Documentation Oracle Cloud Infrastructure

A propos du détecteur de menace

Découvrez les concepts et la terminologie à connaître pour utiliser le composant Détecteur de menace de Cloud Guard.

Le composant Détecteur de menace dans Cloud Guard collecte et traite les informations sur les menaces potentielles comme suit :

  1. Les informations sont collectées à partir des cibles Cloud Guard.
  2. Le détecteur de menace obtient les informations sur les menaces potentielles à partir du service Threat Intelligence. Il s'agit d'indicateurs d'éléments compromis, tels que des adresses IP et des domaines, qui sont associés à des serveurs de commande et de contrôle de malware connus.
  3. Ces informations sont traitées par des modèles conformes au cadre MITRE ATT&CK pour classer les tactiques et techniques potentielles impliquées.
  4. Ces modèles produisent des observations (cas individuels de comportement potentiellement malveillant) qui sont notées pour évaluer la gravité des conséquences de l'attaque si elle est réelle et la probabilité qu'elle le soit.
  5. Les observations sont ensuite regroupées dans un profil de ressource.
  6. Un score est affecté au profil de ressource pour évaluer le risque décrit par la séquence d'observations.
  7. Un niveau de risque est affecté en fonction du score de risque le plus élevé des 14 derniers jours.
  8. Si le niveau de risque devient critique, un problème est généré.

Les pages Surveillance des menaces et Détails de la surveillance des menaces fournissent des informations sur chaque profil de ressource répertorié. Pour interpréter les informations affichées, familiarisez-vous avec les concepts et les termes clés suivants.

Concepts généraux relatifs à la surveillance des menaces

Ces concepts sont essentiels pour comprendre la surveillance des menaces dans Cloud Guard, en particulier lorsque vous utilisez les pages Surveillance des menaces et Détails de la surveillance des menaces.

  • Observation : cas spécifique de comportement potentiellement malveillant détecté par Cloud Guard. Les observations individuelles sont corrélées dans le temps et entre les régions. L'ensemble des observations associées est évalué sur la probabilité qu'il s'agisse d'une attaque et sur la gravité potentielle de celle-ci.
  • Type d'observation : Cloud Guard détecte plusieurs types d'observation. Reportez-vous à Référence de type d'observation.
  • Configuration : Cloud Guard collecte des données brutes dans chaque région. Il met ensuite en corrélation les observations associées entre les régions et calcule un score normalisé pour elles. Si le score de risque normalisé dépasse un certain seuil, Cloud Guard déclenche un problème, auquel il affecte un niveau de gravité et un niveau de confiance.
  • Confiance : le niveau de confiance est une estimation de la probabilité qu'une observation représente réellement une attaque malveillante. Cloud Guard utilise les mêmes catégories pour les niveaux de gravité et de confiance dans les détails d'observation générés :

    La combinaison de facteurs que Cloud Guard utilise pour déterminer le niveau de confiance est différente pour chaque type d'observation. Reportez-vous aux sections Gravité et Confiance de chaque type d'observation dans Référence de type d'observation.

  • Gravité : le niveau de confiance est une estimation de la probabilité qu'une observation représente réellement une attaque malveillante. Le niveau de gravité représente le niveau de menace potentielle que pose une observation, à savoir son importance si elle correspond à une attaque réelle. Cloud Guard affiche les catégories suivantes pour les niveaux de gravité et de confiance dans les détails d'observation générés :

    La combinaison de facteurs que Cloud Guard utilise pour déterminer le niveau de gravité est différente pour chaque type d'observation. Reportez-vous aux sections Gravité et Confiance de chaque type d'observation dans Référence de type d'observation.

  • Score d'observation : combine les évaluations de gravité et de confiance, ainsi que d'autres facteurs, pour obtenir une estimation numérique de la gravité de la menace.

    Le score d'observation est différent du score de risque associé aux problèmes.

  • Score de risque : Cloud Guard collecte des données brutes dans chaque région et calcule un score de risque brut pour les observations associées. Il met ensuite en corrélation les observations associées entre les régions et calcule un score normalisé pour elles. Si le score de risque normalisé dépasse un certain seuil, Cloud Guard déclenche un problème, auquel il affecte un niveau de gravité et un niveau de confiance.
  • Niveau de risque : repose sur le score de risque maximal des 14 derniers jours. ( Critique, Élevé, Moyen, Faible, mineur). Le niveau de risque augmente immédiatement lorsqu'un score de risque élevé est enregistré. Si aucun autre score de risque élevé n'est enregistré, le niveau de risque diminue lentement, car un score de risque élevé n'est retiré du calcul du niveau de risque qu'au bout de 14 jours.

    Pour obtenir les définitions de ces niveaux de risque, reportez-vous à Affichage des problèmes à partir du cliché des problèmes.

  • Tactique : selon les critères du cadre MITRE ATT&CK, l'observation serait classée comme un cas de cette tactique MITRE. Par exemple, Escalade des privilèges ou Accès aux informations d'identification.
  • Technique : selon les critères du cadre MITRE ATT&CK, l'observation serait classée comme un cas de la technique ou sous-technique MITRE en question. Par exemple, Déduction de mot de passe ou Exfiltration vers le stockage cloud.
  • Profil de ressource : ensemble d'informations que Cloud Guard a observé pour des ressources spécifiques susceptibles d'être attaquées, comme indiqué par le score de risque dérivé des observations corrélées. Ces informations comprennent les observations, les scores et les ID de ressource. A mesure que Cloud Guard surveille les cibles, il crée des profils pour les ressources qu'il observe et crée des observations dès que des comportements malveillants sont détectés. Actuellement, le profil de ressource est toujours axé sur un utilisateur.

Paramètres signalés pour les observations

Les paramètres suivants sont également surveillés. Certains de ces paramètres apparaissent uniquement sur la page Surveillance des menaces ou Détails de la surveillance des menaces.

  • Ressource, ID de ressource et Nom de ressource : identifiant de la ressource ciblée dans l'observation.
  • Compartiment : compartiment OCI dans lequel se trouve la ressource.
  • Cible : cible Cloud Guard contenant le compartiment OCI.
  • Régions : régions dans lesquelles l'observation a été détectée.
  • D'abord détecté : date et heure auxquelles l'observation a été détectée pour la première fois.
  • Last Detected : date et heure de la dernière détection de l'observation.
  • Score de risque maximal : score de risque le plus élevé pour un profil de risque donné.
  • Date maximale : date du score de risque le plus élevé pour un profil de risque donné.
  • ASN d'adresse : numéro Autonomous associé à l'adresse IP d'adresse identifiée dans une observation.
  • Service d'adresse : services particuliers utilisés à partir de l'adresse identifiée dans une observation.
  • Type d'adresse : si l'adresse IP est connue du service Intel de menace OCI, elle est déclarée "suspecte" et l'adresse IP devient un lien vers les informations de ce service.