiquettes : IAM

• Conservez les paramètres par défaut.

Description : Avis lorsque le mot de passe de la console d'utilisateur est créé ou réinitialisé.

Recommandation : Assurez-vous que le mot de passe d'un utilisateur est réinitialisé par ce dernier ou par un utilisateur administrateur autorisé à réinitialiser les mots de passe.

Carrière-plan : La réinitialisation du mot de passe d'un utilisateur à plusieurs reprises, ou par un utilisateur non autorisé à le faire, peut indiquer un risque de sécurité.

Paramètres de la règle :

• (Statut : désactivé)
• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Faible
• Étiquettes : IAM

• Activez la règle si vous voulez voir quels utilisateurs effectuent des opérations liées au groupe.
• Groupes conditionnels : Déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs autorisés à réinitialiser les mots de passe des utilisateurs.

Description : alerte lorsqu'une politique de sécurité est modifiée.

Recommandation :

Carrière-plan : La modification des politiques a une incidence sur tous les utilisateurs du groupe et pourrait accorder des privilèges à des utilisateurs qui n'en ont pas besoin.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Politique
• Niveau de risque : Faible
• Labels : CIS_OCI_V1.1_MONITORING, IAM

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'un utilisateur local pour lequel l'authentification multifacteur n'est pas activée est authentifié.

Recommandation : Assurez-vous que l'authentification multifacteur est activée pour tous les utilisateurs.

Contexte : L'authentification multifacteur augmente la sécurité en exigeant la compromission de plusieurs données d'identification pour emprunter l'identité d'un utilisateur. Les utilisateurs non autorisés ne pourront pas répondre à la deuxième exigence d'authentification et ne pourront pas accéder à l'environnement.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Élevé
• Étiquettes : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'un utilisateur est ajouté à un groupe.

Recommandation : Assurez-vous que l'utilisateur a le droit d'être membre du groupe.

Carrière-plan : Les groupes contrôlent l'accès aux ressources et aux privilèges. Les changements de membres des groupes sensibles doivent être surveillés attentivement.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Groupe
• Niveau de risque : Mineur
• Étiquettes : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Conservez les paramètres par défaut.

Description : alerte lorsqu'un utilisateur est retiré d'un groupe.

Recommandation : Assurez-vous que l'utilisateur a le droit d'être membre du groupe.

Carrière-plan : Les groupes contrôlent l'accès aux ressources et aux privilèges. Les changements de membres des groupes sensibles doivent être surveillés attentivement.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Mineur
• Étiquettes : IAM

• Groupes conditionnels : Déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs autorisés à retirer des utilisateurs de ce groupe.

Description : Alerte émise lorsqu'une passerelle de routage dynamique (DRG) est attachée à un VCN.

Recommandation : Assurez-vous que l'attachement de cette passerelle DRG au VCN est autorisé et attendu dans ce compartiment par la ressource (utilisateur).

Contexte : Les passerelles DRG sont utilisées pour connecter des réseaux sur place existants à un réseau en nuage virtuel (VCN) avec un RPV IPSec ou FastConnect.

Paramètres de la règle :

• (Statut : désactivé)
• Type de service :
• Type de ressource : DRG
• Niveau de risque : Mineur
• étiquettes : Réseau

• Activez la règle si vous voulez voir quels utilisateurs effectuent des opérations liées au groupe.
• Groupes conditionnels : Déclenchez un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs autorisés à attacher des passerelles DRG à des réseaux en nuage virtuels.

Description : alerte lorsqu'une passerelle de routage dynamique (DRG) est créée.

Recommandation : Assurez-vous que la création de cette passerelle de reprise après sinistre est autorisée et prévue dans ce compartiment par la ressource (utilisateur).

Contexte : Les passerelles DRG sont utilisées pour connecter des réseaux sur place existants à un réseau en nuage virtuel (VCN) avec un RPV IPSEC ou FastConnect.

Paramètres de la règle :

• (Statut : désactivé)
• Type de service :
• Type de ressource : DRG
• Niveau de risque : Mineur
• étiquettes : Réseau

• Activez la règle si vous voulez voir quels utilisateurs effectuent des opérations liées au groupe.
• Groupes conditionnels : Déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs autorisés à créer des passerelles DRG.

Description : alerte lorsqu'une passerelle de routage dynamique (DRG) est supprimée.

Recommandation : Assurez-vous que la suppression de cette passerelle DRG est permise et prévue par la ressource (utilisateur).

Contexte : Les passerelles DRG sont utilisées pour connecter des réseaux sur place existants à un réseau en nuage virtuel (VCN) avec un RPV IPSec ou FastConnect.

Paramètres de la règle :

• (Statut : désactivé)
• Type de service :
• Type de ressource : DRG
• Niveau de risque : Mineur
• étiquettes : Réseau

• Activez la règle si vous voulez voir quels utilisateurs effectuent des opérations liées au groupe.
• Groupes conditionnels : Déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs autorisés à supprimer des passerelles DRG.

Description : Alerte émise lorsqu'une passerelle de routage dynamique (DRG) est détachée d'un VCN.

Recommandation : Assurez-vous que le détachement de cette passerelle DRG du VCN est autorisé et attendu dans ce compartiment par la ressource (utilisateur).

Contexte : Les passerelles DRG sont utilisées pour connecter des réseaux sur place existants à un réseau en nuage virtuel (VCN) avec un RPV IPSec ou FastConnect.

Paramètres de la règle :

• (Statut : désactivé)
• Type de service :
• Type de ressource : DRG
• Niveau de risque : Mineur
• étiquettes : Réseau

• Activez la règle si vous voulez voir quels utilisateurs effectuent des opérations liées au groupe.
• Groupes conditionnels : Déclenchez un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs autorisés à détacher des passerelles DRG des réseaux en nuage virtuels.

Description : alerte lorsqu'un sous-réseau est modifié.

Recommandation : Assurez-vous que la modification du VCN est autorisée et attendue dans ce compartiment.

Contexte : Les sous-réseaux sont des subdivisions d'un VCN. Les instances de calcul connectées dans le même sous-réseau utilisent les mêmes table de routage, listes de sécurité et options DHCP.

Paramètres de la règle :

• Type de service :
• Type de ressource : Sous-réseau
• Niveau de risque : Faible
• étiquettes : Réseau

• Conservez les paramètres par défaut.

Description : alerte lorsqu'un sous-réseau est supprimé.

Recommandation : Activez l'authentification multifacteur (MFA) pour vous assurer qu'il s'agit d'un utilisateur réellement connecté et que les données d'identification ne sont pas compromises.

Contexte : Les sous-réseaux sont des subdivisions d'un VCN. Les instances de calcul connectées dans le même sous-réseau utilisent les mêmes table de routage, listes de sécurité et options DHCP.

Paramètres de la règle :

• Type de service :
• Type de ressource : Sous-réseau
• Niveau de risque : Faible
• étiquettes : Réseau

• Conservez les paramètres par défaut.

Description : alerte lorsqu'un utilisateur se connecte ou qu'un appel d'API est effectué à partir d'une adresse IP suspicieuse. Si la politique appropriée est en place, fournissez un lien entre le problème lié au service de protection d'infrastructure en nuage et les informations détaillées sur l'adresse IP suspicieuse dans le service de renseignement sur les menaces. Pour plus de détails sur la politique requise, voir Politiques GIA du service de renseignement sur les menaces.

Recommandation : Activez l'authentification multifacteur (MFA) pour vous assurer qu'il s'agit d'un utilisateur réellement connecté et que les données d'identification ne sont pas compromises.

Carrière-plan : Un utilisateur connecté à partir d'une adresse IP suspicieuse constitue une menace potentielle.

Paramètres de la règle :

• Type de service :Oracle Cloud Guard
• Type de ressource : Sécurité.
• Niveau de risque : CRITIQUE
• étiquettes : Réseau

• Configuration : Dans la section Paramètre d'entrée de la règle, ajoutez des blocs CIDR à une liste de blocage ou d'autorisation ou des adresses IP spécifiques.

Description : Alerte émise lorsqu'un réseau VCN est créé.

Recommandation : Assurez-vous que la création d'un nouveau VCN est autorisée et attendue dans ce compartiment.

Contexte : Le réseau en nuage virtuel VCN est un réseau privé virtuel que vous configurez dans les centres de données Oracle. Comme un réseau traditionnel, il peut contenir des règles de pare-feu et des types spécifiques de passerelles de communication.

Paramètres de la règle :

• Type de service :
• Type de ressource : VCN
• Niveau de risque : Faible
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'un réseau VCN est créé.

Recommandation : Assurez-vous que la suppression d'un VCN est autorisée et attendue dans ce compartiment.

Contexte : Le réseau en nuage virtuel VCN est un réseau privé virtuel que vous configurez dans les centres de données Oracle. Comme un réseau traditionnel, il peut contenir des règles de pare-feu et des types spécifiques de passerelles de communication. La suppression d'un réseau en nuage virtuel peut modifier le routage, la résolution du nom de domaine complet et d'autres opérations de réseau.

Paramètres de la règle :

• Type de service :
• Type de ressource : VCN
• Niveau de risque : Moyen
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'une option DHCP de VCN est modifiée.

Recommandation : Assurez-vous que la modification des informations DHCP et DNS est autorisée pour ce VCN et les ressources connexes.

Contexte : Les options DHCP contrôlent certains types de configuration sur les instances d'un VCN, notamment la spécification de domaines de recherche et de résolveurs DNS qui peuvent diriger les communications au sein des réseaux en nuage virtuels vers des ressources Internet. Les modifications apportées à un réseau en nuage virtuel peuvent changer le routage, la résolution du nom de domaine complet et d'autres opérations de réseau.

Paramètres de la règle :

• Type de service :
• Type de ressource : DHCP
• Niveau de risque : Moyen
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'une passerelle Internet de VCN est créée.

Recommandation : Assurez-vous que la création d'une passerelle Internet est autorisée pour ce VCN et ses ressources connexes.

Contexte : Les passerelles Internet sont des routeurs virtuels que vous pouvez ajouter à votre VCN pour activer la connectivité directe (entrante ou sortante) à Internet. Les modifications apportées à un réseau en nuage virtuel peuvent changer le routage, la résolution du nom de domaine complet et d'autres opérations de réseau.

Paramètres de la règle :

• Type de service :
• Type de ressource : Passerelle Internet
• Niveau de risque : Moyen
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'une passerelle Internet de VCN est arrêtée.

Recommandation : Assurez-vous que la suppression d'une passerelle Internet est autorisée pour ce VCN et ses ressources connexes.

Contexte : Les passerelles Internet sont des routeurs virtuels que vous pouvez ajouter à votre VCN pour activer la connectivité directe (entrante ou sortante) à Internet. Les modifications apportées à un réseau en nuage virtuel peuvent changer le routage, la résolution du nom de domaine complet et d'autres opérations de réseau.

Paramètres de la règle :

• Type de service :
• Type de ressource : Passerelle Internet
• Niveau de risque : Faible
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'une passerelle d'appairage local de VCN est modifiée.

Recommandation : Assurez-vous que les modifications apportées à la passerelle LPG sont autorisées pour ce VCN et ses ressources connexes.

Contexte : Les passerelles d'appairage local de VCN connectent deux réseaux en nuage virtuels de la même région sans acheminer le trafic sur Internet. Les ressources de ces passerelles dans ces réseaux servent à communiquer directement avec des adresses IP privées. Les modifications apportées aux passerelles d'appairage local peuvent avoir une incidence sur l'accès aux ressources et sur les communications à travers les réseaux en nuage virtuels. Les modifications apportées à un réseau en nuage virtuel peuvent changer le routage, la résolution du nom de domaine complet et d'autres opérations de réseau.

Paramètres de la règle :

• Type de service :
• Type de ressource : Passerelle d'appairage local
• Niveau de risque : Moyen
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsque le groupe de sécurité de réseau d'un VCN est supprimé.

Recommandation : Assurez-vous que la suppression du groupe de sécurité de réseau est autorisée pour ce VCN et ses ressources connexes.

Carrière-plan : Les groupes de sécurité de réseau servent de pare-feu virtuel pour les instances de calcul et d'autres types de ressource. Les groupes de sécurité de réseau disposent d'un ensemble de règles de sécurité de trafic entrant et sortant appliquées à un ensemble de cartes réseau virtuelles dans un réseau en nuage virtuel. La suppression de groupes de sécurité peut supprimer les protections entre les ressources d'un réseau en nuage virtuel et entraîner un refus d'accès aux ressources ou la perte de données.

Paramètres de la règle :

• Type de service :
• Type de ressource : Groupe de sécurité de réseau
• Niveau de risque : Élevé
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsque la règle de trafic sortant d'un groupe de sécurité de réseau du VCN est modifiée.

Recommandation : Assurez-vous que les nouvelles règles de trafic sortant sont autorisées pour ce groupe et ses ressources connexes.

Carrière-plan : Les groupes de sécurité de réseau servent de pare-feu virtuel pour les instances de calcul et d'autres types de ressource. Les groupes de sécurité de réseau disposent d'un ensemble de règles de sécurité de trafic entrant et sortant appliquées à un ensemble de cartes réseau virtuelles dans un réseau en nuage virtuel. Les modifications apportées à la règle de trafic sortant peuvent entraîner un refus d'accès aux ressources.

Paramètres de la règle :

• Type de service :
• Type de ressource : Groupe de sécurité de réseau
• Niveau de risque : Moyen
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsque la règle de trafic entrant d'un groupe de sécurité de réseau du VCN est modifiée.

Recommandation : Assurez-vous que les nouvelles règles de trafic entrant sont autorisées pour ce groupe et ses ressources connexes.

Carrière-plan : Les groupes de sécurité de réseau servent de pare-feu virtuel pour les instances de calcul et d'autres types de ressource. Les groupes de sécurité de réseau disposent d'un ensemble de règles de sécurité de trafic entrant et sortant appliquées à un ensemble de cartes réseau virtuelles dans un réseau en nuage virtuel. Les modifications apportées aux règles de trafic entrant de groupe de sécurité risquent d'autoriser des connexions et du trafic vers de nouvelles ressources et des cartes d'interface dans le réseau en nuage virtuel.

Paramètres de la règle :

• Type de service :
• Type de ressource : Groupe de sécurité de réseau
• Niveau de risque : Moyen
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsque la table de routage d'un VCN est modifiée.

Recommandation : Assurez-vous que la modification apportée à la table de routage est permise et prévue dans ce compartiment.

Carrière-plan : Les tables de routage virtuelles ont des règles qui ressemblent et agissent comme des règles de routage réseau traditionnelles. Les tables de routage mal configurées peuvent envoyer le trafic réseau vers un trou noir ou une cible non désirée. Les modifications apportées à un réseau en nuage virtuel peuvent changer le routage, la résolution du nom de domaine complet et d'autres opérations de réseau.

Paramètres de la règle :

• Type de service :
• Type de ressource : Table de routage
• Niveau de risque : Moyen
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsque la liste de sécurité est créée pour un VCN.

Recommandation : Assurez-vous que la création de cette liste de sécurité est autorisée pour ce VCN et ses ressources connexes.

Carrière-plan : Les listes de sécurité servent de pare-feu virtuels pour les instances de calcul et d'autres ressources et se composent d'ensembles de règles de trafic entrant et sortant qui s'appliquent à toutes les cartes d'interface réseau virtuelles de tout sous-réseau associé à cette liste. Plusieurs listes de sécurité peuvent s'appliquer aux ressources et donner accès aux ports et adresses IP de ces ressources. Les modifications apportées à un réseau en nuage virtuel peuvent changer le routage, la résolution du nom de domaine complet et d'autres opérations de réseau.

Paramètres de la règle :

• Type de service :
• Type de ressource : Liste de sécurité
• Niveau de risque : Faible
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsque la liste de sécurité d'un VCN est supprimée.

Recommandation : Assurez-vous que la suppression de cette liste de sécurité est autorisée pour ce VCN et ses ressources connexes.

Carrière-plan : Les listes de sécurité servent de pare-feu virtuels pour les instances de calcul et d'autres ressources et se composent d'ensembles de règles de trafic entrant et sortant qui s'appliquent à toutes les cartes d'interface réseau virtuelles de tout sous-réseau associé à cette liste. Plusieurs listes de sécurité peuvent s'appliquer aux ressources et donner accès aux ports et adresses IP de ces ressources. Les modifications apportées à un réseau en nuage virtuel peuvent changer le routage, la résolution du nom de domaine complet et d'autres opérations de réseau.

Paramètres de la règle :

• Type de service :
• Type de ressource : Liste de sécurité
• Niveau de risque : Moyen
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsque les règles de trafic sortant de la liste de sécurité d'un VCN sont modifiées.

Recommandation : Assurez-vous que les modifications apportées aux règles de sortie sont permises pour cette liste de sécurité et ses ressources connexes.

Carrière-plan : Les listes de sécurité servent de pare-feu virtuels pour les instances de calcul et d'autres ressources et se composent d'ensembles de règles de trafic entrant et sortant qui s'appliquent à toutes les cartes d'interface réseau virtuelles de tout sous-réseau associé à cette liste. Plusieurs listes de sécurité peuvent s'appliquer aux ressources et donner accès aux ports et adresses IP de ces ressources. Les modifications apportées à un réseau en nuage virtuel peuvent changer le routage, la résolution du nom de domaine complet et d'autres opérations de réseau.

Paramètres de la règle :

• Type de service :
• Type de ressource : Liste de sécurité
• Niveau de risque : Moyen
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsque les règles de trafic entrant de la liste de sécurité d'un VCN sont modifiées.

Recommandation : Assurez-vous que les modifications apportées aux règles de trafic entrant sont permises pour cette liste de sécurité et ses ressources connexes.

Carrière-plan : Les listes de sécurité servent de pare-feu virtuels pour les instances de calcul et d'autres ressources et se composent d'ensembles de règles de trafic entrant et sortant qui s'appliquent à toutes les cartes d'interface réseau virtuelles de tout sous-réseau associé à cette liste. Plusieurs listes de sécurité peuvent s'appliquer aux ressources et donner accès aux ports et adresses IP de ces ressources. Les modifications apportées à un réseau en nuage virtuel peuvent changer le routage, la résolution du nom de domaine complet et d'autres opérations de réseau.

Paramètres de la règle :

• Type de service :
• Type de ressource : Liste de sécurité
• Niveau de risque : Moyen
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte lorsqu'une instance de calcul a une adresse IP publique.

Recommandation : Examinez soigneusement comment accorder l'accès aux instances par Internet. Vous risqueriez, par exemple, d'autoriser accidentellement un accès Internet à des instances de base de données sensibles.

Contexte : Pour qu'une instance soit publiquement adressable, elle doit :

• Avoir une adresse IP publique
• Figurer dans un sous-réseau public d'ordinateurs virtuels
• Se trouver sur un réseau en nuage virtuel doté d'une passerelle Internet activée et configurée pour le trafic sortant
• Se trouver sur un sous-réseau où la liste de sécurité est configurée pour toutes les adresses IP et tous les ports (0.0.0.0/0)

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Élevé
• Labels : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Calcul

• Supprimer l'adresse IP publique de l'instance : Suivez les instructions sous Pour supprimer une adresse IP publique éphémère d'une instance :.

Description : alerte quand une instance de calcul n'est pas construite à partir d'une image publique Oracle.

Recommandation : Assurez-vous que vos instances exécutent toutes des images sanctionnées provenant de sources fiables.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Faible
• étiquettes : Calcul

• Conservez les paramètres par défaut.

Description : alerte lorsqu'une instance est accessible publiquement.

Recommandation : Examinez soigneusement comment accorder l'accès aux instances par Internet.

Contexte : Pour qu'une instance soit publiquement adressable, elle doit :

• Avoir une adresse IP publique
• Figurer dans un sous-réseau public d'un réseau en nuage virtuel
• Se trouver sur un réseau en nuage virtuel doté d'une passerelle Internet activée et configurée pour le trafic sortant
• Se trouver sur un sous-réseau où la liste de sécurité est configurée pour toutes les adresses IP et tous les ports (0.0.0.0/0)

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : CRITIQUE
• étiquettes : Calcul

• Groupes conditionnels : Filtrer les OCID d'instance pour ceux qui doivent avoir une adresse IP publique.

Description : alerte lorsqu'une instance de calcul en cours d'exécution est construite à partir d'une image publique Oracle.

Recommandation : Assurez-vous que vos instances exécutent toutes des images sanctionnées provenant de sources fiables.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Faible
• étiquettes : Calcul

• Conservez les paramètres par défaut.

Description : alerte lorsqu'une instance de calcul s'exécute sans les marqueurs configurés requis.

Recommandation : Assurez-vous que les instances utilisent les marqueurs requis.

Carrière-plan : Les marqueurs sont importants à des fins de vérification et de suivi.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Moyen
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configuration : Ajoutez les marqueurs requis dans la section Paramètre d'entrée de la règle.

  Ces formats sont autorisés dans la zone Configuration de l'entrée. Séparez les entrées multiples par des virgules.

  • <namespace>.<definedkey>=<definedValue>
  • <namespace>.<definedKey>
  • <freeformkey>=<freeformValue>
  • <freeformkey>

  Exemples :

  • <namespace>.<definedkey>=<definedValue>
    • Operations.Environment=Production - La règle ne déclenche pas de problème si la ressource a un marqueur réglé à l'espace de noms Operations, avec une clé Environment définie et une valeur Production définie.
    • Operations.*=* - La règle ne déclenche pas de problème si la ressource a un marqueur réglé à l'espace de noms Operations, avec n'importe quelle clé et n'importe quelle valeur définies.
  • <namespace>.<definedkey>
    • Operations.Environment - La règle ne déclenche pas de problème si la ressource a un marqueur réglé à l'espace de noms Operations, avec une clé Environment définie et n'importe quelle valeur définie.
  • <freeformKey>
    • Project - Si la ressource a un marqueur réglé à la clé à structure libre Project, la règle ne déclenche pas de problème.
  • <freeformKey>=freeformValue
    • Project=APPROVED - La règle ne déclenche pas de problème si la ressource a un marqueur réglé à la clé à structure libre Project, avec une valeur APPROVED.

Description : alerte lorsqu'une base de données pour laquelle le service de sécurité des données n'est pas activé est détectée.

Recommandation : Assurez-vous que le service de sécurité des données est activé pour tous les compartiments surveillés par le service de protection d'infrastructure en nuage, qui contiennent des bases de données. Voir Démarrer.

Carrière-plan : Le service de sécurité des données permet de s'assurer que les bases de données sont configurées de manière sécurisée. Activez ce service pour vous aider à surveiller, sécuriser et atténuer les risques au sein de vos bases de données Oracle en nuage.

Paramètres de la règle :

• Type de service : Service de sécurité des données
• Type de ressource : Location
• Niveau de risque : Élevé
• Nom : Sécurité des données

• Conservez les paramètres par défaut.

Description : Alerte émise lorsque la sauvegarde automatique n'est pas activée pour une base de données.

Recommandation : Assurez-vous que la sauvegarde automatique est activée.

Carrière-plan : L'activation de la sauvegarde automatique garantit que si une défaillance matérielle catastrophique se produit, vous serez en mesure de restaurer la base de données avec une perte minimale de données.

Paramètres de la règle :

• Type de service : Base de données
• Type de ressource : Système de BD
• Niveau de risque : Élevé
• Nom : Base de données

• Groupes conditionnels : Filtrer les OCID de base de données pour ceux qui n'ont pas besoin d'être sauvegardés automatiquement, par exemple, les OCID dans les environnements de test pour développeurs.

Description : alerte lorsqu'une instance de base de données non enregistrée dans le service de sécurité des données est détectée.

Recommandation : Enregistrer cette instance de base de données dans le service de sécurité des données et configurer des évaluations pour évaluer et surveiller la configuration, vérifier les activités des utilisateurs et atténuer les risques. Voir Enregistrement des bases de données cibles.

Carrière-plan : Le service de sécurité des données permet de s'assurer que les bases de données sont configurées de manière sécurisée. Activez ce service pour vous aider à surveiller, sécuriser et atténuer les risques au sein de vos bases de données Oracle Cloud.

Paramètres de la règle :

• Type de service : Service de sécurité des données
• Type de ressource : Location
• Niveau de risque : Moyen
• Nom : Sécurité des données

• Conservez les paramètres par défaut.

Description : alerte lorsqu'un correctif de base de données disponible n'a pas été appliqué dans le délai spécifié.

Recommandation : Appliquez les correctifs publiés à la base de données lorsqu'ils sont disponibles.

Carrière-plan : Les correctifs de base de données règlent les problèmes de fonctionnalités, de sécurité et de performance. La plupart des atteintes à la sécurité peuvent être évitées en appliquant les correctifs disponibles.

Paramètres de la règle :

• Type de service : Base de données
• Type de ressource : Système de BD
• Niveau de risque : Moyen
• Nom : Base de données

• Configuration : Définissez le nombre de jours pour appliquer le correctif dans la section Configuration de l'entrée de la règle.
• Groupes conditionnels : Filtrer les OCID de base de données pour ceux qui n'ont pas besoin d'appliquer le dernier correctif, par exemple les OCID dans les environnements de test pour développeurs.

Recommandation : Assurez-vous que l'adresse IP du système de base de données n'est pas publique.

Carrière-plan : L'utilisation d'une adresse IP publique pour accéder à une base de données augmente votre exposition aux risques potentiels en matière de sécurité et de continuité des activités.

Paramètres de la règle :

• Type de service : Base de données
• Type de ressource : Système de BD
• Niveau de risque : Élevé
• Nom : Base de données

• Groupes conditionnels : Filtrer les OCID de base de données pour ceux qui sont censés être publics.

Description : alerte lorsqu'une base de données est accessible publiquement.

Recommandation : Examiner soigneusement comment accorder l'accès à un système de base de données par Internet.

Carrière-plan : Pour qu'une base de données soit accessible publiquement, elle doit :

• Avoir une adresse IP publique.
• Figurer dans un sous-réseau public d'un réseau en nuage virtuel.
• Figurer dans un sous-réseau doté d'une passerelle Internet activée et configurée pour le trafic sortant.
• Figurer dans :
  • Un sous-réseau dans lequel la liste de sécurité autorise le trafic depuis n'importe quel intervalle de blocs CIDR source et "Tous les protocoles", ou...
  • Un groupe de sécurité de réseau qui autorise le trafic depuis n'importe quel intervalle de blocs CIDR source et "Tous les protocoles".

Paramètres de la règle :

• Type de service : Base de données
• Type de ressource : ExadataBareMetalVM
• Niveau de risque : CRITIQUE
• Nom : Base de données

• Groupes conditionnels : Filtrer les OCID de base de données pour ceux qui sont censés être publics.

Description : alerte lorsqu'un correctif de système de base de données disponible n'a pas été appliqué.

Recommandation : Appliquer les correctifs publiés au système de base de données lorsqu'ils sont disponibles.

Carrière-plan : Les correctifs de système de base de données comprennent souvent des mises à jour qui éliminent les vulnérabilités de sécurité connues.

Paramètres de la règle :

• Type de service : Base de données
• Type de ressource : Système de BD
• Niveau de risque : Moyen
• Nom : Base de données

• Configuration : Définissez le nombre de jours pour appliquer le correctif dans la section Configuration de l'entrée de la règle.
• Groupes conditionnels : Filtrer les OCID de système de base de données pour ceux qui n'ont pas besoin d'appliquer le dernier correctif, par exemple les OCID dans les environnements de test pour développeurs.

Description : alerte lorsqu'un système de base de données est exécuté avec une version non approuvée.

Recommandation : Assurez-vous que la version du système de base de données déployée est approuvée et testée.

Contexte : L'exécution de versions non autorisées de systèmes de base de données pourrait augmenter les risques d'atteinte à la sécurité, menaçant la confidentialité, l'intégrité et la disponibilité de vos données.

Paramètres de la règle :

• Type de service : Base de données
• Type de ressource : Système de BD
• Niveau de risque : CRITIQUE
• Nom : Base de données

• Groupes conditionnels : Filtrer les OCID de système de base de données pour ceux qui n'ont pas besoin d'une version approuvée, par exemple les OCID dans les environnements de test pour développeurs.

Description : alerte lorsqu'une base de données est exécutée avec une version non approuvée.

Recommandation : Assurez-vous que la version de la base de données déployée est approuvée et testée.

Carrière-plan : La version approuvée d'une base de données présente les fonctionnalités de sécurité et les correctifs de vulnérabilité les plus récents. L'exécution de versions non autorisées d'une base de données pourrait augmenter les risques d'atteinte à la sécurité, menaçant la confidentialité, l'intégrité et la disponibilité de vos données.

Paramètres de la règle :

• Type de service : Base de données
• Type de ressource : Système de BD
• Niveau de risque : CRITIQUE
• Nom : Base de données

• Groupes conditionnels : Filtrer les OCID de base de données pour ceux qui n'ont pas besoin d'une version approuvée, par exemple les OCID dans les environnements de test pour développeurs.

Description : Alerte émise lorsqu'une paire clé privée/clé publique IAM affectée à un utilisateur est trop ancienne.

Recommandation : Effectuez régulièrement la rotation des clés d'API, tous les 90 jours au moins.

Contexte : La modification des clés d'API IAM au moins tous les 90 jours est une meilleure pratique de sécurité. Plus les données d'identification GIA resteront inchangées longtemps, plus le risque de compromission sera élevé.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : IAMKey
• Niveau de risque : Moyen
• Étiquettes : CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configuration : (Facultatif) Vous pouvez modifier la valeur de 90 jours dans la section Configuration de l'entrée de la règle.

Description : Alerte émise lorsque les jetons d'authentification IAM sont plus anciens que le nombre maximal de jours spécifié.

Recommandation : Effectuez une rotation régulière des jetons d'authentification IAM, au moins tous les 90 jours.

Contexte : La modification des jetons d'authentification IAM au moins tous les 90 jours est une meilleure pratique de sécurité. Plus les jetons d'authentification GIA resteront inchangés longtemps, plus le risque de compromission sera élevé.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Moyen
• Étiquettes : CIS_OCI_V1.1_IAM, IAM

• Configuration : Définissez le nombre maximum de jours pour les jetons d'authentification IAM (90) dans la section Paramètre d'entrée de la règle.

Description : Alerte émise lorsque les clés secrètes de client IAM sont antérieures au nombre maximal de jours spécifié.

Recommandation : Effectuez une rotation régulière des clés secrètes de client IAM, au moins tous les 90 jours.

Contexte : La modification des clés secrètes de client IAM au moins tous les 90 jours est une meilleure pratique de sécurité. Plus les clés secrètes de client GIA resteront inchangées longtemps, plus le risque de compromission sera élevé.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Moyen
• Étiquettes : CIS_OCI_V1.1_IAM, IAM

• Configuration : Définissez le nombre maximum de jours pour les clés secrètes de client IAM (90) dans la section Paramètre d'entrée de la règle.

Description : Alerte émise lorsqu'un groupe IAM comporte moins de membres que le nombre minimal spécifié.

recommande d'augmenter le nombre de membres du groupe pour qu'il dépasse le nombre minimal de membres spécifié.

Contexte : L'appartenance au groupe IAM accorde fréquemment l'accès aux ressources et aux fonctions. Les membres du groupe qui ont trop peu de membres peuvent représenter des privilèges en excédent devenus "orphelins" (qui ne sont plus disponibles aux utilisateurs).

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Groupe
• Niveau de risque : Faible
• Étiquettes : IAM

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'un groupe IAM comporte plus de membres que le nombre maximal spécifié.

Recommandation : Réduisez le nombre de membres du groupe pour qu'il soit inférieur au nombre maximal de membres spécifié.

Contexte : L'appartenance au groupe IAM accorde fréquemment l'accès aux ressources et aux fonctions. Les membres du groupe qui ont trop de membres peuvent représenter l'octroi de privilèges trop permissifs à un nombre trop élevé d'utilisateurs.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Groupe
• Niveau de risque : Moyen
• Étiquettes : IAM

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'un mot de passe IAM est antérieur au nombre maximal de jours spécifié.

Recommandation : Effectuez une rotation régulière des mots de passe IAM, au moins tous les 90 jours.

Contexte : La modification des mots de passe IAM au moins tous les 90 jours est une meilleure pratique de sécurité. Plus les données d'identification GIA resteront inchangées longtemps, plus le risque de compromission sera élevé.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Moyen
• Étiquettes : CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configuration : Définissez le nombre maximum de jours pour les mots de passe (par défaut, 90) dans la section Paramètre d'entrée de la règle.

Description : La politique de mot de passe ne répond pas aux exigences de complexité.

Recommandation : Oracle recommande qu'une politique de mot de passe fort inclue au moins une lettre inférieure.

Carrière-plan : Les mots de passe complexes sont plus difficiles à deviner et peuvent réduire les risques d'accès non autorisé ou de compromission des données.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Politique
• Niveau de risque : Faible
• Étiquettes : CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'une politique IAM accorde un rôle d'administrateur à un utilisateur qui n'est pas membre du groupe Administrateurs.

Recommandation : Assurez-vous que la politique est restreinte pour ne permettre qu'à des utilisateurs particuliers d'accéder aux ressources nécessaires à l'exercice de leurs fonctions.

Carrière-plan : Une politique est un document qui spécifie qui peut accéder aux ressources OCI de votre entreprise, et comment. Une politique permet simplement à un groupe d'utiliser de certaines façons des types spécifiques de ressource dans un compartiment donné.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Politique
• Niveau de risque : Moyen
• Étiquettes : CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configuration : Ajoutez des OCID pour tous les groupes auxquels ces privilèges doivent être autorisés dans la section Paramètre d'entrée de la règle.

Description : Alerte émise lorsque le privilège d'administrateur de la location est accordé à un groupe IAM supplémentaire.

Recommandation : Vérifiez auprès de l'administrateur OCI que l'octroi de ce droit a été approuvé et que l'appartenance au groupe demeure valide après l'octroi du privilège d'administrateur.

Contexte : Les membres du groupe d'administrateurs de location par défaut peuvent effectuer toute action sur toutes les ressources de cette location. Ce droit à privilège élevé doit être contrôlé et limité aux seuls utilisateurs qui en ont besoin pour accomplir leurs fonctions.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Politique
• Niveau de risque : Faible
• Étiquettes : CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configuration : Ajoutez les OCID des groupes qui doivent avoir le privilège d'administration dans la section Paramètre d'entrée de la règle.

Description : alerte lorsque l'authentification multifacteur (MFA) n'est pas activée pour un utilisateur.

Recommandation : Activez l'authentification multifacteur pour tous les utilisateurs, à l'aide de l'application Oracle Mobile Authenticator (OMA) sur l'appareil mobile de chacun et du code secret unique envoyé à l'adresse de courriel enregistrée de l'utilisateur.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : CRITIQUE
  Note
  
  Si votre organisation a commencé à utiliser le service de protection d'infrastructure en nuage avant avril 2023, le niveau de risque par défaut est MOYEN.
• Étiquettes : CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Conservez les paramètres par défaut.

Description : Alerte lorsque des clés d'API sont activées pour un utilisateur.

Recommandation : Assurez-vous que l'accès OCI par les administrateurs au moyen de clés d'API n'est effectué qu'exceptionnellement. Ne codez pas les données d'identification GIA de façon permanente directement dans le logiciel ou des documents destinés à un large public.

Contexte : Les clés d'API IAM sont des données d'identification utilisées pour accorder l'accès par programmation aux ressources. Les utilisateurs humains réels ne doivent pas utiliser de clés d'API.

Paramètres de la règle :

• Type de service : IAM
• Type de ressource : Utilisateur :
• Niveau de risque : Faible
• Étiquettes : CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Conservez les paramètres par défaut.

Description : alerte lorsque la rotation d'une clé KMS n'a pas été spécifiée dans la période spécifiée.

Recommandation : Veillez à effectuer régulièrement la rotation des clés KMS.

Contexte : Pour la sécurité des informations, vous devez changer périodiquement les mots de passe, clés et matériel cryptographique ou effectuer leur rotation. La rotation de vos clés dans KMS réduit l'incidence et la probabilité de leur compromission. Définissez le minimum. Vous pouvez remplacer l'heure par défaut de rotation des clés de 180 jours dans la section Paramètre d'entrée de la règle.

Paramètres de la règle :

• Type de service : KMS
• Type de ressource : Clé de gestion des clés
• Niveau de risque : CRITIQUE
• Labels : CIS_OCI_V1.1_MONITORING, KMS

• Configuration : Définissez le délai par défaut de rotation des clés dans la section Configuration de l'entrée de la règle.

Description : alerte lorsque le marquage d'une ressource n'est pas conforme aux exigences que vous avez spécifiées.

Recommandation : Vérifiez que les marqueurs configurés sont utilisés pour les images de calcul, les instances de calcul, les systèmes de base de données, les réseaux en nuage virtuel, le stockage d'objets et les volumes par blocs de stockage.

Carrière-plan : Vérifiez que les marqueurs configurés sont utilisés pour les images de calcul, les instances de calcul, les systèmes de base de données, les réseaux en nuage virtuel, le stockage d'objets et les volumes par blocs de stockage.

Paramètres de la règle :

• Type de service : Plusieurs
• Type de ressource : Plusieurs
• Niveau de risque : Faible
• Labels : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configuration : Ajoutez les marqueurs appropriés dans la section Paramètre d'entrée de la règle.

Description : alerte lorsqu'un équilibreur de charge a une suite de chiffrement configurée oci-wider-compatible-ssl-cipher-suite-v1. Cette suite de chiffrement comprend des algorithmes tels que DES et RC4 considérés comme faibles et susceptibles d'être attaqués. Ne s'applique qu'aux suites de chiffrement prédéfinies et non aux valeurs personnalisées.

Facultativement, utilisez des conditions pour spécifier des suites de chiffrement supplémentaires à marquer.

Pour utiliser des chiffrements supplémentaires :

1. Modifier la règle de détecteur L'équilibreur de charge autorise les suites de chiffrement faibles.
2. Sous Paramètre d'entrée, entrez les chiffrements supplémentaires sous la forme d'une liste séparée par des virgules dans LB Weak Ciphers List.
   • Lorsque le paramètre d'entrée est vide (par défaut), oci-wider-compatible-ssl-cipher-suite-v1 est coché et marqué.
   • Lorsque le paramètre d'entrée contient des entrées, les chiffrements supplémentaires sont vérifiés, ainsi que oci-wider-compatible-ssl-cipher-suite-v1.
   Les chiffrements supplémentaires sont les suivants :

   • oci-compatible-ssl-cipher-suite-v1
   • oci-default-ssl-cipher-suite-v1
   • oci-modern-ssl-cipher-suite-v1
   • oci-tls-11-12-13-wider-ssl-cipher-suite-v1
   • oci-tls-12-13-wider-ssl-cipher-suite-v1

Recommandation : Utilisez des suites de chiffrement modernes par défaut qui prennent en charge un chiffrement renforcé.

Carrière-plan : Certaines versions de suites de chiffrement dotées d'algorithmes DES ne sont pas recommandées.

Paramètres de la règle :

• Type de service :
• Type de ressource : Équilibreur de charge
• Niveau de risque : Moyen
• étiquettes : Réseau

• Conservez les paramètres par défaut.

Description : alerte lorsqu'un protocole configuré dans le cadre de la politique SSL d'un équilibreur de charge inclut une version inférieure à TLS 1.2.

Recommandation : Assurez-vous que la version de politique SSL configurée est au moins TLS 1.2.

Carrière-plan : Les versions antérieures présentent des risques et sont vulnérables à de nombreux types d'attaque. Plusieurs normes, telles que PCI-DSS et NIST, encouragent fortement l'utilisation de TLS 1.2.

Paramètres de la règle :

• Type de service :
• Type de ressource : Équilibreur de charge
• Niveau de risque : Élevé
• étiquettes : Réseau

• Conservez les paramètres par défaut.

Description : alerte lorsqu'un équilibreur de charge n'est associé à aucun jeu dorsal.

Recommandation : Veillez à configurer des jeux dorsaux pour les équilibreurs de charge afin de contrôler l'état de ces derniers et leur accès par des instances définies.

Carrière-plan : Un jeu dorsal est une entité logique définie par une politique d'équilibrage de charge, de vérification d'état et une liste de serveurs dorsaux.

Paramètres de la règle :

• Type de service :
• Type de ressource : Équilibreur de charge
• Niveau de risque : CRITIQUE
• étiquettes : Réseau

• Conservez les paramètres par défaut.

Description : alerte lorsqu'une liste de sécurité d'un équilibreur de charge comporte des règles de trafic entrant qui acceptent le trafic d'une source ouverte (0.0.0.0/0).

Recommandation : Assurez-vous que vos équilibreurs de charge OCI utilisent des règles entrantes ou des modules d'écoute pour autoriser uniquement l'accès à partir de ressources connues.

Contexte : Les équilibreurs de charge OCI permettent des connexions TLS de bout en bout entre les applications d'un client et votre VCN. Un module d'écoute est une entité logique qui vérifie le trafic entrant au niveau de l'adresse IP de l'équilibreur. Pour gérer le trafic TCP, HTTP et HTTPS, vous devez configurer au moins un module d'écoute par type de trafic.

Paramètres de la règle :

• Type de service :
• Type de ressource : Équilibreur de charge
• Niveau de risque : Mineur
• étiquettes : Réseau

• Conservez les paramètres par défaut.

Description : alerte lorsqu'un équilibreur de charge est exécuté avec une adresse IP publique.

Recommandation : Assurez-vous que tous les équilibreurs de charge non requis pour être accessibles publiquement s'exécutent avec des adresses IP privées.

Carrière-plan : Une adresse IP publique sur un équilibreur de charge qui n'est pas destiné à être utilisé pour du contenu public crée une vulnérabilité de sécurité inutile.

Paramètres de la règle :

• Type de service :
• Type de ressource : Équilibreur de charge
• Niveau de risque : élevé :
• étiquettes : Réseau

• Groupes conditionnels : Filtrer les OCID de tout équilibreur de charge qui doit avoir une adresse IP publique.

Description : Avertissement lorsque le certificat SSL d'un équilibreur de charge doit expirer dans la période que vous spécifiez.

Recommandation : Veillez à ce que la rotation des certificats soit effectuée en temps opportun.

Arrière-plan : Pour assurer une sécurité et une utilisabilité continues, les certificats SSL doivent faire l'objet d'une rotation dans OCI.

Paramètres de la règle :

• Type de service :
• Type de ressource : Équilibreur de charge
• Niveau de risque : CRITIQUE
• étiquettes : Réseau

• Configuration : Définissez Nombre de jours avant expiration (48 par défaut) dans la section Configuration de l'entrée de la règle.

Description : alerte lorsque la règle de sortie d'un groupe de sécurité de réseau (NSG) contient une adresse IP de destination et un numéro de port non autorisés.

Recommandation : Assurez-vous que les règles de trafic sortant pour la communication avec l'adresse IP/le port sont autorisées pour ce groupe de sécurité de réseau.

Carrière-plan : Les groupes de sécurité de réseau servent de pare-feu virtuel pour les instances de calcul et d'autres types de ressources. Les règles de sécurité de trafic sortant du groupe de sécurité de réseau s'appliquent à un ensemble de cartes réseau virtuelles dans un réseau VCN pour permettre l'accès à des ports et à des adresses IP spécifiques.

Paramètres de la règle :

• Type de service :
• Type de ressource : Groupe de sécurité de réseau
• Niveau de risque : Moyen
• Labels : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Réseau

• Configuration : Ajoutez les ports non autorisés dans la section Paramètre d'entrée de la règle.

Description : alerte lorsque la règle de trafic entrant d'un groupe de sécurité de réseau contient une adresse IP de destination et un numéro de port non autorisés.

Recommandation : Assurez-vous que les règles de trafic entrant pour la communication avec l'adresse IP/le port sont autorisées pour ce groupe de sécurité de réseau.

Carrière-plan : Les groupes de sécurité de réseau servent de pare-feu virtuel pour les instances de calcul et d'autres types de ressources. Les règles de sécurité de trafic sortant des groupes de sécurité de réseau s'appliquent à un ensemble de cartes réseau virtuelles dans un réseau VCN pour permettre l'accès à des ports et à des adresses IP spécifiques.

Paramètres de la règle :

• Type de service :
• Type de ressource : Groupe de sécurité de réseau
• Niveau de risque : Élevé
• Labels : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Réseau

• Configuration : Ajoutez les ports non autorisés dans la section Paramètre d'entrée de la règle.

Description : Alerte émise lorsqu'un réseau VCN est attaché à une passerelle Internet.

Recommandation : Assurez-vous que les passerelles Internet sont autorisées à être attachées à un VCN et que cet attachement n'expose pas de ressources à Internet. Assurez-vous que les listes de sécurité comportent des règles de trafic entrant et qu'elles ne sont pas configurées pour permettre l'accès à partir de toutes les adresses IP 0.0.0.0/0.

Contexte : Les passerelles fournissent une connectivité externe aux hôtes d'un VCN. Elles comprennent une passerelle Internet pour la connectivité Internet.

Paramètres de la règle :

• Type de service :
• Type de ressource : VCN
• Niveau de risque : Faible
• Étiquettes : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'un réseau VCN est attaché à une passerelle d'appairage local.

Recommandation : Assurez-vous que les passerelles d'appairage local sont autorisées à être attachées à un VCN et que cet attachement n'expose pas de ressources à Internet.

Contexte : Les passerelles fournissent une connectivité externe aux hôtes d'un VCN. Elles comprennent une passerelle d'appairage local pour la connectivité au réseau en nuage virtuel appairé.

Paramètres de la règle :

• Type de service :
• Type de ressource : VCN
• Niveau de risque : Faible
• Étiquettes : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'un réseau VCN n'a pas de liste de sécurité entrante.

Recommandation : Assurez-vous que les listes de sécurité d'utilisation de votre VCN OCI avec des règles entrantes ou entrantes permettent uniquement l'accès à partir de ressources connues.

Carrière-plan : Les listes de sécurité offrent une capacité de pare-feu avec et sans état pour contrôler l'accès réseau à vos instances. Une liste de sécurité est configurée au niveau du sous-réseau et appliquée à celui de l'instance. Vous pouvez appliquer plusieurs listes de sécurité à un sous-réseau où un paquet de réseau est autorisé, s'il correspond à une des règles des listes de sécurité.

Paramètres de la règle :

• Type de service :
• Type de ressource : VCN
• Niveau de risque : Moyen
• étiquettes : Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'une liste de sécurité de réseau VCN autorise le trafic sans restriction vers un port non public à partir d'une source ouverte (0.0.0.0/0).

Recommandation : Utilisez des listes de sécurité de réseau VCN pour restreindre l'accès au réseau aux instances d'un sous-réseau. Pour empêcher l'accès non autorisé ou les attaques contre des instances de calcul, Oracle vous recommande les points suivants :

• Utilisez une liste de sécurité de réseau en nuage virtuel pour autoriser l'accès SSH ou RDP uniquement à partir des blocs CIDR autorisés.
• Ne laissez pas les instances de calcul ouvertes à Internet (0.0.0.0/0).

Contexte : Un VCN dispose d'un ensemble de fonctions permettant d'appliquer le contrôle d'accès au réseau et de sécuriser le trafic du VCN. Les listes de sécurité offrent une capacité de pare-feu avec et sans état pour contrôler l'accès réseau à vos instances. Une liste de sécurité est configurée au niveau du sous-réseau et appliquée à celui de l'instance. Vous pouvez appliquer plusieurs listes de sécurité à un sous-réseau où un paquet de réseau est autorisé, s'il correspond à une des règles des listes de sécurité.

Paramètres de la règle :

• Type de service :
• Type de ressource : VCN
• Niveau de risque : CRITIQUE
• Labels : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Réseau

• Conservez les paramètres par défaut.

Description : Alerte émise lorsqu'une liste de sécurité de réseau VCN autorise certains ports restreints (voir Paramètres d'entrée, Protocole restreint : Liste de ports) dans le cadre de la règle de trafic entrant de liste de sécurité.

Recommandation : Assurez-vous que vos réseaux en nuage virtuels OCI utilisent des listes de sécurité qui n'incluent pas de port répertorié dans "Restricted Protocol:Ports List" dans le paramètre d'entrée de cette règle de détecteur avec toute règle entrante ou entrante. La section Détails supplémentaires d'un problème répertorie les ports restreints ouverts spécifiques qui ont déclenché ce problème.

Carrière-plan : Les listes de sécurité offrent une capacité de pare-feu avec et sans état pour contrôler l'accès réseau à vos instances. Une liste de sécurité est configurée au niveau du sous-réseau et appliquée à celui de l'instance. Vous pouvez appliquer plusieurs listes de sécurité à un sous-réseau où un paquet de réseau est autorisé, s'il correspond à une des règles des listes de sécurité.

Paramètres de la règle :

• Type de service :
• Type de ressource : VCN
• Niveau de risque : Mineur
• Labels : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Réseau

• Configuration :
  • Au besoin, modifiez Restricted Protocol:Ports List dans la section Paramètre d'entrée de la règle.

  Vous pouvez entrer les listes de ports manuellement ou entrer les noms d'une ou de plusieurs listes de sécurité que vous avez définies. Voir Listes de sécurité.

Description : alerte lorsqu'une carte d'interface réseau virtuelle (VNIC) n'est associée à aucun groupe de sécurité de réseau.

Recommandation : Assurez-vous que toutes les cartes d'interface réseau virtuelles sont associées à un groupe de sécurité de réseau.

Contexte : Une carte VNIC est un composant de réseau qui permet à une ressource telle qu'une instance de calcul de se connecter à un VCN. Elle détermine comment l'instance se connecte aux points d'extrémité à l'intérieur et à l'extérieur du réseau. Chaque carte réside dans un sous-réseau d'un réseau en nuage virtuel. Une carte d'interface réseau virtuelle sans groupe de réseau pourrait déclencher un problème de connectivité.

Paramètres de la règle :

• Type de service :
• Type de ressource : VCN
• Niveau de risque : Mineur
• étiquettes : Réseau

• Configuration : Au besoin, modifiez Restricted Protocol:Ports List, dans la section Paramètre d'entrée de la règle.

Description : alerte quand le service de balayage de vulnérabilités Oracle Vulnerability Scanning Service (VSS) analyse des conteneurs et identifie des vulnérabilités de cybersécurité connues. Pour utiliser cette règle, vous devez créer une recette et une cible de balayage d'hôte dans le service de recherche. Voir Balayage : Démarrage dans la documentation sur le balayage.

Recommandation : Effectuez les actions recommandées documentées pour chaque vulnérabilité, comme l'application d'un correctif de système d'exploitation.

Carrière-plan : Le service de balayage identifie les vulnérabilités des applications, des bibliothèques, des systèmes d'exploitation et des services. Chaque vulnérabilité de la base de données possède un identifiant CVE distinct.

Paramètres de la règle :

• Type de service : Analyse, Calcul
• Type de ressource : conteneur
• Niveau de risque : CRITIQUE
• Étiquettes : VSS

• Conserver les paramètres par défaut (tous les CVE sont détectés)

Description : Alerte émise lorsque le service de balayage de vulnérabilités Oracle (VSS) balaie des instances de calcul (hôtes) et identifie les ports ouverts. Pour utiliser cette règle, vous devez créer une recette et une cible de balayage d'hôte dans le service de recherche. Voir Balayage : Démarrage dans la documentation sur le balayage.

Recommandation : Vérifiez si les ports identifiés doivent être ouverts sur cet hôte et fermez-les s'ils ne doivent pas être ouverts. Si tous les ports ouverts sont corrects, assurez-vous que la liste des ports autorisés contient tous les numéros de port ouverts. En outre, assurez-vous que la liste des ports non autorisés ne contient aucun des numéros de port ouverts.

Contexte : Certains ports sont requis pour le fonctionnement et la prestation de services, mais tout port ouvert au-delà de la liste prévue peut être utilisé pour exploiter les services.

Paramètres de la règle :

• Type de service : Analyse, Calcul
• Type de ressource : Calcul
• Niveau de risque : CRITIQUE
• Étiquettes : VSS

• Configuration : Ajoutez tous les ports à ignorer dans la liste Ports autorisés de la section Paramètre d'entrée de la règle.
  Note
  
  

  Si vous ajoutez le même numéro de port à la fois à la liste Ports autorisés et à la liste Ports non autorisés de la section Paramètres d'entrée de la règle, la liste Ports non autorisés est prioritaire; un problème est toujours déclenché lorsque le service de protection d'infrastructure en nuage trouve le port ouvert.

Description : Alerte lors du balayage d'instances de calcul (hôtes) par le service de balayage de vulnérabilités Oracle (VSS) et de l'identification de vulnérabilités de cybersécurité connues. Pour utiliser cette règle, vous devez créer une recette et une cible de balayage d'hôte dans le service de recherche. Voir Balayage : Démarrage dans la documentation sur le balayage.

Recommandation : Effectuez les actions recommandées documentées pour chaque vulnérabilité, comme l'application d'un correctif de système d'exploitation.

Carrière-plan : Le service de balayage identifie les vulnérabilités des applications, des bibliothèques, des systèmes d'exploitation et des services. Chaque vulnérabilité de la base de données possède un identifiant CVE distinct.

Paramètres de la règle :

• Type de service : Analyse, Calcul
• Type de ressource : Calcul
• Niveau de risque : CRITIQUE
• Étiquettes : VSS

• Conservez les paramètres par défaut (toutes les vulnérabilités virtuelles sont détectées)

Description : Alerte émise lorsqu'un volume par blocs est chiffré avec des clés gérées par Oracle.

Recommandation : Affectez une clé de gestion des clés à ce volume.

Carrière-plan : Le chiffrement des volumes offre un niveau de sécurité supplémentaire sur vos données. La gestion des clés de chiffrement est essentielle pour protéger les données et y accéder. Certains clients veulent distinguer les volumes par blocs chiffrés avec des clés gérées par Oracle de ceux chiffrés avec des clés gérées par l'utilisateur.

Paramètres de la règle :

• Type de service : Stockage
• Type de ressource : Volume par blocs
• Niveau de risque : Mineur
• Étiquettes : KMS

• Oracle - Clés gérées : Recommandées pour sécuriser les volumes par blocs.
• Clées gérées par l'utilisateur :
  • Utilisez KMS dans la mesure du possible.
  • Mettez en oeuvre des zones de sécurité Oracle sur les compartiments pour assurer que cette pratique est suivie.
• Groupes conditionnels : Évitez d'utiliser ce champ en raison du grand nombre de volumes.

Description : alerte lorsqu'un volume par blocs n'est pas attaché à l'instance associée.

Recommandation : Assurez-vous que le volume est attaché.

Paramètres de la règle :

• Type de service : Stockage
• Type de ressource : Volume par blocs
• Niveau de risque : Moyen
• Labels : Storage

• Groupes conditionnels : Évitez d'utiliser ce champ en raison du grand nombre de volumes.

Description : alerte lorsqu'un seau est public.

Recommandation : Assurez-vous que le seau autorise l'accès public. Si tel n'est pas le cas, demandez à l'administrateur OCI de restreindre la politique du seau pour permettre uniquement aux utilisateurs spécifiques d'accéder aux ressources dont ils ont besoin pour accomplir leurs fonctions.

Carrière-plan : Le stockage d'objets prend en charge l'accès anonyme et non authentifié à un seau. Un seau public dont l'accès en lecture est activé pour les utilisateurs anonymes permet à quiconque d'obtenir des métadonnées d'objet, de télécharger des objets de seau et éventuellement de lister le contenu d'un seau.

Paramètres de la règle :

• Type de service : Stockage
• Type de ressource : Seau
• Niveau de risque : CRITIQUE
• Étiquettes : CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Groupes conditionnels : Supprimez les noms (<namespace>/<name>) de tous les seaux censés être publics.

Description : Alerte émise lorsqu'un seau de stockage d'objets est chiffré avec une clé gérée par Oracle.

Recommandation : Affectez une clé du service de chambre forte à ce seau.

Carrière-plan : Le chiffrement des seaux de stockage offre un niveau de sécurité supplémentaire sur vos données. La gestion des clés de chiffrement est essentielle pour protéger les données et y accéder. Certains clients veulent identifier les seaux de stockage chiffrés à l'aide de clés gérées par Oracle.

Paramètres de la règle :

• Type de service : Stockage
• Type de ressource : Seau
• Niveau de risque : Mineur
• Étiquettes : CIS_OCI_V1.1_ObjectStorage, ObjectStorage, KMS

• Configuration : Cette règle est désactivée par défaut dans le détecteur de configuration OCI, car elle peut générer des problèmes qui peuvent ne pas être critiques pour de nombreux opérateurs du service de protection d'infrastructure en nuage. Si vous activez cette règle, assurez-vous de définir soigneusement les groupes conditionnels pour cibler uniquement les seaux spécifiques que vous ne souhaitez PAS chiffrer avec une clé gérée par Oracle. Si vous avez besoin d'un contrôle de clé strict à l'aide de clés gérées par l'utilisateur au moyen du service de chambre forte, créez un compartiment de zone de sécurité Oracle et créez-y des ressources.

Description : Alerte émise lorsque les journaux d'accès en lecture ne sont pas activés pour un seau de stockage d'objets.

Recommandation : Assurez-vous que les journaux de lecture sont activés pour le seau et que les journaux sont surveillés en continu par les outils de sécurité.

Contexte : Les journaux d'accès vous aident à sécuriser vos objets sensibles en offrant une visibilité sur les activités liées aux opérations de lecture et d'écriture sur les objets du seau de stockage d'objets.

Paramètres de la règle :

• Type de service : Stockage
• Type de ressource : Seau
• Niveau de risque : Faible
• Étiquettes : CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configuration : Cette règle est désactivée par défaut dans le détecteur de configuration OCI et ne peut pas y être activée. Activer cette règle :
  1. Clonage du détecteur de configuration OCI. Voir Clonage d'une recette de détecteur OCI.
  2. Activez la règle dans la copie gérée par l'utilisateur (clonée) du détecteur de configuration OCI. Voir Modification des paramètres de règle dans une recette de détecteur OCI.
  3. Attachez la copie gérée par l'utilisateur (clonée) du détecteur de configuration OCI à toutes les cibles où vous voulez activer la règle. Voir Modification d'une cible OCI et de ses recettes attachées.

Description : Alerte émise lorsque les journaux d'accès en écriture ne sont pas activés pour un seau de stockage d'objets.

Recommandation : Assurez-vous que les journaux d'écriture sont activés pour le seau et que les journaux sont surveillés en continu par les outils de sécurité.

Contexte : Les journaux d'accès vous aident à sécuriser vos objets sensibles en offrant une visibilité sur les activités liées aux opérations de lecture et d'écriture sur les objets du seau de stockage d'objets.

Paramètres de la règle :

• Type de service : Stockage
• Type de ressource : Seau
• Niveau de risque : Faible
• Étiquettes : CIS_OCI_V1.1_MONITORING, CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configuration : Cette règle est désactivée par défaut dans le détecteur de configuration OCI et ne peut pas y être activée. Activer cette règle :
  1. Clonage du détecteur de configuration OCI. Voir Clonage d'une recette de détecteur OCI.
  2. Activez la règle dans la copie gérée par l'utilisateur (clonée) du détecteur de configuration OCI. Voir Modification des paramètres de règle dans une recette de détecteur OCI.
  3. Attachez la copie gérée par l'utilisateur (clonée) du détecteur de configuration OCI à toutes les cibles où vous voulez activer la règle. Voir s.

Description : Alerte émise lorsqu'un conteneur n'a pas de vérification de la disponibilité.

Recommandation : Assurez-vous qu'une sonde de préparation est définie pour tous les conteneurs.

Paramètres de la règle :

• Définition des configurations :
  • userRangeMin (int) : Limite inférieure (incluse) de l'intervalle d'ID utilisateur UNIX requis. Correspond aux sections .spec.securityContext.runAsUser et .spec.containers[].securityContext.runAsUser d'une spécification de pod.
  • userRangeMax (int) : Limite supérieure (incluse) de l'intervalle d'ID utilisateur UNIX requis. Correspond aux sections .spec.securityContext.runAsUser et .spec.containers[].securityContext.runAsUser d'une spécification de pod.
• Niveau de risque : Moyen
• Étiquettes : Disponibilité du conteneur

Description : Alerte émise lorsqu'un conteneur n'utilise pas de crochet de cycle de vie après le démarrage.

Recommandation : Assurez-vous que tous les conteneurs utilisent toujours un crochet de cycle de vie après le démarrage.

Paramètres de la règle :

• Définition des configurations :
  • hookActions (liste) : Liste des actions de connexion autorisées. À l'aide d'une action non autorisée, un crochet manquant ou vide enfreindra la règle. Utilisez "any" pour vérifier l'existence indépendamment de l'action. Correspond à la section spec.containers[].lifecycle.postStart d'une spécification de pod.
• Niveau de risque : Faible
• Étiquettes : Disponibilité du conteneur

Description : Alerte émise lorsqu'un conteneur n'utilise pas de crochet de cycle de vie avant arrêt.

Recommandation : Assurez-vous qu'un crochet de cycle de vie avant arrêt est configuré pour tous les conteneurs.

Paramètres de la règle :

• Définition des configurations :
  • hookActions (liste) : Liste des actions de connexion autorisées. À l'aide d'une action non autorisée, un crochet manquant ou vide enfreindra la règle. Utilisez "any" pour vérifier l'existence indépendamment de l'action. Correspond à la section spec.containers[].lifecycle.preStop d'une spécification de pod.
• Niveau de risque : Faible
• Étiquettes : Disponibilité du conteneur

Description : Alerte émise lorsqu'un conteneur utilise un port privilégié (1-1024).

Recommandation : Assurez-vous qu'aucun conteneur n'est exposé sur les ports dotés de privilèges.

Paramètres de la règle :

• Niveau de risque : Élevé
• Étiquettes : Réseau en conteneurs

Description : Alerte émise lorsqu'il n'existe que une réplique pour un déploiement Kubernetes.

Recommandation : Assurez-vous que tous les déploiements Kubernetes comportent plusieurs répliques.

Paramètres de la règle :

• Niveau de risque : Faible
• Étiquettes : Disponibilité du conteneur

Description : Alerte émise lorsqu'un pod qui utilise un délai de grâce d'arrêt de pod important est trouvé.

Recommandation : Assurez-vous que les pods n'utilisent pas de grands délais de grâce d'arrêt.

Paramètres de la règle :

• Définition des configurations :
  • maximum (int) 60 : Seuil pour le délai de fin de grâce du pod en secondes. Les pods sans délai de grâce défini sont considérés comme ayant la période par défaut de 30 secondes. Correspond à la section spec.terminationGracePeriodSeconds d'une spécification de pod.
• Niveau de risque : Faible
• Étiquettes : Disponibilité du conteneur

Description : Alerte émise lorsqu'un port d'hôte est utilisé.

Recommandation : Assurez-vous que les ports d'hôte ne sont pas utilisés.

Paramètres de la règle :

• Niveau de risque : Élevé
• Étiquettes : Réseau en conteneurs

Description : Alerte émise lorsqu'un port de noeud est utilisé.

Recommandation : Assurez-vous que les ports de noeud ne sont pas utilisés.

Paramètres de la règle :

• Niveau de risque : Moyen
• Étiquettes : Réseau en conteneurs

Description : Alerte émise lorsqu'une politique d'extraction d'image n'est pas réglée à always.

Recommandation : Assurez-vous que tous les conteneurs utilisent une politique d'extraction d'image approuvée.

Paramètres de la règle :

• Définition des configurations :
  • imagePullPolicy (chaîne) : Liste séparée par des virgules des politiques d'extraction d'image autorisées, dont l'une doit être définie explicitement par la spécification du conteneur. Correspond à la section spec.containers[].imagePullPolicy d'une spécification de pod.
• Niveau de risque : Faible
• Étiquettes : Assurance-image

Description : Alerte émise lorsqu'une image n'est pas référencée à partir d'un des registres approuvés configurés.

Recommandation : Assurez-vous que les images de conteneur sont référencées uniquement à partir des registres autorisés.

Paramètres de la règle :

• Définition des configurations :
  • allowedRegistriesRegex (chaîne) : Expression rationnelle décrivant les registres d'images autorisés. Syntaxe détaillée. Correspond à la section spec.containers[].image d'une spécification de pod.
• Niveau de risque : Élevé
• Étiquettes : Assurance-image

Description : Alerte émise lorsqu'une image n'est pas référencée par un hachage SHA.

Recommandation : Assurez-vous que les images sont référencées par des hachages SHA.

Paramètres de règle :

• Niveau de risque : Faible
• Étiquettes : Assurance-image

Description : Alerte émise lorsqu'un pod est exécuté sous le compte de service par défaut.

Recommandation : Assurez-vous qu'aucun conteneur ne s'exécute sous le compte de service par défaut.

Paramètres de la règle :

• Niveau de risque : Moyen
• Étiquettes : RBAC Kubernetes

Description : Alerte émise lorsque des symboles génériques sont utilisés avec ClusterRoles ou Roles.

Recommandation : Assurez-vous que les caractères génériques ne sont pas utilisés avec ClusterRoles ou les rôles.

Paramètres de la règle :

• Niveau de risque : Moyen
• Étiquettes : RBAC Kubernetes

Description : Alerte émise lorsqu'une clé secrète est accessible au moyen d'une variable d'environnement plutôt que dans un volume.

Recommandation : Assurez-vous que les clés secrètes Kubernetes sont montées en tant que volume.

Paramètres de la règle :

• Niveau de risque : Moyen
• Étiquettes : Clés secrètes Kubernetes

Description : Alerte émise lorsqu'une limite d'UC n'est pas définie pour un conteneur.

Recommandation : Assurez-vous qu'une limite d'UC est définie pour tous les conteneurs.

Paramètres de la règle :

• Définition des configurations :
  • maximum (chaîne) : Les valeurs supérieures au maximum sont considérées comme une violation de la règle. Les critères d'admissibilité Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.limits.cpu d'une spécification de pod.
• Niveau de risque : Moyen
• Étiquettes : Consommation des ressources

Description : Alerte émise lorsqu'aucune demande d'UC n'est définie pour un conteneur.

Recommandation : Assurez-vous que les conteneurs ont toujours une demande d'UC définie.

Paramètres de la règle :

• Définition des configurations :
  • maximum (chaîne) : Les valeurs supérieures au maximum sont considérées comme une violation de la règle. Les critères d'admissibilité Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.requests.cpu d'une spécification de pod.
• Niveau de risque : Moyen
• Étiquettes : Consommation des ressources

Description : Alerte émise lorsqu'une limite de mémoire n'est pas définie pour un conteneur.

Recommandation : Assurez-vous qu'une limite de mémoire est toujours définie pour les conteneurs.

Paramètres de la règle :

• Définition des configurations :
  • maximum (chaîne) : Les valeurs supérieures au maximum sont considérées comme une violation de la règle. Les critères d'admissibilité Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.limits.memory d'une spécification de pod.
• Niveau de risque : Moyen
• Étiquettes : Consommation des ressources

Description : Alerte émise lorsqu'aucune demande de mémoire n'est définie pour un conteneur.

Recommandation : Assurez-vous que les demandes de mémoire sont toujours définies pour les conteneurs.

Paramètres de la règle :

• Définition des configurations :
  • maximum (chaîne) : Les valeurs supérieures au maximum sont considérées comme une violation de la règle. Les critères d'admissibilité Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.limits.memory d'une spécification de pod.
• Niveau de risque : Moyen
• Étiquettes : Consommation des ressources

Description : Alerte émise lorsqu'une limite de stockage n'est pas définie pour un conteneur.

Recommandation : Assurez-vous qu'une demande de stockage éphémère est définie pour tous les conteneurs.

Paramètres de la règle :

• Définition des configurations :
  • maximum (chaîne) : Les valeurs supérieures au maximum sont considérées comme une violation de la règle. Les critères d'admissibilité Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.limits.memory d'une spécification de pod.
• Niveau de risque : Faible
• Étiquettes : Consommation des ressources

Description : Alerte émise lorsqu'un conteneur est autorisé à s'exécuter dans l'espace de noms IPC de l'hôte.

Recommandation : Assurez-vous qu'aucun conteneur n'est autorisé à s'exécuter dans l'espace de noms IPC de l'hôte.

Paramètres de la règle :

• Niveau de risque : Élevé
• Étiquettes : Contexte de sécurité

Description : Alerte émise lorsqu'un conteneur est autorisé à s'exécuter dans l'espace de noms Linux du réseau de l'hôte.

Recommandation : Assurez-vous qu'aucun conteneur n'est autorisé à s'exécuter dans l'espace de noms réseau de l'hôte.

Paramètres de la règle :

• Niveau de risque : Élevé
• Étiquettes : Contexte de sécurité

Description : Alerte émise lorsqu'un conteneur est autorisé à s'exécuter dans l'espace de noms PID de l'hôte.

Recommandation : Assurez-vous qu'aucun conteneur n'est autorisé à s'exécuter dans l'espace de noms PID de l'hôte.

Paramètres de la règle :

• Niveau de risque : Élevé
• Étiquettes : Contexte de sécurité

Description : Alerte émise lorsqu'un conteneur est autorisé à monter le système de fichiers hôte.

Recommandation : Assurez-vous qu'aucun conteneur n'est autorisé à monter le système de fichiers hôte.

Paramètres de la règle :

• Définition des configurations :
  • allowedHostPaths (liste) : Liste des préfixes de chemin d'hôte sur liste d'autorisation. Le montage n'a pas spécifié l'option de lecture seule. Correspond à la section .spec.volumes.hostPath.path d'une spécification de pod.
  • allowedReadOnlyHostPaths (liste) : Liste des préfixes de chemin d'hôte sur liste d'autorisation. Le montage n'a pas spécifié l'option de lecture seule. Correspond aux sections .spec.volumes.hostPath.path et .spec.containers[].volumeMounts[].readOnly d'une spécification de pod.
• Niveau de risque : Élevé
• Étiquettes : Contexte de sécurité

Description : Alerte émise lorsqu'un conteneur est autorisé à escalader ses privilèges.

Recommandation : Assurez-vous qu'aucun conteneur n'est autorisé à escalader ses privilèges.

Paramètres de la règle :

• Niveau de risque : Élevé
• Étiquettes : Contexte de sécurité

Description : Alerte émise lorsque certaines charges de travail de conteneur sont exécutées avec un IDG non attendu.

Recommandation : Assurez-vous que toutes les charges de travail de conteneur sont configurées pour s'exécuter à partir d'un IDG compris dans l'intervalle autorisé.

Paramètres de la règle :

• Définition des configurations :
  • runAsGroupRangeMin (int) : Limite inférieure (incluse) de l'intervalle d'ID groupe d'utilisateurs UNIX requis. Correspond aux sections .spec.securityContext.runAsGroup et .spec.containers[].securityContext.runAsGroup d'une spécification de pod.
  • runAsGroupRangeMax (int) : Limite supérieure (incluse) de l'intervalle d'ID groupe d'utilisateurs UNIX requis. Correspond aux sections .spec.securityContext.runAsGroup et .spec.containers[].securityContext.runAsGroup d'une spécification de pod.
  • supplementalGroupsRangeMin (int) : Limite inférieure (incluse) de l'intervalle de groupes d'utilisateurs UNIX supplémentaires requis. Chaque IDG de la liste de groupes supplémentaires doit appartenir à l'intervalle spécifié. Correspond aux sections .spec.securityContext.supplementalGroups et .spec.containers[].securityContext.supplementalGroups d'une spécification de pod.
  • supplementalGroupsRangeMax (int) : Limite supérieure (incluse) de l'intervalle de groupes d'utilisateurs UNIX supplémentaires requis. Chaque IDG de la liste de groupes supplémentaires doit appartenir à l'intervalle spécifié. Correspond aux sections .spec.securityContext.supplementalGroups et .spec.containers[].securityContext.supplementalGroups d'une spécification de pod.
  • fsGroupRangeMin (int) : Limite inférieure (incluse) de l'intervalle d'ID groupe d'utilisateurs UNIX requis utilisé pour le contenu du groupe de volumes Kubernetes. Correspond aux sections .spec.securityContext.fsGroup et .spec.containers[].securityContext.fsGroup d'une spécification de pod. Toutefois, notez que les paramètres de niveau conteneur ne sont pas respectés dans Kubernetes pour ce champ.
  • fsGroupRangeMax (int) : Limite supérieure (incluse) de l'intervalle d'ID groupe d'utilisateurs UNIX requis utilisé pour le contenu du groupe de volumes Kubernetes. Correspond aux sections .spec.securityContext.fsGroup et .spec.containers[].securityContext.fsGroup d'une spécification de pod. Toutefois, notez que les paramètres de niveau conteneur ne sont pas respectés dans Kubernetes pour ce champ.
• Niveau de risque : Moyen
• Étiquettes : Contexte de sécurité

Description : Alerte émise lorsque certaines charges de travail de conteneur sont exécutées avec un UID non attendu.

Recommandation : Assurez-vous que toutes les charges de travail de conteneur sont configurées pour s'exécuter à partir d'un UID compris dans l'intervalle autorisé.

Paramètres de la règle :

• Définition des configurations :
  • userRangeMin (int) : Limite inférieure (incluse) de l'intervalle d'ID utilisateur UNIX requis. Correspond aux sections .spec.securityContext.runAsUser et .spec.containers[].securityContext.runAsUser d'une spécification de pod.
  • userRangeMax (int) : Limite supérieure (incluse) de l'intervalle d'ID utilisateur UNIX requis. Correspond aux sections .spec.securityContext.runAsUser et .spec.containers[].securityContext.runAsUser d'une spécification de pod.
• Niveau de risque : Moyen
• Étiquettes : Contexte de sécurité

Description : Alerte émise lorsque certaines charges de travail de conteneur s'exécutent en tant qu'utilisateur racine.

Recommandation : Assurez-vous qu'aucune charge de travail de conteneur n'est exécutée en tant qu'utilisateur racine.

Paramètres de la règle :

• Niveau de risque : Élevé
• Étiquettes : Contexte de sécurité

Description : Alerte émise lorsqu'un conteneur est exécuté en mode privilégié.

Recommandation : Assurez-vous qu'aucun conteneur n'est exécuté en mode privilégié.

Paramètres de la règle :

• Niveau de risque : Élevé
• Étiquettes : Contexte de sécurité

Description : Alerte émise lorsqu'un conteneur est exécuté avec un système de fichiers non en lecture seule.

Recommandation : Assurez-vous qu'aucun conteneur n'est exécuté avec un système de fichiers racine de conteneur accessible en écriture.

Paramètres de la règle :

• Niveau de risque : Élevé
• Étiquettes : Contexte de sécurité

Description : Alerte émise lorsqu'un conteneur est exécuté avec des capacités qui ne figurent pas dans la liste autorisée.

Recommandation : Assurez-vous qu'aucun conteneur n'est exécuté avec des capacités qui ne figurent pas dans la liste des conteneurs autorisés.

Paramètres de la règle :

• Définition des configurations :
  • allowedCapabilities (liste) : Liste des capacités UNIX que le conteneur est autorisé à ajouter. Utilisez "ALL" pour ajouter n'importe quelle capacité. Correspond à la section .spec.containers[].securityContext.capabiliteis.add d'une spécification de pod. Voir la page de manuellinux pour la liste complète des fonctions.
  • requiredDropCapacités (liste) : Liste des capacités UNIX que le conteneur doit supprimer. Utilisez "ALL" pour exiger la suppression explicite de toutes les capacités. Correspond à la section .spec.containers[].securityContext.capabiliteis.drop d'une spécification de pod. Voir la page de manuellinux pour la liste complète des fonctions.
• Niveau de risque : Moyen
• Étiquettes : Contexte de sécurité

Description : Alerte émise lorsqu'un conteneur n'a pas de vérification de l'état.

Recommandation : Assurez-vous qu'une sonde d'habitabilité est définie pour tous les conteneurs.

Paramètres de la règle :

• Définition des configurations :
  • probeTypes (liste) : Liste des actions de sonde autorisées. Si vous utilisez une action non autorisée, la sonde manquante ou vide enfreindra la règle. Utilisez "any" pour vérifier l'existence indépendamment de l'action. Correspond à la section spec.containers[].livenessProbe d'une spécification de pod.
• Niveau de risque : Moyen
• Étiquettes : Disponibilité de la charge de travail

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).

Système d'exploitation : Linux/Windows

Description : Détecte si la sécurité de l'instance n'est pas installée ou ne fonctionne pas comme prévu. Par exemple :

InstanceOCID: <redacted>, currently in active state. The agent was last detected on 2024-03-19 21:11:27.41, more than 24 hours ago

Recommandation : Vous pouvez recevoir cette alerte pour plusieurs raisons :

• Si votre hôte de calcul est arrêté et que l'agent de sécurité de l'instance ne peut pas atteindre l'hôte pendant plus de 24 heures. Examinez votre hôte de calcul pour voir si c'est ce qui s'est passé.
• Si les politiques de sécurité de l'instance ne sont pas correctes. Vérifiez que toutes les politiques ont été ajoutées.
• Si la dernière version de la sécurité de l'instance n'est pas présente. Oracle Cloud Agent (OCA) met automatiquement à jour l'agent de sécurité d'instance sur un hôte. Si cela ne s'est pas produit, vérifiez les points suivants :

  Sous Linux :

  1. Oracle Cloud Agent (OCA) est-il activé et exécuté dans votre instance?

     sudo systemctl status oracle-cloud-agent.service

  2. Vérifiez si le plugiciel de sécurité d'instance est en cours d'exécution. Il est responsable de la gestion du cycle de vie de l'agent de sécurité d'instance. Si le plugiciel de sécurité d'instance est en cours d'exécution, mais que vous rencontrez ce problème, cela signifie qu'il peut y avoir un problème avec l'agent de sécurité d'instance, ou que le plugiciel reçoit une erreur 4xx et que l'agent n'est pas installé ou n'est pas en cours d'exécution.

     pgrep oci-wlp

  3. Vérifiez si le plugiciel de sécurité d'instance reçoit une erreur 404 dans le journal.

     sudo vim /var/log/oracle-cloud-agent/plugins/oci-wlp/oci-wlp.log

  4. Vérifiez que l'agent de sécurité d'instance est en cours d'exécution sur votre instance.

     sudo systemctl status wlp-agent-osqueryd.service

     Si la sortie de la commande contient des erreurs, essayez de redémarrer le service.

     sudo systemctl restart wlp-agent-osqueryd.service

  Sous Windows :

  1. Vérifiez que le plugiciel de sécurité d'instance est activé dans Oracle Cloud Agent (OCA) pour votre instance.
     1. Allez à Menu Démarrer > Outils d'administration Windows > Services.
     2. Vérifiez le statut de la protection de la charge de travail du service de protection d'Oracle Cloud Agent Cloud Guard. Il devrait montrer qu'il est en cours d'exécution.
     3. S'il est arrêté, sélectionnez à droite et sélectionnez Démarrer.
  2. Vérifiez si l'agent de sécurité d'instance est en cours d'exécution sur votre instance.
     1. Allez à Menu Démarrer > Outils d'administration Windows > Services.
     2. Vérifiez le statut du service wlp-agent. Il devrait montrer qu'il est en cours d'exécution.
     3. S'il est arrêté, sélectionnez à droite et sélectionnez Démarrer.

Une fois que vous avez trouvé le problème et corrigé, laissez 24 heures pour que ce problème disparaisse. Si vous le voyez toujours après 24 heures et que vous avez revérifié les étapes ci-dessus, communiquez avec le soutien technique d'Oracle.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Élevé
• Étiquettes : Sécurité de l'instance

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).

Système d'exploitation : Windows

Description : WMI est l'infrastructure pour la gestion des données et des opérations sur les systèmes d'exploitation Windows. Il s'agit d'un processus de niveau de service utilisé pour exécuter des scripts. Il peut être utilisé pour lancer des terminaux de scripts ou pour tenter de télécharger des données utiles.

Recommandation : Surveillez les objets WMI nouvellement créés qui peuvent établir la persistance et/ou élever des privilèges à l'aide de mécanismes système.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Élevé
• Étiquettes : MITRE_T1546

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).

Système d'exploitation : Windows

Description : Détecte la désactivation potentielle des fonctions de sécurité Windows. Alertes si les services Windows Defender (windefend), Windows Firewall) mpssvc et Windows Security Service (wscvcs) ne sont pas en cours d'exécution. Par exemple :

Windows security service in stopped state: windefend

Recommandation : La désactivation de la règle de sécurité Windows peut mettre les ressources en péril. Peser les risques et réactiver les règles applicables.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Élevé
• Étiquettes : MITRE_T1562.001

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).

Système d'exploitation : Windows

Description : Cela peut indiquer la pulvérisation de mot de passe sur les comptes Windows, c'est-à-dire l'utilisation répétée du même mot de passe sur plusieurs comptes.

Recommandation : Déterminez si le compte d'utilisateur en question est l'utilisateur réel qui tente de se connecter.

Utilisez l'authentification multifacteur. Dans la mesure du possible, activez l'authentification multifacteur sur les services externes. Définissez des stratégies pour verrouiller les comptes après un certain nombre d'échecs de tentative de connexion afin d'éviter que les mots de passe ne soient devinés.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Élevé
• Étiquettes : MITRE_T1110

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).

Système d'exploitation : Linux

Description : Il est courant que les acteurs de la menace chargent un interpréteur de commandes Web dans les services HTTP. Il recherche les sockets ouverts dans les services HTTP courants tels qu'Apache.

Recommandation : Vérifiez auprès du responsable du système si le chemin du serveur Web est censé contenir un fichier dont le port du serveur est à l'écoute.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Moyen
• Étiquettes : MITRE_T1505.003

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).

Système d'exploitation : Linux

Description : Retourne les interpréteurs de commandes inversés possibles sur les processus du système. Par exemple :

Possible reverse shell on system process (pid | path | remote_address | remote_port): 10129 | /usr/bin/bash | | 0, 10164 | /usr/bin/bash | | 0]

Recommandation : Collectez la liste des adresses IP qui se connectent à l'interpréteur de commandes inverse et déterminez si l'adresse IP figure sur une liste de mauvaise réputation. Examinez s'il existe d'autres processus associés au PID de l'interpréteur de commandes inverse.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Élevé
• Étiquettes : MITRE_T1505.003

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).

Système d'exploitation : Windows

Description : Un programme malveillant tente de s'exécuter à partir de l'espace de privilèges d'utilisateur. Dans cette requête, nous le limitons à l'espace temporaire et examinons la ligne de commande pour les outils communs utilisés pour latéral/reconnaissance de l'environnement.

Recommandation : Examinez le fichier binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour une enquête plus approfondie.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Élevé
• Étiquettes : MITRE_T1059

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).

Système d'exploitation : Windows

Description : Détecte les processus qui tentent de se faire passer pour des processus Windows légitimes au moyen de chemins incorrects. Par exemple :

Process masquerading as legitimate windows process explorer.exe at path(s): c:\users\opc\downloads\new folder\explorer\bin\debug\explorer.exe

Recommandation : Collectez le hachage du fichier et déterminez s'il s'agit d'un fichier binaire incorrect connu. Déterminez si le fichier binaire masquerade tente d'appeler ou d'exécuter d'autres fichiers sur le système.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Élevé
• Étiquettes : MITRE_T1574.009

Cette règle est présente dans les recettes suivantes :

Système d'exploitation : Linux/Windows

• Recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle)
• Recette de détecteur de sécurité d'instance OCI (gérée par Oracle)

Description : Détecte les processus qui écoutent les connexions réseau. Par exemple :

Disallowed open ports: {"scannedIps":[{"hostIp":"127.0.0.53","ports":[{"port":"53","type":null,"process":"systemd-resolve : /lib/systemd/systemd-resolved","family":"ipv4","protocol":"tcp"}

Recommandation : Vérifiez si ces ports doivent être ouverts sur cet hôte et fermez-les s'ils ne doivent pas être ouverts.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : CRITIQUE
• Étiquettes : MITRE_T1505.003

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).

Système d'exploitation : Windows

Description : Recherche de Putty en mode d'écoute pour créer un tunnel SSH.

Recommandation : Collectez la liste des adresses IP qui se connectent au processus Putty et enquêtez sur celles qui semblent suspectes.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Élevé
• Étiquettes : MITRE_T1572

Cette règle est présente dans les recettes suivantes :

Système d'exploitation : Linux

• Recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle)
• Recette de détecteur de sécurité d'instance OCI (gérée par Oracle)

Description : Balaye les instances de calcul pour identifier les vulnérabilités connues en matière de cybersécurité liées aux applications, bibliothèques, systèmes d'exploitation et services. Ce détecteur signale les problèmes lorsque le service détecte qu'une instance présente une ou plusieurs vulnérabilités au niveau de gravité CVE configuré ou supérieur. Aucun problème de protection d'infrastructure en nuage n'est créé pour les vulnérabilités dont le niveau de gravité CVE est inférieur au niveau sélectionné, mais il sera reflété dans les problèmes agrégés affichés dans la page Ressources du service de protection d'infrastructure en nuage.

Recommandation : Vérifiez les vulnérabilités trouvées et hiérarchisez-les. Prendre les mesures correctives ou d'atténuation appropriées pour la vulnérabilité.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : CRITIQUE
• Étiquettes : Sécurité de l'instance

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).

Système d'exploitation : Linux

Description : Recherche de Putty en mode d'écoute pour créer un tunnel SSH pour une commande de terminal intégrée à Linux.

Recommandation : Collectez la liste des adresses IP qui se connectent au processus Putty et enquêtez sur celles qui semblent suspectes.

Dans la mesure du possible, seuls les scripts signés peuvent être exécutés. Utilisez le contrôle d'application, le cas échéant.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Élevé
• Étiquettes : MITRE_T1572

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).

Système d'exploitation : Linux

Description : Les logiciels malveillants peuvent utiliser les tâches cron exécutées selon un programme périodique pour rechercher les portes dérobées.

Recommandation : Examinez le fichier binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour une enquête plus approfondie.

Dans la mesure du possible, seuls les scripts signés peuvent être exécutés. Utilisez le contrôle d'application, le cas échéant.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Moyen
• Étiquettes : MITRE_T1547

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).

Système d'exploitation : Windows

Description : Un programme malveillant peut utiliser une tâche programmée s'exécutant à partir du dossier temporaire pour exécuter à nouveau une porte dérobée lors du redémarrage.

Recommandation : Examinez le fichier binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour une enquête plus approfondie.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Élevé
• Étiquettes : MITRE_T1053

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).

Système d'exploitation : Windows

Description : Cette détection recherche les services Windows suspects s'exécutant à partir du dossier temporaire, qui peuvent être un mécanisme commun utilisé par les logiciels malveillants pour garantir que la porte dérobée s'exécute selon un programme périodique.

Recommandation : Examinez le fichier binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour une enquête plus approfondie.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Élevé
• Étiquettes : MITRE_T1547

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle).

Système d'exploitation : Windows

Description : Un programme malveillant peut utiliser un démarrage pour exécuter à nouveau une porte dérobée lors du redémarrage.

Recommandation : Examinez le fichier binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour une enquête plus approfondie.

Paramètres de la règle :

• Type de service : Calcul
• Type de ressource : Instance
• Niveau de risque : Moyen
• Étiquettes : MITRE_T1547

Description : alerte lorsqu'un utilisateur a effectué des activités qui génèrent une note de risque supérieure au seuil du problème, ce qui peut indiquer un compte compromis ou une menace interne. Des personnes mal intentionnées peuvent alors utiliser des techniques d'attaque par force brute pour accéder aux comptes dont ils ne connaissent pas le mot de passe. Les utilisateurs peuvent abuser des privilèges qui leur ont été affectés et exécuter des tâches qui dépassent largement le cadre des exigences d'affaires, ce qui peut nuire à l'organisation.

Recommandation : En cas de désactivation temporaire du compte pendant que vous examinez l'activité, et de réinitialisation du mot de passe si l'utilisateur ne reconnaît pas l'activité.

Carrière-plan : La note de risque d'un utilisateur dépassant le seuil du problème peut indiquer un compte compromis ou un employé méconnu.

Paramètres de règle : Cette règle ne comporte aucun paramètre modifiable.

• Conservez les paramètres par défaut.