Sécurité d'instance
La sécurité d'instance est une nouvelle recette de détecteur Oracle Cloud Guard qui surveille les hôtes de calcul pour détecter toute activité suspecte.
- Le chapitre A propos de la sécurité des instances présente des concepts utiles pour comprendre l'utilisation de la sécurité des instances.
- L'activation de la sécurité d'instance vous montre comment démarrer avec la sécurité d'instance en appliquant une recette de détecteur de sécurité d'instance à une cible.
- Recettes de détecteur de sécurité d'instance décrit les recettes de détecteur de sécurité d'instance.
A propos de la sécurité des instances
La sécurité des instances fournit une sécurité d'exécution pour les charges de travail dans les hôtes Bare Metal et virtuels Compute. La sécurité des instances étend Cloud Guard de la gestion de la posture de sécurité cloud à la protection des charges de travail cloud. Elle garantit que les besoins en matière de sécurité sont satisfaits en un seul endroit, avec une visibilité cohérente et une compréhension globale de l'état de sécurité de l'infrastructure.
Instance Security collecte des informations de sécurité importantes sur les hôtes de calcul, telles que les alertes de sécurité (appelées problèmes dans Cloud Guard), les vulnérabilités et les ports ouverts, afin de vous fournir des conseils pratiques en matière de détection et de prévention. Vous pouvez détecter les processus suspects, ouvrir la création de ports et exécuter des scripts pour les charges globales, avec une visibilité au niveau du système d'exploitation. Instance Security fournit de nouvelles détections prêtes à l'emploi gérées par Oracle, ainsi que des requêtes gérées par le client pour les cas d'utilisation de la chasse aux menaces.
La sécurité des instances est intégrée de manière native à OCI Logging afin que vous puissiez facilement exporter des journaux vers vos outils de sécurité tiers.
Solution de sécurité basée sur EBPF
Instance Security utilise la technologie Extended Berkeley Packet Filter (eBPF) pour détecter les événements de sécurité au niveau du noyau. eBPF est une technologie de noyau qui permet aux programmes de s'exécuter sans avoir à modifier le code source du noyau.
Vous pouvez collecter automatiquement des données pour détecter les anomalies de sécurité et obtenir des informations approfondies sur les systèmes d'exploitation, sans modifier le code du noyau ni affecter de manière significative les performances.
Aligné sur le cadre MITRE ATT&CK
Instance Security fournit une suite de règles de détecteur prêtes à l'emploi gérées par Oracle, alignées sur la structure MITRE ATT&CK, visant à réduire le travail manuel pour votre centre d'opérations de sécurité afin de trouver les activités adverses connues.
Les informations sont traitées par des modèles conformes au cadre MITRE ATT&CK pour classer les tactiques et techniques potentielles impliquées.
Exécuter des requêtes à la demande
Vous pouvez exécuter des requêtes à la demande sur les instances Compute périodiquement ou à la demande pour vous donner une visibilité en temps réel sur l'état de votre machine.
Instance Security exécute OSquery sous le capot, ce qui expose les données du système d'exploitation en tant que base de données relationnelle hautes performances. Osquery est un agent hôte performant, open source et multiplateforme pour vous donner de la visibilité et des informations sur votre flotte. Il collecte et normalise les données indépendamment du système d'exploitation et augmente la visibilité sur l'ensemble de votre infrastructure. OSquery est fourni avec le support de centaines de tables couvrant tout, des processus en cours d'exécution aux extensions de noyau chargées. La sécurité d'instance prend en charge la plupart des tables de requête open source en plus des tables personnalisées OCI.
Programmer des requêtes
Une fois que vous avez exécuté une requête et que vous êtes satisfait du résultat de la requête, vous pouvez programmer son exécution à une fréquence régulière. Si vous devez fournir des preuves du respect de certains contrôles de sécurité dans le cadre des exigences de conformité et d'audit pour vos hôtes de calcul, vous pouvez utiliser des requêtes programmées. La sécurité des instances est intégrée au service OCI Logging et vous pouvez configurer le service OCI Logging pour envoyer vos données brutes à un service SIEM (Security Information and Event Management) ou à un agrégateur de données tiers.
Recettes de détecteur de sécurité d'instance
Il existe deux recettes de détecteur Instance Security gérées par Oracle :
- Recette de détecteur de sécurité d'instance OCI : Enterprise (gérée par Oracle).
- Recette de détecteur de sécurité d'instance OCI (gérée par Oracle).
Vous pouvez effectuer des configurations personnalisées de recettes de détecteur en clonant ces recettes et règles. Reportez-vous à Clonage d'une recette de détecteur OCI.
Vous ne pouvez appliquer qu'une seule recette de détecteur de sécurité d'instance à une cible. Si vous voulez modifier la recette, vous devez d'abord enlever la recette existante de la cible, puis appliquer l'autre.
Recette de détecteur de sécurité d'instance OCI : Enterprise (gérée par Oracle)
Cette recette est une offre payante qui fournit une fonctionnalité de service complet. Il vous fournit des alertes basées sur les détections prêtes à l'emploi Oracle et vous permet d'interroger votre parc à l'aide de requêtes personnalisées et programmées.
Cette recette de détecteur prête à l'emploi utilise toutes les règles de détecteur de sécurité d'instance qui sont détaillées dans Règles de détecteur de sécurité d'instance OCI.
Pour en savoir plus sur son coût, reportez-vous aux informations de tarification Cloud Guard dans la liste des tarifs Cloud. Vous pouvez utiliser l'Outil d'estimation des coûts pour vous aider à déterminer votre utilisation mensuelle et votre facture. Reportez-vous à Présentation de la facturation et de la gestion des coûts.
| Ressource | Nombre par location |
|---|---|
| Nombre d'instances couvertes par région | Illimitée |
| Règles de détecteur prêtes à l'emploi | Illimitée |
| Requêtes à la demande | Illimitée |
| Requêtes programmées | 25 requêtes par instance et par jour |
| Taille des résultats de requête programmée | 5 Mo par instance et par jour |
Cet exemple illustre le fonctionnement des limites de requêtes planifiées.
La taille limite des résultats de requête programmée est par instance. Par conséquent, si vous avez 10 instances dans une région, la limite régionale au niveau du locataire est de 5*10 = 50 Mo par jour
Lorsque vous atteignez la limite de résultats de requête programmée dans une région, les requêtes affichent le statut Failed et le message suivant apparaît :
Scheduled query size limit has reached, the limit will reset the next dayUne fois la limite réinitialisée le jour suivant, les requêtes planifiées réussiront jusqu'à ce que la limite soit à nouveau atteinte.
Recette de détecteur de sécurité d'instance OCI (gérée par Oracle)
Si vous n'êtes pas prêt à investir dans la sécurité d'instance mais que vous voulez goûter au service, vous pouvez essayer cette recette gratuite. Il vous avertira des problèmes de vulnérabilité et d'analyse de port ouvert, et vous pouvez exécuter un nombre limité de requêtes.
Cette recette de détecteur utilise les règles de détecteur de sécurité d'instance :
| Ressource | Nombre par location |
|---|---|
| Nombre d'instances couvertes par région | 5 |
| Règles de détecteur prêtes à l'emploi | 2 |
| Requêtes à la demande | 30 par mois et par région |
| Requêtes programmées | 0 |
Cet exemple montre le fonctionnement des limites de requêtes à la demande en examinant deux scénarios.
Vous disposez d'une limite mensuelle de 30 requêtes à la demande dans une région :
- Vous exécutez votre première requête à la demande et ciblez 25 instances actives et toutes réussissent, ce qui donne 25 résultats.
- Vous exécutez une deuxième requête à la demande et ciblez 25 instances actives, mais cette fois, vous n'obtiendrez que cinq résultats sur cinq instances sélectionnées de manière aléatoire, car il ne vous restait que 5 requêtes à la demande pour le mois.
- Si vous exécutez ensuite une troisième requête à la demande et ciblez une seule instance, le message suivant s'affiche :
You have consumed free adhoc units for this month, your limit will reset next month
Les requêtes expirées sont remboursées à la limite mensuelle après environ 15 minutes.
- Votre première requête à la demande ciblait 25 instances (24 agents actifs et 1 agent inactif) et le résultat est qu'elle a expiré avec 24 résultats des agents actifs.
- Vous avez exécuté une deuxième requête à la demande et ciblé 25 instances (24 agents actifs et 1 agent inactif). Cette fois-ci, vous n'obtenez que cinq résultats sur cinq instances sélectionnées de manière aléatoire, car il ne vous restait que 5 requêtes à la demande pour le mois.
- Si vous exécutez ensuite une troisième requête à la demande et ciblez une seule instance, le message suivant s'affiche :
You have consumed free adhoc units for this month, your limit will reset next month