Remarque :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction au niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeur pour les informations d'identification Oracle Cloud Infrastructure, la location et les compartiments. A la fin de votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Configurer les règles de détecteur Oracle Cloud Guard pour détecter les problèmes en fonction de conditions

Introduction

Oracle Cloud Guard est un service cloud natif gratuit qui analyse les cibles, à savoir les compartiments Oracle Cloud Infrastructure (OCI), et détecte les problèmes en fonction des règles définies dans les stratégies appelées stratégies de détecteur. Une fois qu'une règle est satisfaite, elle crée un problème que vous pouvez consulter à partir de la console. Cloud Guard agit sur les problèmes à l'aide de règles définies dans les stratégies de répondeur. Cloud Guard est fourni avec diverses recettes de détecteur prêtes à l'emploi. Par exemple, recettes de détecteur de configuration, recettes de détecteur d'activité, etc. Les recettes de détecteur comportent plusieurs règles de détecteur, lorsque ces règles sont déclenchées, Cloud Guard crée un problème.

Une fois que vous avez configuré Cloud Guard, il commence à détecter les problèmes en fonction des stratégies de détecteur prêtes à l'emploi. Lorsque vous examinez les problèmes détectés par Cloud Guard, vous pouvez constater que certains problèmes sont des faux positifs en fonction de votre cas d'emploi. Par exemple, les règles de détecteur "L'instance est accessible publiquement"et"L'instance dispose d'une adresse IP publique" détectent les instances de vos cibles (compartiment) accessibles à partir d'Internet et disposant d'une adresse IP publique. Cependant, vous voulez autoriser une instance de calcul de démonstration/de formation à disposer d'une adresse IP publique et à l'avoir accessible à partir d'Internet.

Pour ce faire, vous pouvez configurer des groupes conditionnels dans les règles de détecteur Cloud Guard et le faire pour presque tous les types de règle de détecteur.

Objectifs

• Configurez les règles de détecteur Cloud Guard pour détecter les problèmes en fonction des conditions.

Prérequis

• Accès à une location OCI avec le compte Administrateur ou accès permettant de gérer les règles de détecteur et la liste gérée Cloud Guard.
• Cloud Guard est activé et détecte les problèmes à l'aide des détecteurs de configuration.

Tâche 1 : identifier la règle de détecteur qui doit s'exécuter en fonction d'une condition

Avant de commencer à configurer un groupe conditionnel de règles de détecteur, vous devez connaître les règles de détecteur sur lesquelles vous devez travailler. Dans ce tutoriel, nous allons tester l'utilisation d'une règle de détecteur de configuration "L'instance a une adresse IP publique". Cette règle de détecteur analyse les instances de calcul d'une cible et, si une adresse IP publique est affectée à l'instance, Cloud Guard crée un problème et si la règle de répondeur correspondante est définie pour supprimer automatiquement

De même, vous pouvez identifier d'autres règles de détecteur que vous pouvez vouloir définir la portée des règles de détecteur. Par exemple, la règle de détecteur "Le bucket est public" qui détecte si le bucket est public et Cloud Guard le rend privé lors de la détection par la règle de répondeur. Cependant, vous pouvez disposer d'un bucket public hébergeant des documents publics, et vous voulez que Cloud Guard crée un problème pour ce bucket.

Cloud Guard comporte des répondeurs qui peuvent se déclencher automatiquement (configurables, désactivés par défaut) lorsqu'une règle de détecteur détecte un problème. Dans ce cas, vous découvrirez les règles de détecteur qui ont besoin d'un accès conditionnel par les utilisateurs qui ne peuvent pas accéder à la ressource en raison de l'exécution de la règle de répondeur Cloud Guard. Par exemple, si un utilisateur a besoin d'une adresse IP publique pour une instance de calcul pour une raison réelle, mais que l'activité du répondeur Cloud Guard a enlevé l'adresse IP publique de l'instance lors de la détection.

Remarque : lors de l'ajout d'une condition à une recette, les conditions définies dans la recette au niveau cible sont ciblées sur cette cible spécifique et n'ont aucun impact sur les autres recettes des autres cibles. La condition définie au niveau de la recette aura une incidence sur toutes les cibles auxquelles la recette est attachée. Pour en savoir plus, cliquez ici.

Les tableaux suivants présentent certains des paramètres pris en charge disponibles pour les recettes. Le tableau indique que les paramètres de recette d'activité sont ciblés vers les paramètres d'acteur et de recette de configuration vers la ressource.

Recette	Paramètres conditionnels
Recette d'activité	Région : région d'où provient l'acteur. Lieu (ville, état, province, pays) - Emplacement de l'acteur. Balises : appliqué à l'acteur. IPv6/IPv4 Address : adresse IP de l'acteur. Noms utilisateur : nom utilisateur de l'acteur.
Recette de configuration	Balises : balises appliquées à la ressource. OCID - OCID de la ressource. Exemple : OCID de l'instance de calcul, du système de base de données, de l'équilibreur de charge, de l'utilisateur, du groupe, de la stratégie, de la carte d'interface réseau virtuelle, du VCN, etc. Espace de noms/nom de bucket Adresse CIDR/IPv6/IPv4 : adresse IP de la ressource, le cas échéant (exemple : le système de base de données dispose d'une adresse IP publique, l'instance dispose d'une adresse IP publique).

Tâche 2 : créer un groupe de conditions dans la règle de détecteur

1. Accédez à Cloud Guard, Cibles, (nom-cible), Détails de cible, Recette de détecteur, Recette de détecteur de configuration OCI (gérée par Oracle).

   Remarque : si vous avez cloné la recette de détecteur prête à l'emploi, accédez à cette recette. Dans notre exemple, nous allons ajouter une condition à la règle de détecteur "L'instance a une adresse IP publique".

2. Sous la règle de détecteur, recherchez l'instance et les règles de détecteur associées à l'instance apparaissent.

   

3. Modifiez la règle de détecteur en cliquant sur les trois points à droite. Sous le groupe conditionnel :

   • Sélectionnez le compartiment dans lequel appliquer cette règle, dans notre exemple iam-demo.

   • Sélectionnez le paramètre dans la liste, dans notre exemple, instance OCID.

   • Sélectionnez l'opérateur dans notre exemple "not in" car vous voulez que Cloud Guard détecte l'une des instances avec une adresse IP publique.

   • Sélectionnez une liste personnalisée dans la liste. La liste gérée sera également répertoriée à l'étape suivante.

   • Si vous disposez de plusieurs instances de calcul avec une adresse IP publique à exclure, ajoutez une autre condition.

   • Entrez l'OCID de l'instance et enregistrez.

     Remarque : la liste des paramètres est spécifique aux règles de détecteur. Chaque règle aura des paramètres communs et des paramètres spécifiques. Dans un groupe conditionnel, plusieurs conditions utilisent l'opérateur logique AND.

   

4. Consultez le problème résolu. Une fois les modifications enregistrées, Cloud Guard détecte les modifications et résout automatiquement les problèmes existants pour l'instance de calcul en marquant le problème comme résolu. Vous pouvez l'afficher dans la liste des problèmes résolus.

   

Nous avons vu comment ajouter statiquement une ou plusieurs conditions dans une règle de détecteur en modifiant la règle de détecteur. Et si vous devez ajouter plusieurs conditions du même type avec une valeur différente. Une option consiste à continuer à modifier la règle de détecteur, mais il existe un meilleur moyen de le faire en utilisant la liste gérée que nous verrons à l'étape suivante.

Tâche 3 : utiliser la liste gérée dans les règles de détecteur

1. Créez une liste gérée.

   Remarque : dans notre exemple, certaines instances de calcul sont autorisées à disposer d'une adresse IP publique. Par conséquent, nous avons créé une liste gérée nommée "PublicInstances" de type OCID de ressource et ajouté l'OCID de toutes les instances de calcul pouvant disposer d'une adresse IP publique. Reportez-vous à ce document pour créer une liste gérée.

   

2. Utilisez la liste gérée dans les règles de détecteur au lieu d'ajouter les valeurs de manière statique.

   Remarque : dans notre exemple, nous avons modifié la règle de détecteur "L'instance dispose d'une adresse IP publique"en remplaçant la liste personnalisée par la liste gérée et en indiquant le nom de liste"PublicInstance". La liste gérée facilite l'ajout/la suppression d'OCID d'instance à partir d'un emplacement au lieu de modifier la règle de détecteur.

   

Etapes suivantes

Consultez les problèmes générés par Cloud Guard pour savoir où vous pouvez ajouter des conditions aux règles de détecteur afin que Cloud Guard ne génère pas de problèmes en fonction de votre logique métier et supprime les faux positifs.

Liens connexes

• Activation de Cloud Guard
• Concepts relatifs à Cloud Guard
• Répertoire de base OCI Cloud Guard

Remerciements

• Auteur : Sunil Joshi (Identité OCI/IDCS)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à davantage de contenu de formation gratuit sur le canal Oracle Learning YouTube. En outre, accédez à education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour consulter la documentation produit, consultez Oracle Help Center.

---

Informations relatives au titre et au copyright

Configure Oracle Cloud Guard detector rules to detect problems based on conditions

F82942-02

September 2023

Copyright © 2023, Oracle and/or its affiliates.