Référence de recette de détecteur

Description : alerte générée lorsqu'une instance Bastion est créée.

Recommandation : assurez-vous que seuls les utilisateurs autorisés créent des instances Bastion.

Contexte : les bastions fournissent aux utilisateurs un accès SSH sécurisé et fluide aux hôtes cible dans les sous-réseaux privés, touten limitant l'accès public direct.

Paramètres de règle :

• Type de service : Bastion
• Type de ressource : instance
• Niveau de risque : LOW
• Libellés : Bastion

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une session Bastion est créée.

Recommandation : assurez-vous que seuls les utilisateurs autorisés créent des sessions Bastion.

Contexte : une session Bastion fournit à un hôte cible dans des sous-réseaux privés un accès SSH lié à l'heure, sécurisé et fluide, touten limitant l'accès public direct.

Paramètres de règle :

• Type de service : Bastion
• Type de ressource : instance
• Niveau de risque : LOW
• Libellés : Bastion

• Conservez les paramètres par défaut.

Description : alerte détectée lorsqu'un package d'autorité de certification est mis à jour.

Recommandation : assurez-vous que seuls les utilisateurs autorisés mettent à jour les packages d'autorité de certification. Si l'utilisateur n'y est pas autorisé, annulez la mise à jour.

Contexte : un package d'autorité de contrôle est un fichier contenant des certificats racine et intermédiaires. L'autorité de certification du package atteste de la sécurité des certificats intermédiaires des utilisateurs. Lorsqu'un package d'autorité de certification est mis à jour, l'utilisateur associé à un certificat intermédiaire supprimé ne peut plus accéder aux ressources pour lesquelles l'attestation de l'autorité de certification avait été émise. De même, l'utilisateur associé à un certificat intermédiaire nouvellement ajouté peut désormais accéder à ces ressources.

Paramètres de règle :

• Type de service : Certificates
• Type de ressource : utilisateur
• Niveau de risque : MEDIUM
• Libellés : Certificats

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un package d'autorité de certification est supprimé.

Recommandation : assurez-vous que seuls les utilisateurs autorisés suppriment des paquets d'autorité de certification sont uniquement supprimés par les utilisateurs autorisés. Si l'utilisateur n'y est pas autorisé, annulez la suppression.

Contexte : un package d'autorité de contrôle est un fichier contenant des certificats racine et intermédiaires. L'autorité de certification du package atteste de la sécurité du certificat intermédiaire des utilisateurs. Lorsqu'un package d'autorité de certification est supprimé, les utilisateurs associés aux certificats intermédiaires ne peuvent plus accéder aux ressources qui nécessitent l'attestation de l'autorité de certification.

Paramètres de règle :

• Type de service : Certificates
• Type de ressource : utilisateur
• Niveau de risque : MEDIUM
• Libellés : Certificats

• Conservez les paramètres par défaut.

Description : alerte qui se produit lorsqu'un certificat intermédiaire dans un groupe d'autorité de certification est révoqué.

Recommandation : assurez-vous que seuls les utilisateurs autorisés révoquent des certificats intermédiaires dans des packages d'autorité de certifications. Si l'utilisateur n'y est pas autorisé, annulez la révocation.

Contexte : lorsqu'un certificat intermédiaire d'un package d'autorité de Certification est révoqué, l'utilisateur associé ne pourra plus accéder aux ressources qui nécessitent que son certificat intermédiaire soit attesté par une Autorité de certification approuvée.

Paramètres de règle :

• Type de service : Certificates
• Type de ressource : utilisateur
• Niveau de risque : MEDIUM
• Libellés : Certificats

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une image de calcul est exportée.

Recommandation : les images qui contiennent des éléments propriétaires doivent être balisées en conséquence avec les privilèges d'export accordés uniquement aux administrateurs OCI appropriés.

Contexte : les images de calcul peuvent être équivalentes à des "lecteurs de donnée" et contenir des informations sensibles. Les images qui peuvent contenir des éléments propriétaires doivent être identifiées en conséquence avec des privilèges d'export accordés uniquement aux administrateurs OCI appropriés.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : MINOR
• Libellés : Compute

• Conservez les paramètres par défaut.

Description : alerte émise lorsqu'une image de calcul est importée.

Recommandation : assurez-vous qu'une personne censée apporter de nouvelles images dans votre environnement importe l'image de calcul à partir de sources sécurisées, comme Oracle ou un administrateur Compute sécurisé.

Arrière-plan : les images de calcul sont à la base des instances de calcul. Une nouvelle image affecte chaque instance de calcul future lancée à partir de cette image, et les images importées doivent provenir de sources connues et sécurisées.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : MINOR
• Libellés : Compute

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une instance de calcul prend fin.

Recommandation : utilisez des stratégies IAM pour restreindre l'opération de terminaison d'instance.

Contexte : les instances de calcul peuvent fournir des fonctions critiques.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : Compute

• Conservez les paramètres par défaut.

Description : alerte détectée lorsqu'une image de calcul est mise à jour.

Recommandation :

Assurez-vous de ce qui suit :

• Une personne censée ajouter de nouvelles images dans votre environnement importe l'image.
• L'image est importée à partir de sources sécurisées, comme un administrateur Compute approuvé ou Oracle.

Arrière-plan : les images de calcul sont à la base des instances de calcul. La modification des images affecte chaque instance de calcul future lancée à partir de cette image. Les images et les modifications associées doivent provenir de sources connues et sécurisées.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : LOW
• Libellés : Compute

• Conservez les paramètres par défaut.

Description : alerte qui se produit lorsqu'un système de base de données prend fin.

Recommandation : veillez à ce qu'un administrateur autorisé sanctionne et effectue la terminaison du système d'exploitation et des bases des données associées.

Contexte : les systèmes de base de données peuvent contenir des données confidentielles et fournir des fonctionnalités critiques. La terminaison d'un système de base de données supprime définitivement le système, les bases de données qui y sont exécutées et les volumes de stockage qui y sont attachés.

Paramètres de règle :

• Type de service : système de base de données
• Type de ressource : système
• Niveau de risque : HIGH
• Libellés : base de données

• Conservez les paramètres par défaut.

Description : alerte générée lorsque des clés d'API IAM sont créées pour un utilisateur.

Recommandation : assurez-vous que les clés d'API sont créées uniquement par les utilisateurs autorisés à le faire, pour eux-mêmes ou pour d'autres utilisateurs.

Contexte : les clés d'API sont nécessaires pour utiliser l'un des kit SDK Oracle ou d'autres outils du développement. L'utilisation de ces outils de développement par des personnes dont la fonction professionnelle ne l'exige pas constitue une vulnérabilité en matière de sécurité.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de créer des clés d'API pour les utilisateurs.

Description : alerte générée lorsque le clé d'API IAM d'un utilisateur est supprimé.

Recommandation : assurez-vous que les clés d'API sont supprimées uniquement par des utilisateurs autorisés à créer et supprimer des clés d'API.

Contexte : les clés d'API sont nécessaires pour utiliser l'un des kit SDK Oracle ou d'autres outils du développement. La suppression des clés d'API d'un utilisateur qui travaille avec des outils de développement Oracle peut avoir une incidence néfaste sur la productivité.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de supprimer les clés d'API des utilisateurs.

Description : alerte générée lorsqu'un jeton d'authentification IAM est créé pour un utilisateur.

Recommandation : assurez-vous que les jetons d'authentification IAM sont créés par et pour des utilisateurs autorisés.

Contexte : les jetons d'authentification peuvent être utilisés pour l'authentification auprès d'API tierces. La disponibilité des jetons d'authentification pour des personnes dont la fonction professionnelle ne l'exige pas constitue une vulnérabilité en matière de sécurité. Reportez-vous à Informations d'identification utilisateur.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de créer des jetons d'authentification IAM.

Description : alerte générée lorsqu'un jeton d'authentification IAM est supprimé pour un utilisateur.

Recommandation : assurez-vous que les jetons d'authentification IAM sont supprimés par les utilisateurs autorisés.

Contexte : les jetons d'authentification peuvent être utilisés pour l'authentification auprès d'API tierces. La disponibilité des jetons d'authentification pour des personnes dont la fonction professionnelle ne l'exige pas constitue une vulnérabilité en matière de sécurité. Reportez-vous à Informations d'identification utilisateur.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait partie d'un groupe d'administrateurs avec des droits d'accès permettant de supprimer des jetons d'authentification IAM.

Description : alerte générée lorsque des clés client IAM sont créées.

Recommandation : assurez-vous que ces clés sont créées uniquement pour des utilisateurs autorisés.

Contexte : des clés secrètes client sont créées pour l'utilisation de l'API de compatibilité Amazon S3 avec Object Storage.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des clés client IAM.

Description : alerte générée lorsque des clés client IAM sont supprimées.

Recommandation : assurez-vous que la suppression de ces clés est attendue.

Contexte : des clés secrètes client sont créées pour l'utilisation de l'API de compatibilité Amazon S3 avec Object Storage.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de supprimer des clés client IAM.

Description : alerte générée lorsqu'un groupe IAM est créé.

Recommandation : assurez-vous que seuls les utilisateurs autorisés créent des groupes IAM.

Contexte : les groupes contrôlent l'accès aux ressources et privilèges.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : groupe
• Niveau de risque : MINOR
• Libellés : IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un groupe IAM est supprimé.

Recommandation : assurez-vous que seuls les utilisateurs autorisés effectuent des suppressions de groupe IAM.

Contexte : les groupes contrôlent l'accès aux ressources et privilèges.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : GROUP
• Niveau de risque : MINOR
• Libellés : IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsque des informations d'identification IAM OAuth 2.0 sont créées.

Recommandation : assurez-vous que ces informations d'identification sont créées uniquement pour des utilisateurs autorisés.

Contexte : les informations d'identification IAM OAuth 2.0 permettent d'interagir avec les API des services utilisant l'autorisation OAuth 2.0. Reportez-vous à Informations d'identification utilisateur.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de créer des informations d'identification OAuth 2.0 IAM.

Description : alerte générée lorsque des informations d'identification IAM OAuth 2.0 sont supprimées.

Recommandation : assurez-vous que la suppression de ces informations d'identification est attendue.

Contexte : les informations d'identification IAM OAuth 2.0 permettent d'interagir avec les API des services utilisant l'autorisation OAuth 2.0. Reportez-vous à Informations d'identification utilisateur.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de supprimer des informations d'identification IAM OAuth 2.0.

Description : alerte générée lorsque les fonctionnalités d'un utilisateur IAM sont modifiées.

Recommandation : assurez-vous que seuls les utilisateurs autorisés modifient les fonctionnalités d'un utilisateur IAM.

Contexte : pour accéder à Oracle Cloud Infrastructure, un utilisateur doit disposer d'informations d'identification requises telles que les clés d'API, les jetons d'authentification et autres informations d'identification.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Conservez les paramètres par défaut.

Description : alerte détectée lorsqu'un utilisateur local ou fédéré est créé dans OCI IAM.

Recommandation : assurez-vous que seuls les utilisateurs autorisés peuvent créer des utilisateurs IAM.

Contexte : un utilisateur IAM peut être un employé ou le système individuel qui doit gérer ou utiliser les ressources Oracle Cloud Infrastructure de votre société.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : MINOR
• Libellés : IAM

• Conservez les paramètres par défaut.

Description : alerte générée lors de la création ou de la réinitialisation du mot de passe de console d'un utilisateur.

Recommandation : assurez-vous que le mot de passe d'un utilisateur est réinitialisé par l'utilisateur ou par un administrateur autorisé à réinitialiser les mot de passe.

Contexte : La réinitialisation du mot de passe d'un utilisateur à plusieurs reprises ou par un utilisateur qui n'y est pas autorisé peut révéler un risque de sécurité.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de réinitialiser les mots de passe utilisateur.

Description : alerte générée lorsqu'une stratégie de sécurité est modifiée.

Recommandation :

Contexte : la modification des stratégies a un impact sur tous les utilisateurs du groupe et peut octroyer des privilèges aux utilisateurs qui n'en ont pas besoin.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : stratégie
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.1_MONITORING, IAM

• Conservez les paramètres par défaut.

Description : alerte lorsqu'un utilisateur local pour lequel l'authentification à plusieurs facteurs n'est pas activée est authentifié.

Recommandation : assurez-vous que l'authentification à plusieurs facteurs est activée pour tous les utilisateurs.

Arrière-plan : l'authentification à plusieurs facteurs augmente la sécurité en exigeant la compromission de plusieurs informations d'identification pour usurper l'identité d'un utilisateur. Les utilisateurs non autorisés ne pourront pas répondre à la deuxième exigence d'authentification et ne pourront pas accéder à l'environnement.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : HIGH
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un utilisateur est ajouté à un groupe.

Recommandation : assurez-vous que l'utilisateur est habilité à être membre du groupe.

Contexte : les groupes contrôlent l'accès aux ressources et privilèges. Les groupes sensibles doivent faire l'objet d'une surveillance attentive en ce qui concerne les changements de membres.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : groupe
• Niveau de risque : MINOR
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un utilisateur est enlevé d'un groupe.

Recommandation : assurez-vous que l'utilisateur est habilité à être membre du groupe.

Contexte : les groupes contrôlent l'accès aux ressources et privilèges. Les groupes sensibles doivent faire l'objet d'une surveillance attentive en ce qui concerne les changements de membres.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : MINOR
• Libellés : IAM

• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant d'enlever des utilisateurs de ce groupe.

Description : alerte générée lorsqu'une passerelle de routage dynamique (DRG) est attachée à un VCN.

Recommandation : assurez-vous que l'attachement de ce DRG au VCN est autorisé et attendu dans ce compartiment par la ressource (utilisateur).

Arrière-plan : les passerelles de routage dynamique sont utilisées pour connecter des réseaux sur site existants à un réseau cloud virtuel (VCN) avec le VPN IPSec ou FastConnect.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : Networking
• Type de ressource : DRG
• Niveau de risque : MINOR
• Libellés : Réseau

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant d'attacher des passerelles de routage dynamique aux réseaux cloud virtuels.

Description : alerte générée lors de la création d'une passerelle de routage dynamique (DRG).

Recommandation : assurez-vous que la création de ce DRG est autorisée et attendue dans ce compartiment par la ressource (utilisateur).

Arrière-plan : les passerelles de routage dynamique sont utilisées pour connecter des réseaux sur site existants à un réseau cloud virtuel (VCN) avec un VPN IPSEC ou FastConnect.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : Networking
• Type de ressource : DRG
• Niveau de risque : MINOR
• Libellés : Réseau

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de créer des passerelles de commande.

Description : alerte générée lorsqu'une passerelle de routage dynamique (DRG) est supprimée.

Recommandation : assurez-vous que la suppression de ce DRG est autorisée et attendue par la ressource (utilisateur).

Arrière-plan : les passerelles de routage dynamique sont utilisées pour connecter des réseaux sur site existants à un réseau cloud virtuel (VCN) avec le VPN IPSec ou FastConnect.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : Networking
• Type de ressource : DRG
• Niveau de risque : MINOR
• Libellés : Réseau

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de supprimer des passerelles.

Description : alerte générée lorsqu'une passerelle de routage dynamique (DRG) est détachée d'un VCN.

Recommandation : assurez-vous que le détachement de ce DRG du VCN est autorisé et attendu dans ce compartiment par la ressource (utilisateur).

Arrière-plan : les passerelles de routage dynamique sont utilisées pour connecter des réseaux sur site existants à un réseau cloud virtuel (VCN) avec le VPN IPSec ou FastConnect.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : Networking
• Type de ressource : DRG
• Niveau de risque : MINOR
• Libellés : Réseau

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès leur permettant de déconnecter des passerelles de commande des réseaux cloud virtuels.

Description : alerte générée lorsqu'un sous-réseau est modifié.

Recommandation : assurez-vous que la modification du VCN est autorisée et attendue dans ce compartiment.

Arrière-plan : les sous-réseaux sont des sous-divisions d'un VCN. Les instances de calcul connectées au même sous-réseau utilisent la même table de routage, les mêmes listes de sécurité et les mêmes options DHCP.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : sous-réseau
• Niveau de risque : LOW
• Libellés : Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un sous-réseau est supprimé.

Recommandation : activez l'authentification à plusieurs facteurs pour vous assurer que l'utilisateur est véritablement un utilisateur connecté et les informations d'identification ne sont pas compromises.

Arrière-plan : les sous-réseaux sont des sous-divisions d'un VCN. Les instances de calcul connectées au même sous-réseau utilisent la même table de routage, les mêmes listes de sécurité et les mêmes options DHCP.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : sous-réseau
• Niveau de risque : LOW
• Libellés : Réseau

• Conservez les paramètres par défaut.

Description : alerte détectée lorsqu'un utilisateur se connecte ou qu'un appel d'API est effectué à partir d'une adresse IP suspecte. Si la stratégie appropriée est en place, fournissez un lien à partir du problème Cloud Guard pour obtenir des informations détaillées sur l'adresse IP suspecte dans le service Threat Intelligence. Pour plus de détails sur la stratégie requise, reportez-vous à Stratégies IAM Threat Intelligence.

Recommandation : activez l'authentification à plusieurs facteurs pour vous assurer que l'utilisateur est véritablement un utilisateur connecté et les informations d'identification ne sont pas compromises.

Contexte : un utilisateur se connectant à partir d'une adresse IP suspecte représente une menace potentielle.

Paramètres de règle :

• Type de service : Cloud Guard
• Type de ressource : sécurité
• Niveau de risque : CRITICAL
• Libellés : Réseau

• Configuration : mettez sur liste de blocage ou sur liste d'autorisation des blocs CIDR ou adresses IP spécifiques dans la section Paramètre d'entrée de la règle.

Description : alerte générée lors de la création d'un VCN.

Recommandation : assurez-vous que la création d'un VCN est autorisée et attendue dans ce compartiment.

Arrière-plan : un VCN est un réseau privé virtuel que vous configurez dans les centres de données Oracle. Comme un réseau traditionnel, il peut contenir des règles de pare-feu et des types spécifiques de passerelle de communication.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lors de la création d'un VCN.

Recommandation : assurez-vous que la suppression d'un VCN est autorisée et attendue dans ce compartiment.

Arrière-plan : un VCN est un réseau privé virtuel que vous configurez dans les centres de données Oracle. Comme un réseau traditionnel, il peut contenir des règles de pare-feu et des types spécifiques de passerelle de communication. La suppression d'un réseau cloud virtuel peut modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une option DHCP VCN est modifiée.

Recommandation : assurez-vous que la modification des informations DHCP et DNS est autorisée pour ce VCN et les ressources associées.

Arrière-plan : les options DHCP contrôlent certains types de configuration sur les instances d'un VCN, y compris la spécification des domaines de recherche et des résolveurs DNS qui peuvent diriger les communications au sein des réseaux cloud virtuels vers les ressources Internet. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : DHCP
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lors de la création d'une passerelle Internet VCN.

Recommandation : assurez-vous que la création d'une passerelle Internet est autorisée pour ce VCN et ses ressources associées.

Arrière-plan : les passerelles Internet sont des routeurs virtuels que vous pouvez ajouter à votre VCN pour permettre une connectivité directe (entrante ou sortante) à Internet. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : passerelle Internet
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une passerelle Internet VCN est interrompue.

Recommandation : assurez-vous que la suppression d'une passerelle Internet est autorisée pour ce VCN et ses ressources associées.

Arrière-plan : les passerelles Internet sont des routeurs virtuels que vous pouvez ajouter à votre VCN pour permettre une connectivité directe (entrante ou sortante) à Internet. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : passerelle Internet
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une passerelle d'appairage local VCN est modifiée.

Recommandation : assurez-vous que les modifications apportées à la passerelle d'appairage local sont autorisées pour ce VCN et ses ressources associées.

Arrière-plan : les passerelles d'appairage local VCN connectent deux réseaux cloud virtuels de la même région sans acheminer le trafic sur Internet. Les ressources des passerelles d'appairage local dans les réseaux cloud virtuels communiquent directement avec des adresses IP privées. Les modifications apportées aux passerelles d'appairage local peuvent avoir une incidence sur l'accès aux ressources et les communications entre réseaux cloud virtuels. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : passerelle d'appairage local
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte lorsque le groupe de sécurité réseau d'un VCN est supprimé.

Recommandation : assurez-vous que la suppression du groupe de sécurité réseau est autorisée pour ce VCN et ses ressources associées.

Contexte : les groupes de sécurité réseau servent de pare-feu virtuels pour les instances de calcul et d'autres types de ressource. Les groupes de sécurité réseau comprennent un ensemble de règles de sécurité entrantes et sortantes appliquées à un ensemble de cartes d'interface réseau virtuelles dans un réseau cloud virtuel. La suppression de groupes de sécurité réseau peut enlever des protections entre les ressources du réseau cloud virtuel, et entraîner un refus d'accès aux ressources ou une perte de données.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : groupe de sécurité réseau
• Niveau de risque : HIGH
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsque la règle sortante de groupe de sécurité réseau d'un VCN est modifiée.

Recommandation : assurez-vous que les nouvelles règles sortantes sont autorisées pour ce groupe de sécurité système et ses ressources associées.

Contexte : les groupes de sécurité réseau servent de pare-feu virtuels pour les instances de calcul et d'autres types de ressource. Les groupes de sécurité réseau comprennent un ensemble de règles de sécurité entrantes et sortantes appliquées à un ensemble de cartes d'interface réseau virtuelles dans un réseau cloud virtuel. Les modifications apportées aux règles sortantes peuvent entraîner un refus d'accès aux ressources.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : groupe de sécurité réseau
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsque la règle entrante NSG d'un VCN est modifiée.

Recommandation : assurez-vous que les nouvelles règles entrantes sont autorisées pour ce groupe de sécurité système et ses ressources associées.

Contexte : les groupes de sécurité réseau servent de pare-feu virtuels pour les instances de calcul et d'autres types de ressource. Les groupes de sécurité réseau comprennent un ensemble de règles de sécurité entrantes et sortantes appliquées à un ensemble de cartes d'interface réseau virtuelles dans un réseau cloud virtuel. Les modifications apportées aux règles entrantes des groupes de sécurité réseau peuvent autoriser des connexions et du trafic vers de nouvelles ressources et cartes d'interface réseau virtuelles dans le réseau cloud virtuel.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : groupe de sécurité réseau
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsque la table de routage d'un VCN est modifiée.

Recommandation : assurez-vous que la modification de la table de routage est autorisée et attendue dans ce compartiment.

Contexte : les tables de routage virtuelles comprennent des règles qui ressemblent à des règles de routage réseau traditionnelles. Les tables de routage mal configurées peuvent causer la suppression du trafic réseau (trou noir) ou son envoi vers une cible non désirée. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : table de routage
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lors de la création de la liste de sécurité pour un VCN.

Recommandation : assurez-vous que la création de cette liste de sécurité est autorisée pour ce VCN et ses ressources associées.

Arrière-plan : les listes de sécurité agissent comme des pare-feu virtuels pour le calcul des instances et d'autres ressources, et se composent d'ensembles de règles entrantes et sortantes qui s'appliquent à toutes les cartes d'interface réseau virtuelles de tout sous-réseau associé à cette liste de sécurité. Plusieurs listes de sécurité peuvent s'appliquer aux ressources, et donner accès aux ports et adresses IP de ces ressources. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : liste de sécurité
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsque la liste de sécurité d'un VCN est supprimée.

Recommandation : assurez-vous que la suppression de cette liste de sécurité est autorisée pour ce VCN et ses ressources associées.

Arrière-plan : les listes de sécurité agissent comme des pare-feu virtuels pour le calcul des instances et d'autres ressources, et se composent d'ensembles de règles entrantes et sortantes qui s'appliquent à toutes les cartes d'interface réseau virtuelles de tout sous-réseau associé à cette liste de sécurité. Plusieurs listes de sécurité peuvent s'appliquer aux ressources, et donner accès aux ports et adresses IP de ces ressources. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : liste de sécurité
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsque les règles sortantes de liste de sécurité d'un VCN sont modifiées.

Recommandation : assurez-vous que les modifications apportées aux règles sortantes sont autorisées pour cette liste d'accès sécurisé et ses ressources associées.

Arrière-plan : les listes de sécurité agissent comme des pare-feu virtuels pour le calcul des instances et d'autres ressources, et se composent d'ensembles de règles entrantes et sortantes qui s'appliquent à toutes les cartes d'interface réseau virtuelles de tout sous-réseau associé à cette liste de sécurité. Plusieurs listes de sécurité peuvent s'appliquer aux ressources, et donner accès aux ports et adresses IP de ces ressources. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : liste de sécurité
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsque les règles entrantes de liste de sécurité d'un VCN sont modifiées.

Recommandation : assurez-vous que les modifications apportées aux règles entrantes sont autorisées pour cette liste d'accès sécurisé et ses ressources associées.

Arrière-plan : les listes de sécurité agissent comme des pare-feu virtuels pour le calcul des instances et d'autres ressources, et se composent d'ensembles de règles entrantes et sortantes qui s'appliquent à toutes les cartes d'interface réseau virtuelles de tout sous-réseau associé à cette liste de sécurité. Plusieurs listes de sécurité peuvent s'appliquer aux ressources, et donner accès aux ports et adresses IP de ces ressources. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : liste de sécurité
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une instance de calcul possède une adresse IP publique.

Recommandation : envisagez avec précaution d'autoriser l'accès Internet à toutes les instances. Par exemple, vous ne voudrez pas autoriser accidentellement l'accès Internet aux instances de base de données confidentielles.

Contexte : pour qu'une instance puisse être adressable publiquement, elle doit :

• Posséder une adresse IP publique
• Exister dans un sous-réseau de réseau cloud virtuel public
• Exister sur un réseau cloud virtuel avec une passerelle Internet activée et configurée pour le trafic sortant
• Exister sur un sous-réseau sur lequel la liste de sécurité est configurée pour toutes les adresses IP et tous les ports (0.0.0.0/0)

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Compute

• Suppression de l'adresse IP publique de l'instance : suivez les instructions fournies dans Procédure de suppression d'une adresse IP publique dynamique d'une instance.

Description : alerte détectée lorsqu'une instance de calcul n'est pas créée à partir d'une image publique Oracle.

Recommandation : assurez-vous que vos instances exécutent toutes des images autorisées à partir de sources sécurisées.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : LOW
• Libellés : Compute

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une instance est accessible publiquement.

Recommandation : envisagez avec précaution d'autoriser l'accès Internet à toutes les instances.

Contexte : pour qu'une instance puisse être adressable publiquement, elle doit :

• Posséder une adresse IP publique
• Exister dans un sous-réseau de réseau cloud virtuel public
• Exister sur un réseau cloud virtuel avec une passerelle Internet activée et configurée pour le trafic sortant
• Exister sur un sous-réseau sur lequel la liste de sécurité est configurée pour toutes les adresses IP et tous les ports (0.0.0.0/0)

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : CRITICAL
• Libellés : Compute

• Groupes conditionnels : filtrez les OCID des instances qui doivent posséder une adresse IP publique.

Description : alerte obtenue lorsqu'une instance de calcul exécutée est créée à partir d'une image publique Oracle.

Recommandation : assurez-vous que vos instances exécutent toutes des images autorisées à partir de sources sécurisées.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : LOW
• Libellés : Compute

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une instance de calcul est exécutée sans les balises configurées requises.

Recommandation : assurez-vous que les instances utilisent des balises requises.

Contexte : les balises sont importantes pour des fins d'audit et de suivi.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configuration : ajoutez les balises requises dans la section Paramètre d'entrée de la règle.

  Les formats suivants sont autorisés dans la zone Paramètre d'entrée. S'il existe plusieurs entrées, séparez-les par une virgule.

  • <namespace>.<definedkey>=<definedValue>
  • <namespace>.<definedKey>
  • <freeformkey>=<freeformValue>
  • <freeformkey>

  Exemples :

  • <namespace>.<definedkey>=<definedValue>
    • Operations.Environment=Production : si la ressource comporte une balise définie sur l'espace de noms Operations, une clé définie correspondant à Environment et une valeur définie correspondant à Production, la règle ne déclenche aucun problème.
    • Operations.*=* : si la ressource comporte une balise définie sur l'espace de noms Operations, avec n'importe quelle clé définie et n'importe quelle valeur définie, la règle ne déclenche aucun problème.
  • <namespace>.<definedkey>
    • Operations.Environment : si la ressource comporte une balise définie sur l'espace de noms Operations, avec une clé définie correspondant à Environment et n'importe quelle valeur définie, la règle ne déclenche aucun problème.
  • <freeformKey>
    • Project : si une balise est définie sur la clé à format libre Project pour la ressource, la règle ne déclenche aucun problème.
  • <freeformKey>=freeformValue
    • Project=APPROVED : si la ressource comporte une balise définie sur la clé à format libre Project avec la valeur APPROVED, la règle ne déclenche aucun problème.

Description : alerte générée lorsqu'une base de données pour laquelle Data Safe n'est pas activé est détectée.

Recommandation : assurez-vous que Data Safe est activé pour tous les compartiments surveillés Par Cloud Guard qui contiennent des bases de données. Reportez-vous à Introduction.

Contexte : Data Safe garantit que les bases de données sont configurées en toute sécurité. Ce service doit être activé pour vous aider à surveiller, prévenir et atténuer les risques au sein de vos bases de données cloud Oracle.

Paramètres de règle :

• Type de service : Data Safe
• Type de ressource : location
• Niveau de risque : HIGH
• Libellés : Sécurité de base de données

• Conservez les paramètres par défaut.

Description : alerte générée lorsque les sauvegardes automatiques n'ont pas été activées pour une base de données.

Recommandation : assurez-vous que la sauvegarde automatique est activée.

Arrière-plan : l'activation de l'auto-sauvegarde fait en sorte que, si une panne matérielle catastrophique survient, vous soyez en mesure de restaurer la base de Données avec un minimum de perte.

Paramètres de règle :

• Type de service : base de données
• Type de ressource : système de base de données
• Niveau de risque : HIGH
• Libellés : base de données

• Groupes conditionnels : filtrez les OCID de base de données qui n'ont pas besoin d'être sauvegardés automatiquement, par exemple, dans les environnements de test de développeur.

Description : alerte détectée lorsqu'une instance de base de données non inscrite dans Data Safe est détectée.

Recommandation : inscrivez cette instance de base de données auprès de l'instance Data Safe et configurez des évaluations pour évaluer et contrôler la configuration, vérifier l'activité des utilisateurs et atténuer les risques. Reportez-vous à Inscription de la base de données cible.

Contexte : Data Safe garantit que les bases de données sont configurées en toute sécurité. Toutes les bases de données cloud. Ce service doit être activé pour surveiller, prévenir et réduire les risques au sein de vos bases de données cloud Oracle.

Paramètres de règle :

• Type de service : Data Safe
• Type de ressource : location
• Niveau de risque : MEDIUM
• Libellés : Sécurité de base de données

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un patch de base de données disponible n'a pas été appliqué dans le nombre de jours spécifié.

Recommandation : appliquez les patches publiés à la base de données lorsqu'ils sont disponibles.

Arrière-plan : les patches de base de données traitent les problèmes liés à la fonctionnalité, à la sécurité et aux performances. La plupart des failles de sécurité peuvent être évitées en appliquant les patches disponibles.

Paramètres de règle :

• Type de service : base de données
• Type de ressource : système de base de données
• Niveau de risque : MEDIUM
• Libellés : base de données

• Configuration : définissez le nombre de jours pour appliquer le patch dans la section Paramètre d'entrée de la règle.
• Groupes conditionnels : filtrez les OCID de base de données auxquels le dernier patch n'a pas besoin d'être appliqué, par exemple, les OCID dans les environnements de test de développement.

Recommandation : assurez-vous que le système de base de données ne possède pas d'adresse IP publique.

Contexte : l'utilisation d'une adresse IP publique afin d'accéder à une base de données augmente votre exposition aux risques potentiels pour la sécurité et la continuité de l'activité.

Paramètres de règle :

• Type de service : base de données
• Type de ressource : système de base de données
• Niveau de risque : HIGH
• Libellés : base de données

• Groupes conditionnels : filtrez les OCID de base de données censés être publics.

Description : alerte générée lorsqu'une base de données est accessible publiquement.

Recommandation : envisagez avec précaution d'autoriser l'accès Internet à n'importe quel système de base de données.

Contexte : pour être accessible publiquement, une base de données doit remplir les critères suivants :

• Posséder une adresse IP publique.
• Etre dans un sous-réseau de réseau cloud virtuel public.
• Etre dans un sous-réseau comportant une passerelle Internet activée et configurée pour le trafic sortant.
• Etre dans :
  • un sous-réseau dont la liste de sécurité autorise le trafic à partir de n'importe quelle plage CIDR source et de tous les protocoles, ou
  • un groupe de sécurité réseau qui autorise le trafic à partir de n'importe quelle plage CIDR source et de tous les protocoles.

Paramètres de règle :

• Type de service : base de données
• Type de ressource : ExadataBareMetalVM
• Niveau de risque : CRITICAL
• Libellés : base de données

• Groupes conditionnels : filtrez les OCID de base de données censés être publics.

Description : alerte survenue lorsqu'un patch de système de base de données disponible n'a pas été appliqué.

Recommandation : appliquez les patches publiés au système de base de données lorsqu'ils sont disponibles.

Contexte : les patches de système de base de données incluent souvent des mises à jour qui éliminent les vulnérabilités connues en matière d'accès à la sécurité.

Paramètres de règle :

• Type de service : base de données
• Type de ressource : système de base de données
• Niveau de risque : MEDIUM
• Libellés : base de données

• Configuration : définissez le nombre de jours pour appliquer le patch dans la section Paramètre d'entrée de la règle.
• Groupes conditionnels : filtrez les OCID de système de base de données auxquels le dernier patch n'a pas besoin d'être appliqué, par exemple, les OCID dans les environnements de test de développement.

Description : alerte détectée lorsqu'un système de base de données est exécuté avec une version non autorisée.

Recommandation : assurez-vous que la version du système de base de données déployée est approuvée et testée.

Contexte : l'exécution de versions non autorisées de systèmes de base de données peut augmenter le risque de faille de sécurité, mettant en péril l'intégrité, la confidentialité et la disponibilité de vos données.

Paramètres de règle :

• Type de service : base de données
• Type de ressource : système de base de données
• Niveau de risque : CRITICAL
• Libellés : base de données

• Groupes conditionnels : filtrez les OCID de système de base de données qui n'ont pas besoin d'une version autorisée, par exemple, les OCID dans les environnements de test de développeur.

Description : alerte générée lorsqu'une base de données est exécutée avec une version non autorisée.

Recommandation : assurez-vous que la version de la base de données déployée est approuvée et testée.

Contexte : la version autorisée d'une base de données possède les fonctionnalités et patches de vulnérabilité les plus récents. L'exécution de versions non autorisées d'une base de données peut augmenter les risques de faille de sécurité, mettant en péril la confidentialité, l'intégrité et la disponibilité de vos données.

Paramètres de règle :

• Type de service : base de données
• Type de ressource : système de base de données
• Niveau de risque : CRITICAL
• Libellés : base de données

• Groupes conditionnels : filtrez les OCID de base de données qui n'ont pas besoin d'une version autorisée, par exemple, les OCID dans les environnements de test de développement.

Description : alerte lorsque la paire IAM de clés privée/publique affectée à un utilisateur est trop ancienne.

Recommandation : assurez une rotation régulière des clés d'API, au moins tous les 90 jours.

Contexte : la modification des clés d'API IAM au moins toutes les 90 jours est une meilleure pratique de sécurité. Plus les informations d'identification IAM restent inchangées pendant longtemps, plus le risque de compromission est grand.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : IAMKey
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configuration (facultatif) : vous pouvez modifier la valeur de 90 jours dans la section Paramètre d'entrée de l'application.

Description : alerte généré lorsque l'ancienneté des jetons d'authentification IAM dépasse le nombre maximal de jours indiqué.

Recommandation : assurez une rotation régulière du jeton d'authentification IAM, au moins tous les 90 jours.

Contexte : la modification au moins tous les 90 jours des jetons d'authentification IAM est une meilleure pratique de sécurité. Plus les jetons d'authentification IAM restent inchangés pendant longtemps, plus le risque de compromission est grand.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.1_IAM, IAM

• Configuration : définissez le nombre maximal de jours pour les jetons d'authentification IAM (soit 90) dans la section Paramètre d'entrée de la règle.

Description : alerte généré lorsque l'ancienneté des clés secrètes client IAM dépasse le nombre maximal de jours indiqué.

Recommandation : assurez une rotation régulière du nombre de clés secrètes client IAM, au moins tous les 90 jours.

Contexte : la modification au moins tous les 90 jours des clés secrètes client IAM est une meilleure pratique de sécurité. Plus les clés secrètes client IAM restent inchangées pendant longtemps, plus le risque de compromission est grand.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.1_IAM, IAM

• Configuration : définissez le nombre maximal de jours pour les clés secrètes client IAM (soit 90) dans la section Paramètre d'entrée de la règle.

Description : alerte émise lorsqu'un groupe IAM compte moins de membres qu'un nombre minimal indiqué.

Recommandation : augmentez le nombre de membres du groupe afin qu'il dépasse le nombre minimal spécifié.

Contexte : L'appartenance à un groupe IAM autorise souvent l'accès aux ressources et au fonctionnalités. Des groupes qui comptent trop peu de membres peuvent aboutir à un excès de privilèges "orphelins" (qui ne sont plus disponibles pour aucun utilisateur).

Paramètres de règle :

• Type de service : IAM
• Type de ressource : groupe
• Niveau de risque : LOW
• Libellés : IAM

• Conservez les paramètres par défaut.

Description : alerte émise lorsqu'un groupe IAM compte plus de membres qu'un nombre maximal indiqué.

Recommandation : réduisez le nombre de membres du groupe pour qu'il soit inférieur à votre nombre maximal spécifié.

Contexte : L'appartenance à un groupe IAM autorise souvent l'accès aux ressources et au fonctionnalités. Des groupes qui comptent trop de membres peuvent aboutir à des privilèges trop permissifs accordés à de trop nombreux utilisateurs.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : groupe
• Niveau de risque : MEDIUM
• Libellés : IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsque l'ancienneté d'un mot de passe IAM dépasse le nombre maximal de jours indiqué.

Recommandation : assurez une rotation régulière des mots d'accès IAM, au moins tous les 90 jours.

Contexte : la modification des mots de passe IAM au moins tous les 90 jours est une meilleure pratique de sécurité. Plus les informations d'identification IAM restent inchangées pendant longtemps, plus le risque de compromission est grand.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configuration : définissez le nombre maximal de jours pour les mots de passe (valeur par défaut : 90) dans la section Paramètre d'entrée de la règle.

Description : la stratégie de mot de passe ne répond pas aux besoins de complexité.

Recommandation : Oracle recommande qu'une stratégie de mot de passe forte comprenne au moins une lettre minuscule.

Contexte : les mots de passe complexes sont plus difficiles à deviner, et peuvent réduire les chances d'accès non autorisé ou des données compromises.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : stratégie
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Conservez les paramètres par défaut.

Description : alerte émise lorsqu'une stratégie IAM accorde à un utilisateur qui n'est pas membre du groupe Administrateurs un accès administrateur à un rôle d'administrateur.

Recommandation : assurez-vous que la stratégie est restreinte pour autoriser uniquement des utilisateurs spécifiques à accéder aux ressources nécessaires à l'accomplissement de leurs fonctions professionnelles.

Contexte : une stratégie est un document qui indique qui peut accéder aux ressources OCI qui disposent de votre entreprise, et comment. Une stratégie permet simplement à un groupe d'utiliser de certaines façons des types spécifiques de ressource dans un compartiment donné.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : stratégie
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configuration : ajoutez les OCID pour tous les groupes auxquels ces privilèges doivent être accordés dans la section Paramètre d'entrée de la règle.

Description : alerte émise lorsque le privilège d'administrateur d'une location est accordé à un groupe IAM supplémentaire.

Recommandation : vérifiez auprès de l'administrateur OCI que cet octroi d'habilitation a été approuvé et que l'appartenance au groupe reste valide après l'octroi du privilège d'administrateur.

Contexte : les membres des groupes d'administrateurs de location par défaut peuvent effectuer n'importe quelle action sur toutes les ressources de la location. Cette habilitation à privilèges élevés doit être contrôlée et limitée uniquement aux utilisateurs qui en ont besoin pour exécuter leurs fonctions professionnelles.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : stratégie
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configuration : ajoutez les OCID des groupes qui doivent disposer du privilège d'administrateur dans la section Paramètre d'entrée de la règle.

Description : alerte émise lorsque l'authentification à multiples facteurs n'est pas activée pour un utilisateur.

Recommandation : activez l'authentification multifacteurs pour tous les utilisateurs à l'aide de l'application Oracle Mobile Authenticator (OMA) sur l'appareil portable de chaque utilisateur et du code secret à utilisation unique envoyé à l'adresse électronique inscrite de l'utilisateur.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : CRITICAL
  Remarque
  
  Si votre organisation a commencé à utiliser Cloud Guard avant avril 2023, le niveau de risque par défaut est MEDIUM.
• Libellés : CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un utilisateur dispose des clés d'API activées.

Recommandation : assurez-vous que l'accès des administrateurs à OCI via les clés d'API reste une exception. Ne codez pas en dur les informations d'identification IAM directement dans les logiciels ou les documents destinés à un large public.

Contexte : les clés d'API IAM sont des informations d'identification utilisées pour accorder un accès programmatique aux ressources. Les utilisateurs humains ne doivent pas utiliser les clés d'API.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une clé KMS n'a pas fait l'objet d'une rotation au cours de la période indiquée.

Recommandation : assurez une rotation régulière des clés KMS.

Contexte : Pour la sécurité des informations, vous devez périodiquement modifier les mots de passe, les clés et les éléments cryptographiques, ou en assurer la rotation. La rotation des clés dans KMS réduit l'impact et la probabilité de compromission des clés. Définissez la valeur minimale. Vous pouvez modifier le délai par défaut de rotation des clés de 180 jours dans la section Paramètre d'entrée de l'application.

Paramètres de règle :

• Type de service : KMS
• Type de ressource : clé KMS
• Niveau de risque : CRITICAL
• Libellés : CIS_OCI_V1.1_MONITORING, KMS

• Configuration : définissez le délai par défaut de rotation des clés dans la section Paramètre d'entrée de la règle.

Description : alerte généré lorsqu'une ressource n'est pas balisée conformément aux exigences de balisage que vous avez spécifiées.

Recommandation : vérifiez que les balises configurées sont utilisées pour les images de calcul, les instances de calcul, les systèmes de base de données, les réseaux Cloud virtuels, le stockage d'objets et les volumes de blocs de stockage.

Contexte : vérifiez que les balises configurées sont utilisées pour le calcul des images, des instances de calcul et des systèmes de base de données, des réseaux cloud virtuels, le stockage d'objets et les volumes de blocs de stockage.

Paramètres de règle :

• Type de service : multiple
• Type de ressource : multiple
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configuration : ajoutez les balises appropriées dans la section Paramètre d'entrée de la règle.

Description : alerte lorsque le mécanisme de cryptage oci-wider-compatible-ssl-cipher-suite-v1 est configuré pour un équilibreur de chargement. Ce mécanisme de cryptage inclut des algorithmes tels que DES et RC4, considérés comme faibles et sujets à des attaques. Applicable uniquement aux mécanismes de cryptage prédéfinis et non aux valeurs personnalisées de mécanisme de cryptage.

Vous pouvez éventuellement utiliser des conditions pour spécifier des mécanismes de cryptage supplémentaires à marquer.

Pour utiliser des chiffrements supplémentaires :

1. Modifiez la règle de détecteur L'équilibreur de charge autorise les mécanismes de cryptage faibles.
2. Sous Paramètre d'entrée, entrez les chiffrements supplémentaires sous forme de liste séparée par des virgules dans Liste des chiffrements faibles de l'équilibreur de charge.
   • Lorsque le paramètre d'entrée est vide (valeur par défaut), le paramètre oci-wider-compatible-ssl-cipher-suite-v1 est coché et marqué.
   • Lorsque le paramètre d'entrée contient des entrées, les chiffrements supplémentaires sont vérifiés ainsi que oci-wider-compatible-ssl-cipher-suite-v1.
   Les cryptages supplémentaires sont les suivants :

   • oci-compatible-ssl-cipher-suite-v1
   • oci-default-ssl-cipher-suite-v1
   • oci-modern-ssl-cipher-suite-v1
   • oci-tls-11-12-13-wider-ssl-cipher-suite-v1
   • oci-tls-12-13-wider-ssl-cipher-suite-v1

Recommandation : utilisez les mécanismes de chiffrement modernes par défaut qui prennent en charge un cryptage plus fort.

Contexte : certaines versions DES dispositifs de cryptage avec un algorithme comme DES sont pas recommandées.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : équilibreur de charges
• Niveau de risque : MEDIUM
• Libellés : Réseau

• Conservez les paramètres par défaut.

Description : alerte lorsque l'équilibreur de charge comporte un protocole configuré dans le cadre de sa stratégie SSL qui inclut toute version antérieure à Transport Layer Security (TLS) 1.2.

Recommandation : assurez-vous que la version d'une stratégie SSL configurée est au moins TLS 1.2.

Contexte : les anciennes versions sont risquées et vulnérables à de nombreux types d'attaque. Plusieurs normes, telles que PCI-DSS et NIST, encouragent fortement l'utilisation de TLS 1.2.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : équilibreur de charges
• Niveau de risque : HIGH
• Libellés : Réseau

• Conservez les paramètres par défaut.

Description : alerte émise si aucun groupe de back-ends n'est associé à un équilibreur de charge.

Recommandation : assurez-vous de configurer les équilibreurs de charge avec des ensembles de back-ends pour contrôler l'état des équilibreurs de charge et leur accès par les instances définies.

Contexte : un ensemble de back-ends est une entité logique définie par une stratégie d'équilibreur de charge, une stratégie d'évaluation de l'état et une liste de serveurs back-end.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : équilibreur de charges
• Niveau de risque : CRITICAL
• Libellés : Réseau

• Conservez les paramètres par défaut.

Description : alerte détectée lorsqu'une liste de sécurité d'un équilibreur de charge comporte des règles entrantes qui acceptent le trafic à partir d'une source ouverte (0.0.0.0/0).

Recommandation : assurez-vous que vos équilibreurs de charge OCI utilisent des règles entrantes ou des processus d'écoute afin d'autoriser uniquement l'accès à partir de ressources connues.

Arrière-plan : les équilibreurs de charge OCI permettent des connexions TLS de bout en bout entre les applications d'un client et votre VCN. Un processus d'écoute est une entité logique qui vérifie le trafic entrant sur l'adresse IP de l'équilibreur de charge. Pour gérer le trafic TCP, HTTP et HTTPS, vous devez configurer au moins un processus d'écoute par type de trafic.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : équilibreur de charges
• Niveau de risque : MINOR
• Libellés : Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un équilibreur de charges est exécuté avec une adresse IP publique.

Recommandation : assurez-vous que tous les équilibreurs de charge qui ne sont pas accessibles publiquement sont exécutés avec des adresses IP privées.

Contexte : la présence d'un adresse IP publique sur un équilibreur de charges non destiné à être utilisé pour le contenu disponible publiquement crée une vulnérabilité de sécurité inutile.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : équilibreur de charges
• Niveau de risque : Elevé
• Libellés : Réseau

• Groupes conditionnels : filtrez les OCID des équilibreurs de charge qui doivent avoir une adresse IP publique.

Description : alerte émise lorsque le certificat SSL d'un équilibreur de charges est défini pour expirer dans le délai indiqué.

Recommandation : assurez-vous que la rotation des certificats en temps opportun.

Contexte : pour assurer une sécurité et une facilité d'utilisation continues, les certificats SSL doivent faire l'objet d'une rotation dans OCI.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : équilibreur de charges
• Niveau de risque : CRITICAL
• Libellés : Réseau

• Configuration : définissez la valeur Nombre de jours avant expiration (par défaut : 48) dans la section Paramètres d'entrée de la règle.

Description : alerte émise lorsque la règle sortante d'un groupe de sécurité réseau contient une adresse IP de destination et un numéro de port interdits.

Recommandation : assurez-vous que les règles sortantes de communication avec l'adresse IP/le Port sont autorisées pour ce groupe de sécurité système.

Contexte : les groupes de sécurité système servent de pare-feu virtuels pour les instances de calcul et d'autres types de ressource. Les règles de sécurité sortantes des groupes de sécurité réseau s'appliquent à un ensemble de cartes d'interface réseau virtuelles dans un réseau cloud virtuel afin d'autoriser l'accès à des ports et adresses IP spécifiques.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : groupe de sécurité réseau
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Réseau

• Configuration : ajoutez les ports interdits dans la section Paramètre d'entrée de la règle.

Description : alerte détectée lorsque la règle entrante d'un groupe de sécurité réseau contient une adresse IP et un numéro de port de destination interdits.

Recommandation : assurez-vous que les règles entrantes de communication avec l'adresse IP/leport sont autorisées pour ce groupe de sécurité système.

Contexte : les groupes de sécurité système servent de pare-feu virtuels pour les instances de calcul et d'autres types de ressource. Les règles de sécurité entrantes des groupes de sécurité réseau s'appliquent à un ensemble de cartes d'interface réseau virtuelles dans un réseau cloud virtuel afin d'autoriser l'accès à des ports et adresses IP spécifiques.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : groupe de sécurité réseau
• Niveau de risque : HIGH
• Libellés : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Réseau

• Configuration : ajoutez les ports interdits dans la section Paramètre d'entrée de la règle.

Description : alerte générée lorsqu'un VCN est attaché à une passerelle Internet.

Recommandation : assurez-vous que les passerelles Internet sont autorisées à être attachées à un VCN et que cet attachement n'expose pas les ressources à Internet. Assurez-vous que les listes de sécurité contiennent des règles entrantes et que ces listes de sécurité ne sont pas configurées pour autoriser l'accès à partir de toutes les adresses IP (0.0.0.0/0).

Arrière-plan : les passerelles fournissent une connectivité externe aux hôtes dans un VCN. Elles comprennent une passerelle Internet pour la connectivité Internet.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un VCN est attaché à une passerelle d'appairage local.

Recommandation : assurez-vous que les passerelles d'appairage local sont autorisées à être attachées à un VCN et que cet attachement n'expose pas les ressources à Internet.

Arrière-plan : les passerelles fournissent une connectivité externe aux hôtes dans un VCN. Elles comprennent une passerelle d'appairage local pour la connectivité au réseau cloud virtuel appairé.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un VCN n'a pas de liste de sécurité entrante.

Recommandation : assurez-vous que les VCN OCI utilisent des listes de sécurité avec des règles entrantes ou entrantes pour n'autoriser l'accès qu'à partir de ressources connues.

Contexte : les listes de sécurité assurent une fonction du pare-feu avec et sans conservation d'état pour contrôler l'accès réseau à vos instances. Une liste de sécurité est configurée au niveau du sous-réseau et appliquée au niveau de l'instance. Vous pouvez appliquer plusieurs listes de sécurité à un sous-réseau sur lequel un paquet réseau est autorisé, en cas de correspondance avec une règle des listes de sécurité.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : MEDIUM
• Libellés : Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une liste de sécurité VCN autorise le trafic illimité vers un port non public à partir d'un open source (0.0.0.0/0).

Recommandation : utilisez les listes de sécurité VCN pour restreindre l'accès réseau aux instances d'un sous-réseau. Pour empêcher les accès non autorisés ou les attaques sur les instances de calcul, Oracle vous recommande ce qui suit :

• Utilisez une liste de sécurité de réseau cloud virtuel pour autoriser l'accès SSH ou RDP uniquement à partir des blocs CIDR autorisés.
• Ne laissez pas les instances de calcul ouvertes à Internet (0.0.0.0/0).

Contexte : Un VCN dispose d'un ensemble de fonctionnalités permettant d'appliquer le contrôle d'accès réseau et de sécuriser le trafic VCN. Les listes de sécurité assurent une fonction de pare-feu avec et sans conservation de statut pour contrôler l'accès réseau à vos instances. Une liste de sécurité est configurée au niveau du sous-réseau et appliquée au niveau de l'instance. Vous pouvez appliquer plusieurs listes de sécurité à un sous-réseau sur lequel un paquet réseau est autorisé, en cas de correspondance avec une règle des listes de sécurité.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : CRITICAL
• Libellés : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une liste de sécurité VCN autorise certains ports restreints (reportez-vous à Paramètres d'entrée, Protocole restreint : Liste de ports) dans le cadre de la règle entrante de liste de sécurité.

Recommandation : assurez-vous que vos réseaux cloud virtuels OCI utilisent des listes de sécurité qui n'incluent pas de port répertorié dans la liste Protocole restreint : liste de ports dans le paramètre d'entrée de cette règle de détecteur avec une règle entrante ou entrante. La section Détails supplémentaires d'un problème répertorie les ports restreints ouverts qui ont déclenché ce problème.

Contexte : les listes de sécurité assurent une fonction du pare-feu avec et sans conservation d'état pour contrôler l'accès réseau à vos instances. Une liste de sécurité est configurée au niveau du sous-réseau et appliquée au niveau de l'instance. Vous pouvez appliquer plusieurs listes de sécurité à un sous-réseau sur lequel un paquet réseau est autorisé, en cas de correspondance avec une règle des listes de sécurité.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : MINOR
• Libellés : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Réseau

• Configuration :
  • Modifiez Protocole restreint : liste des ports au besoin, dans la section Paramètre d'entrée de la règle.

  Vous pouvez saisir les listes de ports manuellement ou saisir le nom des listes de sécurité que vous avez définies. Reportez-vous à Listes de sécurité.

Description : alerte émise lorsqu'une carte d'interface réseau virtuelle n'est associée à aucun groupe de sécurité réseau.

Recommandation : assurez-vous que toutes les cartes d'interface réseau virtuelles sont associées à un groupe d'infos réseau.

Arrière-plan : une carte d'interface réseau virtuelle est un composant réseau qui permet à une ressource telle qu'une instance de calcul de se connecter à un VCN. La carte d'interface réseau virtuelle détermine comment l'instance se connecte à des adresses à l'intérieur et à l'extérieur du réseau cloud virtuel. Chaque carte d'interface réseau virtuelle réside dans un sous-réseau d'un réseau cloud virtuel. Une carte d'interface réseau virtuelle sans groupe de sécurité réseau peut déclencher un problème de connectivité.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : MINOR
• Libellés : Réseau

• Configuration : modifiez Protocole restreint : liste des ports au besoin, dans la section Paramètre d'entrée de la règle.

Description : alerte détectée lorsqu'Oracle Vulnerability Scanning Service (VSS) analyse des conteneurs et identifie des vulnérabilités connues en termes de cybersécurité. Pour utiliser cette règle, vous devez créer une recette d'analyse d'hôte et une cible d'analyse d'hôte dans le service Scanning. Reportez-vous à la section Scanning : Introduction dans la documentation Scanning.

Recommandation : effectuez les actions recommandées qui sont documentées pour chaque vulnérabilité, comme l'application d'un patch de système d'exploitation.

Contexte : le service Scanning identifie les vulnérabilités pour les applications, les bibliothèques, les systèmes d'exploitation et les services. Chaque vulnérabilité de la base de données possède un identificateur ou CVE spécifique.

Paramètres de règle :

• Type de service : Scanning, Compute
• Type de ressource : conteneur
• Niveau de risque : CRITICAL
• Libellés : VSS

• Conservez les paramètres par défaut (tous les CVE sont détectés).

Description : alerte détectée lorsqu'Oracle Vulnerability Scanning Service (VSS) analyse les instances de calcul (hôtes) et identifie les ports ouverts. Pour utiliser cette règle, vous devez créer une recette d'analyse d'hôte et une cible d'analyse d'hôte dans le service Scanning. Reportez-vous à la section Scanning : Introduction dans la documentation Scanning.

Recommandation : vérifiez si les ports identifiés doivent être ouverts sur cet hôte et fermez-les s'ils ne doivent pas être ouverts. Si tous les ports ouverts sont corrects, assurez-vous que la liste des ports autorisés contient tous les numéros de port ouverts. En outre, assurez-vous que la liste des ports non autorisés ne contient aucun numéro de port ouvert.

Contexte : certains ports sont requis pour le fonctionnement et la fourniture des services, mais tous les ports ouverts hors de la liste prévue peuvent être utilisés pour exploiter les services.

Paramètres de règle :

• Type de service : Scanning, Compute
• Type de ressource : Compute
• Niveau de risque : CRITICAL
• Libellés : VSS

• Configuration : ajoutez les ports qui doivent être ignorés dans la liste Ports autorisés de la section Paramètre d'entrée de la règle.
  Remarque
  
  

  Si vous ajoutez le même numéro de port à la fois à la liste Ports autorisés et à la liste Ports non autorisés de la section Paramètre d'entrée de la règle, la liste Ports non autorisés est prioritaire ; un problème est toujours déclenché lorsque Cloud Guard trouve le port ouvert.

Description : alerte émise lorsqu'Oracle Vulnerability Scanning Service (VSS) analyse les instances de calcul (hôtes) et identifie les vulnérabilités connues en termes de cybersécurité. Pour utiliser cette règle, vous devez créer une recette d'analyse d'hôte et une cible d'analyse d'hôte dans le service Scanning. Reportez-vous à la section Scanning : Introduction dans la documentation Scanning.

Recommandation : effectuez les actions recommandées qui sont documentées pour chaque vulnérabilité, comme l'application d'un patch de système d'exploitation.

Contexte : le service Scanning identifie les vulnérabilités pour les applications, les bibliothèques, les systèmes d'exploitation et les services. Chaque vulnérabilité de la base de données possède un identificateur ou CVE spécifique.

Paramètres de règle :

• Type de service : Scanning, Compute
• Type de ressource : Compute
• Niveau de risque : CRITICAL
• Libellés : VSS

• Conservez les paramètres par défaut (tous les CVE sont détectés).

Description : alerte détectée lorsqu'un volume de blocs est crypté avec des clés gérées par Oracle.

Recommandation : affectez une clé KMS à ce volume.

Contexte : le cryptage des volumes fournit un niveau de sécurité supplémentaire à vos données. La gestion des clés de cryptage est essentielle à la protection des données et à l'accès aux données protégées. Certains clients veulent identifier les volumes de blocs cryptés à l'aide de clés gérées par Oracle et non gérées par l'utilisateur.

Paramètres de règle :

• Type de service : stockage
• Type de ressource : volume de blocs
• Niveau de risque : MINOR
• Libellés : KMS

• Clés gérées par Oracle : recommandées pour sécuriser les volumes de blocs.
• clés gérées par l'utilisateur :
  • Utilisez KMS dans la mesure du possible.
  • Implémentez Oracle Security Zones sur les compartiments pour vous assurer du respect des meilleures pratiques.
• Groupes conditionnels : évitez de les utiliser, en raison du grand nombre de volumes.

Description : alerte générée lorsqu'un volume de blocs n'est pas attaché à l'instance associée.

Recommandation : assurez-vous que le volume est attaché.

Paramètres de règle :

• Type de service : stockage
• Type de ressource : volume de blocs
• Niveau de risque : MEDIUM
• Libellés : Stockage

• Groupes conditionnels : évitez de les utiliser, en raison du grand nombre de volumes.

Description : alerte générée lorsqu'un bucket est public.

Recommandation : assurez-vous que le bucket n'est pas accessible publiquement. Si cela n'est pas le cas, demandez à l'administrateur OCI de restreindre la stratégie du bucket afin d'autoriser uniquement des utilisateurs spécifiques à accéder aux ressources requises pour effectuer leur travail.

Arrière-plan : Object Storage prend en charge l'accès anonyme non authentifié à un bucket. Un bucket public avec un accès en lecture activé pour les utilisateurs anonymes permet à tout utilisateur d'obtenir des métadonnées sur un objet, de télécharger des objets du bucket et éventuellement de répertorier le contenu du bucket.

Paramètres de règle :

• Type de service : stockage
• Type de ressource : bucket
• Niveau de risque : CRITICAL
• Libellés : CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Groupes conditionnels : filtrez les noms de bucket (<espace de noms>/<nom>) qui sont censés être publics.

Description : alerte généré lorsqu'un bucket Object Storage est crypté avec une clé gérée par Oracle.

Recommandation : affectez une clé Vault à ce bucket.

Contexte : le cryptage des buckets de stockage fournit un niveau de sécurité supplémentaire à vos données. La gestion des clés de cryptage est essentielle à la protection des données et à l'accès aux données protégées. Certains clients veulent identifier les buckets de stockage cryptés à l'aide de clés gérées par Oracle.

Paramètres de règle :

• Type de service : stockage
• Type de ressource : bucket
• Niveau de risque : MINOR
• Libellés : CIS_OCI_V1.1_ObjectStorage, ObjectStorage, KMS

• Configuration : cette règle est désactivée par défaut dans le détecteur de configuration OCI, car elle peut générer des problèmes qui peuvent ne pas être critiques pour de nombreux opérateurs Cloud Guard. Si vous activez cette règle, veillez à définir soigneusement les groupes conditionnels de sorte qu'ils ciblent uniquement les buckets spécifiques que vous ne souhaitez PAS crypter à l'aide d'une clé gérée par Oracle. Si vous avez besoin d'un contrôle strict des clés à l'aide de clés gérées par l'utilisateur via Vault, créez un compartiment de zone de sécurité Oracle, et créez des ressources dans ce compartiment.

Description : alerte générée lorsque les journaux d'accès en lecture ne sont pas activés pour un bucket Object Storage.

Recommandation : assurez-vous que les journaux de lecture sont activés pour le bucket et que les journaux sont surveillés en permanence par les outils de sécurité.

Arrière-plan : les journaux d'accès vous aident à sécuriser vos objets sensibles en offrant une visibilité sur les activités relatives aux opérations de lecture et d'écriture sur les objets dans le bucket Object Storage.

Paramètres de règle :

• Type de service : stockage
• Type de ressource : bucket
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configuration : cette règle est désactivée par défaut dans le détecteur de configuration OCI et ne peut pas y être activée. Activer cette règle:
  1. Clonage du détecteur de configuration OCI. Reportez-vous à Clonage d'une recette de détection OCI.
  2. Activez la règle dans la copie gérée par l'utilisateur (clonée) du détecteur de configuration OCI. Reportez-vous à Modification des réglages de règles dans une recette de détection OCI.
  3. Attachez la copie gérée par l'utilisateur (clonée) du détecteur de configuration OCI à toutes les cibles sur lesquelles la règle doit être activée. Reportez-vous à Modification d'une cible OCI et des recettes attachées associées.

Description : alerte générée lorsque les journaux d'accès en écriture ne sont pas activés pour un bucket Object Storage.

Recommandation : assurez-vous que les journaux d'écriture sont activés pour le bucket et que les journaux sont surveillés en permanence par les outils de sécurité.

Arrière-plan : les journaux d'accès vous aident à sécuriser vos objets sensibles en offrant une visibilité sur les activités relatives aux opérations de lecture et d'écriture sur les objets dans le bucket Object Storage.

Paramètres de règle :

• Type de service : stockage
• Type de ressource : bucket
• Niveau de risque : LOW
• Etiquettes : CIS_OCI_V1.1_MONITORING, CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configuration : cette règle est désactivée par défaut dans le détecteur de configuration OCI et ne peut pas y être activée. Activer cette règle:
  1. Clonage du détecteur de configuration OCI. Reportez-vous à Clonage d'une recette de détection OCI.
  2. Activez la règle dans la copie gérée par l'utilisateur (clonée) du détecteur de configuration OCI. Reportez-vous à Modification des réglages de règles dans une recette de détection OCI.
  3. Attachez la copie gérée par l'utilisateur (clonée) du détecteur de configuration OCI à toutes les cibles sur lesquelles la règle doit être activée. Voir s.

Description : alerte générée lorsqu'un conteneur n'a pas de vérification de la préparation.

Recommandation : assurez-vous que tous les conteneurs ont une vérification de la préparation.

Paramètres de règle :

• Configuration des configurations :
  • userRangeMin (int) : limite inférieure (incluse) de la plage d'ID utilisateur UNIX requise. Correspond aux sections .spec.securityContext.runAsUser et .spec.containers[].securityContext.runAsUser d'une spécification de pod.
  • userRangeMax (int) : limite supérieure (incluse) de la plage d'ID utilisateur UNIX requise. Correspond aux sections .spec.securityContext.runAsUser et .spec.containers[].securityContext.runAsUser d'une spécification de pod.
• Niveau de risque : MEDIUM
• Etiquettes : disponibilité des conteneurs

Description : alerte générée lorsqu'un conteneur n'utilise pas de point d'accrochage au cycle de vie après démarrage.

Recommandation : assurez-vous que tous les conteneurs utilisent un hook du cycle de vie post-démarrage.

Paramètres de règle :

• Configuration des configurations :
  • hookActions (liste) : liste des actions d'accrochage autorisées. Si vous utilisez une action non autorisée, un point d'accrochage manquant ou vide violera la règle. Utilisez "any" pour vérifier l'existence, quelle que soit l'action. Correspond à la section spec.containers[].lifecycle.postStart d'une spécification de pod.
• Niveau de risque : LOW
• Etiquettes : disponibilité des conteneurs

Description : alerte générée lorsqu'un conteneur n'utilise pas de point d'accrochage préalable au cycle de vie.

Recommandation : assurez-vous que tous les conteneurs utilisent un hook du cycle de vie pré-arrêt.

Paramètres de règle :

• Configuration des configurations :
  • hookActions (liste) : liste des actions d'accrochage autorisées. Si vous utilisez une action non autorisée, un point d'accrochage manquant ou vide violera la règle. Utilisez "any" pour vérifier l'existence, quelle que soit l'action. Correspond à la section spec.containers[].lifecycle.preStop d'une spécification de pod.
• Niveau de risque : LOW
• Etiquettes : disponibilité des conteneurs

Description : alerte générée lorsqu'un conteneur utilise un port privilégié (1-1024).

Recommandation : réfléchissez attentivement aux charges globales de conteneur qui nécessitent l'utilisation de ports privilégiés pour atteindre leur objectif.

Paramètres de règle :

• Niveau de risque : HIGH
• Etiquettes : mise en réseau de conteneurs

Description : alerte lorsqu'il existe uniquement une réplique pour un déploiement Kubernetes.

Recommandation : assurez-vous que tous les déploiements Kubernetes ont plusieurs répliques.

Paramètres de règle :

• Niveau de risque : LOW
• Etiquettes : disponibilité des conteneurs

Description : alerte générée lorsqu'un pod est détecté qui utilise une période de grâce de terminaison de pod importante.

Recommandation : évitez les périodes de grâce de terminaison trop longues, ce qui peut ralentir les déploiements et les temps de récupération.

Paramètres de règle :

• Configuration des configurations :
  • maximum (int) 60 : seuil de période de fin de grâce du pod en secondes. Les pods sans période de grâce définie sont considérés comme ayant la période de 30 secondes par défaut. Correspond à la section spec.terminationGracePeriodSeconds d'une spécification de pod.
• Niveau de risque : LOW
• Etiquettes : disponibilité des conteneurs

Description : alerte générée lorsqu'un port hôte est utilisé.

Recommandation : réfléchissez attentivement aux services qui doivent être exposés via un port hôte pour atteindre leur objectif.

Paramètres de règle :

• Niveau de risque : HIGH
• Etiquettes : mise en réseau de conteneurs

Description : alerte générée lorsqu'un port de noeud est utilisé.

Recommandation : réfléchissez attentivement aux services qui doivent être exposés via un port de noeud pour atteindre leur objectif.

Paramètres de règle :

• Niveau de risque : MEDIUM
• Etiquettes : mise en réseau de conteneurs

Description : alerte générée lorsqu'une stratégie d'extraction d'image n'est pas définie sur always.

Recommandation : assurez-vous que les images de conteneur sont extraites du registre chaque fois que le pod démarre.

Paramètres de règle :

• Configuration des configurations :
  • imagePullPolicy (chaîne) : liste séparée par des virgules des stratégies d'extraction d'image autorisées, dont l'une doit être définie explicitement par la spécification de conteneur. Correspond à la section spec.containers[].imagePullPolicy d'une spécification de pod.
• Niveau de risque : LOW
• Etiquettes : Image Assurance

Description : alerte générée lorsqu'une image n'est pas référencée à partir de l'un des registres sécurisés configurés.

Recommandation : tenez compte de l'origine des images de conteneur et assurez-vous qu'elles proviennent uniquement de registres approuvés.

Paramètres de règle :

• Configuration des configurations :
  • allowedRegistriesRegex (chaîne) : expression régulière décrivant les registres d'images autorisés. Syntaxe détaillée. Correspond à la section spec.containers[].image d'une spécification de pod.
• Niveau de risque : HIGH
• Etiquettes : Image Assurance

Description : alerte générée lorsqu'une image n'est pas référencée par un hachage SHA.

Recommandation : référencez les images de conteneur à l'aide de synthèses SHA pour vous assurer que les déploiements utilisent toujours l'image non modifiée prévue et pour empêcher les mises à jour involontaires dues à des modifications de balise.

Paramètres de règle :

• Niveau de risque : LOW
• Etiquettes : Image Assurance

Description : alerte générée lorsqu'un pod est exécuté sous le compte de service par défaut.

Recommandation : assurez-vous que les conteneurs n'utilisent pas le compte de service par défaut dans un espace de noms.

Paramètres de règle :

• Niveau de risque : MEDIUM
• Libellés : contrôle d'accès basé sur les rôles Kubernetes

Description : alerte lorsque des symboles génériques sont utilisés avec ClusterRoles ou Roles.

Recommandation : évitez d'utiliser des caractères génériques dans les rôles RBAC Kubernetes pour vous assurer que les utilisateurs et les services reçoivent uniquement les droits d'accès spécifiques dont ils ont besoin.

Paramètres de règle :

• Niveau de risque : MEDIUM
• Libellés : contrôle d'accès basé sur les rôles Kubernetes

Description : alerte générée lorsqu'une clé secrète est accessible via une variable d'environnement plutôt que dans un volume.

Recommandation : assurez-vous que les clés secrètes Kubernetes sont accessibles via un volume monté au lieu de variables d'environnement.

Paramètres de règle :

• Niveau de risque : MEDIUM
• Libellés : clés secrètes Kubernetes

Description : alerte générée lorsqu'aucune limite d'UC n'est définie pour un conteneur.

Recommandation : assurez-vous que les conteneurs ont toujours une limite d'UC définie.

Paramètres de règle :

• Configuration des configurations :
  • maximum (chaîne) : les valeurs supérieures à la valeur maximale sont considérées comme une violation de la règle. Les qualificatifs Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.limits.cpu d'une spécification de pod.
• Niveau de risque : MEDIUM
• Etiquettes : Consommation des ressources

Description : alerte générée lorsqu'aucune demande d'UC n'est définie pour un conteneur.

Recommandation : assurez-vous que les conteneurs ont toujours un jeu de demandes d'UC.

Paramètres de règle :

• Configuration des configurations :
  • maximum (chaîne) : les valeurs supérieures à la valeur maximale sont considérées comme une violation de la règle. Les qualificatifs Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.requests.cpu d'une spécification de pod.
• Niveau de risque : MEDIUM
• Etiquettes : Consommation des ressources

Description : alerte générée lorsqu'aucune limite de mémoire n'est définie pour un conteneur.

Recommandation : assurez-vous que les conteneurs ont toujours une limite de mémoire définie.

Paramètres de règle :

• Configuration des configurations :
  • maximum (chaîne) : les valeurs supérieures à la valeur maximale sont considérées comme une violation de la règle. Les qualificatifs Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.limits.memory d'une spécification de pod.
• Niveau de risque : MEDIUM
• Etiquettes : Consommation des ressources

Description : alerte générée lorsqu'aucune demande de mémoire n'est définie pour un conteneur.

Recommandation : assurez-vous que les demandes de mémoire sont toujours définies pour les conteneurs.

Paramètres de règle :

• Configuration des configurations :
  • maximum (chaîne) : les valeurs supérieures à la valeur maximale sont considérées comme une violation de la règle. Les qualificatifs Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.limits.memory d'une spécification de pod.
• Niveau de risque : MEDIUM
• Etiquettes : Consommation des ressources

Description : alerte générée lorsqu'aucune limite de stockage n'est définie pour un conteneur.

Recommandation : assurez-vous que tous les conteneurs ont des demandes de stockage éphémères définies.

Paramètres de règle :

• Configuration des configurations :
  • maximum (chaîne) : les valeurs supérieures à la valeur maximale sont considérées comme une violation de la règle. Les qualificatifs Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.limits.memory d'une spécification de pod.
• Niveau de risque : LOW
• Etiquettes : Consommation des ressources

Description : alerte générée lorsqu'un conteneur est autorisé à s'exécuter dans l'espace de noms IPC de l'hôte.

Recommandation : réfléchissez attentivement aux charges globales de conteneur à exécuter dans l'espace de noms IPC de l'hôte pour atteindre leur objectif.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur est autorisé à s'exécuter dans l'espace de noms Linux réseau de l'hôte.

Recommandation : réfléchissez attentivement aux charges globales de conteneur à exécuter dans l'espace de noms réseau de l'hôte pour atteindre leur objectif.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur est autorisé à s'exécuter dans l'espace de noms PID de l'hôte.

Recommandation : réfléchissez attentivement aux charges globales de conteneur à exécuter dans l'espace de noms PID de l'hôte pour atteindre leur objectif.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur est autorisé à monter le système de fichiers hôte.

Recommandation : tenez compte des chemins de montage dont les charges globales de conteneur ont besoin pour atteindre leur objectif.

Paramètres de règle :

• Configuration des configurations :
  • allowedHostPaths (liste) : liste des préfixes de chemin d'hôte sur liste d'autorisation. Le montage n'a pas spécifié l'option de lecture seule. Correspond à la section .spec.volumes.hostPath.path d'une spécification de pod.
  • allowedReadOnlyHostPaths (liste) : liste des préfixes de chemin d'hôte sur liste d'autorisation. Le montage n'a pas spécifié l'option en lecture seule. Correspond aux sections .spec.volumes.hostPath.path et .spec.containers[].volumeMounts[].readOnly d'une spécification de pod.
• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte lorsqu'un conteneur est autorisé à escalader ses privilèges.

Recommandation : réfléchissez attentivement aux charges globales de conteneur qui nécessitent la possibilité d'escalader leurs privilèges pour atteindre leur objectif.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsque certaines charges globales de conteneur sont en cours d'exécution avec un IDG non attendu.

Recommandation : assurez-vous que les charges globales de conteneur sont exécutées par un groupe approuvé.

Paramètres de règle :

• Configuration des configurations :
  • runAsGroupRangeMin (int) : limite inférieure (incluse) de la plage d'ID de groupe d'utilisateurs UNIX requise. Correspond aux sections .spec.securityContext.runAsGroup et .spec.containers[].securityContext.runAsGroup d'une spécification de pod.
  • runAsGroupRangeMax (int) : limite supérieure (incluse) de la plage d'ID de groupe d'utilisateurs UNIX requise. Correspond aux sections .spec.securityContext.runAsGroup et .spec.containers[].securityContext.runAsGroup d'une spécification de pod.
  • supplementalGroupsRangeMin (int) : limite inférieure (incluse) de la plage de groupes d'utilisateurs UNIX supplémentaires requise. Chaque IDG de la liste de groupes supplémentaires doit appartenir à la plage indiquée. Correspond aux sections .spec.securityContext.supplementalGroups et .spec.containers[].securityContext.supplementalGroups d'une spécification de pod.
  • supplementalGroupsRangeMax (int) : limite supérieure (incluse) de la plage de groupes d'utilisateurs UNIX supplémentaires requise. Chaque IDG de la liste de groupes supplémentaires doit appartenir à la plage indiquée. Correspond aux sections .spec.securityContext.supplementalGroups et .spec.containers[].securityContext.supplementalGroups d'une spécification de pod.
  • fsGroupRangeMin (int) : limite inférieure (incluse) de la plage d'ID de groupe d'utilisateurs UNIX requise utilisée pour le contenu du groupe de volumes Kubernetes. Correspond aux sections .spec.securityContext.fsGroup et .spec.containers[].securityContext.fsGroup d'une spécification de pod. Cependant, notez que les paramètres de niveau conteneur ne sont pas respectés dans Kubernetes pour ce champ.
  • fsGroupRangeMax (int) : limite supérieure (incluse) de la plage d'ID de groupe d'utilisateurs UNIX requise utilisée pour le contenu du groupe de volumes Kubernetes. Correspond aux sections .spec.securityContext.fsGroup et .spec.containers[].securityContext.fsGroup d'une spécification de pod. Cependant, notez que les paramètres de niveau conteneur ne sont pas respectés dans Kubernetes pour ce champ.
• Niveau de risque : MEDIUM
• Libellés : Contexte de sécurité

Description : alerte générée lorsque certaines charges globales de conteneur sont exécutées avec un UID non attendu.

Recommandation : assurez-vous que les charges globales de conteneur sont exécutées par un utilisateur approuvé.

Paramètres de règle :

• Configuration des configurations :
  • userRangeMin (int) : limite inférieure (incluse) de la plage d'ID utilisateur UNIX requise. Correspond aux sections .spec.securityContext.runAsUser et .spec.containers[].securityContext.runAsUser d'une spécification de pod.
  • userRangeMax (int) : limite supérieure (incluse) de la plage d'ID utilisateur UNIX requise. Correspond aux sections .spec.securityContext.runAsUser et .spec.containers[].securityContext.runAsUser d'une spécification de pod.
• Niveau de risque : MEDIUM
• Libellés : Contexte de sécurité

Description : alerte générée lorsque certaines charges globales de conteneur sont exécutées en tant qu'utilisateur root.

Recommandation : réfléchissez attentivement aux charges globales de conteneur qui nécessitent des privilèges root pour atteindre leur objectif et assurez-vous que seuls les pods liés à ces images sont autorisés à s'exécuter en tant qu'utilisateur root.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur est exécuté en mode privilégié.

Recommandation : réfléchissez soigneusement aux charges globales de conteneur requises pour être exécutées en mode privilégié afin d'atteindre leur objectif.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur s'exécute avec un système de fichiers non en lecture seule.

Recommandation : réfléchissez attentivement aux charges globales de conteneur qui nécessitent un système de fichiers accessible en écriture pour atteindre leur objectif.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur est en cours d'exécution avec des fonctionnalités qui ne figurent pas dans la liste autorisée.

Recommandation : réfléchissez attentivement aux charges de travail de conteneur qui nécessitent des fonctionnalités administratives spéciales pour atteindre leur objectif.

Paramètres de règle :

• Configuration des configurations :
  • allowedCapabilities (liste) : liste des fonctionnalités UNIX que le conteneur est autorisé à ajouter. Utilisez "ALL" pour permettre l'ajout de n'importe quelle fonctionnalité. Correspond à la section .spec.containers[].securityContext.capabiliteis.add d'une spécification de pod. Pour obtenir la liste complète des fonctionnalités, reportez-vous à la page de manuellinux.
  • requiredDropCapacités (liste) : liste des fonctionnalités UNIX que le conteneur doit supprimer. Utilisez "ALL" pour exiger la suppression explicite de toutes les fonctionnalités. Correspond à la section .spec.containers[].securityContext.capabiliteis.drop d'une spécification de pod. Pour obtenir la liste complète des fonctionnalités, reportez-vous à la page de manuellinux.
• Niveau de risque : MEDIUM
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur n'a pas de vérification de l'état.

Recommandation : assurez-vous que tous les conteneurs ont une vérification de la vivacité.

Paramètres de règle :

• Configuration des configurations :
  • probeTypes (liste) : liste des actions de sonde autorisées. Si vous utilisez une action non autorisée, une sonde manquante ou vide violera la règle. Utilisez "any" pour vérifier l'existence, quelle que soit l'action. Correspond à la section spec.containers[].livenessProbe d'une spécification de pod.
• Niveau de risque : MEDIUM
• Libellés : Disponibilité de la charge globale

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Linux/Windows

Description : détecte si la sécurité d'instance n'est pas installée ou n'est pas en cours d'exécution comme prévu. Par exemple :

InstanceOCID: <redacted>, currently in active state. The agent was last detected on 2024-03-19 21:11:27.41, more than 24 hours ago

Recommandation : vous pouvez recevoir cette alerte pour plusieurs raisons :

• Si l'hôte de calcul est arrêté et que l'agent de sécurité de l'instance ne parvient pas à atteindre l'hôte pendant plus de 24 heures. Examinez l'hôte de calcul pour voir si c'est ce qui s'est passé.
• Si les stratégies de sécurité de l'instance ne sont pas correctes. Vérifiez que toutes les stratégies ont été ajoutées.
• Si la dernière version de la sécurité d'instance n'est pas présente. L'agent Oracle Cloud (OCA) met automatiquement à jour l'agent de sécurité d'instance sur un hôte. Par conséquent, si cela ne s'est pas produit, vérifiez les points suivants :

  Sous Linux :

  1. L'agent Oracle Cloud (OCA) est-il activé et en cours d'exécution dans votre instance ?

     sudo systemctl status oracle-cloud-agent.service

  2. Vérifiez si le module d'extension de sécurité d'instance est en cours d'exécution. Il est responsable de la gestion du cycle de vie de l'agent de sécurité d'instance. Si le module d'extension de sécurité d'instance est en cours d'exécution mais que vous rencontrez ce problème, cela signifie qu'il peut y avoir un problème avec l'agent de sécurité d'instance, ou que le module d'extension reçoit une erreur 4xx et que l'agent n'est pas installé ou n'est pas en cours d'exécution.

     pgrep oci-wlp

  3. Vérifiez si le module d'extension de sécurité d'instance reçoit une erreur 404 dans le journal.

     sudo vim /var/log/oracle-cloud-agent/plugins/oci-wlp/oci-wlp.log

  4. Vérifiez que l'agent de sécurité de l'instance est en cours d'exécution sur l'instance.

     sudo systemctl status wlp-agent-osqueryd.service

     Si la sortie de la commande contient des erreurs, essayez de redémarrer le service.

     sudo systemctl restart wlp-agent-osqueryd.service

  Sous Windows :

  1. Vérifiez que le module d'extension de sécurité d'instance est activé dans l'agent Oracle Cloud (OCA) pour votre instance.
     1. Accédez à Menu Démarrer > Outils d'administration Windows > Services.
     2. Vérifiez le statut de la protection de charge globale Oracle Cloud Agent Cloud Guard. Cela devrait montrer qu'il est en cours d'exécution.
     3. S'il est arrêté, sélectionnez avec le bouton droit de la souris et sélectionnez Démarrer.
  2. Vérifiez si l'agent de sécurité d'instance est en cours d'exécution sur votre instance.
     1. Accédez à Menu Démarrer > Outils d'administration Windows > Services.
     2. Vérifiez le statut du service wlp-agent. Cela devrait montrer qu'il est en cours d'exécution.
     3. S'il est arrêté, sélectionnez avec le bouton droit de la souris et sélectionnez Démarrer.

Une fois que vous avez trouvé le problème et que vous l'avez résolu, laissez 24 heures pour que ce problème disparaisse. Si vous le voyez toujours au bout de 24 heures et que vous avez revu les étapes ci-dessus, contactez le support technique Oracle.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : sécurité de l'instance

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : WMI est l'infrastructure pour les données de gestion et les opérations sur les systèmes d'exploitation Windows. Il s'agit d'un processus de niveau de service utilisé pour exécuter des scripts, et il peut être utilisé pour lancer des terminaux de scripts ou pour tenter de télécharger une charge utile.

Recommandation : surveillez les objets WMI nouvellement créés qui peuvent établir la persistance et/ou élever des privilèges à l'aide de mécanismes système.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Etiquettes : MITRE_T1546

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : détecte toute désactivation potentielle des fonctions de sécurité Windows. Alertes si les services Windows Defender (windefend), Windows Firewall) mpssvc et Windows Security Service (wscvcs) ne sont pas en cours d'exécution. Par exemple :

Windows security service in stopped state: windefend

Recommandation : la désactivation d'une règle de sécurité Windows peut mettre les ressources en danger. Peser les risques et réactiver les règles applicables.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Etiquettes : MITRE_T1562.001

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : peut indiquer la pulvérisation de mots de passe sur les comptes Windows, c'est-à-dire l'utilisation répétée du même mot de passe sur plusieurs comptes.

Recommandation : déterminez si le compte utilisateur en question est l'utilisateur réel qui tente de se connecter.

Utilisez l'authentification à plusieurs facteurs. Dans la mesure du possible, activez l'authentification multifacteur sur les services externes. Définissez des stratégies pour verrouiller les comptes après un certain nombre d'échecs de connexion afin d'empêcher les mots de passe d'être devinés.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Etiquettes : MITRE_T1110

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Linux

Description : il est courant que les acteurs de la menace téléchargent un shell Web vers les services HTTP. Cela recherche les sockets ouverts dans les services HTTP courants tels qu'Apache.

Recommandation : vérifiez auprès du propriétaire du système si le chemin du serveur Web est censé contenir un fichier avec une écoute de port de serveur.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : MEDIUM
• Etiquettes : MITRE_T1505.003

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Linux

Description : renvoie les shells inverses possibles sur les processus système. Par exemple :

Possible reverse shell on system process (pid | path | remote_address | remote_port): 10129 | /usr/bin/bash | | 0, 10164 | /usr/bin/bash | | 0]

Recommandation : rassemblez la liste des adresses IP qui se connectent au shell inversé et déterminez si l'adresse IP figure sur la liste des adresses IP de mauvaise réputation. Vérifiez s'il existe d'autres processus associés au PID de shell inverse.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Etiquettes : MITRE_T1505.003

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : le logiciel malveillant tente de s'exécuter à partir de l'espace de privilèges utilisateur. Dans cette requête, nous la limitons à l'espace temporaire et examinons la ligne de commande pour trouver les outils communs utilisés pour la latéralisation/reconnaissance de l'environnement.

Recommandation : examinez le binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour une enquête plus approfondie.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Etiquettes : MITRE_T1059

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : détecte les processus qui tentent de se faire passer pour des processus Windows légitimes via des chemins d'accès incorrects. Par exemple :

Process masquerading as legitimate windows process explorer.exe at path(s): c:\users\opc\downloads\new folder\explorer\bin\debug\explorer.exe

Recommandation : rassemblez le hachage du fichier et déterminez s'il s'agit d'un mauvais binaire connu. Déterminez si le binaire masqué tente d'appeler ou d'exécuter d'autres fichiers sur le système.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Etiquettes : MITRE_T1574.009

Cette règle est présente dans les recettes suivantes :

O/S : Linux/Windows

• Recette de détecteur de sécurité d'instance OCI : Enterprise (gérée par Oracle)
• Recette de détecteur de sécurité d'instance OCI (gérée par Oracle)

Description : détecte les processus qui écoutent les connexions réseau. Par exemple :

Disallowed open ports: {"scannedIps":[{"hostIp":"127.0.0.53","ports":[{"port":"53","type":null,"process":"systemd-resolve : /lib/systemd/systemd-resolved","family":"ipv4","protocol":"tcp"}

Recommandation : vérifiez si ces ports doivent être ouverts sur cet hôte et fermez-les s'ils ne doivent pas être ouverts.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : CRITICAL
• Etiquettes : MITRE_T1505.003

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : recherche de Putty en mode d'écoute pour créer un tunnel SSH.

Recommandation : rassemblez la liste des adresses IP qui se connectent au processus Putty et examinez celles qui semblent suspectes.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Etiquettes : MITRE_T1572

Cette règle est présente dans les recettes suivantes :

O/S : Linux

• Recette de détecteur de sécurité d'instance OCI : Enterprise (gérée par Oracle)
• Recette de détecteur de sécurité d'instance OCI (gérée par Oracle)

Description : analyse les instances de calcul pour identifier les vulnérabilités connues en matière de cybersécurité liées aux applications, bibliothèques, systèmes d'exploitation et services. Ce détecteur signale des problèmes lorsque le service constate qu'une instance présente une ou plusieurs vulnérabilités au niveau de gravité CVE configuré ou supérieur. Un problème Cloud Guard ne sera pas créé pour les vulnérabilités dont le niveau de gravité CVE est inférieur au niveau que vous avez sélectionné, mais il sera reflété dans le cadre des problèmes agrégés affichés sur la page Ressources Cloud Guard.

Recommandation : passez en revue les vulnérabilités trouvées et hiérarchisez-les. Prendre des mesures correctives ou d'atténuation appropriées pour la vulnérabilité.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : CRITICAL
• Libellés : sécurité de l'instance

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Linux

Description : recherche de Putty en mode d'écoute pour créer un tunnel SSH pour une commande de terminal intégré Linux.

Recommandation : rassemblez la liste des adresses IP qui se connectent au processus Putty et examinez celles qui semblent suspectes.

Dans la mesure du possible, seuls les scripts signés peuvent être exécutés. Utilisez le contrôle d'application, le cas échéant.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Etiquettes : MITRE_T1572

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Linux

Description : les logiciels malveillants peuvent utiliser des travaux cron en cours d'exécution sur une base périodique pour rechercher les portes dérobées.

Recommandation : examinez le binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour une enquête plus approfondie.

Dans la mesure du possible, seuls les scripts signés peuvent être exécutés. Utilisez le contrôle d'application, le cas échéant.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : MEDIUM
• Etiquettes : MITRE_T1547

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : les logiciels malveillants peuvent utiliser une tâche planifiée en cours d'exécution à partir du dossier temporaire pour exécuter à nouveau une porte dérobée au redémarrage.

Recommandation : examinez le binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour une enquête plus approfondie.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Etiquettes : MITRE_T1053

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : cette détection recherche les services Windows suspects s'exécutant à partir du dossier temporaire, qui peut être un mécanisme commun utilisé par les logiciels malveillants pour s'assurer que la porte dérobée s'exécute selon un calendrier périodique.

Recommandation : examinez le binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour une enquête plus approfondie.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Etiquettes : MITRE_T1547

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : les logiciels malveillants peuvent exécuter à nouveau une porte dérobée au démarrage.

Recommandation : examinez le binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour une enquête plus approfondie.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : MEDIUM
• Etiquettes : MITRE_T1547

Description : alerte détectée lorsqu'un utilisateur a effectué des activités générant un score du risque supérieur au seuil de problème, ce qui peut indiquer un compte compromis ou une menace interne. Des individus malintentionnés peuvent lancer des attaques par force brute pour accéder à des comptes dont ils ne connaissent pas le mot de passe. Les utilisateurs peuvent abuser de leurs privilèges et entreprendre des tâches sans rapport avec les besoins de l'entreprise, ce qui peut nuire à l'organisation.

Recommandation : Pensez à désactiver temporairement le compte lorsque vous examinez son activité et à réinitialiser son mot de passe si l'utilisateur ne reconnaît pas cette activité.

Contexte : le dépassement du seuil de risque d'un utilisateur peut indiquer un compte compromis ou un employé mécontent.

Paramètres de la règle : cette règle ne comporte aucun paramètre que vous pouvez modifier.

• Conservez les paramètres par défaut.