Remarques :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction au niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeur pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. A la fin de l'exercice, remplacez ces valeurs par des valeurs propres à votre environnement cloud.

Visualisation des journaux d'authentification à plusieurs facteurs avec Oracle Cloud Infrastructure Logging Analytics

Introduction

Dans le paysage numérique actuel, il est primordial de garantir la sécurité de votre infrastructure cloud. L'authentification à plusieurs facteurs (MFA) est un composant essentiel de cette sécurité, fournissant une couche supplémentaire de protection pour les comptes utilisateur. Cependant, la mise en œuvre de l'AMF n'est que le début. Pour vraiment protéger vos systèmes, vous devez surveiller et analyser en permanence les journaux d'authentification à plusieurs facteurs afin de détecter toute anomalie ou menace potentielle pour la sécurité.

Oracle Cloud Infrastructure (OCI) Logging Analytics pour OCI Audit vous permet de collecter, d'analyser et de visualiser efficacement les journaux d'audit, de garantir la conformité et d'améliorer la surveillance de la sécurité. En tirant parti de puissantes analyses, vous pouvez détecter les anomalies et obtenir des informations sur les activités des utilisateurs dans votre environnement OCI.

Dans ce tutoriel, nous aborderons les subtilités de l'analyse des journaux d'authentification à plusieurs facteurs dans les journaux d'audit OCI à l'aide d'OCI Logging Analytics. Que vous soyez un professionnel de la sécurité, un administrateur système ou un architecte cloud, ce tutoriel vous fournira les connaissances et les outils nécessaires pour surveiller et interpréter efficacement les journaux d'authentification à plusieurs facteurs.

Objectifs

• Extrayez des champs étendus dans OCI Logging Analytics pour obtenir des informations d'authentification à plusieurs facteurs spécifiques à partir des journaux d'audit OCI et configurez des tableaux de bord visuels à des fins commerciales et de sécurité. Nous allons télécharger un tableau de bord contenant des widgets qui ont intégré des requêtes de recherche qui affichent les différents facteurs d'authentification multiples utilisés pour la connexion à la console OCI, ce qui garantit une visibilité sur les menaces de sécurité avec l'authentification à plusieurs facteurs et la conformité des utilisateurs aux normes du secteur.

  Remarque : le tableau de bord n'est efficace que si l'authentification à plusieurs facteurs est configurée et exécutée via Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) en tant que fournisseur d'identités (IdP). Si vous utilisez un autre IdP, assurez-vous que les événements d'authentification à plusieurs facteurs sont consignés dans l'outil IdP correspondant.

Prérequis

• Accès administrateur requis à une location OCI car la plupart des ressources sont créées dans le compartiment racine.

• Connaissances de base d'OCI Logging Analytics.

• Activez OCI Logging Analytics et configurez la collecte de journaux OCI Audit. Pour plus d'informations, reportez-vous à Analyse d'exemples de journal avec OCI Logging Analytics.

Visualiser les journaux d'authentification à plusieurs facteurs

1. Connectez-vous à la console OCI, accédez à Observation et gestion, Logging Analytics, Administration, Sources, Journaux d'audit OCI et cliquez sur Modifier.

   

2. Sur la page Modifier la source, créez trois champs étendus. Testez chaque définition et le statut doit indiquer Succès, comme indiqué dans les captures d'écran suivantes. Après le test, cliquez sur Enregistrer.

   1. Premier champ étendu.

      • Champ de base : sélectionnez Contenu du journal d'origine.

      • Exemple de champ de base : entrez \"ssoAuthFactor\":\"TOTP\".

      • Expression d'extraction : entrez \\"ssoAuthFactor\\":\\"{User Authentication Method:\w+}.

        

   2. Deuxième champ étendu.

      • Champ de base : sélectionnez Contenu du journal d'origine.

      • Exemple de champ de base : entrez \"ssoMatchedSignOnRule\":\"OciConsoleMFANonAdminRule\".

      • Expression d'extraction : entrez \\"ssoMatchedSignOnRule\\":\\"{Rule:\w+}.

        

   3. Troisième champ étendu.

      • Champ de base : sélectionnez Contenu du journal d'origine.

      • Exemple de champ de base : entrez \"ssoMatchedSignOnPolicyName\":\"Security Policy for OCI Console\".

      • Expression d'extraction : entrez \\"ssoMatchedSignOnPolicyName\\":\\"{User Authentication Policy:[^\"\,]+}\\"?.

        

3. (Facultatif) Une fois que l'utilisateur se connecte à la console OCI, les champs respectifs créés sont renseignés sur la page Explorateur de journaux.

   

4. Téléchargez le fichier ZIP à partir d'ici : OCI-MFA-Dashboard-main.zip qui contient le tableau de bord dans le fichier json. Ce fichier sera utilisé pour l'importer dans OCI Logging Analytics.

   

5. Dans la fenêtre Importer des tableaux de bord, sélectionnez Indiquer un compartiment et un compartiment racine pour Compartiments pour les tableaux de bord.

   

6. Les données seront renseignées dans le tableau de bord en fonction des requêtes de recherche disponibles dans chaque widget. Reportez-vous aux widgets de l'exemple de tableau de bord comme indiqué dans les captures d'écran suivantes.

   

   

Etapes suivantes

Dans ce tutoriel, nous avons expliqué comment configurer facilement la visualisation des journaux d'authentification à plusieurs facteurs à l'aide d'OCI Logging Analytics. Vous avez appris à extraire des champs étendus pour des informations spécifiques à l'authentification à plusieurs facteurs et à configurer des tableaux de bord visuels pour surveiller les activités d'authentification. En suivant ces étapes, vous pouvez améliorer votre posture de sécurité et assurer la conformité aux normes du secteur. Il est important de surveiller en permanence pour détecter et traiter les menaces de sécurité potentielles.

Remerciements

• Auteur - Vishak Chittuvalapil (ingénieur cloud senior)

Ressources de formation supplémentaires

Parcourez d'autres ateliers sur docs.oracle.com/learn ou accédez à davantage de contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, rendez-vous sur education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.

---

Informations relatives au titre et au copyright

Visualize Multi-Factor Authentication Logs with Oracle Cloud Infrastructure Logging Analytics

G10610-01

June 2024

Copyright ©2024,

Oracle et/ou ses affiliés.