Documentation sur Oracle Cloud Infrastructure

Liste des observations et obtention des détails les concernant

Consultez les profils de ressource et leurs attributs clés dans le service de protection d'infrastructure en nuage pour identifier rapidement les événements les plus prioritaires.

Préalable : Activez la recette de détecteur de menaces OCI dans au moins une cible du service de protection d'infrastructure en nuage définie dans votre environnement et qui contient le compartiment racine.

Note

Une fois que les préalables précédents sont satisfaits, le service de protection d'infrastructure en nuage commence une période d'apprentissage. Cette période d'apprentissage varie de quelques heures à quelques jours, selon le type d'observation. Le service de protection d'infrastructure en nuage ne démarre pas la surveillance pour détecter les menaces tant que la période d'apprentissage n'est pas terminée. En l'absence d'activité douteuse, aucune information sur les menaces ne s'affiche dans la page Surveillance des menaces.
    1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Protection d'infrastructure en nuage, sélectionnez Surveillance des menaces.
    2. Pour modifier la portée pour laquelle les menaces sont incluses, utilisez les options suivantes sous Portée :
      • Compartiment : Sélectionnez un compartiment. Pour inclure tous les compartiments qu'elle contient dans la portée, sélectionnez Inclure les compartiments enfants.
      • Filtres de marqueur : sélectionnez Ajouter, puis remplissez la boîte de dialogue Filtres de marqueur. Si vous ajoutez plusieurs marqueurs, tous doivent être mis en correspondance.
    3. Pour filtrer la liste sur les dates et les valeurs de note de risque, effectuez des sélections dans les listes sous le graphique en haut de la page.
    4. Pour filtrer la liste sur d'autres paramètres, sélectionnez Ajouter un filtre, sélectionnez un type de filtre, puis sélectionnez une ou plusieurs valeurs.
    5. Dans le graphique Tendance de la note de risque sur 30 jours en haut de la page, consultez les modifications de la note de risque au fil du temps.
      • Par défaut, le graphique illustre les notes de risque globales des profils de ressource avec les 10 notes de risque les plus élevées au cours des 30 derniers jours.
      • Modifiez les données affichées en effectuant une sélection différente dans la liste 10 premières en haut à droite du graphique. Les options suivantes sont généralement affichées pour une période plus courte .
    6. Pour mettre en évidence les informations de graphique d'un profil de ressource particulier, pointez le curseur de la souris sur le nom de ce profil dans la liste située sous la zone de sélection 10 premières.
    7. Pour voir des informations spécifiques sur la note de risque concernant un point du graphique, pointez le curseur de la souris sur ce point.
      Le profil de ressource pour les informations sur la note de risque est également mis en évidence, dans la zone de sélection 10 premières sous la liste.
    8. Pour voir les informations sommaires sur les profils de ressource répertoriés, faites défiler l'affichage vers le bas jusqu'à la table où le premier en-tête de colonne est Profil de ressource :
      Le tableau présente les informations suivantes sur le profil de ressource :
      • Profil de ressource : Nom du profil de ressource affecté. Un profil de ressource consolide les observations associées à une ressource spécifique.
      • Note de risque : Note de risque pour le profil de ressource. La note de risque reflète la gravité de la menace.
      • Vues : Nombre d'observations publiées par rapport à l'ID ressource dans le profil de ressource. Une observation est une instance d'une technique de cadre MITRE ATT&CK® particulière au sein d'une tactique MITRE ATT&CK®.
      • Tactique : Nombre de tactiques MITRE ATT&CK® impliquées dans les observations. Un nombre plus élevé ici peut indiquer qu'un intrus progresse dans la pénétration de vos mesures de sécurité.
      • Type de ressource : Type de ressource dans le profil de ressource affecté.
      • Première détection : Date et heure auxquelles le service de protection d'infrastructure en nuage a détecté l'observation pour la première fois.
      • Dernière détection : Date et heure de la dernière détection de l'observation par le service de protection d'infrastructure en nuage.
      • Première occurrence : Date et heure de la première occurrence de l'incident.
      • Dernière occurrence : Date et heure de la dernière occurrence de l'incident.
    9. Pour voir les informations détaillées sur un profil de ressource particulier, sélectionnez son lien dans la colonne Profil de ressource.
      La page Détails de la surveillance des menaces affiche les informations suivantes :
      • L'onglet Information générale résume la menace.
      • Le graphique Tendance de la note de risque sur 30 jours affiche l'évolution de la note de risque pour ce profil de ressource particulier.
      • La section Observations répertorie les observations qui sont prises en compte dans la note de risque.
      • Sous Ressources, sélectionnez une autre ressource pour afficher des informations différentes :
        • Les ressources touchées affichent des informations sur les ressources concernées.
        • La liste points d'extrémité contient les adresses IP concernées.
      Conseil

      Si la note de risque pour un profil de ressource dans la page Surveillance des menaces est égale ou supérieure à 80, un problème a été déclenché. Voici la marche à suivre pour traiter le problème :
      1. Sélectionnez le lien dans la colonne Profil de risque.
      2. Dans l'onglet Informations générales en haut de la page de détails, sélectionnez le lien du nom du problème, à côté de Problèmes.

        Pour plus d'informations sur le traitement des problèmes, voir Traitement et résolution des problèmes dans la page Problèmes

  • Pour la liste complète des indicateurs et des options de variable pour les commandes de l'interface de ligne de commande, voir Informations de référence sur la ligne de commande.

    Observations

    Utilisez la commande oci cloud-guard sighting get et les paramètres requis pour obtenir une observation spécifique :

    oci cloud-guard sighting get --sighting-id <sighting_ocid> [OPTIONS]

    Utilisez la commande oci cloud-guard sighting-summary list-sightings et les paramètres requis pour lister toutes les observations d'un compartiment :

    oci cloud-guard sighting-summary list-sightings --compartment-id, -c <compartment_ocid> [OPTIONS]

    Observation des points d'extrémité

    Utilisez la commande oci cloud-guard sighting-endpoint-summary list-sighting-endpoints et les paramètres requis pour lister les points d'extrémité d'une observation spécifique :

    oci cloud-guard sighting-endpoint-summary list-sighting-endpoints --sighting-id <sighting_ocid> [OPTIONS]

    Ressources touchées

    Utilisez la commande oci cloud-guard sighting-summary list-sightings et les paramètres requis pour lister toutes les ressources touchées pour les observations :

    oci cloud-guard sighting-impacted-resource-summary list-sighting-impacted-resources --sighting-id <sighting_ocid> [OPTIONS]

  • Observations

    Exécutez l'opération GetSighting pour obtenir une observation spécifique.

    Exécutez l'opération ListSightings pour lister toutes les observations d'un compartiment.

    Observation des points d'extrémité

    Exécutez l'opération ListSightingEndpoints pour lister les points d'extrémité d'une observation spécifique.

    Ressources touchées

    Exécutez l'opération ListSightingImpactedResources pour lister toutes les ressources touchées pour les observations d'un compartiment.