Documentazione dell'infrastruttura Oracle Cloud

Alcune funzioni comuni

Mentre ti prepari a personalizzare Oracle Cloud Guard, ci sono diverse funzioni comuni in più aree.

Prima di iniziare a personalizzare Cloud Guard, è possibile visualizzare in anteprima queste funzioni nelle sezioni riportate di seguito oppure seguire i collegamenti di task specifici in cui le informazioni sono utili.

Panoramica delle ricette

Comprendere le differenze tra le ricette gestite da Oracle e quelle gestite dall'utente, il funzionamento delle ricette gestite dall'utente e le impostazioni che è possibile modificare a livello di ricetta e destinazione.

Le tre sezioni riportate di seguito vengono visualizzate anche in Informazioni sulle ricette del rispondente OCI e Informazioni sulle ricette di OCI Detector.

Differenze tra Oracle-Managed e User-Managed Recipes

Comprendere le differenze tra queste due categorie di ricette.

Sia per i rilevatori che per i rispondenti, Cloud Guard offre un ricco set di ricette gestite da Oracle per:

  • Rilevatori di attività OCI
  • Rilevatori di configurazione OCI
  • Rilevatori della sicurezza dell'istanza OCI
  • Rilevatori di minacce OCI
  • Destinatari

Sebbene sia possibile utilizzare le ricette gestite da Oracle così come sono, è probabile che si desideri apportare modifiche per adattarle alle esigenze specifiche dell'ambiente in uso. In particolare, potrebbe essere necessario modificare il livello di rischio associato ad alcune regole e potrebbe essere necessario disabilitare completamente altre regole. Per apportare questi tipi di modifiche, duplicare prima la ricetta per creare una copia gestita dall'utente e quindi apportare le modifiche alla copia.

Se a una ricetta gestita da Oracle vengono aggiunte nuove regole del rilevatore, le regole vengono aggiunte automaticamente a tutte le copie gestite dall'utente (clonate) di tale ricetta, con i valori predefiniti dell'origine gestita da Oracle. È quindi possibile modificare la configurazione della nuova regola nelle copie gestite dall'utente della ricetta.

La tabella riportata di seguito mostra un esempio di tre regole rilevatore della ricetta gestita da Oracle e di come può essere modificata una copia modificata dall'utente. Le modifiche alle regole gestite dall'utente vengono visualizzate in grassetto:

Ricetta gestita da Oracle Ricetta gestita dall'utente
Regola Stato Livello rischio Stato Livello rischio
Il bucket è pubblico ABILITATO ALTA DISABILITATO ALTA
Chiave KMS non ruotata ABILITATO MEDIA ABILITATO ALTA
L'istanza ha un indirizzo IP pubblico ABILITATO CRITICA ABILITATO CRITICA

Puoi duplicare la stessa ricetta gestita da Oracle tutte le volte di cui hai bisogno per creare copie gestite dall'utente che vengono ottimizzate per scopi speciali. Alcuni motivi per avere ricette diverse potrebbero includere:

  • Trattamento diverso dei carichi di lavoro non di produzione rispetto a quelli di produzione.
  • Separa le operazioni o i processi di notifica per le risorse in compartimenti diversi.
  • Requisiti regionali per le risorse in alcuni compartimenti.
  • Diversi tipi di risorse che richiedono regole diverse per la configurazione o l'attività.
Come funzionano i rilevatori e i rispondenti gestiti dall'utente (clonati)

Scopri come una ricetta gestita dall'utente mantiene i legami con la ricetta gestita da Oracle da cui è stata duplicata.

  • Quando si duplica una ricetta gestita da Oracle, viene creata una copia gestita dall'utente. La copia gestita dall'utente è esattamente come l'originale gestito da Oracle, ma è possibile personalizzarla.

    Le modifiche apportate alla copia duplicata, incluse le modifiche alle impostazioni delle regole, non influiscono sul rilevatore originale o sulla ricetta del rispondente.

  • Non è possibile modificare tutto nelle ricette gestite dall'utente. Per le singole regole, è possibile modificare il livello di rischio ed abilitare e disabilitare la regola e modificarne il livello di rischio. Impossibile eliminare le regole o aggiungerne di nuove.
  • Per utilizzare una ricetta gestita dall'utente, è necessario aggiungerla a una destinazione. A una destinazione può essere aggiunta una sola ricetta di ogni tipo: rilevatori di configurazione, rilevatori di attività e rispondenti. Se una destinazione dispone già di una ricetta del tipo che si desidera aggiungere, è necessario rimuovere tale ricetta prima di poterne aggiungere un'altra dello stesso tipo. Vedere Modifica di una destinazione OCI e delle relative ricette collegate.
  • Cloud Guard mantiene sincronizzate le ricette gestite dall'utente con le ricette originali gestite da Oracle. Tutte le nuove regole aggiunte alla ricetta originale gestita da Oracle vengono aggiunte automaticamente alle copie duplicate. Inoltre, qualsiasi miglioramento apportato alle regole nella ricetta originale gestita da Oracle si riflette automaticamente nelle stesse regole nelle copie clonate.
  • Verificare l'aggiunta di nuove regole alle ricette gestite dall'utente. Le nuove regole aggiunte vengono disabilitate per impostazione predefinita. Esaminare attentamente le nuove regole per verificare se si desidera abilitarle. Monitorare le note di rilascio di Cloud Guard per visualizzare questi aggiornamenti.
  • Monitorare la lista di regole disabilitate in una ricetta gestita dall'utente per verificare se è necessario abilitarla. Col passare del tempo, è possibile che si desideri iniziare a utilizzare alcune ricette disabilitate in precedenza. Monitorare le note di rilascio di Cloud Guard per visualizzare questi aggiornamenti.
Modifica delle ricette a livello di recipe e destinazione

Scopri come Oracle Cloud Guard separa le impostazioni delle ricette in due livelli e come aggiornare impostazioni diverse per le ricette gestite da Oracle o gestite dall'utente (clonate), del rilevatore e del rispondente a questi due livelli.

Cloud Guard separa le impostazioni che è possibile configurare per le regole del rilevatore e del rispondente in due gruppi, a livello di ricetta e a livello di destinazione. È possibile accedere a questi livelli da pagine diverse.

Se non si comprendono i dettagli, la gestione delle ricette del rilevatore e del rispondente in Oracle Cloud Guard può creare confusione. La sezione Riferimento ricetta rilevatore alla fine di questa sezione contiene un riepilogo delle informazioni per tutti i tipi di ricette, quando vi si accede dalla pagina Destinazioni o dalle rispettive pagine delle ricette.

Nota

Quando si aggiorna una ricetta gestita da Oracle, gli aggiornamenti vengono applicati automaticamente a tutte le ricette gestite dall'utente clonate da essa. A prescindere dalla pagina da cui si inizia quando si modifica una ricetta, le modifiche rimangono quando si accede alla ricetta, a partire dall'altra pagina.
  • Le impostazioni Livello ricetta sono di natura "strategica". Cioè, hanno l'impatto più ampio, che colpisce tutti gli obiettivi a cui è allegata la ricetta. Queste impostazioni dovrebbero richiedere il massimo livello di autorizzazioni per apportare modifiche.
    • Principio di sicurezza: le impostazioni delle ricette hanno un impatto significativo su Cloud Guard, pertanto è necessario consentire a un numero inferiore di utenti di modificare le impostazioni a questo livello.
    • Impostazioni che è possibile modificare a livello di ricetta:
      • Rilevatori:
        • Stato (abilitare o disabilitare la regola, solo gestita dall'utente).
        • Livello di rischio (solo gestito dall'utente).
        • Etichette (solo gestite dall'utente).
        • Impostazione input (se applicabile per la regola).
        • Impostazioni Gruppo condizionale.
      • Destinatari:
        • Stato (abilitare o disabilitare la regola, solo gestita dall'utente).
    • Ambito: le modifiche apportate alle regole del rilevatore e del rispondente a livello di ricetta:
      • Modifiche dello stato (abilitare o disabilitare le regole):
        • Può essere creato solo per ricette gestite dall'utente (clonate).
        • Applicare globalmente a tutte le destinazioni in cui il rilevatore o il rispondente è già stato collegato o è collegato in un secondo momento.
      • Impostazioni Gruppo condizionale:
        • Fornire i valori predefiniti per tutte le destinazioni in cui il rilevatore o la ricetta del rispondente viene aggiunta in seguito.
        • Dopo aver aggiunto una ricetta a una destinazione, è possibile apportare modifiche alle impostazioni del gruppo condizionale solo da tale destinazione.
      • Istruzioni criterio (per le regole del rispondente, solo a livello di destinazione):
        • L'abilitazione di un'istruzione criterio è globale e si applica a tutte le regole del rispondente che richiedono il criterio, sia a livello di ricetta che a livello di destinazione.
        • È necessario abilitare un criterio una sola volta in una tenancy.
    • Accesso: accedere alle regole del rilevatore e del rispondente dalle pagine della ricetta, Ricette del rilevatore o Ricette del rispondente per modificare queste impostazioni come descritto in precedenza.
  • Le impostazioni del livello target sono di natura "tattica". Cioè, hanno un impatto solo su una singola destinazione e quindi possono richiedere un livello inferiore di autorizzazioni per apportare modifiche.
    • Principio di sicurezza: le destinazioni tendono ad avere un impatto più limitato, interessando solo un subset dei compartimenti e in questo modo è possibile consentire a più utenti di modificare le impostazioni a questo livello.
    • Impostazioni che è possibile modificare a livello di destinazione:
      • Rilevatori:
        • Gruppi condizionali (solo gestiti dall'utente).
      • Destinatari:
        • Stato (abilitare o disabilitare la regola, solo gestita dall'utente).
        • Impostazioni di input, per abilitare o disabilitare Notifica successiva a misura correttiva (se applicabile per la regola).
        • Modificare il trigger regola tra Esegui automaticamente e Chiedi prima....
        • Modificare altre impostazioni, ad esempio abilitare o disabilitare Istruzioni criteri obbligatorie e Notifica misura correttiva.
    • Ambito: le modifiche apportate alle regole del rilevatore e del rispondente a livello di destinazione si applicano a:
      • Generalmente, le modifiche vengono applicate alla destinazione corrente. Le modifiche non hanno effetto sulle impostazioni nelle destinazioni in cui il rilevatore o la ricetta del rispondente è già stato collegato. Dopo aver collegato le ricette a una destinazione, è necessario apportare ulteriori modifiche alle impostazioni per tale destinazione dalla stessa destinazione. Le modifiche apportate in seguito a livello di ricetta aggiornano automaticamente la ricetta collegata alla destinazione.
      • Per l'abilitazione dei criteri necessari e l'abilitazione e disabilitazione delle notifiche di misura correttiva (entrambe solo per le ricette del rispondente), le modifiche forniscono i valori predefiniti per tutte le destinazioni in cui il rilevatore o la ricetta del rispondente gestiti dall'utente (clonati) viene aggiunto in un secondo momento.
    • Accesso: accedere alle regole del rilevatore e del rispondente dalla pagina Destinazioni per modificare queste impostazioni come descritto in precedenza.
  • Riepilogo delle limitazioni importanti: alcune impostazioni possono essere modificate solo a livello di ricetta o di destinazione oppure solo nelle ricette gestite da Oracle o dall'utente:
    • Rilevatori:
      • Stato (abilitare o disabilitare la regola): solo nelle ricette gestite dall'utente, a livello di ricetta.
      • Livello di rischio: solo nelle ricette gestite dall'utente, a livello di ricetta.
      • Etichette: solo nella ricetta gestita dall'utente, a livello di ricetta.
    • Destinatari:
      • Stato (Abilita o Disabilita regole): solo nella ricetta gestita dall'utente, a livello di ricetta.
      • Impostazioni di input, per abilitare o disabilitare Notifica successiva a misura correttiva (se applicabile per la regola), solo a livello di destinazione (sia per le ricette gestite da Oracle che dall'utente).
      • Trigger regola (tra Esegui automaticamente e Chiedi prima...): solo a livello di destinazione (sia per le ricette del rispondente gestite da Oracle che dall'utente).

Nella tabella riportata di seguito vengono riepilogate le impostazioni del rilevatore e della regola del rispondente che è possibile modificare a livello di ricetta e di destinazione, sia per le ricette gestite da Oracle che per quelle gestite dall'utente.

Tipi di modifiche (sotto)

 Modifiche alla ricetta del rilevatore eseguite da... Modifiche ricetta del rispondente apportate da...
Gestita da Oracle Gestito da utente (clonato) Gestita da Oracle Gestito da utente (clonato)
Pagina Ricette Pagina Destinazioni Pagina Ricette Pagina Destinazioni Pagina Ricette Pagina Destinazioni Pagina Ricette Pagina Destinazioni
Stato (Abilita e Disabilita regole) N N N N N N
Livello rischio N N N N/A N/A N.A N/A
Etichette N N N N/A N/A N/A N/A
Impostazioni di input N N N N
Gruppi condizionali N N
Abilita dichiarazioni criteri N/A N/A N/A N/A N N
Trigger regola (Esecuzione manuale o automatica) N/A N/A N/A N/A N N
Notifica misura correttiva (impostazione) N/A N/A N/A N/A N N
Per Istruzioni, vedere: Argomento Argomento Argomento Argomento Argomento Argomento Argomento Argomento
Eredità del compartimento

È possibile mappare una gerarchia di compartimenti a una destinazione. Le ricette del rilevatore associate alla destinazione monitorano le risorse nella gerarchia del compartimento.

Se al di sotto di un compartimento sono presenti altri compartimenti, le regole della ricetta del rilevatore si applicano automaticamente a tutti i compartimenti di livello inferiore nella gerarchia.

Quando una gerarchia di compartimenti dispone di ricette del rilevatore applicate ai compartimenti a livelli diversi, ogni volta che le regole sono in conflitto, le regole della ricetta del rilevatore applicate a un livello inferiore sostituiscono le regole di qualsiasi ricetta del rilevatore applicata a un livello superiore. Ciò si applica al compartimento in cui viene applicata una ricetta del rilevatore e a tutti i compartimenti sottostanti.

Dettagli eredità per campi regola rilevatore

Esistono quattro livelli in cui è possibile modificare i campi all'interno di una ricetta del rilevatore e le relative regole del rilevatore. Ognuno ha una propria serie di restrizioni.

Nota

La precedenza per le regole della ricetta del rilevatore applicate a questi diversi livelli è simile alla precedenza per una gerarchia di compartimenti: ogni volta che le regole sono in conflitto, le regole a un livello più specifico (numero più alto nella lista riportata di seguito) sostituiscono le regole a un livello più ampio (numero più basso nella lista riportata di seguito).
  1. Oracle: quando Cloud Guard deve aggiornare o creare nuove ricette gestite da Oracle, sono disponibili per tutti i tenant.
  2. Tenant: si tratta di modifiche applicabili solo a un determinato tenant.
    • Questi campi possono essere modificati a livello di tenant per una ricetta gestita da Oracle:
      • Etichette (possono essere aggiunte solo)
      • Configurazioni (denominate anche Impostazioni)
      • Condizioni
    • Questi campi non possono essere modificati a livello di tenant per una ricetta gestita da Oracle:
      • Stato (abilitato/disabilitato)
      • Livello rischio
    • Questi campi possono essere modificati a livello di tenant per una ricetta gestita da Oracle:
      • Stato (abilitato/disabilitato)
      • Livello rischio
      • Etichette
      • Configurazioni (denominate anche Impostazioni)
      • Condizioni
  3. Destinazione: queste sono modifiche applicabili solo a una determinata destinazione.
    • Questi campi possono essere modificati a livello di destinazione sia per le ricette gestite da Oracle che per quelle non gestite da Oracle:
      • Condizioni
    • Questi campi possono essere modificati a livello di destinazione per una ricetta gestita da Oracle.
      • Stato (abilitato/disabilitato)
      • Livello rischio
      • Etichette
      • Configurazioni (denominate anche Impostazioni)
  4. Compartimenti secondari di una destinazione: si tratta di modifiche applicabili solo a un compartimento selezionato dalla struttura discendente di una destinazione.
    • Questi campi possono essere modificati a livello di destinazione sia per le ricette gestite da Oracle che per quelle non gestite da Oracle:
      • Condizioni
    • Questi campi possono essere modificati a livello di destinazione per una ricetta gestita da Oracle.
      • Stato (abilitato/disabilitato)
      • Livello rischio
      • Etichette
      • Configurazioni (denominate anche Impostazioni)

Utilizzo di gruppi condizionali con regole ricetta

I gruppi condizionali consentono di impostare rapidamente l'ambito per il quale deve essere attivato un rilevatore o una regola del rispondente.

Gruppi condizionali per rilevatori

Un gruppo condizionale imposta i parametri specificati per limitare l'ambito delle situazioni per le quali la violazione di una regola del rilevatore attiva effettivamente un problema:

  • Per i rilevatori di configurazione, i gruppi condizionali consentono l'inclusione o l'esclusione di risorse specifiche dal monitoraggio.
  • Per i rilevatori di attività, i gruppi condizionali consentono di limitare i rilevatori di attività a determinati spazi IP, aree, utenti, gruppi o risorse.
  • Per implementare i gruppi condizionali, quando si modifica una regola ricetta del rilevatore:
    1. Selezionare il parametro, l'operatore e l'elenco personalizzato o un elenco gestito.
    2. Immettere una o più voci per il valore corrispondente.
    • Per impostare una condizione su un parametro diverso dalle tag, attenersi alla procedura riportata di seguito.
      1. Nell'elenco Parametro selezionare un parametro diverso da Tag.
      2. Selezionare un operatore, una lista e un valore.
      3. Per aggiungere un'altra condizione, selezionare Un'altra condizione.
        Nota

        La specifica di più condizioni funge da operatore AND. La regola viene applicata solo se vengono soddisfatte tutte le condizioni.
    • Per impostare una condizione sulle tag, attenersi alla procedura riportata di seguito.
      1. Nell'elenco Parametro selezionare Tag.
      2. Selezionare un operatore (In o Non in).

        Se si seleziona In, la regola interessa solo gli elementi contrassegnati con una delle tag presenti nella lista fornita.

        Se si seleziona Non in, la regola interessa solo gli elementi non contrassegnati con una delle tag presenti nell'elenco fornito.

      3. selezionare Seleziona tag.
      4. Nella finestra di dialogo Seleziona tag impostare una condizione per i tag definiti o in formato libero:

        Per impostare una condizione per le tag definite, selezionare uno spazio di nomi tag diverso da Nessuno, selezionare una chiave tag, quindi selezionare o immettere il valore tag:

        Per impostare una condizione per le tag in formato libero, in Spazio di nomi tag selezionare Nessuno per Spazio di nomi tag, immettere una chiave tag e, facoltativamente, immettere il valore tag.

        Aggiungere altre tag in base alle esigenze.
        Nota

        Quando si specificano più tag, la regola viene applicata solo se tutte le condizioni vengono soddisfatte.
  • È possibile aggiungere una condizione per una singola risorsa e un input alla volta utilizzando un elenco personalizzato oppure aggiungere più risorse e input alla volta utilizzando elenchi gestiti.

Esempio: sono disponibili 10 istanze di computazione. Due istanze (Instance1 e Instance2) dovrebbero essere pubbliche, pertanto non si desidera che la regola "Istanza è accessibile pubblicamente" attivi problemi su queste istanze. È possibile utilizzare i gruppi condizionali per escludere queste due istanze, utilizzando elenchi personalizzati o elenchi gestiti.

Valori validi per parametri gruppo condizionale

Con le ricette del rilevatore e del rispondente, alcune regole dispongono di opzioni Parametro che richiedono di digitare una o più voci Valore valide. L'elenco riportato di seguito fornisce collegamenti alle origini per le quali i valori validi per ciascun tipo di parametro. Se i collegamenti non sono disponibili, viene fornita una breve spiegazione su come trovare valori validi.

Esclusione di risorse mediante elenchi personalizzati

Utilizzare elenchi personalizzati quando il numero di elementi da abbinare è ridotto e non è necessario riutilizzare lo stesso elenco più volte.

  1. Aprire la pagina dei dettagli per la ricetta del rilevatore in cui è abilitata la regola "Istanza accessibile pubblicamente".

    Vedere Modifica di una ricetta del rilevatore OCI gestita dall'utente.

  2. Nella pagina dei dettagli della ricetta del rilevatore, in Regole rilevatore, individuare la riga per la regola "L'istanza è accessibile pubblicamente".
  3. All'estremità destra della riga, aprire il relativo menu Azioni Immagine del menu Azione e selezionare Modifica.
  4. Nella finestra di dialogo Modifica regola rilevatore, sezione Gruppo condizionale:
    1. Impostare Parametro su OCID istanza.
    2. Impostare Operator su Not in.
    3. Impostare Elenco su Elenco personalizzato.
    4. In Valore, immettere l'OCID per Instance1.
  5. selezionare Aggiungi condizione.
  6. Nella nuova riga condizione:
    1. Impostare Parametro su OCID istanza.
    2. Impostare Operator su Not in.
    3. Impostare Elenco su Elenco personalizzato.
    4. In Valore, immettere l'OCID per Instance2.
  7. selezionare Salva.

    La regola "Istanza accessibile pubblicamente" ora monitora tutte le istanze per la configurazione pubblica, ad eccezione di Instance1 e Instance2.

Esclusione di risorse mediante elenchi gestiti

Utilizzare le liste gestite quando il numero di elementi da abbinare è elevato o si prevede di dover riutilizzare lo stesso elenco più volte.

  1. In primo luogo, creare una lista gestita di OCID dell'istanza che contenga gli OCID per Instance1 e Instance2.

    Vedere Creazione di una lista gestita.

    Si supponga di assegnare un nome alla lista "OCID istanza di computazione pubblica".

  2. Aprire la pagina dei dettagli per la ricetta del rilevatore in cui è abilitata la regola "Istanza accessibile pubblicamente".

    Vedere Modifica di una ricetta del rilevatore OCI gestita dall'utente.

  3. Nella pagina dei dettagli della ricetta del rilevatore, in Regole rilevatore, individuare la riga per la regola "L'istanza è accessibile pubblicamente".
  4. All'estremità destra della riga, aprire il relativo menu Azioni Immagine del menu Azione e selezionare Modifica.
  5. Nella finestra di dialogo Modifica regola rilevatore, sezione Gruppo condizionale:
    1. Impostare Parametro su OCID istanza.
    2. Impostare Operator su Not in.
    3. Impostare Elenco su Lista gestita.
    4. Per Valore, selezionare il nome della lista gestita creata ("OCID istanza di computazione pubblica" nell'esempio nel passo 1).
  6. selezionare Salva.

    La regola "Istanza accessibile pubblicamente" ora monitora tutte le istanze per la configurazione pubblica, ad eccezione di Instance1 e Instance2.

    Nota

    Anche gli OCID delle istanze di computazione aggiunti in futuro alla lista gestita vengono esclusi dal monitoraggio.

Utilizzo di elenchi gestiti e personalizzati con regole ricetta

Le liste gestite consentono di impostare rapidamente l'ambito per il quale deve essere applicata una regola ricetta, includendo o escludendo un elenco predefinito di parametri. Gli elenchi personalizzati consentono di immettere un breve elenco di parametri per lo stesso scopo.

Applicazione di una lista gestita a un rilevatore di configurazione

Esempio: se un'istanza di computazione dispone di un indirizzo IP pubblico, si desidera attivare un problema. Tuttavia, sono presenti alcune istanze che dovrebbero avere indirizzi IP pubblici e non si desidera che tali istanze attivino problemi.

  1. Creare una lista gestita contenente tutti gli OCID delle risorse delle istanze di computazione che dovrebbero avere indirizzi IP pubblici.

    Vedere Creazione di una lista gestita.

  2. Assegnare questa lista gestita come voce del gruppo condizionale per la regola del rilevatore di configurazione "L'istanza ha un IP pubblico".

    Vedere Modifica di una ricetta del rilevatore OCI gestita dall'utente.

Applicazione di una lista gestita a un rilevatore di attività

Esempio: se l'attività avviata da specifici indirizzi IP sospetti crea un bucket o un'istanza, si desidera attivare un problema.

  1. Creare una lista gestita contenente gli indirizzi IP sospetti noti.

    Vedere Creazione di una lista gestita.

  2. Assegnare questa lista gestita come voce del gruppo condizionale per la regola del rilevatore "Attività IP sospetta".

    Vedere Modifica di una ricetta del rilevatore OCI gestita dall'utente.

In alternativa, se si è certi che i bucket o le istanze devono essere creati solo da determinati indirizzi IP sicuri, è possibile:

  • Creare una lista gestita contenente indirizzi IP sicuri.
  • Quindi, utilizzare l'operatore "Non in" nella voce Gruppo condizionale per la regola del rilevatore "Attività IP sospetta".