Liste des observations et obtention de leurs détails

Consultez les profils de ressource et leurs attributs clés dans Cloud Guard pour identifier rapidement les événements à priorité élevée.

Prérequis : activez la recette de détecteur de menace OCI dans au moins une cible Cloud Guard définie dans votre environnement et contenant le compartiment racine.

Pour créer une cible et ajouter la recette, reportez-vous à Création d'une cible OCI.

Remarque

Lorsque vous créez une cible, Cloud Guard requiert l'attachement d'une recette de détecteur d'activité et d'une recette de détecteur de configuration. Si vous ne voulez pas activer ces détecteurs sur la cible, vous pouvez les enlever une fois que vous avez fini de créer la cible. Reportez-vous à Modification d'une cible OCI et de ses recettes attachées.
Pour ajouter la recette de détecteur de menace OCI à une cible existante, reportez-vous à Modification d'une cible OCI et de ses recettes attachées.

Remarque

Une fois le prérequis précédent rempli, Cloud Guard entame une période d'apprentissage. Cette période d'apprentissage varie de quelques heures à quelques jours, selon le type d'observation. Cloud Guard ne démarre pas la surveillance pour détecter les menaces tant que la période d'apprentissage n'est pas terminée. Si aucune activité suspecte ne survient, aucune information sur les menaces n'apparaît sur la page Surveillance des menaces.

1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Cloud Guard, sélectionnez Surveillance des menaces.
2. Pour modifier la portée pour laquelle les menaces sont incluses, utilisez les options suivantes sous Portée :
  
  Compartiment : sélectionnez un compartiment. Pour inclure tous les compartiments sous celui-ci dans la portée, sélectionnez Inclure les compartiments enfant.
  
  Filtres de balise : sélectionnez Ajouter, puis renseignez les champs de la boîte de dialogue Filtres de balise. Si vous ajoutez plusieurs balises, toutes doivent être mises en correspondance.
3. Pour filtrer la liste sur des dates et des valeurs de score de risque, effectuez vos sélections dans les listes sous le graphique en haut de la page.
4. Pour filtrer la liste sur d'autres paramètres, sélectionnez Ajouter un filtre, sélectionnez un type de filtre, puis sélectionnez des valeurs.
5. Dans le graphique Tendance du score de risque sur 30 jours en haut de la page, affichez les changements de score de risque au fil du temps.
  
  Par défaut, le graphique affiche les scores de risque globaux pour les profils de ressource avec les 10 scores de risque les plus élevés au cours des 30 derniers jours.
  
  Pour modifier les données affichées, effectuez une autre sélection dans la liste 10 premiers en haut à droite du graphique. Les options suivantes sont généralement affichées pour une période plus courte .
6. Pour mettre en évidence les informations d'un profil de ressource en particulier sur le graphique, placez le curseur de la souris sur son nom dans la liste située sous la zone de sélection 10 premiers.
7. Pour afficher des informations spécifiques sur le score de risque d'un point du graphique, placez le curseur de la souris sur ce point.
  Le profil de ressource des informations sur le score de risque est également mis en évidence dans la liste située sous la zone de sélection 10 premiers.
8. Pour afficher les informations récapitulatives sur les profils de ressource répertoriés, faites défiler la page jusqu'à la table dont le premier en-tête de colonne est Profil de ressource :
  Le tableau affiche les informations de profil de ressource suivantes :
  
  Profil de ressource : nom du profil de ressource affecté. Un profil de ressource consolide les observations associées à une ressource spécifique.
  
  Score de risque : score de risque du profil de ressource. Le score de risque reflète la gravité de la menace.
  
  Observations : nombre d'observations publiées par rapport à l'ID de ressource dans le profil de ressource. Une observation est une instance d'une technique de structure MITRE ATT&CK^® particulière au sein d'une tactique MITRE ATT&CK^®.
  
  Tactiques : nombre de tactiques MITRE ATT&CK^® impliquées dans les observations. Un nombre plus élevé ici peut indiquer qu'un intrus fait des progrès dans la pénétration de vos mesures de sécurité.
  
  Type de ressource : type de ressource dans le profil de ressource affecté.
  
  Première détection : date et heure auxquelles Cloud Guard a détecté l'observation pour la première fois.
  
  Dernière détection : date et heure auxquelles Cloud Guard a détecté la dernière observation.
  
  Premier incident : date et heure auxquelles l'incident s'est produit pour la première fois.
  
  Dernière occurrence : date et heure de la dernière occurrence de l'incident.
9. Pour afficher des informations détaillées sur un profil de ressource particulier, sélectionnez son lien dans la colonne Profil de ressource.
  La page Détails de la surveillance des menaces affiche les informations suivantes :
  
  L'onglet Informations générales fournit un récapitulatif de la menace.
  
  Le graphique Tendance du score de risque sur 30 jours illustre les évolutions du score de risque au fil du temps pour ce profil de ressource en particulier.
  
  La section Observations répertorie les observations prises en compte dans le score de risque.
  
  Sous Ressources, sélectionnez une autre ressource pour afficher différentes informations :
  
  La ressources concernées affiche des informations sur les ressources concernées.
  
  La section Adresses affiche les adresses IP concernées.
  
  Conseil
  
  Si le score de risque pour un profil de ressource sur la page Surveillance des menaces est supérieur ou égal à 80, un problème a été déclenché. Pour traiter le problème :
  
  sélectionnez le lien dans la colonne Profil de risque.
  
  Dans l'onglet Informations générales en haut de la page de détails, sélectionnez le lien du nom du problème, en regard de Problèmes.
  Pour obtenir des conseils sur le traitement des problèmes, reportez-vous à Traitement et résolution des problèmes sur la page Problèmes
Afin d'obtenir la liste complète des indicateurs et des options de variable pour les commandes d'interface de ligne de commande, reportez-vous à Référence de ligne de commande.

Observations

Utilisez la commande oci cloud-guard sighting get et les paramètres requis pour obtenir une observation spécifique :
oci cloud-guard sighting get --sighting-id <sighting_ocid> [OPTIONS]
Utilisez la commande oci cloud-guard observation-summary list-sightings et les paramètres requis pour répertorier toutes les observations d'un compartiment :
oci cloud-guard sighting-summary list-sightings --compartment-id, -c <compartment_ocid> [OPTIONS]
Adresses d'observation

Utilisez la commande oci cloud-guard observation-endpoint-summary list-sighting-endpoints et les paramètres requis pour répertorier les adresses d'une observation spécifique :
oci cloud-guard sighting-endpoint-summary list-sighting-endpoints --sighting-id <sighting_ocid> [OPTIONS]
Ressources concernées

Utilisez la commande oci cloud-guard observation-summary list-sightings et les paramètres requis pour répertorier toutes les ressources affectées pour les observations d'une observation :
oci cloud-guard sighting-impacted-resource-summary list-sighting-impacted-resources --sighting-id <sighting_ocid> [OPTIONS]
Observations

Exécutez l'opération GetSighting pour obtenir une observation spécifique.

Exécutez l'opération ListSightings pour répertorier toutes les observations d'un compartiment.

Adresses d'observation

Exécutez l'opération ListSightingEndpoints pour répertorier les adresses d'une observation spécifique.

Ressources concernées

Exécutez l'opération ListSightingImpactedResources afin de répertorier toutes les ressources concernées pour les observations d'un compartiment.

Documentation Oracle Cloud Infrastructure

Liste des observations et obtention de leurs détails