Référence de recette de détecteur

Description : alerte générée lorsqu'une instance Bastion est créée.

Recommandation : assurez-vous que seuls les utilisateurs autorisés créent des instances Bastion.

Contexte : les bastions fournissent aux utilisateurs un accès SSH sécurisé et fluide sur les hôtes cible dans les sous-réseaux privés, tout en limitant l'accès public direct.

Paramètres de règle :

• Type de service : Bastion
• Type de ressource : instance
• Niveau de risque : LOW
• Libellés : Bastion

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une session Bastion est créée.

Recommandation : assurez-vous que seuls les utilisateurs autorisés créent des sessions Bastion.

En arrière-plan : une session Bastion fournit un accès SSH lié au temps, sécurisé et fluide à un hôte cible dans des sous-réseau privés, tout en limitant l'accès public direct.

Paramètres de règle :

• Type de service : Bastion
• Type de ressource : instance
• Niveau de risque : LOW
• Libellés : Bastion

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un package d'autorité de certification est mis à jour.

Recommandation : assurez-vous que seuls les utilisateurs autorisés mettent à jour des packages d'autorité de certification. Si l'utilisateur n'y est pas autorisé, annulez la mise à jour.

Contexte : un package d'autorité de certification est un fichier contenant des certificats racine et intermédiaires. L'autorité de certification du package atteste de la sécurité des certificats intermédiaires des utilisateurs. Lorsqu'un package d'autorité de certification est mis à jour, l'utilisateur associé à un certificat intermédiaire supprimé ne peut plus accéder aux ressources pour lesquelles l'attestation de l'autorité de certification avait été émise. De même, l'utilisateur associé à un certificat intermédiaire nouvellement ajouté peut désormais accéder à ces ressources.

Paramètres de règle :

• Type de service : Certificates
• Type de ressource : utilisateur
• Niveau de risque : MEDIUM
• Libellés : Certificats

• Conservez les paramètres par défaut.

Description : alerte générée par la suppression d'un package d'autorité de certification.

Recommandation : assurez-vous que seuls les utilisateurs autorisés suppriment des packages d'autorité de certification. Si l'utilisateur n'y est pas autorisé, annulez la suppression.

Contexte : un package d'autorité de certification est un fichier contenant des certificats racine et intermédiaires. L'autorité de certification du package atteste de la sécurité du certificat intermédiaire des utilisateurs. Lorsqu'un package d'autorité de certification est supprimé, les utilisateurs associés aux certificats intermédiaires ne peuvent plus accéder aux ressources qui nécessitent l'attestation de l'autorité de certification.

Paramètres de règle :

• Type de service : Certificates
• Type de ressource : utilisateur
• Niveau de risque : MEDIUM
• Libellés : Certificats

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un certificat intermédiaire dans un package d'autorité de certification est révoqué.

Recommandation : assurez-vous que seuls les utilisateurs autorisés révoquent des certificats intermédiaires dans des packages d'autorité de certification. Si l'utilisateur n'y est pas autorisé, annulez la révocation.

Contexte : lorsqu'un certificat intermédiaire d'un package d'autorité de certification est révoqué, l'utilisateur associé ne peut plus accéder aux ressources qui nécessitent que son certificat intermédiaire soit attesté par une autorité de certification approuvée.

Paramètres de règle :

• Type de service : Certificates
• Type de ressource : utilisateur
• Niveau de risque : MEDIUM
• Libellés : Certificats

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une image de calcul est exportée.

Recommandation : les images qui contiennent des éléments propriétaires doivent être balisées en conséquence avec des privilèges d'export accordés uniquement aux administrateurs OCI appropriés.

arrière-plan : les images de calcul peuvent être équivalentes à des lecteurs de données et contenir des informations sensibles. Les images qui peuvent contenir des éléments propriétaires doivent être identifiées en conséquence avec des privilèges d'export accordés uniquement aux administrateurs OCI appropriés.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : MINOR
• Libellés : Calcul

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une image Compute est importée.

Recommandation : assurez-vous qu'une personne censée ajouter de nouvelles images dans votre environnement importe l'image de calcul à partir de sources sécurisées, comme un administrateur Compute approuvé ou Oracle.

Contexte : les images de calcul sont à la base des instances de calcul. Une nouvelle image affecte chaque instance de calcul future lancée à partir de cette image, et les images importées doivent provenir de sources connues et sécurisées.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : MINOR
• Libellés : Calcul

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une instance de calcul prend fin.

Recommandation : utilisez des stratégies IAM pour restreindre les opérations de terminaison d'instance.

Contexte : les instances de calcul peuvent fournir des fonctions critiques.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : Calcul

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une image de calcul est mise à jour.

Recommandation :

Assurez-vous de ce qui suit :

• Une personne censée ajouter de nouvelles images dans votre environnement importe l'image.
• L'image est importée à partir de sources sécurisées, comme un administrateur Compute approuvé ou Oracle.

Contexte : les images de calcul sont à la base des instances de calcul. La modification des images affecte chaque instance de calcul future lancée à partir de cette image. Les images et les modifications associées doivent provenir de sources connues et sécurisées.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : LOW
• Libellés : Calcul

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un système de base de données prend fin.

Recommandation : veillez à ce qu'un administrateur autorisé valide et effectue la terminaison du système de base de données et des bases de données associées.

Contexte : les systèmes de base de données peuvent contenir des données confidentielles et fournir des fonctionnalités critiques. La terminaison d'un système de base de données supprime définitivement le système, les bases de données qui y sont exécutées et les volumes de stockage qui y sont attachés.

Paramètres de règle :

• Type de service : système de base de données
• Type de ressource : système
• Niveau de risque : HIGH
• Libellés : Base de données

• Conservez les paramètres par défaut.

Description : alerte générée lorsque des clés d'API IAM sont créées pour un utilisateur.

Recommandation : assurez-vous que les clés d'API sont créées uniquement par les utilisateurs autorisés à le faire, pour eux-mêmes ou pour d'autres utilisateurs.

Présentation : les clés d'API sont nécessaires pour utiliser l'un des kits SDK Oracle ou d'autres outils de développement. L'utilisation de ces outils de développement par des personnes dont la fonction professionnelle ne l'exige pas constitue une vulnérabilité en matière de sécurité.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de créer des clés d'API pour les utilisateurs.

Description : alerte générée lorsque la clé d'API IAM d'un utilisateur est supprimée.

Recommandation : assurez-vous que les clés d'API sont supprimées uniquement par des utilisateurs autorisés à créer et supprimer des clés d'API.

Présentation : les clés d'API sont nécessaires pour utiliser l'un des kits SDK Oracle ou d'autres outils de développement. La suppression des clés d'API d'un utilisateur qui travaille avec des outils de développement Oracle peut avoir une incidence néfaste sur la productivité.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de supprimer les clés d'API des utilisateurs.

Description : alerte générée lorsqu'un jeton d'authentification IAM est créé pour un utilisateur.

Recommandation : assurez-vous que les jetons d'authentification IAM sont créés par et pour des utilisateurs autorisés.

Contexte : les jetons d'authentification peuvent être utilisés pour s'authentifier auprès d'API tierces. La disponibilité des jetons d'authentification pour des personnes dont la fonction professionnelle ne l'exige pas constitue une vulnérabilité en matière de sécurité. Reportez-vous à Informations d'identification utilisateur.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de créer des jetons d'authentification IAM.

Description : alerte générée lorsqu'un jeton d'authentification IAM est supprimé pour un utilisateur.

Recommandation : assurez-vous que les jetons d'authentification IAM sont supprimés par des utilisateurs autorisés.

Contexte : les jetons d'authentification peuvent être utilisés pour s'authentifier auprès d'API tierces. La disponibilité des jetons d'authentification pour des personnes dont la fonction professionnelle ne l'exige pas constitue une vulnérabilité en matière de sécurité. Reportez-vous à Informations d'identification utilisateur.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait partie d'un groupe d'administrateurs avec des droits d'accès permettant de supprimer des jetons d'authentification IAM.

Description : alerte générée lorsque des clés client IAM sont créées.

Recommandation : assurez-vous que ces clés sont créées uniquement pour des utilisateurs autorisés.

Contexte : des clés secrètes client sont créées pour l'utilisation de l'API de compatibilité Amazon S3 avec Object Storage.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des clés client IAM.

Description : alerte générée lorsque des clés client IAM sont supprimées.

Recommandation : assurez-vous que la suppression de ces clés est attendue.

Contexte : des clés secrètes client sont créées pour l'utilisation de l'API de compatibilité Amazon S3 avec Object Storage.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de supprimer des clés client IAM.

Description : alerte générée lorsqu'un groupe IAM est créé.

Recommandation : assurez-vous que seuls les utilisateurs autorisés créent des groupes IAM.

Contexte : les groupes contrôlent l'accès aux ressources et aux privilèges.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : groupe
• Niveau de risque : MINOR
• Libellés : IAM

• Conservez les paramètres par défaut.

Description : alerte générée lors de la suppression d'un groupe IAM.

Recommandation : assurez-vous que seuls les utilisateurs autorisés suppriment des groupes IAM.

Contexte : les groupes contrôlent l'accès aux ressources et aux privilèges.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : GROUP
• Niveau de risque : MINOR
• Libellés : IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsque des informations d'identification OAuth 2.0 IAM sont créées.

Recommandation : assurez-vous que ces informations d'identification sont créées uniquement pour des utilisateurs autorisés.

Contexte : les informations d'identification IAM OAuth 2.0 permettent d'interagir avec les API des services qui utilisent l'autorisation OAuth 2.0. Reportez-vous à Informations d'identification utilisateur.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de créer des informations d'identification OAuth 2.0 IAM.

Description : alerte générée lorsque des informations d'identification OAuth 2.0 IAM sont supprimées.

Recommandation : assurez-vous que la suppression de ces informations d'identification est attendue.

Contexte : les informations d'identification IAM OAuth 2.0 permettent d'interagir avec les API des services qui utilisent l'autorisation OAuth 2.0. Reportez-vous à Informations d'identification utilisateur.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de supprimer des informations d'identification IAM OAuth 2.0.

Description : alerte générée lorsque les fonctionnalités d'un utilisateur IAM sont modifiées.

Recommandation : assurez-vous que seuls les utilisateurs autorisés modifient les fonctionnalités d'un utilisateur IAM.

Contexte : pour accéder à Oracle Cloud Infrastructure, un utilisateur doit disposer des informations d'identification requises, telles que les clés d'API, les jetons d'authentification et autres informations d'identification.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un utilisateur local ou fédéré est créé dans OCI IAM.

Recommandation : assurez-vous que seuls les utilisateurs autorisés créent des utilisateurs IAM.

Présentation : un utilisateur IAM peut être un employé ou un système individuel qui doit gérer ou utiliser les ressources Oracle Cloud Infrastructure de votre société.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : MINOR
• Libellés : IAM

• Conservez les paramètres par défaut.

Description : alerte générée lors de la création ou de la réinitialisation du mot de passe de console d'un utilisateur.

Recommandation : assurez-vous que le mot de passe d'un utilisateur est réinitialisé par celui-ci ou par un administrateur autorisé à réinitialiser les mots de passe.

Contexte : la réinitialisation multiple du mot de passe d'un utilisateur ou la réinitialisation par un utilisateur qui n'y est pas autorisé peut indiquer un risque de sécurité.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Libellés : IAM

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de réinitialiser les mots de passe utilisateur.

Description : alerte générée lorsqu'une stratégie de sécurité est modifiée.

Recommandation :

Contexte : la modification des stratégies affecte tous les utilisateurs du groupe et peut accorder des privilèges à des utilisateurs qui n'en ont pas besoin.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : stratégie
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.1_MONITORING, IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un utilisateur local pour lequel l'authentification à plusieurs facteurs n'est pas activée est authentifié.

Recommandation : assurez-vous que l'authentification à plusieurs facteurs est activée pour tous les utilisateurs.

Contexte : l'authentification à plusieurs facteurs augmente la sécurité en exigeant la compromission de plusieurs informations d'identification pour usurper l'identité d'un utilisateur. Les utilisateurs non autorisés ne pourront pas satisfaire à la deuxième exigence d'authentification et ne pourront pas accéder à l'environnement.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : HIGH
• Etiquettes : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un utilisateur est ajouté à un groupe.

Recommandation : assurez-vous que l'utilisateur est habilité à être membre du groupe.

Contexte : les groupes contrôlent l'accès aux ressources et aux privilèges. Les groupes sensibles doivent faire l'objet d'une surveillance attentive en ce qui concerne les changements de membres.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : groupe
• Niveau de risque : MINOR
• Etiquettes : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un utilisateur est enlevé d'un groupe.

Recommandation : assurez-vous que l'utilisateur est habilité à être membre du groupe.

Contexte : les groupes contrôlent l'accès aux ressources et aux privilèges. Les groupes sensibles doivent faire l'objet d'une surveillance attentive en ce qui concerne les changements de membres.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : MINOR
• Libellés : IAM

• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant d'enlever des utilisateurs de ce groupe.

Description : alerte générée lorsqu'une passerelle de routage dynamique (DRG) est attachée à un VCN.

Recommandation : assurez-vous que l'attachement de ce DRG au VCN est autorisé et attendu dans ce compartiment par la ressource (utilisateur).

Contexte : les passerelles de routage dynamique sont utilisées pour connecter des réseaux sur site existants à un réseau cloud virtuel (VCN) avec le VPN IPSec ou FastConnect.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : Networking
• Type de ressource : DRG
• Niveau de risque : MINOR
• Libellés : Réseau

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant d'attacher des passerelles de routage dynamique aux réseaux cloud virtuels.

Description : alerte générée lors de la création d'une passerelle de routage dynamique (DRG).

Recommandation : assurez-vous que la création de ce DRG est autorisée et attendue dans ce compartiment par la ressource (utilisateur).

Contexte : les passerelles de routage dynamique sont utilisées pour connecter des réseaux sur site existants à un réseau cloud virtuel (VCN) avec un VPN IPSEC ou FastConnect.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : Networking
• Type de ressource : DRG
• Niveau de risque : MINOR
• Libellés : Réseau

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de créer des passerelles de commande.

Description : alerte générée lorsqu'une passerelle de routage dynamique (DRG) est supprimée.

Recommandation : assurez-vous que la suppression de ce DRG est autorisée et attendue par la ressource (utilisateur).

Contexte : les passerelles de routage dynamique sont utilisées pour connecter des réseaux sur site existants à un réseau cloud virtuel (VCN) avec le VPN IPSec ou FastConnect.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : Networking
• Type de ressource : DRG
• Niveau de risque : MINOR
• Libellés : Réseau

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès permettant de supprimer des passerelles.

Description : alerte générée lorsqu'une passerelle de routage dynamique (DRG) est détachée d'un VCN.

Recommandation : assurez-vous que le détachement de ce DRG du VCN est autorisé et attendu dans ce compartiment par la ressource (utilisateur).

Contexte : les passerelles de routage dynamique sont utilisées pour connecter des réseaux sur site existants à un réseau cloud virtuel (VCN) avec le VPN IPSec ou FastConnect.

Paramètres de règle :

• (Statut : Désactivé)
• Type de service : Networking
• Type de ressource : DRG
• Niveau de risque : MINOR
• Libellés : Réseau

• Activez la règle si vous voulez connaître les utilisateurs qui effectuent des opérations liées aux groupes.
• Groupes conditionnels : déclencher un problème uniquement si l'utilisateur ne fait pas partie d'un groupe d'administrateurs avec des droits d'accès leur permettant de déconnecter des passerelles de commande des réseaux cloud virtuels.

Description : alerte générée lorsqu'un sous-réseau est modifié.

Recommandation : assurez-vous que la modification du VCN est autorisée et attendue dans ce compartiment.

Contexte : les sous-réseaux sont des sous-divisions d'un VCN. Les instances de calcul connectées au même sous-réseau utilisent la même table de routage, les mêmes listes de sécurité et les mêmes options DHCP.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : sous-réseau
• Niveau de risque : LOW
• Libellés : Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un sous-réseau est supprimé.

Recommandation : activez l'authentification à plusieurs facteurs pour vous assurer que l'utilisateur est véritablement un utilisateur connecté et que les informations d'identification ne sont pas compromises.

Contexte : les sous-réseaux sont des sous-divisions d'un VCN. Les instances de calcul connectées au même sous-réseau utilisent la même table de routage, les mêmes listes de sécurité et les mêmes options DHCP.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : sous-réseau
• Niveau de risque : LOW
• Libellés : Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lors de la connexion d'un utilisateur ou de l'exécution d'un appel d'API à partir d'une adresse IP suspecte. Si la stratégie appropriée est en place, un lien est fourni dans le problème Cloud Guard pour vous permettre d'accéder à des informations détaillées sur l'adresse IP suspecte dans le service Threat Intelligence. Pour plus de détails sur la stratégie requise, reportez-vous à Stratégies IAM Threat Intelligence.

Recommandation : activez l'authentification à plusieurs facteurs pour vous assurer que l'utilisateur est véritablement un utilisateur connecté et que les informations d'identification ne sont pas compromises.

Contexte : un utilisateur se connectant à partir d'une adresse IP suspecte représente une menace potentielle.

Paramètres de règle :

• Type de service : Cloud Guard
• Type de ressource : sécurité
• Niveau de risque : CRITICAL
• Libellés : Réseau

• Configuration : mettez sur liste de blocage ou sur liste d'autorisation des blocs CIDR ou adresses IP spécifiques dans la section Paramètre d'entrée de la règle.

Description : alerte générée lors de la création d'un VCN.

Recommandation : assurez-vous que la création d'un nouveau VCN est autorisée et attendue dans ce compartiment.

Contexte : un VCN est un réseau privé virtuel que vous configurez dans les centres de données Oracle. Comme un réseau traditionnel, il peut contenir des règles de pare-feu et des types spécifiques de passerelle de communication.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, réseau

• Conservez les paramètres par défaut.

Description : alerte générée lors de la création d'un VCN.

Recommandation : assurez-vous que la suppression d'un VCN est autorisée et attendue dans ce compartiment.

Contexte : un VCN est un réseau privé virtuel que vous configurez dans les centres de données Oracle. Comme un réseau traditionnel, il peut contenir des règles de pare-feu et des types spécifiques de passerelle de communication. La suppression d'un réseau cloud virtuel peut modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une option DHCP VCN est modifiée.

Recommandation : assurez-vous que la modification des informations DHCP et DNS est autorisée pour ce VCN et les ressources associées.

Contexte : les options DHCP contrôlent certains types de configuration sur les instances d'un VCN, y compris la spécification des domaines de recherche et des résolveurs DNS qui peuvent diriger les communications au sein des réseaux cloud virtuels vers les ressources Internet. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : DHCP
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, réseau

• Conservez les paramètres par défaut.

Description : alerte générée lors de la création d'une passerelle Internet VCN.

Recommandation : assurez-vous que la création d'une passerelle Internet est autorisée pour ce VCN et ses ressources associées.

Contexte : les passerelles Internet sont des routeurs virtuels que vous pouvez ajouter à votre VCN pour activer la connectivité directe (entrante ou sortante) vers Internet. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : Internet Gateway
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une passerelle Internet VCN est interrompue.

Recommandation : assurez-vous que la suppression d'une passerelle Internet est autorisée pour ce VCN et ses ressources associées.

Contexte : les passerelles Internet sont des routeurs virtuels que vous pouvez ajouter à votre VCN pour activer la connectivité directe (entrante ou sortante) vers Internet. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : Internet Gateway
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une passerelle d'appairage local VCN est modifiée.

Recommandation : assurez-vous que les modifications apportées à la passerelle d'appairage local sont autorisées pour ce VCN et ses ressources associées.

Contexte : les passerelles d'appairage local (LPG) VCN connectent deux réseaux cloud virtuels de la même région sans acheminer le trafic sur Internet. Les ressources des passerelles d'appairage local dans les réseaux cloud virtuels communiquent directement avec des adresses IP privées. Les modifications apportées aux passerelles d'appairage local peuvent avoir une incidence sur l'accès aux ressources et les communications entre réseaux cloud virtuels. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : passerelle d'appairage local
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsque le groupe de sécurité réseau d'un VCN est supprimé.

Recommandation : assurez-vous que la suppression du groupe de sécurité réseau est autorisée pour ce VCN et ses ressources associées.

Contexte : les groupes de sécurité réseau servent de pare-feu virtuels pour les instances de calcul et d'autres types de ressource. Les groupes de sécurité réseau comprennent un ensemble de règles de sécurité entrantes et sortantes appliquées à un ensemble de cartes d'interface réseau virtuelles dans un réseau cloud virtuel. La suppression de groupes de sécurité réseau peut enlever des protections entre les ressources du réseau cloud virtuel, et entraîner un refus d'accès aux ressources ou une perte de données.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : groupe de sécurité réseau
• Niveau de risque : HIGH
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsque la règle sortante de groupe de sécurité réseau d'un VCN est modifiée.

Recommandation : assurez-vous que les nouvelles règles sortantes sont autorisées pour ce groupe de sécurité réseau et ses ressources associées.

Contexte : les groupes de sécurité réseau servent de pare-feu virtuels pour les instances de calcul et d'autres types de ressource. Les groupes de sécurité réseau comprennent un ensemble de règles de sécurité entrantes et sortantes appliquées à un ensemble de cartes d'interface réseau virtuelles dans un réseau cloud virtuel. Les modifications apportées aux règles sortantes peuvent entraîner un refus d'accès aux ressources.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : groupe de sécurité réseau
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsque la règle entrante de groupe de sécurité réseau d'un VCN est modifiée.

Recommandation : assurez-vous que les nouvelles règles entrantes sont autorisées pour ce NSG et ses ressources associées.

Contexte : les groupes de sécurité réseau servent de pare-feu virtuels pour les instances de calcul et d'autres types de ressource. Les groupes de sécurité réseau comprennent un ensemble de règles de sécurité entrantes et sortantes appliquées à un ensemble de cartes d'interface réseau virtuelles dans un réseau cloud virtuel. Les modifications apportées aux règles entrantes des groupes de sécurité réseau peuvent autoriser des connexions et du trafic vers de nouvelles ressources et cartes d'interface réseau virtuelles dans le réseau cloud virtuel.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : groupe de sécurité réseau
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsque la table de routage d'un VCN est modifiée.

Recommandation : assurez-vous que la modification de la table de routage est autorisée et attendue dans ce compartiment.

Contexte : les tables de routage virtuelles comportent des règles qui ressemblent à des règles de routage réseau traditionnelles. Les tables de routage mal configurées peuvent causer la suppression du trafic réseau (trou noir) ou son envoi vers une cible non désirée. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : table de routage
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, réseau

• Conservez les paramètres par défaut.

Description : alerte générée lors de la création d'une liste de sécurité pour un VCN.

Recommandation : assurez-vous que la création de cette liste de sécurité est autorisée pour ce VCN et ses ressources associées.

Contexte : les listes de sécurité servent de pare-feu virtuels pour les instances de calcul et d'autres ressources, et comprennent des ensembles de règles entrantes et sortantes qui s'appliquent à toutes les VNIC de n'importe quel sous-réseau associé à la liste de sécurité. Plusieurs listes de sécurité peuvent s'appliquer aux ressources, et donner accès aux ports et adresses IP de ces ressources. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : liste de sécurité
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsque la liste de sécurité d'un VCN est supprimée.

Recommandation : assurez-vous que la suppression de cette liste de sécurité est autorisée pour ce VCN et ses ressources associées.

Contexte : les listes de sécurité servent de pare-feu virtuels pour les instances de calcul et d'autres ressources, et comprennent des ensembles de règles entrantes et sortantes qui s'appliquent à toutes les VNIC de n'importe quel sous-réseau associé à la liste de sécurité. Plusieurs listes de sécurité peuvent s'appliquer aux ressources, et donner accès aux ports et adresses IP de ces ressources. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : liste de sécurité
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsque les règles sortantes de la liste de sécurité d'un VCN sont modifiées.

Recommandation : assurez-vous que les modifications apportées aux règles sortantes sont autorisées pour cette liste de sécurité et ses ressources associées.

Contexte : les listes de sécurité servent de pare-feu virtuels pour les instances de calcul et d'autres ressources, et comprennent des ensembles de règles entrantes et sortantes qui s'appliquent à toutes les VNIC de n'importe quel sous-réseau associé à la liste de sécurité. Plusieurs listes de sécurité peuvent s'appliquer aux ressources, et donner accès aux ports et adresses IP de ces ressources. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : liste de sécurité
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsque les règles entrantes de liste de sécurité d'un VCN sont modifiées.

Recommandation : assurez-vous que les modifications apportées aux règles entrantes sont autorisées pour cette liste de sécurité et ses ressources associées.

Contexte : les listes de sécurité servent de pare-feu virtuels pour les instances de calcul et d'autres ressources, et comprennent des ensembles de règles entrantes et sortantes qui s'appliquent à toutes les VNIC de n'importe quel sous-réseau associé à la liste de sécurité. Plusieurs listes de sécurité peuvent s'appliquer aux ressources, et donner accès aux ports et adresses IP de ces ressources. Les modifications apportées à un réseau cloud virtuel peuvent modifier le routage, la résolution de nom de domaine qualifié complet et d'autres opérations de fonctions de réseau.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : liste de sécurité
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, réseau

• Conservez les paramètres par défaut.

Description : alerte lorsque l'adresse IP d'une instance de calcul est publique.

Recommandation : envisagez avec précaution d'autoriser l'accès Internet à toutes les instances. Par exemple, vous ne voudrez pas autoriser accidentellement l'accès Internet aux instances de base de données confidentielles.

Contexte : pour qu'une instance soit adressable publiquement, elle doit effectuer les opérations suivantes :

• Posséder une adresse IP publique
• Exister dans un sous-réseau de réseau cloud virtuel public
• Exister sur un réseau cloud virtuel avec une passerelle Internet activée et configurée pour le trafic sortant
• Exister sur un sous-réseau sur lequel la liste de sécurité est configurée pour toutes les adresses IP et tous les ports (0.0.0.0/0)

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Calcul

• Suppression de l'adresse IP publique de l'instance : suivez les instructions fournies dans Procédure de suppression d'une adresse IP publique dynamique d'une instance.

Description : alerte générée lorsqu'une instance de calcul n'est pas créée à partir d'une image publique Oracle.

Recommandation : assurez-vous que vos instances exécutent toutes des images autorisées à partir de sources sécurisées.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : LOW
• Libellés : Calcul

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une instance est accessible publiquement.

Recommandation : envisagez avec précaution d'autoriser l'accès Internet à toutes les instances.

Contexte : pour qu'une instance soit adressable publiquement, elle doit effectuer les opérations suivantes :

• Posséder une adresse IP publique
• Exister dans un sous-réseau de réseau cloud virtuel public
• Exister sur un réseau cloud virtuel avec une passerelle Internet activée et configurée pour le trafic sortant
• Exister sur un sous-réseau sur lequel la liste de sécurité est configurée pour toutes les adresses IP et tous les ports (0.0.0.0/0)

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : CRITICAL
• Libellés : Calcul

• Groupes conditionnels : filtrez les OCID des instances qui doivent posséder une adresse IP publique.

Description : alerte générée lorsqu'une instance de calcul exécutée est créée à partir d'une image publique Oracle.

Recommandation : assurez-vous que vos instances exécutent toutes des images autorisées à partir de sources sécurisées.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : LOW
• Libellés : Calcul

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une instance de calcul est exécutée sans les balises configurées requises.

Recommandation : assurez-vous que les instances utilisent les balises requises.

Contexte : les balises sont importantes à des fins d'audit et de suivi.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : MEDIUM
• Etiquettes : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configuration : ajoutez les balises requises dans la section Paramètre d'entrée de la règle.

  Les formats suivants sont autorisés dans la zone Paramètre d'entrée. S'il existe plusieurs entrées, séparez-les par une virgule.

  • <namespace>.<definedkey>=<definedValue>
  • <namespace>.<definedKey>
  • <freeformkey>=<freeformValue>
  • <freeformkey>

  Exemples :

  • <namespace>.<definedkey>=<definedValue>
    • Operations.Environment=Production : si la ressource comporte une balise définie sur l'espace de noms Operations, une clé définie correspondant à Environment et une valeur définie correspondant à Production, la règle ne déclenche aucun problème.
    • Operations.*=* : si la ressource comporte une balise définie sur l'espace de noms Operations, avec n'importe quelle clé définie et n'importe quelle valeur définie, la règle ne déclenche aucun problème.
  • <namespace>.<definedkey>
    • Operations.Environment : si la ressource comporte une balise définie sur l'espace de noms Operations, avec une clé définie correspondant à Environment et n'importe quelle valeur définie, la règle ne déclenche aucun problème.
  • <freeformKey>
    • Project : si une balise est définie sur la clé à format libre Project pour la ressource, la règle ne déclenche aucun problème.
  • <freeformKey>=freeformValue
    • Project=APPROVED : si la ressource comporte une balise définie sur la clé à format libre Project avec la valeur APPROVED, la règle ne déclenche aucun problème.

Description : alerte générée lorsqu'une base de données pour laquelle Data Safe n'est pas activé est détectée.

Recommandation : assurez-vous que Data Safe est activé pour tous les compartiments surveillés par Cloud Guard qui contiennent des bases de données. Reportez-vous à Introduction.

Contexte en arrière-plan : Data Safe garantit que la configuration des bases de données est sécurisée. Ce service doit être activé pour vous aider à surveiller, prévenir et atténuer les risques au sein de vos bases de données cloud Oracle.

Paramètres de règle :

• Type de service : Data Safe
• Type de ressource : location
• Niveau de risque : HIGH
• Libellés : Sécurité de base de données

• Conservez les paramètres par défaut.

Description : alerte générée lorsque la sauvegarde automatique n'est pas activée pour une base de données.

Recommandation : assurez-vous que la sauvegarde automatique est activée.

Contexte : l'activation de la sauvegarde automatique permet de s'assurer que, si une défaillance matérielle catastrophique se produit, vous êtes en mesure de restaurer la base de données avec une perte de données minimale.

Paramètres de règle :

• Type de service : Database
• Type de ressource : système de base de données
• Niveau de risque : HIGH
• Libellés : Base de données

• Groupes conditionnels : filtrez les OCID de base de données qui n'ont pas besoin d'être sauvegardés automatiquement, par exemple, dans les environnements de test de développeur.

Description : signalez la détection d'une instance de base de données non inscrite dans Data Safe.

Recommandation : inscrivez cette instance de base de données avec Data Safe et configurez des évaluations pour évaluer et surveiller la configuration, vérifier les activités des utilisateurs et atténuer les risques. Reportez-vous à Inscription de la base de données cible.

Contexte en arrière-plan : Data Safe garantit que la configuration des bases de données est sécurisée. Toutes les bases de données cloud. Ce service doit être activé pour surveiller, prévenir et réduire les risques au sein de vos bases de données cloud Oracle.

Paramètres de règle :

• Type de service : Data Safe
• Type de ressource : location
• Niveau de risque : MEDIUM
• Libellés : Sécurité de base de données

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un patch de base de données disponible n'a pas été appliqué dans le nombre de jours spécifié.

Recommandation : appliquez les patches publiés à la base de données lorsqu'ils sont disponibles.

Contexte : les patches de base de données traitent les problèmes de fonctionnalité, de sécurité et de performances. La plupart des failles de sécurité peuvent être évitées en appliquant les patches disponibles.

Paramètres de règle :

• Type de service : Database
• Type de ressource : système de base de données
• Niveau de risque : MEDIUM
• Libellés : Base de données

• Configuration : définissez le nombre de jours pour appliquer le patch dans la section Paramètre d'entrée de la règle.
• Groupes conditionnels : filtrez les OCID de base de données auxquels le dernier patch n'a pas besoin d'être appliqué, par exemple, les OCID dans les environnements de test de développement.

Recommandation : assurez-vous que le système de base de données ne possède pas d'adresse IP publique.

Contexte : l'utilisation d'une adresse IP publique pour accéder à une base de données augmente votre exposition aux risques potentiels pour la sécurité et la continuité des activités.

Paramètres de règle :

• Type de service : Database
• Type de ressource : système de base de données
• Niveau de risque : HIGH
• Libellés : Base de données

• Groupes conditionnels : filtrez les OCID de base de données censés être publics.

Description : alerte relative à l'accès public à une base de données.

Recommandation : envisagez avec précaution d'autoriser l'accès Internet à n'importe quel système de base de données.

Contexte : pour être accessible publiquement, une base de données doit :

• Posséder une adresse IP publique.
• Être dans un sous-réseau de réseau cloud virtuel public.
• Etre dans un sous-réseau comportant une passerelle Internet activée et configurée pour le trafic sortant.
• Être dans :
  • un sous-réseau dont la liste de sécurité autorise le trafic à partir de n'importe quelle plage CIDR source et de tous les protocoles, ou
  • un groupe de sécurité réseau qui autorise le trafic à partir de n'importe quelle plage CIDR source et de tous les protocoles.

Paramètres de règle :

• Type de service : Database
• Type de ressource : ExadataBareMetalVM
• Niveau de risque : CRITICAL
• Libellés : Base de données

• Groupes conditionnels : filtrez les OCID de base de données censés être publics.

Description : alerte générée lorsqu'un patch de système de base de données disponible n'a pas été appliqué.

Remarque : appliquez les patches publiés au système de base de données lorsqu'ils sont disponibles.

En arrière-plan : les patches de système de base de données incluent souvent des mises à jour qui éliminent les vulnérabilités connues en matière de sécurité.

Paramètres de règle :

• Type de service : Database
• Type de ressource : système de base de données
• Niveau de risque : MEDIUM
• Libellés : Base de données

• Configuration : définissez le nombre de jours pour appliquer le patch dans la section Paramètre d'entrée de la règle.
• Groupes conditionnels : filtrez les OCID de système de base de données auxquels le dernier patch n'a pas besoin d'être appliqué, par exemple, les OCID dans les environnements de test de développement.

Description : alerte générée lorsqu'un système de base de données est exécuté avec une version non autorisée.

Recommandation : assurez-vous que la version du système de base de données déployée est approuvée et testée.

Arrière-plan : l'exécution de versions non autorisées des systèmes de base de données peut augmenter les risques de violation de sécurité, mettant en péril la confidentialité, l'intégrité et la disponibilité de vos données.

Paramètres de règle :

• Type de service : Database
• Type de ressource : système de base de données
• Niveau de risque : CRITICAL
• Libellés : Base de données

• Groupes conditionnels : filtrez les OCID de système de base de données qui n'ont pas besoin d'une version autorisée, par exemple, les OCID dans les environnements de test de développeur.

Description : alerte générée lorsqu'une base de données est exécutée avec une version non autorisée.

Recommandation : assurez-vous que la version de la base de données déployée est approuvée et testée.

En arrière-plan : version autorisée d'une base de données possédant les fonctionnalités de sécurité et les patches de vulnérabilité les plus récents. L'exécution de versions non autorisées d'une base de données peut augmenter les risques de faille de sécurité, mettant en péril la confidentialité, l'intégrité et la disponibilité de vos données.

Paramètres de règle :

• Type de service : Database
• Type de ressource : système de base de données
• Niveau de risque : CRITICAL
• Libellés : Base de données

• Groupes conditionnels : filtrez les OCID de base de données qui n'ont pas besoin d'une version autorisée, par exemple, les OCID dans les environnements de test de développement.

Description : alerte générée lorsqu'une paire de clés privée/publique IAM affectée à un utilisateur est trop ancienne.

Recommandation : effectuez une rotation régulière des clés d'API, au moins tous les 90 jours.

Contexte : la modification au moins tous les 90 jours des clés d'API IAM fait partie des meilleures pratiques de sécurité. Plus les informations d'identification IAM restent inchangées pendant longtemps, plus le risque de compromission est grand.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : IAMKey
• Niveau de risque : MEDIUM
• Etiquettes : CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configuration (facultatif) : vous pouvez modifier la valeur de 90 jours dans la section Paramètre d'entrée de l'application.

Description : obtenez une alerte lorsque l'ancienneté des jetons d'authentification IAM dépasse le nombre maximal de jours indiqué.

Recommandation : effectuez une rotation régulière des jetons d'authentification IAM, au moins tous les 90 jours.

Contexte : la modification au moins tous les 90 jours des jetons d'authentification IAM fait partie des meilleures pratiques de sécurité. Plus les jetons d'authentification IAM restent inchangés pendant longtemps, plus le risque de compromission est grand.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.1_IAM, IAM

• Configuration : définissez le nombre maximal de jours pour les jetons d'authentification IAM (soit 90) dans la section Paramètre d'entrée de la règle.

Description : alerte générée lorsque l'ancienneté des clés secrètes client IAM dépasse le nombre maximal de jours indiqué.

Recommandation : effectuez une rotation régulière des clés secrètes client IAM, au moins tous les 90 jours.

Présentation : la modification au moins tous les 90 jours des clés secrètes client IAM fait partie des meilleures pratiques de sécurité. Plus les clés secrètes client IAM restent inchangées pendant longtemps, plus le risque de compromission est grand.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.1_IAM, IAM

• Configuration : définissez le nombre maximal de jours pour les clés secrètes client IAM (soit 90) dans la section Paramètre d'entrée de la règle.

Description : alerte lorsque le nombre minimal de membres indiqué est inférieur à celui d'un groupe IAM.

Recommandation : augmentez le nombre de membres du groupe afin qu'il dépasse le nombre minimal spécifié.

Contexte : l'adhésion à un groupe IAM autorise souvent l'accès aux ressources et aux fonctionnalités. Des groupes qui comptent trop peu de membres peuvent aboutir à un excès de privilèges "orphelins" (qui ne sont plus disponibles pour aucun utilisateur).

Paramètres de règle :

• Type de service : IAM
• Type de ressource : groupe
• Niveau de risque : LOW
• Libellés : IAM

• Conservez les paramètres par défaut.

Description : alerte lorsque le nombre maximal de membres d'un groupe IAM est supérieur à celui indiqué.

Recommandation : réduisez le nombre de membres du groupe pour qu'il soit inférieur au nombre maximal spécifié.

Contexte : l'adhésion à un groupe IAM autorise souvent l'accès aux ressources et aux fonctionnalités. Des groupes qui comptent trop de membres peuvent aboutir à des privilèges trop permissifs accordés à de trop nombreux utilisateurs.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : groupe
• Niveau de risque : MEDIUM
• Libellés : IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsque l'ancienneté d'un mot de passe IAM dépasse le nombre maximal de jours indiqué.

Recommandation : effectuez régulièrement une rotation des mots de passe IAM, au moins tous les 90 jours.

Présentation : la modification au moins tous les 90 jours des mots de passe IAM fait partie des meilleures pratiques de sécurité. Plus les informations d'identification IAM restent inchangées pendant longtemps, plus le risque de compromission est grand.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : MEDIUM
• Etiquettes : CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configuration : définissez le nombre maximal de jours pour les mots de passe (valeur par défaut : 90) dans la section Paramètre d'entrée de la règle.

Description : la stratégie de mot de passe ne répond pas aux exigences de complexité.

Recommandation : Oracle recommande qu'une stratégie de mot de passe forte comprenne au moins une lettre minuscule.

arrière-plan : les mots de passe complexes sont plus difficiles à deviner et peuvent réduire les risques d'accès non autorisé ou de compromission des données.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : stratégie
• Niveau de risque : LOW
• Etiquettes : CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une stratégie IAM accorde un accès administrateur à un utilisateur qui n'est pas membre du groupe Administrateurs.

Recommandation : assurez-vous que la stratégie est limitée pour autoriser uniquement des utilisateurs spécifiques à accéder aux ressources nécessaires à l'accomplissement de leurs fonctions professionnelles.

arrière-plan : une stratégie est un document qui indique qui peut accéder aux ressources OCI dont dispose votre entreprise, et comment. Une stratégie permet simplement à un groupe d'utiliser de certaines façons des types spécifiques de ressource dans un compartiment donné.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : stratégie
• Niveau de risque : MEDIUM
• Etiquettes : CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configuration : ajoutez les OCID pour tous les groupes auxquels ces privilèges doivent être accordés dans la section Paramètre d'entrée de la règle.

Description : alerte générée lorsque le privilège d'administrateur de location est accordé à un groupe IAM supplémentaire.

Recommandation : vérifiez avec l'administrateur OCI que cet octroi d'habilitation a été autorisé et que l'appartenance au groupe reste valide après l'octroi du privilège d'administrateur.

Contexte : les membres du groupe d'administrateurs de location par défaut peuvent effectuer n'importe quelle action sur toutes les ressources de la location. Cette habilitation à privilèges élevés doit être contrôlée et limitée uniquement aux utilisateurs qui en ont besoin pour exécuter leurs fonctions professionnelles.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : stratégie
• Niveau de risque : LOW
• Etiquettes : CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configuration : ajoutez les OCID des groupes qui doivent disposer du privilège d'administrateur dans la section Paramètre d'entrée de la règle.

Description : alerte générée lorsque l'authentification à plusieurs facteurs n'est pas activée pour un utilisateur.

Recommandation : activez l'authentification à jour pour tous les utilisateurs à l'aide de l'application Oracle Mobile Authenticator (OMA) sur l'appareil mobile de chaque utilisateur et du code secret à temps envoyé à l'adresse électronique inscrite de l'utilisateur.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : CRITICAL
  Remarque
  
  Si votre organisation a commencé à utiliser Cloud Guard avant avril 2023, le niveau de risque par défaut est MEDIUM.
• Etiquettes : CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un utilisateur dispose de clés d'API activées.

Recommandation : assurez-vous que l'accès des administrateurs à OCI via les clés d'API est effectué en tant qu'exception. Ne codez pas en dur les informations d'identification IAM directement dans les logiciels ou les documents destinés à un large public.

Contexte : les clés d'API IAM sont les informations d'identification utilisées pour accorder un accès programmatique aux ressources. Les utilisateurs humains ne doivent pas utiliser les clés d'API.

Paramètres de règle :

• Type de service : IAM
• Type de ressource : utilisateur
• Niveau de risque : LOW
• Etiquettes : CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une clé KMS n'a pas fait l'objet d'une rotation au cours de la période indiquée.

Recommandation : assurez une rotation régulière des clés KMS.

arrière-plan : pour la sécurité des informations, vous devez modifier périodiquement les mots de passe, les clés et les informations cryptographiques, ou assurer leur rotation. La rotation des clés dans KMS réduit l'impact et la probabilité de compromission des clés. Définissez la valeur minimale. Vous pouvez modifier le délai par défaut de rotation des clés de 180 jours dans la section Paramètre d'entrée de la règle.

Paramètres de règle :

• Type de service : KMS
• Type de ressource : clé KMS
• Niveau de risque : CRITICAL
• Etiquettes : CIS_OCI_V1.1_MONITORING, KMS

• Configuration : définissez le délai par défaut de rotation des clés dans la section Paramètre d'entrée de la règle.

Description : alerte générée lorsqu'une ressource n'est pas balisée conformément aux exigences que vous avez spécifiées.

Recommandation : vérifiez que les balises configurées sont utilisées pour les images de calcul, les instances de calcul, les systèmes de base de données, les réseaux cloud virtuels, le stockage d'objet et les volumes de blocs de stockage.

En arrière-plan : vérifiez que les balises configurées sont utilisées pour les images de calcul, les instances de calcul, les systèmes de base de données, les réseaux cloud virtuels, le stockage d'objets et les volumes de blocs de stockage.

Paramètres de règle :

• Type de service : plusieurs
• Type de ressource : plusieurs
• Niveau de risque : LOW
• Etiquettes : CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configuration : ajoutez les balises appropriées dans la section Paramètre d'entrée de la règle.

Description : alerte générée lorsqu'un mécanisme de cryptage oci-wider-compatible-ssl-cipher-suite-v1 est configuré pour l'équilibreur de charge. Ce mécanisme de cryptage inclut des algorithmes tels que DES et RC4, considérés comme faibles et sujets à des attaques. Applicable uniquement aux mécanismes de cryptage prédéfinis et non aux valeurs personnalisées de mécanisme de cryptage.

Vous pouvez éventuellement utiliser des conditions pour spécifier des mécanismes de cryptage supplémentaires à marquer.

Pour utiliser des chiffrements supplémentaires :

1. Modifiez la règle de détecteur L'équilibreur de charge autorise les mécanismes de cryptage faibles.
2. Sous Paramètre d'entrée, entrez les chiffrements supplémentaires sous forme de liste séparée par des virgules dans Liste des chiffrements faibles de l'équilibreur de charge.
   • Lorsque le paramètre d'entrée est vide (valeur par défaut), le paramètre oci-wider-compatible-ssl-cipher-suite-v1 est coché et marqué.
   • Lorsque le paramètre d'entrée contient des entrées, les chiffrements supplémentaires sont vérifiés ainsi que oci-wider-compatible-ssl-cipher-suite-v1.
   Les cryptages supplémentaires sont les suivants :

   • oci-compatible-ssl-cipher-suite-v1
   • oci-default-ssl-cipher-suite-v1
   • oci-modern-ssl-cipher-suite-v1
   • oci-tls-11-12-13-wider-ssl-cipher-suite-v1
   • oci-tls-12-13-wider-ssl-cipher-suite-v1

Recommandation : utilisez les mécanismes de cryptage par défaut modernes qui prennent en charge un cryptage plus fort.

Contexte : certaines versions DES mécanismes de cryptage avec DES algorithmes comme DES ne sont pas recommandées.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : équilibreur de charge
• Niveau de risque : MEDIUM
• Libellés : Réseau

• Conservez les paramètres par défaut.

Description : alerte lorsque l'équilibreur de charge comporte un protocole configuré dans le cadre de sa stratégie SSL qui inclut une version antérieure à Transport Layer Security (TLS) 1.2.

Recommandation : assurez-vous que la version de stratégie SSL configurée est au moins TLS 1.2.

arrière-plan : les anciennes versions sont risquées et vulnérables à de nombreux types d'attaque. Plusieurs normes, telles que PCI-DSS et NIST, encouragent fortement l'utilisation de TLS 1.2.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : équilibreur de charge
• Niveau de risque : HIGH
• Libellés : Réseau

• Conservez les paramètres par défaut.

Description : signalez qu'aucun ensemble de back-ends n'est associé à un équilibreur de charge.

recommandation : assurez-vous que vous configurez les équilibreurs de charge avec des ensembles de back-ends pour contrôler l'état d'un équilibreur de charge et son accès par les instances définies.

Contexte : un ensemble de back-ends est une entité logique définie par une stratégie d'équilibrage de charge, une stratégie de vérification de l'état et une liste de serveurs back-end.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : équilibreur de charge
• Niveau de risque : CRITICAL
• Libellés : Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une liste de sécurité d'un équilibreur de charge comprend des règles entrantes qui acceptent le trafic à partir d'une source ouverte (0.0.0.0/0).

Recommandation : assurez-vous que vos équilibreurs de charge OCI utilisent des règles entrantes ou des processus d'écoute pour autoriser uniquement l'accès à partir de ressources connues.

Contexte : les équilibreurs de charge OCI activent les connexions TLS de bout en bout entre les applications d'un client et votre VCN. Un processus d'écoute est une entité logique qui vérifie le trafic entrant sur l'adresse IP de l'équilibreur de charge. Pour gérer le trafic TCP, HTTP et HTTPS, vous devez configurer au moins un processus d'écoute par type de trafic.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : équilibreur de charge
• Niveau de risque : MINOR
• Libellés : Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un équilibreur de charge est exécuté avec une adresse IP publique.

Recommandation : assurez-vous que tous les équilibreurs de charge qui ne doivent pas être accessibles publiquement sont exécutés avec des adresses IP privées.

En arrière-plan : une adresse IP publique sur un équilibreur de charge non destiné à être utilisé pour du contenu disponible publiquement crée une vulnérabilité de sécurité inutile.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : équilibreur de charge
• Niveau de risque : Elevé
• Libellés : Réseau

• Groupes conditionnels : filtrez les OCID des équilibreurs de charge qui doivent avoir une adresse IP publique.

Description : alerte générée lorsque le certificat SSL d'un équilibreur de charge est défini pour expirer dans la période indiquée.

Recommandation : assurez la rotation des certificats en temps opportun.

Présentation : pour assurer une sécurité et une utilisation continues, les certificats SSL doivent faire l'objet d'une rotation dans OCI.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : équilibreur de charge
• Niveau de risque : CRITICAL
• Libellés : Réseau

• Configuration : définissez la valeur Nombre de jours avant expiration (par défaut : 48) dans la section Paramètres d'entrée de la règle.

Description : alerte générée lorsque la règle sortante d'un groupe de sécurité réseau contient un numéro de port et une adresse IP de destination interdits.

Recommandation : assurez-vous que les règles sortantes de communication avec l'adresse IP/le port sont autorisées pour ce groupe de sécurité réseau.

Contexte : les groupes de sécurité réseau servent de pare-feu virtuels pour les instances de calcul et d'autres types de ressource. Les règles de sécurité sortantes des groupes de sécurité réseau s'appliquent à un ensemble de cartes d'interface réseau virtuelles dans un réseau cloud virtuel afin d'autoriser l'accès à des ports et adresses IP spécifiques.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : groupe de sécurité réseau
• Niveau de risque : MEDIUM
• Libellés : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Réseau

• Configuration : ajoutez les ports interdits dans la section Paramètre d'entrée de la règle.

Description : alerte lorsque la règle entrante d'un groupe de sécurité réseau contient un numéro de port et une adresse IP de destination non autorisés.

Recommandation : assurez-vous que les règles entrantes de communication avec l'adresse IP/le port sont autorisées pour ce groupe de sécurité réseau.

Contexte : les groupes de sécurité réseau servent de pare-feu virtuels pour les instances de calcul et d'autres types de ressource. Les règles de sécurité entrantes des groupes de sécurité réseau s'appliquent à un ensemble de cartes d'interface réseau virtuelles dans un réseau cloud virtuel afin d'autoriser l'accès à des ports et adresses IP spécifiques.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : groupe de sécurité réseau
• Niveau de risque : HIGH
• Libellés : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Réseau

• Configuration : ajoutez les ports interdits dans la section Paramètre d'entrée de la règle.

Description : alerte générée lorsqu'un VCN est attaché à une passerelle Internet.

Recommandation : assurez-vous que les passerelles Internet sont autorisées à être attachées à un VCN et que cette pièce jointe n'expose pas les ressources à Internet. Assurez-vous que les listes de sécurité contiennent des règles entrantes et que ces listes de sécurité ne sont pas configurées pour autoriser l'accès à partir de toutes les adresses IP (0.0.0.0/0).

Contexte : les passerelles fournissent une connectivité externe aux hôtes d'un VCN. Elles comprennent une passerelle Internet pour la connectivité Internet.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Network

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un VCN est attaché à une passerelle d'appairage local.

Recommandation : assurez-vous que les passerelles d'appairage local sont autorisées à être attachées à un VCN et que cette attachement n'expose pas les ressources à Internet.

Contexte : les passerelles fournissent une connectivité externe aux hôtes d'un VCN. Elles comprennent une passerelle d'appairage local pour la connectivité au réseau cloud virtuel appairé.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Network

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'un VCN n'a pas de liste de sécurité entrante.

Recommandation : assurez-vous que les listes de sécurité d'utilisation d'OCI VCN avec des règles entrantes ou entrantes permettent uniquement l'accès à partir de ressources connues.

Contexte : les listes de sécurité permettent de contrôler l'accès réseau à vos instances à l'aide d'un pare-feu et d'un pare-feu. Une liste de sécurité est configurée au niveau du sous-réseau et appliquée au niveau de l'instance. Vous pouvez appliquer plusieurs listes de sécurité à un sous-réseau sur lequel un paquet réseau est autorisé, en cas de correspondance avec une règle des listes de sécurité.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : MEDIUM
• Libellés : Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une liste de sécurité VCN autorise le trafic illimité vers un port non public à partir d'une source ouverte (0.0.0.0/0).

Recommandation : utilisez les listes de sécurité VCN pour restreindre l'accès réseau aux instances d'un sous-réseau. Pour empêcher les accès non autorisés ou les attaques sur les instances de calcul, Oracle vous recommande ce qui suit :

• Utilisez une liste de sécurité de réseau cloud virtuel pour autoriser l'accès SSH ou RDP uniquement à partir des blocs CIDR autorisés.
• Ne laissez pas les instances de calcul ouvertes à Internet (0.0.0.0/0).

Contexte : un VCN dispose d'un ensemble de fonctionnalités pour appliquer le contrôle d'accès réseau et sécuriser le trafic VCN. Les listes de sécurité assurent une fonction de pare-feu avec et sans conservation de statut pour contrôler l'accès réseau à vos instances. Une liste de sécurité est configurée au niveau du sous-réseau et appliquée au niveau de l'instance. Vous pouvez appliquer plusieurs listes de sécurité à un sous-réseau sur lequel un paquet réseau est autorisé, en cas de correspondance avec une règle des listes de sécurité.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : CRITICAL
• Libellés : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Réseau

• Conservez les paramètres par défaut.

Description : alerte générée lorsqu'une liste de sécurité VCN autorise certains ports restreints (reportez-vous à Paramètres d'entrée, Protocole restreint : liste de ports) dans le cadre de la règle entrante de liste de sécurité.

Recommandation : assurez-vous que vos réseaux cloud virtuels OCI utilisent des listes de sécurité qui n'incluent pas de port répertorié dans la liste Protocole restreint : liste de ports dans le paramètre d'entrée de cette règle de détecteur avec une règle entrante ou entrante. La section Détails supplémentaires d'un problème répertorie les ports restreints ouverts spécifiques qui ont déclenché ce problème.

Contexte : les listes de sécurité permettent de contrôler l'accès réseau à vos instances à l'aide d'un pare-feu et d'un pare-feu. Une liste de sécurité est configurée au niveau du sous-réseau et appliquée au niveau de l'instance. Vous pouvez appliquer plusieurs listes de sécurité à un sous-réseau sur lequel un paquet réseau est autorisé, en cas de correspondance avec une règle des listes de sécurité.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : MINOR
• Libellés : CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Réseau

• Configuration :
  • Modifiez Protocole restreint : liste des ports au besoin, dans la section Paramètre d'entrée de la règle.

  Vous pouvez saisir les listes de ports manuellement ou saisir le nom des listes de sécurité que vous avez définies. Reportez-vous à Listes de sécurité.

Description : alerte générée lorsqu'une carte d'interface réseau virtuelle n'est associée à aucun groupe de sécurité réseau.

Recommandation : assurez-vous que toutes les cartes d'interface réseau virtuelles sont associées à un groupe de sécurité réseau.

Contexte : une VNIC est un composant de réseau qui permet à une ressource telle qu'une instance de calcul de se connecter à un VCN. La carte d'interface réseau virtuelle détermine comment l'instance se connecte à des adresses à l'intérieur et à l'extérieur du réseau cloud virtuel. Chaque carte d'interface réseau virtuelle réside dans un sous-réseau d'un réseau cloud virtuel. Une carte d'interface réseau virtuelle sans groupe de sécurité réseau peut déclencher un problème de connectivité.

Paramètres de règle :

• Type de service : Networking
• Type de ressource : VCN
• Niveau de risque : MINOR
• Libellés : Réseau

• Configuration : modifiez Protocole restreint : liste des ports au besoin, dans la section Paramètre d'entrée de la règle.

Description : alerte lors de l'analyse de conteneurs par Oracle Vulnerability Scanning Service (VSS) et de l'identification de vulnérabilités connues en matière de cybersécurité. Pour utiliser cette règle, vous devez créer une recette d'analyse d'hôte et une cible d'analyse d'hôte dans le service Scanning. Reportez-vous à Scanning : mise en route dans la documentation relative à Scanning.

Recommandation : effectuez les actions recommandées qui sont documentées pour chaque vulnérabilité, comme l'application d'un patch de système d'exploitation.

Présentation : le service Scanning identifie les vulnérabilités pour les applications, les bibliothèques, les systèmes d'exploitation et les services. Chaque vulnérabilité de la base de données possède un identificateur ou CVE spécifique.

Paramètres de règle :

• Type de service : Scanning, Compute
• Type de ressource : conteneur
• Niveau de risque : CRITICAL
• Libellés : VSS

• Conservez les paramètres par défaut (tous les CVE sont détectés).

Description : alerte lorsqu'Oracle Vulnerability Scanning Service (VSS) analyse les instances de calcul (hôtes) et identifie des ports ouverts. Pour utiliser cette règle, vous devez créer une recette d'analyse d'hôte et une cible d'analyse d'hôte dans le service Scanning. Reportez-vous à Scanning : mise en route dans la documentation relative à Scanning.

Recommandation : vérifiez si les ports identifiés doivent être ouverts sur cet hôte et fermez-les s'ils ne doivent pas être ouverts. Si tous les ports ouverts sont corrects, assurez-vous que la liste des ports autorisés contient tous les numéros de port ouverts. En outre, assurez-vous que la liste des ports non autorisés ne contient aucun numéro de port ouvert.

arrière-plan : certains ports sont requis pour le fonctionnement et la fourniture des services, mais tout port ouvert hors de la liste prévue peut être utilisé pour exploiter les services.

Paramètres de règle :

• Type de service : Scanning, Compute
• Type de ressource : calcul
• Niveau de risque : CRITICAL
• Libellés : VSS

• Configuration : ajoutez les ports qui doivent être ignorés dans la liste Ports autorisés de la section Paramètre d'entrée de la règle.
  Remarque
  
  

  Si vous ajoutez le même numéro de port à la fois à la liste Ports autorisés et à la liste Ports non autorisés de la section Paramètre d'entrée de la règle, la liste Ports non autorisés est prioritaire ; un problème est toujours déclenché lorsque Cloud Guard trouve le port ouvert.

Description : alerte générée lorsqu'Oracle Vulnerability Scanning Service (VSS) analyse les instances de calcul (hôtes) et identifie des vulnérabilités connues en matière de cybersécurité. Pour utiliser cette règle, vous devez créer une recette d'analyse d'hôte et une cible d'analyse d'hôte dans le service Scanning. Reportez-vous à Scanning : mise en route dans la documentation relative à Scanning.

Recommandation : effectuez les actions recommandées qui sont documentées pour chaque vulnérabilité, comme l'application d'un patch de système d'exploitation.

Présentation : le service Scanning identifie les vulnérabilités pour les applications, les bibliothèques, les systèmes d'exploitation et les services. Chaque vulnérabilité de la base de données possède un identificateur ou CVE spécifique.

Paramètres de règle :

• Type de service : Scanning, Compute
• Type de ressource : calcul
• Niveau de risque : CRITICAL
• Libellés : VSS

• Conservez les paramètres par défaut (tous les CVE sont détectés).

Description : signalez qu'un volume de blocs est crypté avec des clés gérées par Oracle.

Recommandation : affectez une clé KMS à ce volume.

En arrière-plan : le cryptage des volumes fournit un niveau de sécurité supplémentaire à vos données. La gestion des clés de cryptage est essentielle à la protection des données et à l'accès aux données protégées. Certains clients veulent identifier les volumes de blocs cryptés à l'aide de clés gérées par Oracle et non gérées par l'utilisateur.

Paramètres de règle :

• Type de service : stockage
• Type de ressource : volume de blocs
• Niveau de risque : MINOR
• Libellés : KMS

• Clés gérées par Oracle : recommandées pour sécuriser les volumes de blocs.
• clés gérées par l'utilisateur :
  • Utilisez KMS dans la mesure du possible.
  • Implémentez Oracle Security Zones sur les compartiments pour vous assurer du respect des meilleures pratiques.
• Groupes conditionnels : évitez de les utiliser, en raison du grand nombre de volumes.

Description : alerte générée lorsqu'un volume de blocs n'est pas attaché à l'instance associée.

Recommandation : assurez-vous que le volume est attaché.

Paramètres de règle :

• Type de service : stockage
• Type de ressource : volume de blocs
• Niveau de risque : MEDIUM
• Libellés : Stockage

• Groupes conditionnels : évitez de les utiliser, en raison du grand nombre de volumes.

Description : signalez qu'un bucket est public.

Recommandation : assurez-vous que le bucket n'est pas accessible publiquement. Dans le cas contraire, demandez à l'administrateur OCI de restreindre la stratégie du bucket afin d'autoriser uniquement des utilisateurs spécifiques à accéder aux ressources requises pour effectuer leur travail.

Présentation : Object Storage prend en charge l'accès anonyme et non authentifié à un bucket. Un bucket public avec un accès en lecture activé pour les utilisateurs anonymes permet à tout utilisateur d'obtenir des métadonnées sur un objet, de télécharger des objets du bucket et éventuellement de répertorier le contenu du bucket.

Paramètres de règle :

• Type de service : stockage
• Type de ressource : bucket
• Niveau de risque : CRITICAL
• Libellés : CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Groupes conditionnels : filtrez les noms de bucket (<espace de noms>/<nom>) qui sont censés être publics.

Description : alerte relative au cryptage d'un bucket Object Storage avec une clé gérée par Oracle.

Recommandation : affectez une clé Vault à ce bucket.

Contexte : le cryptage des buckets de stockage fournit un niveau de sécurité supplémentaire à vos données. La gestion des clés de cryptage est essentielle à la protection des données et à l'accès aux données protégées. Certains clients veulent identifier les buckets de stockage cryptés à l'aide de clés gérées par Oracle.

Paramètres de règle :

• Type de service : stockage
• Type de ressource : bucket
• Niveau de risque : MINOR
• Libellés : CIS_OCI_V1.1_ObjectStorage, ObjectStorage, KMS

• Configuration : cette règle est désactivée par défaut dans le détecteur de configuration OCI, car elle peut générer des problèmes qui peuvent ne pas être critiques pour de nombreux opérateurs Cloud Guard. Si vous activez cette règle, veillez à définir soigneusement les groupes conditionnels de sorte qu'ils ciblent uniquement les buckets spécifiques que vous ne souhaitez PAS crypter à l'aide d'une clé gérée par Oracle. Si vous avez besoin d'un contrôle strict des clés à l'aide de clés gérées par l'utilisateur via Vault, créez un compartiment de zone de sécurité Oracle, et créez des ressources dans ce compartiment.

Description : alerte générée lorsque les journaux d'accès en lecture ne sont pas activés pour un bucket Object Storage.

Recommandation : assurez-vous que les journaux de lecture sont activés pour le bucket et que les journaux sont surveillés en permanence par les outils de sécurité.

Contexte : les journaux d'accès vous aident à sécuriser vos objets sensibles en fournissant une visibilité sur les activités liées aux opérations de lecture et d'écriture sur les objets dans le bucket Object Storage.

Paramètres de règle :

• Type de service : stockage
• Type de ressource : bucket
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configuration : cette règle est désactivée par défaut dans le détecteur de configuration OCI et ne peut pas y être activée. Activer cette règle:
  1. Clonage du détecteur de configuration OCI. Reportez-vous à Clonage d'une recette de détecteur OCI.
  2. Activez la règle dans la copie gérée par l'utilisateur (clonée) du détecteur de configuration OCI. Reportez-vous à Modification des paramètres de règle dans une recette de détecteur OCI.
  3. Attachez la copie gérée par l'utilisateur (clonée) du détecteur de configuration OCI à toutes les cibles sur lesquelles vous souhaitez activer la règle. Reportez-vous à Modification d'une cible OCI et de ses recettes attachées.

Description : alerte générée lorsque les journaux d'accès en écriture ne sont pas activés pour un bucket Object Storage.

Recommandation : assurez-vous que les journaux d'écriture sont activés pour le bucket et que les journaux sont surveillés en permanence par les outils de sécurité.

Contexte : les journaux d'accès vous aident à sécuriser vos objets sensibles en fournissant une visibilité sur les activités liées aux opérations de lecture et d'écriture sur les objets dans le bucket Object Storage.

Paramètres de règle :

• Type de service : stockage
• Type de ressource : bucket
• Niveau de risque : LOW
• Libellés : CIS_OCI_V1.1_MONITORING, CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configuration : cette règle est désactivée par défaut dans le détecteur de configuration OCI et ne peut pas y être activée. Activer cette règle:
  1. Clonage du détecteur de configuration OCI. Reportez-vous à Clonage d'une recette de détecteur OCI.
  2. Activez la règle dans la copie gérée par l'utilisateur (clonée) du détecteur de configuration OCI. Reportez-vous à Modification des paramètres de règle dans une recette de détecteur OCI.
  3. Attachez la copie gérée par l'utilisateur (clonée) du détecteur de configuration OCI à toutes les cibles sur lesquelles vous souhaitez activer la règle. Reportez-vous à la section s.

Description : alerte générée lorsqu'un conteneur n'a pas de vérification de la préparation.

Recommandation : Assurez-vous que tous les conteneurs ont une sonde de préparation définie.

Paramètres de règle :

• Configuration des configurations :
  • userRangeMin (int) : limite inférieure (incluse) de la plage d'ID utilisateur UNIX requise. Correspond aux sections .spec.securityContext.runAsUser et .spec.containers[].securityContext.runAsUser d'une spécification de pod.
  • userRangeMax (int) : limite supérieure (incluse) de la plage d'ID utilisateur UNIX requise. Correspond aux sections .spec.securityContext.runAsUser et .spec.containers[].securityContext.runAsUser d'une spécification de pod.
• Niveau de risque : MEDIUM
• Libellés : Disponibilité des conteneurs

Description : alerte générée lorsqu'un conteneur n'utilise pas de point d'accrochage au cycle de vie après démarrage.

Recommandation : assurez-vous que tous les conteneurs utilisent toujours un point d'accrochage au cycle de vie après démarrage.

Paramètres de règle :

• Configuration des configurations :
  • hookActions (liste) : liste des actions d'accrochage autorisées. Si vous utilisez une action non autorisée, un point d'accrochage manquant ou vide violera la règle. Utilisez "any" pour vérifier l'existence, quelle que soit l'action. Correspond à la section spec.containers[].lifecycle.postStart d'une spécification de pod.
• Niveau de risque : LOW
• Libellés : Disponibilité des conteneurs

Description : alerte générée lorsqu'un conteneur n'utilise pas de hook du cycle de vie pré-arrêt.

Recommandation : assurez-vous que tous les conteneurs ont un hook du cycle de vie pré-arrêt configuré.

Paramètres de règle :

• Configuration des configurations :
  • hookActions (liste) : liste des actions d'accrochage autorisées. Si vous utilisez une action non autorisée, un point d'accrochage manquant ou vide violera la règle. Utilisez "any" pour vérifier l'existence, quelle que soit l'action. Correspond à la section spec.containers[].lifecycle.preStop d'une spécification de pod.
• Niveau de risque : LOW
• Libellés : Disponibilité des conteneurs

Description : alerte générée lorsqu'un conteneur utilise un port privilégié (1-1024).

Recommandation : assurez-vous qu'aucun conteneur n'est exposé sur des ports privilégiés.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Mise en réseau de conteneurs

Description : alerte générée lorsqu'il existe uniquement une réplique pour un déploiement Kubernetes.

Recommandation : assurez-vous que tous les déploiements Kubernetes ont plusieurs répliques.

Paramètres de règle :

• Niveau de risque : LOW
• Libellés : Disponibilité des conteneurs

Description : alerte générée lorsqu'un pod est détecté qui utilise une période de grâce de terminaison de pod importante.

Recommandation : assurez-vous que les pods n'utilisent pas de périodes de grâce de terminaison importantes.

Paramètres de règle :

• Configuration des configurations :
  • maximum (int) 60 : seuil de période de fin de grâce du pod en secondes. Les pods sans période de grâce définie sont considérés comme ayant la période de 30 secondes par défaut. Correspond à la section spec.terminationGracePeriodSeconds d'une spécification de pod.
• Niveau de risque : LOW
• Libellés : Disponibilité des conteneurs

Description : alerte générée lorsqu'un port hôte est utilisé.

Recommandation : assurez-vous que les ports hôte ne sont pas utilisés.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Mise en réseau de conteneurs

Description : alerte générée lorsqu'un port de noeud est utilisé.

Recommandation : assurez-vous que les ports de noeud ne sont pas utilisés.

Paramètres de règle :

• Niveau de risque : MEDIUM
• Libellés : Mise en réseau de conteneurs

Description : alerte générée lorsqu'une stratégie d'extraction d'image n'est pas définie sur always.

Recommandation : assurez-vous que tous les conteneurs utilisent une stratégie d'extraction d'image approuvée.

Paramètres de règle :

• Configuration des configurations :
  • imagePullPolicy (chaîne) : liste séparée par des virgules des stratégies d'extraction d'image autorisées, dont l'une doit être définie explicitement par la spécification de conteneur. Correspond à la section spec.containers[].imagePullPolicy d'une spécification de pod.
• Niveau de risque : LOW
• Libellés : Assurance d'image

Description : alerte générée lorsqu'une image n'est pas référencée à partir d'un des registres sécurisés configurés.

Recommandation : assurez-vous que les images de conteneur sont référencées uniquement à partir des registres autorisés.

Paramètres de règle :

• Configuration des configurations :
  • allowedRegistriesRegex (chaîne) : expression régulière décrivant les registres d'images autorisés. Syntaxe détaillée. Correspond à la section spec.containers[].image d'une spécification de pod.
• Niveau de risque : HIGH
• Libellés : Assurance d'image

Description : alerte générée lorsqu'une image n'est pas référencée par un hachage SHA.

Recommandation : assurez-vous que les images sont référencées via des hachages SHA.

Paramètres de règle :

• Niveau de risque : LOW
• Libellés : Assurance d'image

Description : alerte générée lorsqu'un pod est exécuté sous le compte de service par défaut.

Recommandation : assurez-vous qu'aucun conteneur n'est exécuté sous le compte de service par défaut.

Paramètres de règle :

• Niveau de risque : MEDIUM
• Libellés : contrôle d'accès basé sur les rôles Kubernetes

Description : alerte générée lorsque des caractères génériques sont utilisés avec ClusterRoles ou des rôles.

Recommandation : assurez-vous que les symboles génériques ne sont pas utilisés avec ClusterRoles ou les rôles.

Paramètres de règle :

• Niveau de risque : MEDIUM
• Libellés : contrôle d'accès basé sur les rôles Kubernetes

Description : alerte générée lorsqu'un accès à une clé secrète est effectué via une variable d'environnement plutôt que dans un volume.

Recommandation : assurez-vous que les clés secrètes Kubernetes sont montées en tant que volume.

Paramètres de règle :

• Niveau de risque : MEDIUM
• Libellés : clés secrètes Kubernetes

Description : alerte générée lorsqu'aucune limite d'UC n'est définie pour un conteneur.

Recommandation : assurez-vous que tous les conteneurs ont une limite d'UC définie.

Paramètres de règle :

• Configuration des configurations :
  • maximum (chaîne) : les valeurs supérieures à la valeur maximale sont considérées comme une violation de la règle. Les qualificatifs Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.limits.cpu d'une spécification de pod.
• Niveau de risque : MEDIUM
• Libellés : Consommation des ressources

Description : alerte générée lorsqu'aucune demande d'UC n'est définie pour un conteneur.

Recommandation : assurez-vous que les conteneurs ont toujours un jeu de demandes d'UC.

Paramètres de règle :

• Configuration des configurations :
  • maximum (chaîne) : les valeurs supérieures à la valeur maximale sont considérées comme une violation de la règle. Les qualificatifs Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.requests.cpu d'une spécification de pod.
• Niveau de risque : MEDIUM
• Libellés : Consommation des ressources

Description : alerte générée lorsqu'aucune limite de mémoire n'est définie pour un conteneur.

Recommandation : assurez-vous que les conteneurs ont toujours une limite de mémoire définie.

Paramètres de règle :

• Configuration des configurations :
  • maximum (chaîne) : les valeurs supérieures à la valeur maximale sont considérées comme une violation de la règle. Les qualificatifs Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.limits.memory d'une spécification de pod.
• Niveau de risque : MEDIUM
• Libellés : Consommation des ressources

Description : alerte générée lorsqu'aucune demande de mémoire n'est définie pour un conteneur.

Recommandation : assurez-vous que les demandes de mémoire sont toujours définies pour les conteneurs.

Paramètres de règle :

• Configuration des configurations :
  • maximum (chaîne) : les valeurs supérieures à la valeur maximale sont considérées comme une violation de la règle. Les qualificatifs Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.limits.memory d'une spécification de pod.
• Niveau de risque : MEDIUM
• Libellés : Consommation des ressources

Description : alerte générée lorsqu'aucune limite de stockage n'est définie pour un conteneur.

Recommandation : assurez-vous que tous les conteneurs ont un ensemble de demandes de stockage éphémères.

Paramètres de règle :

• Configuration des configurations :
  • maximum (chaîne) : les valeurs supérieures à la valeur maximale sont considérées comme une violation de la règle. Les qualificatifs Kubernetes sont pris en charge. Utilisez "any" pour vérifier l'existence sans seuil. Correspond à la section spec.containers[].resources.limits.memory d'une spécification de pod.
• Niveau de risque : LOW
• Libellés : Consommation des ressources

Description : alerte générée lorsqu'un conteneur est autorisé à s'exécuter dans l'espace de noms IPC de l'hôte.

Recommandation : vérifiez qu'aucun conteneur n'est autorisé à s'exécuter dans l'espace de noms IPC de l'hôte.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur est autorisé à s'exécuter dans l'espace de noms Linux réseau de l'hôte.

Recommandation : vérifiez qu'aucun conteneur n'est autorisé à s'exécuter dans l'espace de noms réseau de l'hôte.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur est autorisé à s'exécuter dans l'espace de noms PID de l'hôte.

Recommandation : assurez-vous qu'aucun conteneur n'est autorisé à s'exécuter dans l'espace de noms PID hôte.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur est autorisé à monter le système de fichiers hôte.

Recommandation : assurez-vous qu'aucun conteneur n'est autorisé à monter le système de fichiers hôte.

Paramètres de règle :

• Configuration des configurations :
  • allowedHostPaths (liste) : liste des préfixes de chemin d'hôte sur liste d'autorisation. Le montage n'a pas spécifié l'option de lecture seule. Correspond à la section .spec.volumes.hostPath.path d'une spécification de pod.
  • allowedReadOnlyHostPaths (liste) : liste des préfixes de chemin d'hôte sur liste d'autorisation. Le montage n'a pas spécifié l'option en lecture seule. Correspond aux sections .spec.volumes.hostPath.path et .spec.containers[].volumeMounts[].readOnly d'une spécification de pod.
• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur est autorisé à escalader ses privilèges.

Recommandation : assurez-vous qu'aucun conteneur n'est autorisé à escalader ses privilèges.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsque certaines charges globales de conteneur sont en cours d'exécution avec un IDG non attendu.

Recommandation : assurez-vous que toutes les charges globales de conteneur sont configurées pour s'exécuter à partir d'un IDG compris dans la plage autorisée.

Paramètres de règle :

• Configuration des configurations :
  • runAsGroupRangeMin (int) : limite inférieure (incluse) de la plage d'ID de groupe d'utilisateurs UNIX requise. Correspond aux sections .spec.securityContext.runAsGroup et .spec.containers[].securityContext.runAsGroup d'une spécification de pod.
  • runAsGroupRangeMax (int) : limite supérieure (incluse) de la plage d'ID de groupe d'utilisateurs UNIX requise. Correspond aux sections .spec.securityContext.runAsGroup et .spec.containers[].securityContext.runAsGroup d'une spécification de pod.
  • supplementalGroupsRangeMin (int) : limite inférieure (incluse) de la plage de groupes d'utilisateurs UNIX supplémentaires requise. Chaque IDG de la liste de groupes supplémentaires doit appartenir à la plage indiquée. Correspond aux sections .spec.securityContext.supplementalGroups et .spec.containers[].securityContext.supplementalGroups d'une spécification de pod.
  • supplementalGroupsRangeMax (int) : limite supérieure (incluse) de la plage de groupes d'utilisateurs UNIX supplémentaires requise. Chaque IDG de la liste de groupes supplémentaires doit appartenir à la plage indiquée. Correspond aux sections .spec.securityContext.supplementalGroups et .spec.containers[].securityContext.supplementalGroups d'une spécification de pod.
  • fsGroupRangeMin (int) : limite inférieure (incluse) de la plage d'ID de groupe d'utilisateurs UNIX requise utilisée pour le contenu du groupe de volumes Kubernetes. Correspond aux sections .spec.securityContext.fsGroup et .spec.containers[].securityContext.fsGroup d'une spécification de pod. Cependant, notez que les paramètres de niveau conteneur ne sont pas respectés dans Kubernetes pour ce champ.
  • fsGroupRangeMax (int) : limite supérieure (incluse) de la plage d'ID de groupe d'utilisateurs UNIX requise utilisée pour le contenu du groupe de volumes Kubernetes. Correspond aux sections .spec.securityContext.fsGroup et .spec.containers[].securityContext.fsGroup d'une spécification de pod. Cependant, notez que les paramètres de niveau conteneur ne sont pas respectés dans Kubernetes pour ce champ.
• Niveau de risque : MEDIUM
• Libellés : Contexte de sécurité

Description : alerte générée lorsque certaines charges globales de conteneur sont exécutées avec un UID non attendu.

Recommandation : assurez-vous que toutes les charges globales de conteneur sont configurées pour s'exécuter à partir d'un UID compris dans la plage autorisée.

Paramètres de règle :

• Configuration des configurations :
  • userRangeMin (int) : limite inférieure (incluse) de la plage d'ID utilisateur UNIX requise. Correspond aux sections .spec.securityContext.runAsUser et .spec.containers[].securityContext.runAsUser d'une spécification de pod.
  • userRangeMax (int) : limite supérieure (incluse) de la plage d'ID utilisateur UNIX requise. Correspond aux sections .spec.securityContext.runAsUser et .spec.containers[].securityContext.runAsUser d'une spécification de pod.
• Niveau de risque : MEDIUM
• Libellés : Contexte de sécurité

Description : alerte générée lorsque certaines charges globales de conteneur sont exécutées en tant qu'utilisateur root.

Recommandation : assurez-vous qu'aucune charge globale de conteneur n'est exécutée en tant qu'utilisateur root.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur est exécuté en mode privilégié.

Recommandation : assurez-vous qu'aucun conteneur n'est exécuté en mode privilégié.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur s'exécute avec un système de fichiers non en lecture seule.

Recommandation : assurez-vous qu'aucun conteneur n'est en cours d'exécution avec un système de fichiers racine de conteneur accessible en écriture.

Paramètres de règle :

• Niveau de risque : HIGH
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur est en cours d'exécution avec des fonctionnalités qui ne figurent pas dans la liste autorisée.

Recommandation : assurez-vous qu'aucun conteneur n'est en cours d'exécution avec des fonctionnalités qui ne figurent pas dans la liste autorisée.

Paramètres de règle :

• Configuration des configurations :
  • allowedCapabilities (liste) : liste des fonctionnalités UNIX que le conteneur est autorisé à ajouter. Utilisez "ALL" pour permettre l'ajout de n'importe quelle fonctionnalité. Correspond à la section .spec.containers[].securityContext.capabiliteis.add d'une spécification de pod. Pour obtenir la liste complète des fonctionnalités, reportez-vous à la page de manuellinux.
  • requiredDropCapacités (liste) : liste des fonctionnalités UNIX que le conteneur doit supprimer. Utilisez "ALL" pour exiger la suppression explicite de toutes les fonctionnalités. Correspond à la section .spec.containers[].securityContext.capabiliteis.drop d'une spécification de pod. Pour obtenir la liste complète des fonctionnalités, reportez-vous à la page de manuellinux.
• Niveau de risque : MEDIUM
• Libellés : Contexte de sécurité

Description : alerte générée lorsqu'un conteneur n'a pas de vérification de l'état.

Recommandation : Assurez-vous que tous les conteneurs ont une sonde de vivacité définie.

Paramètres de règle :

• Configuration des configurations :
  • probeTypes (liste) : liste des actions de sonde autorisées. Si vous utilisez une action non autorisée, une sonde manquante ou vide violera la règle. Utilisez "any" pour vérifier l'existence, quelle que soit l'action. Correspond à la section spec.containers[].livenessProbe d'une spécification de pod.
• Niveau de risque : MEDIUM
• Libellés : Disponibilité de la charge globale

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Linux/Windows

Description : détecte les cas où la sécurité d'instance n'est pas installée ou n'est pas en cours d'exécution comme prévu. Exemple :

InstanceOCID: <redacted>, currently in active state. The agent was last detected on 2024-03-19 21:11:27.41, more than 24 hours ago

Recommandation : vous pouvez recevoir cette alerte pour plusieurs raisons :

• Si l'hôte de calcul est arrêté et que l'agent de sécurité de l'instance ne parvient pas à atteindre l'hôte pendant plus de 24 heures. Examinez l'hôte de calcul pour voir si c'est ce qui s'est passé.
• Si les stratégies de sécurité de l'instance ne sont pas correctes. Vérifiez que toutes les stratégies ont été ajoutées.
• Si la dernière version de la sécurité d'instance n'est pas présente. L'agent Oracle Cloud (OCA) met automatiquement à jour l'agent de sécurité d'instance sur un hôte. Par conséquent, si cela ne s'est pas produit, vérifiez les points suivants :

  Sous Linux :

  1. L'agent Oracle Cloud (OCA) est-il activé et en cours d'exécution dans votre instance ?

     sudo systemctl status oracle-cloud-agent.service

  2. Vérifiez si le module d'extension de sécurité d'instance est en cours d'exécution. Il est responsable de la gestion du cycle de vie de l'agent de sécurité d'instance. Si le module d'extension de sécurité d'instance est en cours d'exécution mais que vous rencontrez ce problème, cela signifie qu'il peut y avoir un problème avec l'agent de sécurité d'instance, ou que le module d'extension reçoit une erreur 4xx et que l'agent n'est pas installé ou n'est pas en cours d'exécution.

     pgrep oci-wlp

  3. Vérifiez si le module d'extension de sécurité d'instance reçoit une erreur 404 dans le journal.

     sudo vim /var/log/oracle-cloud-agent/plugins/oci-wlp/oci-wlp.log

  4. Vérifiez que l'agent de sécurité de l'instance est en cours d'exécution sur l'instance.

     sudo systemctl status wlp-agent-osqueryd.service

     Si la sortie de la commande contient des erreurs, essayez de redémarrer le service.

     sudo systemctl restart wlp-agent-osqueryd.service

  Sous Windows :

  1. Vérifiez que le module d'extension de sécurité d'instance est activé dans l'agent Oracle Cloud (OCA) pour votre instance.
     1. Accédez à Menu Démarrer > Outils d'administration Windows > Services.
     2. Vérifiez le statut de la protection de charge globale Oracle Cloud Agent Cloud Guard. Cela devrait montrer qu'il est en cours d'exécution.
     3. S'il est arrêté, sélectionnez avec le bouton droit de la souris et sélectionnez Démarrer.
  2. Vérifiez si l'agent de sécurité d'instance est en cours d'exécution sur votre instance.
     1. Accédez à Menu Démarrer > Outils d'administration Windows > Services.
     2. Vérifiez le statut du service wlp-agent. Cela devrait montrer qu'il est en cours d'exécution.
     3. S'il est arrêté, sélectionnez avec le bouton droit de la souris et sélectionnez Démarrer.

Une fois que vous avez trouvé le problème et que vous l'avez résolu, laissez 24 heures pour que ce problème disparaisse. Si vous le voyez toujours au bout de 24 heures et que vous avez revu les étapes ci-dessus, contactez le support technique Oracle.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : Sécurité d'instance

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : WMI est l'infrastructure pour les données de gestion et les opérations sur les systèmes d'exploitation Windows. Il s'agit d'un processus de niveau de service utilisé pour exécuter des scripts. Il peut être utilisé pour lancer des terminaux de scripts ou pour tenter de télécharger une charge utile.

Recommandation : surveillez les nouveaux objets WMI qui peuvent établir la persistance et/ou élever des privilèges à l'aide de mécanismes système.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : MITRE_T1546

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : détecte la désactivation potentielle des fonctions de sécurité Windows. Alerte si les services Windows Defender (windefend), Windows Firewall (pare-feu Windows) mpssvc et Windows Security Service (wscvcs) ne sont pas en cours d'exécution. Exemple :

Windows security service in stopped state: windefend

Recommandation : la désactivation de la règle de sécurité Windows peut mettre les ressources en danger. Pesez les risques et réactivez les règles applicables.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : MITRE_T1562.001

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : cela peut indiquer la pulvérisation de mots de passe sur des comptes Windows, c'est-à-dire l'utilisation répétée du même mot de passe sur plusieurs comptes.

Recommandation : déterminez si le compte utilisateur en question est l'utilisateur réel qui tente de se connecter.

Utilisez l'authentification à plusieurs facteurs. Dans la mesure du possible, activez l'authentification multifacteur sur les services externes. Définissez des stratégies pour verrouiller les comptes après un certain nombre d'échecs de connexion afin d'empêcher les mots de passe d'être devinés.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : MITRE_T1110

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Linux

Description : il est courant que des acteurs de menace téléchargent un shell Web vers des services HTTP. Il recherche les sockets ouverts dans les services HTTP courants comme Apache.

Recommandation : vérifiez auprès du propriétaire du système si le chemin du serveur Web est censé comporter un fichier avec écoute du port du serveur.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : MEDIUM
• Libellés : MITRE_T1505.003

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Linux

Description : renvoie les shells inversés possibles sur les processus système. Exemple :

Possible reverse shell on system process (pid | path | remote_address | remote_port): 10129 | /usr/bin/bash | | 0, 10164 | /usr/bin/bash | | 0]

Recommandation : rassemblez la liste des adresses IP qui se connectent au shell inversé et déterminez si l'adresse IP figure sur une liste de mauvaise réputation. Vérifiez s'il existe d'autres processus associés au PID de shell inverse.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : MITRE_T1505.003

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : le logiciel malveillant tente de s'exécuter à partir de l'espace de privilèges utilisateur. Dans cette requête, nous la limitons à l'espace temporaire et examinons la ligne de commande pour les outils communs utilisés pour la reconnaissance latérale de l'environnement.

Recommandation : examinez le fichier binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour un examen plus approfondi.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : MITRE_T1059

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : détecte les processus qui tentent de se faire passer pour des processus Windows légitimes via des chemins incorrects. Exemple :

Process masquerading as legitimate windows process explorer.exe at path(s): c:\users\opc\downloads\new folder\explorer\bin\debug\explorer.exe

Recommandation : rassemblez le hachage du fichier et déterminez s'il s'agit d'un fichier binaire incorrect connu. Déterminez si le binaire masqué tente d'appeler ou d'exécuter d'autres fichiers sur le système.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : MITRE_T1574.009

Cette règle est présente dans les recettes suivantes :

O/S : Linux/Windows

• Recette de détecteur de sécurité d'instance OCI : Enterprise (gérée par Oracle)
• Recette de détecteur de sécurité d'instance OCI (gérée par Oracle)

Description : détecte les processus qui écoutent les connexions réseau. Exemple :

Disallowed open ports: {"scannedIps":[{"hostIp":"127.0.0.53","ports":[{"port":"53","type":null,"process":"systemd-resolve : /lib/systemd/systemd-resolved","family":"ipv4","protocol":"tcp"}

Recommandation : vérifiez si ces ports doivent être ouverts sur cet hôte et fermez-les s'ils n'ont pas besoin d'être ouverts.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : CRITICAL
• Libellés : MITRE_T1505.003

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : recherche de Putty en mode d'écoute pour créer un tunnel SSH.

Recommandation : rassemblez la liste des adresses IP qui se connectent au processus Putty et examinez celles qui semblent suspectes.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : MITRE_T1572

Cette règle est présente dans les recettes suivantes :

O/S : Linux

• Recette de détecteur de sécurité d'instance OCI : Enterprise (gérée par Oracle)
• Recette de détecteur de sécurité d'instance OCI (gérée par Oracle)

Description : analyse les instances de calcul pour identifier les vulnérabilités connues en matière de cybersécurité liées aux applications, aux bibliothèques, aux systèmes d'exploitation et aux services. Ce détecteur signale des problèmes lorsque le service détecte qu'une instance présente des vulnérabilités au niveau de gravité CVE configuré ou supérieur. Aucun problème Cloud Guard n'est créé pour les vulnérabilités dont le niveau de gravité est inférieur au niveau sélectionné, mais il apparaît dans le cadre des problèmes agrégés affichés sur la page Ressources Cloud Guard.

Recommandation : examinez les vulnérabilités trouvées et hiérarchisez-les. Prendre les mesures correctives ou d'atténuation appropriées pour la vulnérabilité.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : CRITICAL
• Libellés : Sécurité d'instance

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Linux

Description : recherche de Putty en mode d'écoute afin de créer un tunnel SSH pour une commande de terminal intégrée Linux.

Recommandation : rassemblez la liste des adresses IP qui se connectent au processus Putty et examinez celles qui semblent suspectes.

Dans la mesure du possible, seuls les scripts signés peuvent être exécutés. Utilisez le contrôle d'application, le cas échéant.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : MITRE_T1572

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Linux

Description : les logiciels malveillants peuvent utiliser des travaux cron exécutés selon une programmation périodique pour rechercher des portes dérobées.

Recommandation : examinez le fichier binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour un examen plus approfondi.

Dans la mesure du possible, seuls les scripts signés peuvent être exécutés. Utilisez le contrôle d'application, le cas échéant.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : MEDIUM
• Libellés : MITRE_T1547

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : le logiciel malveillant peut utiliser une tâche planifiée exécutée à partir du dossier temporaire pour exécuter à nouveau une porte dérobée au redémarrage.

Recommandation : examinez le fichier binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour un examen plus approfondi.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : MITRE_T1053

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : cette détection recherche les services Windows suspects exécutés à partir du dossier temporaire, qui peuvent être un mécanisme commun utilisé par les logiciels malveillants pour garantir l'exécution périodique de la porte dérobée.

Recommandation : examinez le fichier binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour un examen plus approfondi.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : HIGH
• Libellés : MITRE_T1547

Cette règle est présente dans la recette de détecteur de sécurité d'instance OCI (gérée par Oracle).

O/S : Windows

Description : les logiciels malveillants peuvent utiliser un démarrage pour exécuter à nouveau une porte dérobée au redémarrage.

Recommandation : examinez le fichier binaire pour déterminer s'il s'agit d'une exécution légitime. Envisagez d'isoler l'instance pour un examen plus approfondi.

Paramètres de règle :

• Type de service : Compute
• Type de ressource : instance
• Niveau de risque : MEDIUM
• Libellés : MITRE_T1547

Description : alerte générée lorsqu'un utilisateur a effectué des activités générant un score de risque supérieur au seuil de problème, ce qui peut indiquer un compte compromis ou une menace interne. Des individus malintentionnés peuvent lancer des attaques par force brute pour accéder à des comptes dont ils ne connaissent pas le mot de passe. Les utilisateurs peuvent abuser de leurs privilèges et entreprendre des tâches sans rapport avec les besoins de l'entreprise, ce qui peut nuire à l'organisation.

Recommandation : pensez à désactiver temporairement le compte lorsque vous examinez son activité et à réinitialiser le mot de passe si l'activité n'est pas reconnue par l'utilisateur.

arrière-plan : le dépassement du seuil de problème par le score de risque d'un utilisateur peut indiquer un compte compromis ou un employé mécontent.

Paramètres de la règle : cette règle ne comporte aucun paramètre que vous pouvez modifier.

• Conservez les paramètres par défaut.