Note :

• Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, voir Introduction à l' niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeurs pour les données d'identification, la location et les compartiments Oracle Cloud Infrastructure. À la fin de votre laboratoire, remplacez ces valeurs par celles propres à votre environnement en nuage.

Visualiser les journaux d'authentification multifacteur avec Oracle Cloud Infrastructure Logging Analytics

Présentation

Dans le paysage numérique d'aujourd'hui, il est primordial d'assurer la sécurité de votre infrastructure en nuage. L'authentification multifacteur (AMF) est un composant essentiel de cette sécurité, fournissant une couche supplémentaire de protection pour les comptes d'utilisateur. Cependant, la mise en œuvre de l'AMF n'est que le début. Pour vraiment protéger vos systèmes, vous devez surveiller et analyser en continu les journaux d'authentification multifacteur afin de détecter toute anomalie ou menace potentielle pour la sécurité.

L'analyse de journalisation pour Oracle Cloud Infrastructure (OCI) pour le service de vérification pour OCI vous permet de collecter, d'analyser et de visualiser efficacement les journaux de vérification, assurant ainsi la conformité et améliorant la surveillance de la sécurité. En tirant parti de puissantes analyses, vous pouvez détecter des anomalies et obtenir des renseignements sur les activités des utilisateurs dans votre environnement OCI.

Dans ce tutoriel, nous allons explorer les subtilités de l'analyse des journaux d'authentification multifacteur dans les journaux du service de vérification pour OCI à l'aide d'OCI Logging Analytics. Que vous soyez un professionnel de la sécurité, un administrateur de système ou un architecte infonuagique, ce tutoriel vous fournira les connaissances et les outils nécessaires pour surveiller et interpréter efficacement les journaux d'authentification multifacteur.

Objectifs

• Extraire des champs étendus dans OCI Logging Analytics pour des informations d'authentification multifacteur spécifiques à partir des journaux du service de vérification OCI et configurer des tableaux de bord visuels à des fins d'affaires et de sécurité. Nous téléchargerons un tableau de bord contenant des widgets qui ont intégré des interrogations de recherche qui affichent les différents facteurs d'authentification multiples utilisés pour se connecter à la console OCI, ce qui garantit une visibilité sur toutes les menaces de sécurité liées à l'authentification multifacteur et permet aux utilisateurs de se conformer aux normes de l'industrie.

  Note : Le tableau de bord est en vigueur uniquement si l'authentification multifacteur est configurée et exécutée au moyen d'Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) en tant que fournisseur d'identités (IdP). Si vous utilisez un autre IdP, assurez-vous que les événements d'authentification multifacteur sont connectés à cet outil IdP respectif.

Préalables

• Accès administrateur requis à une location OCI, car la plupart des ressources sont créées dans le compartiment racine.

• Connaissance de base d'OCI Logging Analytics.

• Activez OCI Logging Analytics et configurez la collecte de journaux de vérification OCI. Pour plus d'informations, voir Analyser des exemples de journaux à l'aide d'OCI Logging Analytics.

Visualiser les journaux d'authentification multifacteur

1. Connectez-vous à la console OCI, naviguez jusqu'à Observabilité et gestion, Logging Analytics, Administration, Sources, Journaux de vérification OCI et cliquez sur Modifier.

   

2. Dans la page Modifier la source, créez trois champs étendus. Testez chaque définition et le statut doit indiquer Réussite, comme indiqué dans les captures d'écran suivantes. Après le test, cliquez sur Enregistrer.

   1. Premier champ étendu.

      • Champ de base : Sélectionnez Contenu de journal initial.

      • Exemple de champ de base : Entrez \"ssoAuthFactor\":\"TOTP\".

      • Expression d'extraction : Entrez \\"ssoAuthFactor\\":\\"{User Authentication Method:\w+}.

        

   2. Deuxième champ étendu.

      • Champ de base : Sélectionnez Contenu de journal initial.

      • Exemple de champ de base : Entrez \"ssoMatchedSignOnRule\":\"OciConsoleMFANonAdminRule\".

      • Expression d'extraction : Entrez \\"ssoMatchedSignOnRule\\":\\"{Rule:\w+}.

        

   3. Troisième champ étendu.

      • Champ de base : Sélectionnez Contenu de journal initial.

      • Exemple de champ de base : Entrez \"ssoMatchedSignOnPolicyName\":\"Security Policy for OCI Console\".

      • Expression d'extraction : Entrez \\"ssoMatchedSignOnPolicyName\\":\\"{User Authentication Policy:[^\"\,]+}\\"?.

        

3. (Facultatif) Une fois que l'utilisateur se connecte à la console OCI, les champs respectifs créés sont alimentés dans la page Explorateur de journaux.

   

4. Téléchargez le fichier zip à partir d'ici : OCI-MFA-Dashboard-main.zip qui contient le tableau de bord dans le fichier json. Ce fichier sera utilisé pour l'importer dans OCI Logging Analytics.

   

5. Dans la fenêtre Importer des tableaux de bord, sélectionnez Spécifier un compartiment et un compartiment racine pour les compartiments pour les tableaux de bord.

   

6. Les données seront alimentées dans le tableau de bord en fonction des interrogations de recherche disponibles dans chaque widget. Reportez-vous aux widgets de l'exemple de tableau de bord conformément aux captures d'écran suivantes.

   

   

Étapes suivantes

Dans ce tutoriel, nous avons décrit comment configurer facilement la visualisation des journaux d'authentification multifacteur à l'aide d'OCI Logging Analytics. Vous avez appris à extraire des champs étendus pour des informations propres à l'authentification multifacteur et à configurer des tableaux de bord visuels pour surveiller les activités d'authentification. En suivant ces étapes, vous pouvez améliorer votre sécurité et assurer la conformité aux normes de l'industrie. Il est important de surveiller en continu pour détecter et traiter les menaces de sécurité potentielles.

Confirmation

• Auteur - Vishak Chittuvalapil (ingénieur en nuage principal)

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur la page docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal YouTube d'Oracle Learning. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.

---

Titre et droits d'auteur

Visualize Multi-Factor Authentication Logs with Oracle Cloud Infrastructure Logging Analytics

G10609-01

June 2024

Copyright ©2024,

Oracle et/ou ses sociétés affiliées.