Riferimento recipe del rilevatore

Descrizione: avviso quando viene creata una nuova istanza bastion.

Suggerimento: assicurarsi che solo gli utenti autorizzati creino istanze bastion.

Background: i bastion forniscono agli utenti un accesso SSH sicuro e trasparente agli host di destinazione in subnet private, limitando al contempo l'accesso pubblico diretto.

Parametri della regola:

• Tipo di servizio: bastion
• Tipo di risorsa: istanza
• Livello di rischio: BASSO
• Etichette: bastion

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene creata una nuova sessione bastion.

Suggerimento: assicurarsi che solo gli utenti autorizzati creino sessioni bastion.

Background: una sessione bastion fornisce accesso SSH a tempo limitato, sicuro e senza interruzioni a un host di destinazione in subnet private, limitando al contempo l'accesso pubblico diretto.

Parametri della regola:

• Tipo di servizio: bastion
• Tipo di risorsa: istanza
• Livello di rischio: BASSO
• Etichette: bastion

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene aggiornato un bundle CA.

Suggerimento: assicurarsi che solo gli utenti autorizzati aggiornino i bundle CA. Se l'utente non è autorizzato, annullare l'aggiornamento.

Sfondo: un bundle CA è un file che contiene certificati radice e intermedi. La CA nel bundle approva i certificati intermedi degli utenti. Quando un bundle CA viene aggiornato, un utente associato a un certificato intermedio eliminato non è più in grado di accedere alle risorse approvate dalla CA. Analogamente, un utente associato a un certificato intermedio aggiunto è ora in grado di accedere a tali risorse.

Parametri della regola:

• Tipo di servizio: certificati
• Tipo di risorsa: utente
• Livello di rischio: MEDIO
• Etichette: certificati

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene eliminato un bundle di autorità di certificazione (CA).

Suggerimento: assicurarsi che solo gli utenti autorizzati a eliminare i bundle CA vengano eliminati solo dagli utenti autorizzati. Se l'utente non è autorizzato, annullare l'eliminazione.

Sfondo: un bundle CA è un file che contiene certificati radice e intermedi. La CA nel bundle approva il certificato intermedio degli utenti. Quando un bundle CA viene eliminato, gli utenti associati ai certificati intermedi non sono più in grado di accedere alle risorse che richiedono l'approvazione della CA.

Parametri della regola:

• Tipo di servizio: certificati
• Tipo di risorsa: utente
• Livello di rischio: MEDIO
• Etichette: certificati

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene revocato un certificato intermedio in un bundle di autorità di certificazione (CA).

Suggerimento: assicurarsi che solo gli utenti autorizzati revochino i certificati intermedi nei bundle CA. Se l'utente non è autorizzato, annullare la revoca.

Background: quando un certificato intermedio in un bundle CA viene revocato, l'utente associato non è più in grado di accedere alle risorse che richiedono l'approvazione del certificato intermedio dell'utente da parte di una CA approvata.

Parametri della regola:

• Tipo di servizio: certificati
• Tipo di risorsa: utente
• Livello di rischio: MEDIO
• Etichette: certificati

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene esportata un'immagine di computazione.

Suggerimento: le immagini contenenti elementi proprietari devono essere contrassegnate di conseguenza con privilegi di esportazione consentiti solo agli amministratori OCI appropriati.

Sfondo: le immagini di computazione potrebbero essere equivalenti alle "unità dati" e contenere informazioni riservate. Le immagini che potrebbero contenere elementi proprietari devono essere identificate di conseguenza con privilegi di esportazione consentiti solo agli amministratori OCI appropriati.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: MINOR
• Etichette: Compute

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene importata un'immagine di computazione.

Suggerimento: assicurarsi che una persona che si prevede di portare nuove immagini nell'ambiente in uso importi l'immagine di computazione da origini attendibili, ad esempio Oracle o un amministratore di computazione affidabile.

Background: le immagini di computazione sono le basi per le istanze di computazione. Una nuova immagine influisce su ogni futura istanza di computazione avviata da tale immagine e le immagini importate dovrebbero provenire da origini note e sicure.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: MINOR
• Etichette: Compute

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando un'istanza di computazione viene interrotta.

Suggerimento: utilizzare i criteri IAM per limitare le operazioni di interruzione dell'istanza.

In background: le istanze di computazione potrebbero fornire funzioni critiche.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: ALTO
• Etichette: Compute

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene aggiornata un'immagine di computazione.

Suggerimento:

Accertarsi che:

• Una persona che dovrebbe portare nuove immagini nell'ambiente importa l'immagine.
• L'immagine viene importata da origini attendibili, ad esempio Oracle o un amministratore di computazione sicuro.

Background: le immagini di computazione sono le basi per le istanze di computazione. Una modifica alle immagini influisce su ogni futura istanza di computazione avviata da tale immagine. Le immagini e le eventuali modifiche ad esse correlate dovrebbero provenire da fonti conosciute e affidabili.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: BASSO
• Etichette: Compute

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando un sistema di database viene arrestato.

Suggerimento: assicurarsi che un amministratore autorizzato sanzioni ed esegua l'arresto del sistema di database e dei database correlati.

Background: i sistemi di database potrebbero contenere dati sensibili e fornire funzionalità critiche. L'arresto di un sistema di database comporta l'eliminazione definitiva del sistema, di tutti i database in esecuzione su di esso e di tutti i volumi di storage ad esso collegati.

Parametri della regola:

• Tipo di servizio: sistema DB
• Tipo di risorsa: sistema
• Livello di rischio: ALTO
• Etichette: database

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando vengono create chiavi API IAM per un utente.

Suggerimento: assicurarsi che le chiavi API vengano create solo dagli utenti autorizzati a creare chiavi API, per se stessi o per altri utenti.

Background: Le chiavi API sono necessarie per utilizzare uno degli SDK Oracle o altri strumenti di sviluppo. L'uso di questi strumenti di sviluppo da parte di persone la cui funzione lavorativa non lo richiede è una vulnerabilità di sicurezza.

Parametri della regola:

• (Stato: disabilitato)
• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: BASSO
• Etichette: IAM

• Abilita regola se si desidera visualizzare gli utenti che eseguono operazioni correlate al gruppo.
• Gruppi condizionali: attiva un problema solo se l'utente non si trova in un gruppo di amministratori con l'autorizzazione per creare chiavi API per gli utenti.

Descrizione: avviso quando viene eliminata la chiave API IAM di un utente.

Suggerimento: assicurarsi che le chiavi API vengano eliminate solo dagli utenti autorizzati a creare ed eliminare le chiavi API.

Background: Le chiavi API sono necessarie per utilizzare uno degli SDK Oracle o altri strumenti di sviluppo. L'eliminazione delle chiavi API per un utente che sta lavorando con gli strumenti di sviluppo Oracle può avere un grave impatto sulla produttività.

Parametri della regola:

• (Stato: disabilitato)
• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: BASSO
• Etichette: IAM

• Abilita regola se si desidera visualizzare gli utenti che eseguono operazioni correlate al gruppo.
• Gruppi condizionali: attiva un problema solo se l'utente non si trova in un gruppo di amministratori con l'autorizzazione per eliminare le chiavi API degli utenti.

Descrizione: avviso quando viene creato un token di autenticazione IAM per un utente.

Suggerimento: assicurarsi che i token di autenticazione IAM vengano creati da e per gli utenti autorizzati.

Background: i token di autenticazione possono essere utilizzati per l'autenticazione con API di terze parti. La disponibilità dei token di autenticazione alle persone la cui funzione lavorativa non richiede tali token crea una vulnerabilità della sicurezza. Vedere Credenziali utente.

Parametri della regola:

• (Stato: disabilitato)
• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: BASSO
• Etichette: IAM

• Abilita regola se si desidera visualizzare gli utenti che eseguono operazioni correlate al gruppo.
• Gruppi condizionali: attiva un problema solo se l'utente non si trova in un gruppo di amministratori con l'autorizzazione per creare token di autenticazione IAM.

Descrizione: avviso quando un token di autenticazione IAM viene eliminato per un utente.

Suggerimento: assicurarsi che i token di autenticazione IAM vengano eliminati dagli utenti autorizzati.

Background: i token di autenticazione possono essere utilizzati per l'autenticazione con API di terze parti. La disponibilità dei token di autenticazione alle persone la cui funzione lavorativa non richiede tali token crea una vulnerabilità della sicurezza. Vedere Credenziali utente.

Parametri della regola:

• (Stato: disabilitato)
• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: BASSO
• Etichette: IAM

• Abilita regola se si desidera visualizzare gli utenti che eseguono operazioni correlate al gruppo.
• Gruppi condizionali: attiva un problema solo se l'utente non si trova in un gruppo di amministratori con l'autorizzazione per eliminare i token di autenticazione IAM.

Descrizione: avviso quando vengono create le chiavi cliente IAM.

Suggerimento: assicurarsi che queste chiavi vengano create solo per gli utenti autorizzati.

In background: le chiavi segrete del cliente vengono create per l'uso dell'API di compatibilità Amazon S3 con lo storage degli oggetti.

Parametri della regola:

• (Stato: disabilitato)
• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: BASSO
• Etichette: IAM

• Abilita regola se si desidera visualizzare gli utenti che eseguono operazioni correlate al gruppo.
• Gruppi condizionali: attiva un problema solo se l'utente non si trova in un gruppo di amministratori con l'autorizzazione per creare le chiavi cliente IAM.

Descrizione: avviso quando vengono eliminate le chiavi cliente IAM.

Suggerimento: assicurarsi che sia prevista l'eliminazione di queste chiavi.

In background: le chiavi segrete del cliente vengono create per l'uso dell'API di compatibilità Amazon S3 con lo storage degli oggetti.

Parametri della regola:

• (Stato: disabilitato)
• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: BASSO
• Etichette: IAM

• Abilita regola se si desidera visualizzare gli utenti che eseguono operazioni correlate al gruppo.
• Gruppi condizionali: attiva un problema solo se l'utente non si trova in un gruppo di amministratori con l'autorizzazione per eliminare le chiavi cliente IAM.

Descrizione: avviso quando viene creato un gruppo IAM.

Suggerimento: assicurarsi che solo gli utenti autorizzati creino gruppi IAM.

Sfondo: i gruppi controllano l'accesso a risorse e privilegi.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: gruppo
• Livello di rischio: MINOR
• Etichette: IAM

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene eliminato un gruppo IAM.

Suggerimento: assicurarsi che solo gli utenti autorizzati eseguano eliminazioni di gruppi IAM.

Sfondo: i gruppi controllano l'accesso a risorse e privilegi.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: GROUP
• Livello di rischio: MINOR
• Etichette: IAM

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando vengono create le credenziali IAM OAuth 2.0.

Suggerimento: assicurarsi che queste credenziali vengano create solo per gli utenti autorizzati.

In background: le credenziali IAM OAuth 2.0 consentono di interagire con le API di quei servizi che utilizzano l'autorizzazione OAuth 2.0. Vedere Credenziali utente.

Parametri della regola:

• (Stato: disabilitato)
• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: BASSO
• Etichette: IAM

• Abilita regola se si desidera visualizzare gli utenti che eseguono operazioni correlate al gruppo.
• Gruppi condizionali: attiva un problema solo se l'utente non si trova in un gruppo di amministratori con l'autorizzazione per creare le credenziali IAM OAuth 2.0.

Descrizione: avviso quando vengono eliminate le credenziali IAM OAuth 2.0.

Suggerimento: assicurarsi che sia prevista l'eliminazione di queste credenziali.

In background: le credenziali IAM OAuth 2.0 consentono di interagire con le API di quei servizi che utilizzano l'autorizzazione OAuth 2.0. Vedere Credenziali utente.

Parametri della regola:

• (Stato: disabilitato)
• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: BASSO
• Etichette: IAM

• Abilita regola se si desidera visualizzare gli utenti che eseguono operazioni correlate al gruppo.
• Gruppi condizionali: attiva un problema solo se l'utente non si trova in un gruppo di amministratori con l'autorizzazione per eliminare le credenziali IAM OAuth 2.0.

Descrizione: avviso quando vengono modificate le capacità di un utente IAM.

Suggerimento: assicurarsi che solo gli utenti autorizzati modifichino le funzionalità di un utente IAM.

Background: per accedere a Oracle Cloud Infrastructure, un utente deve disporre delle credenziali necessarie come chiavi API, token di autenticazione e altre credenziali.

Parametri della regola:

• (Stato: disabilitato)
• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: BASSO
• Etichette: IAM

• Abilita regola se si desidera visualizzare gli utenti che eseguono operazioni correlate al gruppo.
• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene creato un utente locale o federato in IAM OCI.

Suggerimento: assicurarsi che solo gli utenti autorizzati creino utenti IAM.

Informazioni di base: un utente IAM può essere un singolo dipendente o un sistema che deve gestire o utilizzare le risorse Oracle Cloud Infrastructure della tua azienda.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: MINOR
• Etichette: IAM

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando la password della console di un utente viene creata o reimpostata.

Suggerimento: assicurarsi che la password di un utente venga reimpostata dall'utente o da un utente amministratore autorizzato a reimpostare le password.

Background: la reimpostazione della password di un utente più volte o la reimpostazione da parte di un utente non autorizzato a reimpostare le password utente potrebbero indicare un rischio per la sicurezza.

Parametri della regola:

• (Stato: disabilitato)
• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: BASSO
• Etichette: IAM

• Abilita regola se si desidera visualizzare gli utenti che eseguono operazioni correlate al gruppo.
• Gruppi condizionali: attiva un problema solo se l'utente non si trova in un gruppo di amministratori con l'autorizzazione per reimpostare le password utente.

Descrizione: avviso quando viene modificato un criterio di sicurezza.

Suggerimento:

Sfondo: la modifica dei criteri influisce su tutti gli utenti del gruppo e potrebbe concedere privilegi agli utenti che non ne hanno bisogno.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: criterio
• Livello di rischio: BASSO
• Etichette: CIS_OCI_V1.1_MONITORING, IAM

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene autenticato un utente locale per il quale non è abilitata l'autenticazione con più fattori (MFA).

Suggerimento: assicurarsi che per tutti gli utenti sia abilitata l'autenticazione MFA.

Background: l'autenticazione a più fattori (MFA) aumenta la sicurezza richiedendo la compromissione di più credenziali per impersonare un utente. Gli utenti non autorizzati non saranno in grado di soddisfare il secondo requisito di autenticazione e non potranno accedere all'ambiente.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: ALTO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando un utente viene aggiunto a un gruppo.

Suggerimento: assicurarsi che l'utente abbia il diritto di essere membro del gruppo.

Sfondo: i gruppi controllano l'accesso a risorse e privilegi. I gruppi sensibili dovrebbero essere attentamente monitorati per le modifiche all'appartenenza.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: gruppo
• Livello di rischio: MINOR
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando un utente viene rimosso da un gruppo.

Suggerimento: assicurarsi che l'utente abbia il diritto di essere membro del gruppo.

Sfondo: i gruppi controllano l'accesso a risorse e privilegi. I gruppi sensibili dovrebbero essere attentamente monitorati per le modifiche all'appartenenza.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: MINOR
• Etichette: IAM

• Gruppi condizionali: attiva un problema solo se l'utente non si trova in un gruppo di amministratori con l'autorizzazione per rimuovere gli utenti da questo gruppo.

Descrizione: avviso quando un gateway di instradamento dinamico (DRG) è collegato a una VCN.

Suggerimento: assicurarsi che il collegamento di questo DRG alla VCN sia consentito e previsto in questo compartimento dalla risorsa (utente).

In background: i DRG vengono utilizzati per connettere le reti on-premise esistenti a una rete cloud virtuale (VCN) con IPSec VPN o FastConnect.

Parametri della regola:

• (Stato: disabilitato)
• Tipo di servizio: networking
• Tipo di risorsa: DRG
• Livello di rischio: MINOR
• Etichette: rete

• Abilita regola se si desidera visualizzare gli utenti che eseguono operazioni correlate al gruppo.
• Gruppi condizionali: attiva un problema solo se l'utente non si trova in un gruppo di amministratori con l'autorizzazione per collegare DRG a VCN.

Descrizione: avviso quando viene creato un gateway di instradamento dinamico (DRG).

Suggerimento: assicurarsi che la creazione di questo DRG sia consentita e prevista in questo compartimento dalla risorsa (utente).

Background: i DRG vengono utilizzati per connettere reti on premise esistenti a una rete cloud virtuale (VCN) con VPN IPSEC o FastConnect.

Parametri della regola:

• (Stato: disabilitato)
• Tipo di servizio: networking
• Tipo di risorsa: DRG
• Livello di rischio: MINOR
• Etichette: rete

• Abilita regola se si desidera visualizzare gli utenti che eseguono operazioni correlate al gruppo.
• Gruppi condizionali: attiva un problema solo se l'utente non si trova in un gruppo di amministratori con l'autorizzazione per creare DRG.

Descrizione: avviso quando viene eliminato un gateway di instradamento dinamico (DRG).

Suggerimento: assicurarsi che l'eliminazione di questo DRG sia consentita e prevista dalla risorsa (utente).

In background: i DRG vengono utilizzati per connettere le reti on-premise esistenti a una rete cloud virtuale (VCN) con IPSec VPN o FastConnect.

Parametri della regola:

• (Stato: disabilitato)
• Tipo di servizio: networking
• Tipo di risorsa: DRG
• Livello di rischio: MINOR
• Etichette: rete

• Abilita regola se si desidera visualizzare gli utenti che eseguono operazioni correlate al gruppo.
• Gruppi condizionali: attiva un problema solo se l'utente non si trova in un gruppo di amministratori con l'autorizzazione per eliminare i DRG.

Descrizione: avviso quando un gateway di instradamento dinamico (DRG) viene scollegato da una VCN.

Suggerimento: assicurarsi che lo scollegamento di questo DRG dalla VCN sia consentito e previsto in questo compartimento dalla risorsa (utente).

In background: i DRG vengono utilizzati per connettere le reti on-premise esistenti a una rete cloud virtuale (VCN) con IPSec VPN o FastConnect.

Parametri della regola:

• (Stato: disabilitato)
• Tipo di servizio: networking
• Tipo di risorsa: DRG
• Livello di rischio: MINOR
• Etichette: rete

• Abilita regola se si desidera visualizzare gli utenti che eseguono operazioni correlate al gruppo.
• Gruppi condizionali: attiva un problema solo se l'utente non si trova in un gruppo di amministratori con l'autorizzazione per scollegare i DRG dalle VCN.

Descrizione: avviso quando viene modificata una subnet.

Suggerimento: assicurarsi che la modifica alla VCN sia consentita e prevista in questo compartimento.

Background: le subnet sono suddivisioni di una VCN. Le istanze di computazione connesse nella stessa subnet utilizzano la stessa tabella di instradamento, le stesse liste di sicurezza e le stesse opzioni DHCP.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: subnet
• Livello di rischio: BASSO
• Etichette: rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene eliminata una subnet.

Suggerimento: abilitare l'autenticazione con più fattori (MFA) per garantire che l'utente sia effettivamente connesso e che le credenziali non vengano compromesse.

Background: le subnet sono suddivisioni di una VCN. Le istanze di computazione connesse nella stessa subnet utilizzano la stessa tabella di instradamento, le stesse liste di sicurezza e le stesse opzioni DHCP.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: subnet
• Livello di rischio: BASSO
• Etichette: rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando un utente esegue il login o un richiamo API da un indirizzo IP sospetto. Se è in vigore il criterio appropriato, fornire un collegamento dal problema Cloud Guard a informazioni dettagliate sull'indirizzo IP sospetto nel servizio Threat Intelligence. Per i dettagli sul criterio richiesto, vedere Criteri IAM di Threat Intelligence.

Suggerimento: abilitare l'autenticazione con più fattori (MFA) per garantire che l'utente sia effettivamente connesso e che le credenziali non vengano compromesse.

Background: un utente che accede da un indirizzo IP sospetto è una potenziale minaccia.

Parametri della regola:

• Tipo di servizio: Cloud Guard
• Tipo di risorsa: Sicurezza
• Livello di rischio: CRITICO
• Etichette: rete

• Configurazione: i blocchi CIDR della lista di esclusione o della lista di inclusione o gli indirizzi IP specifici nella sezione Impostazione input della regola.

Descrizione: avviso quando viene creata una VCN.

Suggerimento: assicurarsi che la creazione di una nuova VCN sia consentita e prevista in questo compartimento.

Background: una VCN è una rete virtuale e privata impostata nei data center Oracle. Come una rete tradizionale, potrebbe contenere regole firewall e tipi specifici di gateway di comunicazione.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: VCN
• Livello di rischio: BASSO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene creata una VCN.

Suggerimento: assicurarsi che l'eliminazione di una VCN sia consentita e prevista in questo compartimento.

Background: una VCN è una rete virtuale e privata impostata nei data center Oracle. Come una rete tradizionale, potrebbe contenere regole firewall e tipi specifici di gateway di comunicazione. L'eliminazione della VCN può modificare l'instradamento, la risoluzione del nome FQDN e altre operazioni di networking.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: VCN
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene modificata un'opzione DHCP VCN.

Suggerimento: assicurarsi che la modifica alle informazioni DHCP e DNS sia consentita per questa VCN e le risorse correlate.

Background: le opzioni DHCP controllano determinati tipi di configurazione nelle istanze di una VCN, inclusa la specifica dei domini di ricerca e dei resolver DNS che possono indirizzare le comunicazioni all'interno delle VCN alle risorse Internet. Le modifiche alla VCN possono modificare l'instradamento, la risoluzione del nome FQDN e altre operazioni di networking.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: DHCP
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene creato un gateway Internet della VCN.

Suggerimento: assicurarsi che la creazione di un gateway Internet sia consentita per questa VCN e le relative risorse correlate.

Sfondo: i gateway Internet sono router virtuali che è possibile aggiungere alla VCN per abilitare la connettività diretta (in entrata o in uscita) a Internet. Le modifiche alla VCN possono modificare l'instradamento, la risoluzione del nome FQDN e altre operazioni di networking.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: gateway Internet
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene interrotto un gateway Internet della VCN.

Suggerimento: assicurarsi che l'eliminazione di un gateway Internet sia consentita per questa VCN e le relative risorse correlate.

Sfondo: i gateway Internet sono router virtuali che è possibile aggiungere alla VCN per abilitare la connettività diretta (in entrata o in uscita) a Internet. Le modifiche alla VCN possono modificare l'instradamento, la risoluzione del nome FQDN e altre operazioni di networking.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: gateway Internet
• Livello di rischio: BASSO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene modificato un gateway di peering locale della VCN.

Suggerimento: assicurarsi che le modifiche al GPL siano consentite per questa VCN e le relative risorse correlate.

Background: i Local Peering Gateway (LPG) della VCN connettono due VCN nella stessa area senza instradare il traffico su Internet. Risorse LPG nelle VCN per comunicare direttamente con gli indirizzi IP privati. Le modifiche ai GPL possono influire sull'accesso alle risorse e sulle comunicazioni tra le VCN. Le modifiche alla VCN possono modificare l'instradamento, la risoluzione del nome FQDN e altre operazioni di networking.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: Local Peering Gateway
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando il gruppo NSG di una VCN viene eliminato.

Suggerimento: assicurarsi che la rimozione del gruppo NSG sia consentita per questa VCN e le risorse correlate.

Background: i gruppi di sicurezza di rete (NSG) fungono da firewall virtuale per le istanze di computazione e altri tipi di risorse. I gruppi NSG dispongono di un set di regole di sicurezza in entrata (in entrata) e in uscita (in uscita) applicate a un set di NIC virtuali in una VCN. L'eliminazione dei gruppi NSG può rimuovere le protezioni tra le risorse presenti nella VCN e causare la negazione dell'accesso alle risorse o la perdita di dati.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: gruppo di sicurezza di rete
• Livello di rischio: ALTO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene modificata la regola di uscita NSG di una VCN.

Suggerimento: assicurarsi che le nuove regole di uscita siano consentite per questo gruppo NSG e le risorse correlate.

Background: i gruppi di sicurezza di rete (NSG) fungono da firewall virtuale per le istanze di computazione e altri tipi di risorse. I gruppi NSG dispongono di un set di regole di sicurezza in entrata (in entrata) e in uscita (in uscita) applicate a un set di NIC virtuali in una VCN. Le modifiche alle regole di uscita possono causare la negazione dell'accesso alle risorse.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: gruppo di sicurezza di rete
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando la regola di entrata NSG di una VCN viene modificata.

Suggerimento: assicurarsi che le nuove regole di entrata siano consentite per questo gruppo NSG e le risorse correlate.

Background: i gruppi di sicurezza di rete (NSG) fungono da firewall virtuale per le istanze di computazione e altri tipi di risorse. I gruppi NSG dispongono di un set di regole di sicurezza in entrata (in entrata) e in uscita (in uscita) applicate a un set di NIC virtuali in una VCN. Le modifiche alle regole di entrata dei gruppi NSG potrebbero consentire connessioni e traffico verso nuove risorse e VNIC nella VCN.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: gruppo di sicurezza di rete
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando la tabella di instradamento di una VCN viene modificata.

Suggerimento: assicurarsi che la modifica alla tabella di instradamento sia consentita e prevista in questo compartimento.

Sfondo: le tabelle di instradamento virtuale hanno regole che sembrano e agiscono come regole di instradamento di rete tradizionali. Le tabelle di instradamento configurate in modo errato potrebbero inviare il traffico di rete da eliminare (in blackholed) o da inviare a una destinazione non intenzionale. Le modifiche alla VCN possono modificare l'instradamento, la risoluzione del nome FQDN e altre operazioni di networking.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: tabella di instradamento
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene creata una lista di sicurezza per una VCN.

Suggerimento: assicurarsi che la creazione di questa lista di sicurezza sia consentita per questa VCN e le relative risorse correlate.

Background: le liste di sicurezza fungono da firewall virtuali per le istanze di computazione e altre risorse e sono costituite da set di regole di entrata e uscita che si applicano a tutte le VNIC in qualsiasi subnet associata a tale lista di sicurezza. È possibile applicare più liste di sicurezza alle risorse e concedere l'accesso alle porte e agli indirizzi IP di tali risorse. Le modifiche alla VCN possono modificare l'instradamento, la risoluzione del nome FQDN e altre operazioni di networking.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: lista di sicurezza
• Livello di rischio: BASSO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando viene eliminata la lista di sicurezza per una VCN.

Suggerimento: assicurarsi che la rimozione di questo elenco di sicurezza sia consentita per questa VCN e le relative risorse correlate.

Background: le liste di sicurezza fungono da firewall virtuali per le istanze di computazione e altre risorse e sono costituite da set di regole di entrata e uscita che si applicano a tutte le VNIC in qualsiasi subnet associata a tale lista di sicurezza. È possibile applicare più liste di sicurezza alle risorse e concedere l'accesso alle porte e agli indirizzi IP di tali risorse. Le modifiche alla VCN possono modificare l'instradamento, la risoluzione del nome FQDN e altre operazioni di networking.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: lista di sicurezza
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando le regole di uscita della lista di sicurezza di una VCN vengono modificate.

Suggerimento: assicurarsi che le modifiche alle regole di uscita siano consentite per questa lista di sicurezza e le relative risorse correlate.

Background: le liste di sicurezza fungono da firewall virtuali per le istanze di computazione e altre risorse e sono costituite da set di regole di entrata e uscita che si applicano a tutte le VNIC in qualsiasi subnet associata a tale lista di sicurezza. È possibile applicare più liste di sicurezza alle risorse e concedere l'accesso alle porte e agli indirizzi IP di tali risorse. Le modifiche alla VCN possono modificare l'instradamento, la risoluzione del nome FQDN e altre operazioni di networking.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: lista di sicurezza
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando le regole di entrata della lista di sicurezza di una VCN vengono modificate.

Suggerimento: assicurarsi che le modifiche alle regole di entrata siano consentite per questa lista di sicurezza e le relative risorse correlate.

Background: le liste di sicurezza fungono da firewall virtuali per le istanze di computazione e altre risorse e sono costituite da set di regole di entrata e uscita che si applicano a tutte le VNIC in qualsiasi subnet associata a tale lista di sicurezza. È possibile applicare più liste di sicurezza alle risorse e concedere l'accesso alle porte e agli indirizzi IP di tali risorse. Le modifiche alla VCN possono modificare l'instradamento, la risoluzione del nome FQDN e altre operazioni di networking.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: lista di sicurezza
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando un'istanza di computazione ha un indirizzo IP pubblico.

Suggerimento: considerare attentamente la possibilità di consentire l'accesso a Internet a qualsiasi istanza. Ad esempio, non si desidera consentire accidentalmente l'accesso a Internet a istanze di database riservate.

Background: affinché un'istanza possa essere indirizzata pubblicamente, deve:

• Avere un indirizzo IP pubblico
• Esiste in una subnet VCN (Virtual Computer Network) pubblica
• Essere su una VCN in cui è abilitato un gateway Internet configurato per il traffico in uscita
• Essere in una subnet in cui la lista di sicurezza è configurata per tutti gli indirizzi IP e tutte le porte (0.0.0.0/0)

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: ALTO
• Etichette: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Compute

• Eliminare l'IP pubblico dall'istanza: seguire le istruzioni riportate in Per eliminare un IP pubblico effimero da un'istanza.

Descrizione: avviso quando un'istanza di computazione non viene creata da un'immagine pubblica Oracle.

Suggerimento: assicurarsi che tutte le istanze siano in esecuzione immagini approvate da origini attendibili.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: BASSO
• Etichette: Compute

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando un'istanza è accessibile pubblicamente.

Suggerimento: considerare attentamente la possibilità di consentire l'accesso a Internet a qualsiasi istanza.

Background: affinché un'istanza possa essere indirizzata pubblicamente, deve:

• Avere un indirizzo IP pubblico
• Esiste in una subnet VCN pubblica
• Essere su una VCN in cui è abilitato un gateway Internet configurato per il traffico in uscita
• Essere in una subnet in cui la lista di sicurezza è configurata per tutti gli indirizzi IP e tutte le porte (0.0.0.0/0)

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: CRITICO
• Etichette: Compute

• Gruppi condizionali: filtra gli OCID dell'istanza per tutti quelli che devono avere un indirizzo IP pubblico.

Descrizione: avviso quando un'istanza di computazione in esecuzione viene creata da un'immagine pubblica Oracle.

Suggerimento: assicurarsi che tutte le istanze siano in esecuzione immagini approvate da origini attendibili.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: BASSO
• Etichette: Compute

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando un'istanza di computazione è in esecuzione senza le tag configurate necessarie.

Suggerimento: assicurarsi che le istanze utilizzino le tag richieste.

In background: i tag sono importanti per l'audit e il tracciamento.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configurazione: aggiungere le tag necessarie nella sezione Impostazione input della regola.

  Questi formati sono consentiti nella casella Impostazione input. Separare più voci con le virgole.

  • <namespace>.<definedkey>=<definedValue>
  • <namespace>.<definedKey>
  • <freeformkey>=<freeformValue>
  • <freeformkey>

  Esempi:

  • <namespace>.<definedkey>=<definedValue>
    • Operations.Environment=Production: se la tag della risorsa è impostata sullo spazio di nomi Operations, la chiave definita di Environment e il valore definito di Production, la regola non attiva un problema.
    • Operations.*=*: se la risorsa dispone di uno spazio di nomi Operations impostato da tag, con qualsiasi chiave definita e qualsiasi valore definito, la regola non attiva un problema.
  • <namespace>.<definedkey>
    • Operations.Environment: se una tag della risorsa è impostata sullo spazio di nomi Operations, con una chiave definita Environment e qualsiasi valore definito, la regola non attiva un problema.
  • <freeformKey>
    • Project: se per la risorsa è impostata una tag per la chiave in formato libero Project, la regola non attiva un problema.
  • <freeformKey>=freeformValue
    • Project=APPROVED: se per la risorsa è impostata una tag per la chiave in formato libero Project con valore APPROVED, la regola non attiva un problema.

Descrizione: avviso quando viene rilevato un database per il quale Data Safe non è abilitato.

Suggerimento: assicurarsi che Data Safe sia abilitato per tutti i compartimenti che Cloud Guard sta monitorando e che contengono database. Vedere Per iniziare.

Informazioni di base: Data Safe garantisce la configurazione sicura dei database. Questo servizio dovrebbe essere attivato per monitorare, proteggere e mitigare i rischi all'interno dei tuoi database cloud Oracle.

Parametri della regola:

• Tipo di servizio: Data Safe
• Tipo di risorsa: tenancy
• Livello di rischio: ALTO
• Etichette: sicurezza del database

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando il backup automatico non è abilitato per un database.

Suggerimento: assicurarsi che il backup automatico sia abilitato.

Background: l'abilitazione del backup automatico garantisce che in caso di guasto hardware irreversibile, sia possibile ripristinare il database con una perdita minima di dati,

Parametri della regola:

• Tipo di servizio: database
• Tipo di risorsa: sistema DB
• Livello di rischio: ALTO
• Etichette: database

• Gruppi condizionali: filtrare gli OCID del database per gli OCID di cui non è necessario eseguire automaticamente il backup, ad esempio gli OCID negli ambienti di test per sviluppatori.

Descrizione: avviso quando viene rilevata un'istanza di database non registrata in Data Safe.

Suggerimento: registrare questa istanza di database con Data Safe e configurare le valutazioni per valutare e monitorare la configurazione, controllare le attività degli utenti e mitigare i rischi. Vedere Registrazione del database di destinazione.

Informazioni di base: Data Safe garantisce la configurazione sicura dei database. Tutti i database cloud Questo servizio deve essere attivato per monitorare, proteggere e mitigare i rischi all'interno dei tuoi database cloud Oracle.

Parametri della regola:

• Tipo di servizio: Data Safe
• Tipo di risorsa: tenancy
• Livello di rischio: MEDIO
• Etichette: sicurezza del database

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando una patch del database disponibile non è stata applicata entro il numero di giorni specificato.

Suggerimento: applicare le patch rilasciate al database quando sono disponibili.

Introduzione: le patch del database risolvono i problemi di funzionalità, sicurezza e prestazioni. La maggior parte delle violazioni della sicurezza può essere prevenuta applicando le patch disponibili.

Parametri della regola:

• Tipo di servizio: database
• Tipo di risorsa: sistema DB
• Livello di rischio: MEDIO
• Etichette: database

• Configurazione: impostare Numero di giorni per l'applicazione della patch nella sezione Impostazione input della regola.
• Gruppi condizionali: filtrare gli OCID del database per tutti quelli che non richiedono l'applicazione della patch più recente, ad esempio gli OCID negli ambienti di test degli sviluppatori.

Suggerimento: assicurarsi che il sistema di database non disponga di un indirizzo IP pubblico.

Background: l'uso di un indirizzo IP pubblico per accedere a un database aumenta l'esposizione a potenziali rischi di sicurezza e continuità aziendale.

Parametri della regola:

• Tipo di servizio: database
• Tipo di risorsa: sistema DB
• Livello di rischio: ALTO
• Etichette: database

• Gruppi condizionali: filtrare gli OCID del database per tutti quelli che si suppone siano pubblici.

Descrizione: avviso quando un database è accessibile pubblicamente.

Suggerimento: considerare attentamente la possibilità di consentire l'accesso a Internet a qualsiasi sistema di database.

Background: affinché un database sia accessibile pubblicamente, deve:

• Avere un indirizzo IP pubblico.
• Essere in una subnet VCN pubblica.
• Si trova in una subnet in cui è abilitato un gateway Internet configurato per il traffico in uscita.
• Essere attivo:
  • Una subnet in cui la lista di sicurezza consente il traffico da qualsiasi intervallo CIDR di origine e "Tutti i protocolli" oppure...
  • Essere su un gruppo di sicurezza di rete che consente il traffico da qualsiasi intervallo CIDR di origine e "Tutti i protocolli".

Parametri della regola:

• Tipo di servizio: database
• Tipo di risorsa: ExadataBareMetalVM
• Livello di rischio: CRITICO
• Etichette: database

• Gruppi condizionali: filtrare gli OCID del database per tutti quelli che si suppone siano pubblici.

Descrizione: avviso quando non è stata applicata una patch del sistema di database disponibile.

Suggerimento: applicare le patch rilasciate al sistema di database quando sono disponibili.

In background: le patch del sistema di database spesso includono aggiornamenti che eliminano le vulnerabilità di sicurezza note.

Parametri della regola:

• Tipo di servizio: database
• Tipo di risorsa: sistema DB
• Livello di rischio: MEDIO
• Etichette: database

• Configurazione: impostare Numero di giorni per l'applicazione della patch nella sezione Impostazione input della regola.
• Gruppi condizionali: filtrare gli OCID del sistema di database per tutti quelli che non richiedono l'applicazione della patch più recente, ad esempio gli OCID negli ambienti di test degli sviluppatori.

Descrizione: avviso quando un sistema di database è in esecuzione con una versione non autorizzata.

Suggerimento: assicurarsi che la versione del sistema di database distribuito sia approvata e sottoposta a test.

Informazioni di base: l'esecuzione di versioni non autorizzate dei sistemi di database potrebbe aumentare le possibilità di una violazione della sicurezza, mettendo a rischio la riservatezza, l'integrità e la disponibilità dei dati.

Parametri della regola:

• Tipo di servizio: database
• Tipo di risorsa: sistema DB
• Livello di rischio: CRITICO
• Etichette: database

• Gruppi condizionali: filtrare gli OCID del sistema di database per tutti quelli che non devono avere una versione autorizzata, ad esempio gli OCID negli ambienti di test degli sviluppatori.

Descrizione: avviso quando un database è in esecuzione con una versione non autorizzata.

Suggerimento: assicurarsi che la versione del database distribuito sia approvata e sottoposta a test.

Background: la versione autorizzata di un database contiene le funzioni di sicurezza e le patch di vulnerabilità più recenti. L'esecuzione di versioni non autorizzate di un database potrebbe aumentare le possibilità di una violazione della sicurezza, mettendo a rischio la riservatezza, l'integrità e la disponibilità dei dati.

Parametri della regola:

• Tipo di servizio: database
• Tipo di risorsa: sistema DB
• Livello di rischio: CRITICO
• Etichette: database

• Gruppi condizionali: filtrare gli OCID del database per tutti quelli che non devono avere una versione autorizzata, ad esempio gli OCID negli ambienti di test degli sviluppatori.

Descrizione: avviso quando una coppia di chiavi private/pubbliche IAM assegnata a un utente è troppo vecchia.

Suggerimento: ruotare regolarmente le chiavi API almeno ogni 90 giorni.

Background: la modifica delle chiavi API IAM almeno ogni 90 giorni è una best practice di sicurezza. Più a lungo le credenziali IAM rimangono invariate, maggiore è il rischio che possano essere compromesse.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: IAMKey
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configurazione: (facoltativo) è possibile modificare il valore di 90 giorni nella sezione Impostazione input della regola.

Descrizione: avviso quando i token di autenticazione IAM sono più vecchi del numero massimo di giorni specificato.

Suggerimento: ruotare regolarmente i token di autenticazione IAM, almeno ogni 90 giorni.

Background: la modifica dei token di autenticazione IAM almeno ogni 90 giorni è una best practice di sicurezza. Più a lungo i token di autenticazione IAM rimangono invariati, maggiore è il rischio che possano essere compromessi.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.1_IAM, IAM

• Configurazione: impostare il numero massimo di giorni per i token di autenticazione IAM (90) nella sezione Impostazione input della regola.

Descrizione: avviso quando le chiavi segrete del cliente IAM sono precedenti al numero massimo di giorni specificato.

Suggerimento: ruotare regolarmente le chiavi segrete dei clienti IAM, almeno ogni 90 giorni.

Introduzione: la modifica delle chiavi segrete dei clienti IAM almeno ogni 90 giorni è una best practice di sicurezza. Più a lungo le chiavi segrete dei clienti IAM rimangono invariate, maggiore è il rischio che possano essere compromesse.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.1_IAM, IAM

• Configurazione: impostare il numero massimo di giorni per le chiavi segrete del cliente IAM (90) nella sezione Impostazione input della regola.

Descrizione: avviso quando un gruppo IAM ha meno del numero minimo di membri specificato.

Suggerimento: aumentare il numero di membri del gruppo in modo che sia inferiore al numero minimo di membri specificato.

In background: l'appartenenza al gruppo IAM concede spesso l'accesso a risorse e funzioni. Le appartenenze ai gruppi con un numero eccessivo di membri potrebbero rappresentare privilegi in eccesso "orfani" (non più disponibili per gli utenti).

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: gruppo
• Livello di rischio: BASSO
• Etichette: IAM

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando un gruppo IAM ha più del numero massimo di membri specificato.

Suggerimento: ridurre il numero di membri del gruppo in modo che sia inferiore al numero massimo di membri specificato.

In background: l'appartenenza al gruppo IAM concede spesso l'accesso a risorse e funzioni. Le appartenenze a gruppi con un numero eccessivo di membri potrebbero rappresentare privilegi eccessivamente permissivi concessi a un numero eccessivo di utenti.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: gruppo
• Livello di rischio: MEDIO
• Etichette: IAM

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando la password IAM è precedente al numero massimo di giorni specificato.

Suggerimento: ruotare regolarmente le password IAM almeno ogni 90 giorni.

Background: la modifica delle password IAM almeno ogni 90 giorni è una best practice di sicurezza. Più a lungo le credenziali IAM rimangono invariate, maggiore è il rischio che possano essere compromesse.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configurazione: impostare il numero massimo di giorni per le password (l'impostazione predefinita è 90) nella sezione Impostazione input della regola.

Descrizione: i criteri password non soddisfano i requisiti di complessità.

Suggerimento: Oracle consiglia di includere un criterio password efficace con almeno una lettera minuscola.

Background: Le password complesse sono più difficili da indovinare e possono ridurre le possibilità di accesso non autorizzato o di dati compromessi.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: criterio
• Livello di rischio: BASSO
• Etichette: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando un criterio IAM concede a un utente non membro del gruppo Amministratori l'accesso a un ruolo di amministratore.

Suggerimento: assicurarsi che il criterio sia limitato per consentire solo a utenti specifici di accedere alle risorse necessarie per svolgere le proprie funzioni lavorative.

Background: un criterio è un documento che specifica chi può accedere alle risorse OCI di cui dispone l'azienda e come. Un criterio consente semplicemente a un gruppo di operare secondo modalità specifiche con tipi specifici di risorse in un determinato compartimento.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: criterio
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configurazione: aggiungere gli OCID per qualsiasi gruppo a cui devono essere consentiti questi privilegi nella sezione Impostazione input della regola.

Descrizione: avviso quando il privilegio di amministratore della tenancy viene concesso a un gruppo IAM aggiuntivo.

Suggerimento: verificare con l'amministratore OCI che questa concessione dell'abilitazione sia stata approvata e che l'appartenenza al gruppo rimanga valida dopo la concessione del privilegio di amministratore.

Sfondo: i membri predefiniti del gruppo di amministratori della tenancy possono eseguire qualsiasi azione su tutte le risorse in tale tenancy. Questa abilitazione con privilegi elevati deve essere controllata e limitata solo agli utenti che ne hanno bisogno per svolgere le proprie funzioni lavorative.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: criterio
• Livello di rischio: BASSO
• Etichette: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configurazione: aggiungere gli OCID dei gruppi che devono disporre del privilegio di amministrazione nella sezione Impostazione input della regola.

Descrizione: avviso quando un utente non dispone dell'autenticazione con più fattori (MFA) abilitata.

Suggerimento: abilitare l'autenticazione MFA per tutti gli utenti utilizzando l'applicazione Oracle Mobile Authenticator (OMA) sul dispositivo mobile di ciascun utente e il passcode monouso (OTP) inviato all'indirizzo di posta elettronica registrato dell'utente.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: CRITICO
  Nota
  
  Se la tua organizzazione ha iniziato a utilizzare Cloud Guard prima di aprile 2023, il livello di rischio predefinito è MEDIO.
• Etichette: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando per un utente sono abilitate chiavi API.

Suggerimento: assicurarsi che l'accesso OCI da parte degli amministratori tramite le chiavi API venga eseguito come eccezione. Non creare credenziali IAM con codice fisso direttamente nel software o nei documenti per un vasto pubblico.

Background: le chiavi API IAM sono credenziali utilizzate per concedere l'accesso programmatico alle risorse. Gli utenti umani effettivi non dovrebbero usare le chiavi API.

Parametri della regola:

• Tipo di servizio: IAM
• Tipo di risorsa: utente
• Livello di rischio: BASSO
• Etichette: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando una chiave KMS non è stata ruotata entro il periodo di tempo specificato.

Suggerimento: assicurarsi di ruotare regolarmente le chiavi KMS.

Sfondo: per la sicurezza delle informazioni, è necessario modificare o ruotare periodicamente password, chiavi e materiali crittografici. La rotazione delle chiavi in KMS riduce l'impatto e la probabilità di compromissione delle chiavi. Imposta il minimo. È possibile modificare l'ora predefinita per la rotazione delle chiavi da 180 giorni nella sezione Impostazione input della regola.

Parametri della regola:

• Tipo di servizio: KMS
• Tipo di risorsa: chiave KMS
• Livello di rischio: CRITICO
• Etichette: CIS_OCI_V1.1_MONITORING, KMS

• Configurazione: impostare l'ora predefinita per la rotazione delle chiavi nella sezione Impostazione input della regola.

Descrizione: avviso quando una risorsa non è contrassegnata in conformità con i requisiti di applicazione tag specificati.

Suggerimento: verificare che le tag configurate siano in uso per le immagini di computazione, le istanze di computazione, i sistemi di database, le reti VCN, lo storage degli oggetti e i volumi a blocchi di storage.

Background (sfondo): verifica che le tag configurate siano in uso per immagini di computazione, istanze di computazione, sistemi di database, VCN, storage degli oggetti e volumi a blocchi di storage.

Parametri della regola:

• Tipo di servizio: multiplo
• Tipo di risorsa: multiplo
• Livello di rischio: BASSO
• Etichette: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configurazione: aggiungere i tag appropriati nella sezione Impostazione input della regola.

Descrizione: avviso quando un load balancer dispone di una suite di cifratura configurata che è oci-wider-compatible-ssl-cipher-suite-v1. Questa suite di cifratura include algoritmi quali DES e RC4, considerati deboli e soggetti ad attacchi. Applicabile solo alle suite di cifratura predefinite e non ai valori delle suite di cifratura personalizzate.

Facoltativamente, utilizzare le condizioni per specificare suite di cifratura aggiuntive da contrassegnare.

Per utilizzare cifrature aggiuntive:

1. Modificare la regola del rilevatore Il load balancer consente suite di cifratura deboli.
2. In Impostazione di input immettere le cifrature aggiuntive come lista separata da virgole in Lista cifrature deboli LB.
   • Se l'impostazione di input è vuota (impostazione predefinita), l'opzione oci-wider-compatible-ssl-cipher-suite-v1 viene selezionata e contrassegnata.
   • Quando l'impostazione di input contiene voci, vengono controllate le cifrature aggiuntive e oci-wider-compatible-ssl-cipher-suite-v1.
   Le cifrature aggiuntive sono le seguenti:

   • oci-compatible-ssl-cipher-suite-v1
   • oci-default-ssl-cipher-suite-v1
   • oci-modern-ssl-cipher-suite-v1
   • oci-tls-11-12-13-wider-ssl-cipher-suite-v1
   • oci-tls-12-13-wider-ssl-cipher-suite-v1

Suggerimento: utilizzare suite di cifratura moderne e predefinite che supportano una cifratura più efficace.

Background: alcune versioni delle suite di cifratura con algoritmi come DES non sono consigliate.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: load balancer
• Livello di rischio: MEDIO
• Etichette: rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando un load balancer dispone di un protocollo configurato come parte del relativo criterio SSL che include qualsiasi versione precedente a TLS (Transport Layer Security) 1.2.

Suggerimento: assicurarsi che la versione del criterio SSL configurata sia almeno TLS 1.2.

In background: le versioni precedenti sono rischiose e vulnerabili a molti tipi di attacchi. Diversi standard, come PCI-DSS e NIST, incoraggiano fortemente l'uso di TLS 1.2.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: load balancer
• Livello di rischio: ALTO
• Etichette: rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando a un load balancer non sono associati set backend.

Suggerimento: assicurarsi di configurare i load balancer con set backend per controllare lo stato e l'accesso a un load balancer in base alle istanze definite.

Background: un set backend è un'entità logica definita da un criterio di bilanciamento del carico, da un criterio di controllo dello stato e da un elenco di server backend.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: load balancer
• Livello di rischio: CRITICO
• Etichette: rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando una lista di sicurezza di un load balancer contiene regole di entrata che accettano il traffico da un'applicazione open source (0.0.0.0/0).

Suggerimento: assicurarsi che i load balancer OCI utilizzino regole o listener in entrata per consentire l'accesso solo da risorse note.

Background: i load balancer OCI abilitano connessioni TLS end-to-end tra le applicazioni di un client e la tua VCN. Un listener è un'entità logica che rileva la presenza di traffico in entrata sull'indirizzo IP del load balancer. Per gestire il traffico TCP, HTTP e HTTPS, è necessario configurare almeno un listener per tipo di traffico.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: load balancer
• Livello di rischio: MINOR
• Etichette: rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando un load balancer è in esecuzione con un indirizzo IP pubblico.

Suggerimento: assicurarsi che tutti i load balancer che non devono essere accessibili pubblicamente siano in esecuzione con indirizzi IP privati.

Background: un indirizzo IP pubblico su un load balancer che non è destinato a essere utilizzato per contenuti disponibili pubblicamente crea una vulnerabilità di sicurezza non necessaria.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: load balancer
• Livello di rischio: alto
• Etichette: rete

• Gruppi condizionali: filtra gli OCID per qualsiasi load balancer che deve avere un indirizzo IP pubblico.

Descrizione: avviso quando il certificato SSL in un load balancer è impostato per scadere entro il periodo di tempo specificato.

Suggerimento: assicurarsi che i certificati vengano ruotati in modo tempestivo.

Background: per garantire sicurezza e usabilità continue, i certificati SSL devono essere ruotati in OCI.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: load balancer
• Livello di rischio: CRITICO
• Etichette: rete

• Configurazione: impostare Giorni prima della scadenza (l'impostazione predefinita è 48) nella sezione Impostazione input della regola.

Descrizione: avviso quando la regola di uscita per un gruppo di sicurezza di rete (NSG) contiene un indirizzo IP e un numero di porta di destinazione non consentiti.

Suggerimento: assicurarsi che le regole di uscita per la comunicazione con l'IP/porta siano consentite per questo gruppo NSG.

Background: i gruppi NSG fungono da firewall virtuale per le istanze di computazione e altri tipi di risorse. Le regole di sicurezza in uscita (uscita) di NSG si applicano a un set di NIC virtuali in una VCN per consentire l'accesso a porte e indirizzi IP specifici.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: gruppo di sicurezza di rete
• Livello di rischio: MEDIO
• Etichette: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Rete

• Configurazione: aggiungere porte non consentite nella sezione Impostazioni di input della regola.

Descrizione: avviso quando la regola di entrata per un gruppo di sicurezza di rete contiene un indirizzo IP di destinazione e un numero di porta non consentiti.

Suggerimento: assicurarsi che le regole di entrata per la comunicazione con l'IP/porta siano consentite per questo gruppo NSG.

Background: i gruppi NSG fungono da firewall virtuale per le istanze di computazione e altri tipi di risorse. Le regole di sicurezza in entrata (ingress) dei gruppi NSG si applicano a un set di NIC virtuali in una VCN per consentire l'accesso a porte e indirizzi IP specifici.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: gruppo di sicurezza di rete
• Livello di rischio: ALTO
• Etichette: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Rete

• Configurazione: aggiungere porte non consentite nella sezione Impostazioni di input della regola.

Descrizione: avviso quando una VCN è collegata a un gateway Internet.

Suggerimento: assicurarsi che i gateway Internet siano autorizzati a essere collegati a una VCN e che questo allegato non esponga le risorse a Internet. Assicurarsi che le liste di sicurezza con regole in entrata/in entrata e tali liste di sicurezza non siano configurate per consentire l'accesso da tutti gli indirizzi IP 0.0.0.0/0.

Background: i gateway forniscono connettività esterna agli host di una VCN. Includono il gateway Internet (IGW) per la connettività Internet.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: VCN
• Livello di rischio: BASSO
• Etichette: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando una VCN è collegata a un gateway di peering locale.

Suggerimento: assicurarsi che i gateway di peering locali siano autorizzati a essere collegati a una VCN e che questo collegamento non esponga le risorse a Internet.

Background: i gateway forniscono connettività esterna agli host di una VCN. Includono il Local Peering Gateway (LPG) per la connettività alla VCN gestita in peering.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: VCN
• Livello di rischio: BASSO
• Etichette: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando una VCN non dispone di una lista di sicurezza in entrata.

Suggerimento: assicurarsi che le liste di sicurezza d'uso della VCN OCI con regole in entrata o in entrata consentano l'accesso solo da risorse note.

Background: gli elenchi di sicurezza forniscono funzionalità firewall con conservazione dello stato e senza conservazione dello stato per controllare l'accesso di rete alle istanze. Una lista di sicurezza viene configurata a livello di subnet e applicata a livello di istanza. È possibile applicare più liste di sicurezza a una subnet in cui è consentito un pacchetto di rete, se corrisponde a una regola qualsiasi nelle liste di sicurezza.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: VCN
• Livello di rischio: MEDIO
• Etichette: rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando una lista di sicurezza VCN consente il traffico illimitato verso una porta non pubblica da un open source (0.0.0.0/0).

Suggerimento: utilizzare le liste di sicurezza VCN per limitare l'accesso di rete alle istanze in una subnet. Per evitare accessi non autorizzati o attacchi alle istanze di computazione, Oracle consiglia di effettuare le operazioni riportate di seguito.

• Utilizzare una lista di sicurezza VCN per consentire l'accesso SSH o RDP solo dai blocchi CIDR autorizzati
• Non lasciare le istanze di computazione aperte su Internet (0.0.0.0/0)

Sfondo: una VCN dispone di una raccolta di funzioni per applicare il controllo dell'accesso di rete e proteggere il traffico della VCN. Gli elenchi di sicurezza forniscono funzionalità firewall con conservazione dello stato e senza conservazione dello stato per controllare l'accesso di rete alle istanze. Una lista di sicurezza viene configurata a livello di subnet e applicata a livello di istanza. È possibile applicare più liste di sicurezza a una subnet in cui è consentito un pacchetto di rete, se corrisponde a una regola qualsiasi nelle liste di sicurezza.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: VCN
• Livello di rischio: CRITICO
• Etichette: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Rete

• Lasciare le impostazioni predefinite.

Descrizione: avviso quando una lista di sicurezza VCN consente determinate porte limitate (vedere Impostazioni di input, Protocollo limitato: Lista di porte) come parte della regola di entrata della lista di sicurezza.

Suggerimento: assicurarsi che le reti VCN OCI utilizzino liste di sicurezza che non includono una porta elencata nell'impostazione "Protocollo limitato: lista di porte" nell'impostazione di input di questa regola del rilevatore con qualsiasi regola in entrata o in entrata. La sezione Dettagli aggiuntivi di un problema elenca le porte limitate aperte specifiche che hanno attivato questo problema.

Background: gli elenchi di sicurezza forniscono funzionalità firewall con conservazione dello stato e senza conservazione dello stato per controllare l'accesso di rete alle istanze. Una lista di sicurezza viene configurata a livello di subnet e applicata a livello di istanza. È possibile applicare più liste di sicurezza a una subnet in cui è consentito un pacchetto di rete, se corrisponde a una regola qualsiasi nelle liste di sicurezza.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: VCN
• Livello di rischio: MINOR
• Etichette: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Rete

• Configurazione:
  • Modificare Protocollo limitato: lista di porte in base alle esigenze nella sezione Impostazione input della regola.

  È possibile immettere manualmente gli elenchi di porte oppure i nomi di uno o più elenchi di sicurezza definiti. Vedere Elenchi di sicurezza.

Descrizione: avviso quando una scheda di interfaccia di rete virtuale (VNIC) non è associata (NSG).

Suggerimento: assicurarsi che a tutte le VNIC sia associato un gruppo NSG.

Background: una VNIC è un componente di rete che consente a una risorsa, ad esempio un'istanza di computazione, di connettersi a una VCN. La VNIC determina il modo in cui l'istanza si connette agli endpoint all'interno e all'esterno della VCN. Ogni VNIC risiede nella subnet di una VCN. Una VNIC senza un gruppo NSG potrebbe attivare un problema di connettività.

Parametri della regola:

• Tipo di servizio: networking
• Tipo di risorsa: VCN
• Livello di rischio: MINOR
• Etichette: rete

• Configurazione: nella sezione Impostazione input della regola, modificare il protocollo con limitazioni: lista delle porte in base alle esigenze.

Descrizione: avviso quando Oracle Vulnerability Scanning Service (VSS) esegue la scansione dei container e identifica le vulnerabilità di sicurezza informatica note. Per utilizzare questa regola, è necessario creare una ricetta di scansione host e una destinazione di scansione host nel servizio di scansione. Vedere Scanning: Getting Started nella documentazione di Scanning.

Suggerimento: eseguire le azioni consigliate documentate per ogni vulnerabilità, ad esempio l'applicazione di una patch del sistema operativo.

Background: il servizio di scansione identifica le vulnerabilità di applicazioni, librerie, sistemi operativi e servizi. Ogni vulnerabilità nel database ha un identificativo distinto o un CVE.

Parametri della regola:

• Tipo di servizio: scansione, computazione
• Tipo di risorsa: contenitore
• Livello di rischio: CRITICO
• Etichette: VSS

• Lasciare le impostazioni predefinite (tutti i CVE vengono rilevati)

Descrizione: avviso quando Oracle Vulnerability Scanning Service (VSS) esegue la scansione delle istanze di computazione (host) e identifica le porte aperte. Per utilizzare questa regola, è necessario creare una ricetta di scansione host e una destinazione di scansione host nel servizio di scansione. Vedere Scanning: Getting Started nella documentazione di Scanning.

Suggerimento: controllare se le porte identificate devono essere aperte su questo host e chiuderle se non è necessario aprirle. Se tutte le porte aperte sono corrette, assicurarsi che l'elenco delle porte consentite contenga tutti i numeri di porta aperti. Inoltre, assicurarsi che l'elenco delle porte non consentite non contenga alcun numero di porta aperta.

Background (sfondo): per il funzionamento e la fornitura dei servizi sono necessarie alcune porte, ma per sfruttare i servizi è possibile utilizzare potenzialmente qualsiasi porta aperta oltre l'elenco previsto.

Parametri della regola:

• Tipo di servizio: scansione, computazione
• Tipo di risorsa: Compute
• Livello di rischio: CRITICO
• Etichette: VSS

• Configurazione: aggiungere tutte le porte da ignorare alla lista Porte consentite nella sezione Impostazione input della regola.
  Nota
  
  

  Se si aggiunge lo stesso numero di porta sia alla lista Porte consentite che alla lista Porte non consentite nella sezione Impostazioni di input della regola, la lista Porte non consentite ha la precedenza; un problema viene comunque attivato quando Cloud Guard trova la porta aperta.

Descrizione: avviso quando Oracle Vulnerability Scanning Service (VSS) esegue la scansione delle istanze di computazione (host) e identifica le vulnerabilità di sicurezza informatica note. Per utilizzare questa regola, è necessario creare una ricetta di scansione host e una destinazione di scansione host nel servizio di scansione. Vedere Scanning: Getting Started nella documentazione di Scanning.

Suggerimento: eseguire le azioni consigliate documentate per ogni vulnerabilità, ad esempio l'applicazione di una patch del sistema operativo.

Background: il servizio di scansione identifica le vulnerabilità di applicazioni, librerie, sistemi operativi e servizi. Ogni vulnerabilità nel database ha un identificativo distinto o un CVE.

Parametri della regola:

• Tipo di servizio: scansione, computazione
• Tipo di risorsa: Compute
• Livello di rischio: CRITICO
• Etichette: VSS

• Lasciare le impostazioni predefinite (tutti i CVE vengono rilevati)

Descrizione: avviso quando un volume a blocchi viene cifrato con chiavi gestite da Oracle.

Suggerimento: assegnare una chiave KMS a questo volume.

Background: la cifratura dei volumi offre un ulteriore livello di sicurezza ai tuoi dati. La gestione delle chiavi di cifratura è fondamentale per proteggere e accedere ai dati protetti. Alcuni clienti desiderano identificare le chiavi gestite da Oracle cifrate dei volumi a blocchi rispetto alle chiavi gestite dall'utente.

Parametri della regola:

• Tipo di servizio: Storage
• Tipo di risorsa: volume a blocchi
• Livello di rischio: MINOR
• Etichette: KMS

• Chiavi gestite da Oracle: consigliato per proteggere i volumi a blocchi.
• Chiavi gestite dall'utente:
  • Utilizzare KMS dove possibile.
  • Implementare Oracle Security Zones sui compartimenti per assicurarsi che venga seguita la procedura.
• Gruppi condizionali: evitare di utilizzarli a causa dell'elevato numero di volumi.

Descrizione: avviso quando un volume a blocchi non è collegato alla relativa istanza associata.

Suggerimento: assicurarsi che il volume sia collegato.

Parametri della regola:

• Tipo di servizio: Storage
• Tipo di risorsa: volume a blocchi
• Livello di rischio: MEDIO
• Etichette: storage

• Gruppi condizionali: evitare di utilizzarli a causa di un numero elevato di volumi.

Descrizione: avviso quando un bucket è pubblico.

Suggerimento: assicurarsi che il bucket sia autorizzato per l'accesso pubblico e, in caso contrario, sollecitare l'amministratore OCI a limitare i criteri bucket per consentire solo a utenti specifici di accedere alle risorse necessarie per svolgere le proprie mansioni lavorative.

Background: lo storage degli oggetti supporta l'accesso anonimo e non autenticato a un bucket. Un bucket pubblico con accesso in lettura abilitato per gli utenti anonimi consente a chiunque di ottenere i metadati degli oggetti, scaricare oggetti bucket e facoltativamente elencare il contenuto del bucket.

Parametri della regola:

• Tipo di servizio: Storage
• Tipo di risorsa: periodo fisso
• Livello di rischio: CRITICO
• Etichette: CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Gruppi condizionali: filtrare i nomi dei bucket (<namespace>/<name>) per quelli che dovrebbero essere pubblici.

Descrizione: avviso quando un bucket di storage degli oggetti viene cifrato con una chiave gestita da Oracle.

Suggerimento: assegnare una chiave vault a questo bucket.

Background: la cifratura dei bucket di storage offre un ulteriore livello di sicurezza ai tuoi dati. La gestione delle chiavi di cifratura è fondamentale per proteggere e accedere ai dati protetti. Alcuni clienti desiderano identificare i bucket di storage con chiavi gestite da Oracle cifrate.

Parametri della regola:

• Tipo di servizio: Storage
• Tipo di risorsa: periodo fisso
• Livello di rischio: MINOR
• Etichette: CIS_OCI_V1.1_ObjectStorage, ObjectStorage, KMS

• Configurazione: questa regola è disabilitata per impostazione predefinita nel rilevatore di configurazione OCI, poiché potrebbe generare problemi che potrebbero non essere critici per molti operatori Cloud Guard. Se si abilita questa regola, assicurarsi di impostare attentamente i gruppi condizionali in modo che vengano indirizzati solo i bucket specifici che NON si desidera cifrare con una chiave gestita da Oracle. Se hai bisogno di un controllo rigoroso delle chiavi utilizzando chiavi gestite dall'utente tramite Vault, crea un compartimento della zona di sicurezza Oracle e crea risorse in tale compartimento.

Descrizione: avviso quando i log di accesso in lettura non sono abilitati per un bucket di storage degli oggetti.

Suggerimento: assicurarsi che i log di lettura siano abilitati per il bucket e che i log vengano monitorati in modo continuo dagli strumenti di sicurezza.

Sfondo: i log degli accessi consentono di proteggere gli oggetti riservati offrendo visibilità sulle attività relative alle operazioni di lettura e scrittura sugli oggetti all'interno del bucket di storage degli oggetti.

Parametri della regola:

• Tipo di servizio: Storage
• Tipo di risorsa: periodo fisso
• Livello di rischio: BASSO
• Etichette: CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configurazione: questa regola è disabilitata per impostazione predefinita in OCI Configuration Detector e non può essere abilitata in tale posizione. Abilita questa regola:
  1. Duplicazione del rilevatore di configurazione OCI. Vedere Duplicazione di una ricetta del rilevatore OCI.
  2. Abilita la regola nella copia gestita dall'utente (clonata) del rilevatore di configurazione OCI. Vedere Modifica delle impostazioni delle regole in una ricetta del rilevatore OCI.
  3. Collegare la copia gestita dall'utente (clonata) del rilevatore di configurazione OCI a tutte le destinazioni in cui si desidera abilitare la regola. Vedere Modifica di una destinazione OCI e delle relative ricette collegate.

Descrizione: avviso quando i log di accesso in scrittura non sono abilitati per un bucket di storage degli oggetti.

Suggerimento: assicurarsi che i log di scrittura siano abilitati per il bucket e che i log vengano monitorati in modo continuo dagli strumenti di sicurezza.

Sfondo: i log degli accessi consentono di proteggere gli oggetti riservati offrendo visibilità sulle attività relative alle operazioni di lettura e scrittura sugli oggetti all'interno del bucket di storage degli oggetti.

Parametri della regola:

• Tipo di servizio: Storage
• Tipo di risorsa: periodo fisso
• Livello di rischio: BASSO
• Etichette: CIS_OCI_V1.1_MONITORING, CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configurazione: questa regola è disabilitata per impostazione predefinita in OCI Configuration Detector e non può essere abilitata in tale posizione. Abilita questa regola:
  1. Duplicazione del rilevatore di configurazione OCI. Vedere Duplicazione di una ricetta del rilevatore OCI.
  2. Abilita la regola nella copia gestita dall'utente (clonata) del rilevatore di configurazione OCI. Vedere Modifica delle impostazioni delle regole in una ricetta del rilevatore OCI.
  3. Collegare la copia gestita dall'utente (clonata) del rilevatore di configurazione OCI a tutte le destinazioni in cui si desidera abilitare la regola. Vedere s.

Questa regola è presente nella ricetta di OCI Instance Security Detector - Enterprise (gestita da Oracle).

SO: Linux/Windows

Descrizione: rileva quando la sicurezza dell'istanza non è installata o non è in esecuzione come previsto. Ad esempio:

InstanceOCID: <redacted>, currently in active state. The agent was last detected on 2024-03-19 21:11:27.41, more than 24 hours ago

Suggerimento: sono disponibili alcuni motivi per cui è possibile ricevere questo avviso:

• Se l'host di computazione è inattivo e l'agente della sicurezza dell'istanza non è in grado di raggiungere l'host per più di 24 ore. Esaminare l'host di computazione per verificare se si è verificato il problema.
• Se i criteri di sicurezza dell'istanza non sono corretti. Verificare che tutti i criteri siano stati aggiunti.
• Se la versione più recente della sicurezza dell'istanza non è presente. L'agente Oracle Cloud (OCA) aggiorna automaticamente l'agente di sicurezza dell'istanza su un host, quindi se ciò non si è verificato, controllare quanto riportato di seguito.

  In Linux:

  1. L'agente Oracle Cloud (OCA) è abilitato e in esecuzione nell'istanza.

     sudo systemctl status oracle-cloud-agent.service

  2. Controllare se il plugin di sicurezza dell'istanza è in esecuzione. È responsabile della gestione del ciclo di vita dell'agente di sicurezza dell'istanza. Se il plugin di sicurezza dell'istanza è in esecuzione, ma si verifica questo problema, è possibile che si sia verificato un problema con l'agente di sicurezza dell'istanza oppure che il plugin riceva un errore 4xx e l'agente non sia installato o non sia in esecuzione.

     pgrep oci-wlp

  3. Controllare se il plugin di sicurezza dell'istanza sta ricevendo un errore 404 nel log.

     sudo vim /var/log/oracle-cloud-agent/plugins/oci-wlp/oci-wlp.log

  4. Verificare che l'agente di sicurezza dell'istanza sia in esecuzione nell'istanza.

     sudo systemctl status wlp-agent-osqueryd.service

     Se l'output del comando contiene errori, provare a riavviare il servizio.

     sudo systemctl restart wlp-agent-osqueryd.service

  In Windows:

  1. Verificare che il plugin di sicurezza dell'istanza sia abilitato nell'agente Oracle Cloud (OCA) per l'istanza.
     1. Andare a Menu di avvio > Strumenti di amministrazione di Windows > Servizi.
     2. Controllare lo stato della protezione del carico di lavoro di Oracle Cloud Agent Cloud Guard. Dovrebbe dimostrare che è in esecuzione.
     3. In caso di arresto, selezionare con il pulsante destro del mouse e scegliere Avvia.
  2. Verificare se l'agente di sicurezza dell'istanza è in esecuzione nell'istanza.
     1. Andare a Menu di avvio > Strumenti di amministrazione di Windows > Servizi.
     2. Controllare lo stato del servizio wlp-agent. Dovrebbe dimostrare che è in esecuzione.
     3. In caso di arresto, selezionare con il pulsante destro del mouse e scegliere Avvia.

Una volta trovato il problema e risolto, consentire 24 ore per questo problema di andare via. Se la vedi ancora dopo 24 ore e hai ricontrollato i passaggi precedenti, contatta il Supporto Oracle.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: ALTO
• Etichette: sicurezza istanza

Questa regola è presente nella ricetta di OCI Instance Security Detector - Enterprise (gestita da Oracle).

SO: finestre

Descrizione: WMI è l'infrastruttura per i dati di gestione e le operazioni sui sistemi operativi basati su Windows. Si tratta di un processo a livello di servizio utilizzato per eseguire script e può essere utilizzato per avviare terminali di script o per tentare di scaricare un payload.

Suggerimento: monitorare gli oggetti WMI appena costruiti che potrebbero stabilire la persistenza e/o elevare i privilegi utilizzando i meccanismi di sistema.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: ALTO
• Etichette: MITRE_T1546

Questa regola è presente nella ricetta di OCI Instance Security Detector - Enterprise (gestita da Oracle).

SO: finestre

Descrizione: rileva la potenziale disabilitazione delle funzioni di sicurezza di Windows. Avvisa se i servizi Windows Defender (windefend), Windows Firewall) mpssvc e Windows Security Service (wscvcs) non sono in esecuzione. Ad esempio:

Windows security service in stopped state: windefend

Suggerimento: la disabilitazione della regola di sicurezza di Windows può mettere a rischio le risorse. Valutare i rischi e riattivare le regole applicabili.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: ALTO
• Etichette: MITRE_T1562.001

Questa regola è presente nella ricetta di OCI Instance Security Detector - Enterprise (gestita da Oracle).

SO: finestre

Descrizione: può indicare l'irrorazione di password su account Windows, ovvero l'uso ripetuto della stessa password su più account.

Suggerimento: determinare se l'account utente in questione è l'utente effettivo che sta tentando di eseguire il login.

Utilizza autenticazione con più fattori. Se possibile, abilitare l'autenticazione con più fattori nei servizi rivolti all'esterno. Impostare i criteri per bloccare gli account dopo un determinato numero di tentativi di login non riusciti per evitare che le password vengano indovinate.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: ALTO
• Etichette: MITRE_T1110

Questa regola è presente nella ricetta di OCI Instance Security Detector - Enterprise (gestita da Oracle).

SO: Linux

Descrizione: è comune che gli attori delle minacce carichino una shell Web nei servizi HTTP. Cerca i socket aperti nei servizi HTTP comuni come Apache.

Suggerimento: verificare con il proprietario del sistema se il percorso del server Web deve disporre di un file con una porta del server in ascolto.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: MEDIO
• Etichette: MITRE_T1505.003

Questa regola è presente nella ricetta di OCI Instance Security Detector - Enterprise (gestita da Oracle).

SO: Linux

Descrizione: restituisce le possibili shell inverse nei processi di sistema. Ad esempio:

Possible reverse shell on system process (pid | path | remote_address | remote_port): 10129 | /usr/bin/bash | | 0, 10164 | /usr/bin/bash | | 0]

Suggerimento: raccogliere la lista degli IP che si connettono alla shell inversa e determinare se l'IP si trova in una lista di reputazione errata. Verificare se esistono altri processi associati al PID shell inversa.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: ALTO
• Etichette: MITRE_T1505.003

Questa regola è presente nella ricetta di OCI Instance Security Detector - Enterprise (gestita da Oracle).

SO: finestre

Descrizione: tentativi di esecuzione del malware dallo spazio dei privilegi utente. In questa query la stiamo limitando allo spazio temporaneo e osservando la riga di comando per gli strumenti comuni utilizzati per lateralmente/riconoscere l'ambiente.

Suggerimento: esaminare il file binario per determinare se si tratta di un'esecuzione legittima. Valutare la possibilità di isolare l'istanza per ulteriori indagini.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: ALTO
• Etichette: MITRE_T1059

Questa regola è presente nella ricetta di OCI Instance Security Detector - Enterprise (gestita da Oracle).

SO: finestre

Descrizione: rileva i processi che tentano di mascherarsi come processi Windows legittimi tramite percorsi errati. Ad esempio:

Process masquerading as legitimate windows process explorer.exe at path(s): c:\users\opc\downloads\new folder\explorer\bin\debug\explorer.exe

Suggerimento: raccogliere l'hash del file e determinare se si tratta di un file binario errato noto. Determinare se il file binario mascherato sta tentando di chiamare o eseguire altri file sul sistema.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: ALTO
• Etichette: MITRE_T1574.009

Questa regola è presente nelle ricette seguenti:

SO: Linux/Windows

• Ricetta del rilevatore di sicurezza dell'istanza OCI - Enterprise (gestita da Oracle)
• Ricetta del rilevatore di sicurezza dell'istanza OCI (gestita da Oracle)

Descrizione: rileva i processi che ascoltano le connessioni di rete. Ad esempio:

Disallowed open ports: {"scannedIps":[{"hostIp":"127.0.0.53","ports":[{"port":"53","type":null,"process":"systemd-resolve : /lib/systemd/systemd-resolved","family":"ipv4","protocol":"tcp"}

Suggerimento: controllare se queste porte devono essere aperte su questo host e chiuderle se non è necessario che siano aperte.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: CRITICO
• Etichette: MITRE_T1505.003

Questa regola è presente nella ricetta di OCI Instance Security Detector - Enterprise (gestita da Oracle).

SO: finestre

Descrizione: ricerca di Putty in modalità di ascolto per creare un tunnel SSH.

Suggerimento: raccogliere la lista degli indirizzi IP che si connettono al processo Putty e analizzare quelli che sembrano sospetti.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: ALTO
• Etichette: MITRE_T1572

Questa regola è presente nelle ricette seguenti:

SO: Linux

• Ricetta del rilevatore di sicurezza dell'istanza OCI - Enterprise (gestita da Oracle)
• Ricetta del rilevatore di sicurezza dell'istanza OCI (gestita da Oracle)

Descrizione: esegue la scansione delle istanze di computazione per identificare le vulnerabilità note della sicurezza informatica relative ad applicazioni, librerie, sistemi operativi e servizi. Questo rilevatore segnala problemi quando il servizio rileva che un'istanza presenta una o più vulnerabilità al livello di severità CVE configurato o superiore. Le vulnerabilità con livello di severità CVE inferiore al livello selezionato non avranno un problema Cloud Guard creato, ma si rifletteranno come parte dei problemi aggregati visualizzati nella pagina Risorse Cloud Guard.

Suggerimento: esaminare le vulnerabilità trovate e assegnare loro la priorità. Adotta misure correttive o di mitigazione appropriate per la vulnerabilità.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: CRITICO
• Etichette: sicurezza istanza

Questa regola è presente nella ricetta di OCI Instance Security Detector - Enterprise (gestita da Oracle).

SO: Linux

Descrizione: ricerca di Putty in modalità di ascolto per creare un tunnel SSH per un comando del terminale integrato Linux.

Suggerimento: raccogliere la lista degli indirizzi IP che si connettono al processo Putty e analizzare quelli che sembrano sospetti.

Se possibile, consentire l'esecuzione solo degli script firmati. Se necessario, utilizzare il controllo dell'applicazione.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: ALTO
• Etichette: MITRE_T1572

Questa regola è presente nella ricetta di OCI Instance Security Detector - Enterprise (gestita da Oracle).

SO: Linux

Descrizione: il malware può utilizzare i job cron in esecuzione in una pianificazione periodica per verificare la presenza di backdoor.

Suggerimento: esaminare il file binario per determinare se si tratta di un'esecuzione legittima. Valutare la possibilità di isolare l'istanza per ulteriori indagini.

Se possibile, consentire l'esecuzione solo degli script firmati. Se necessario, utilizzare il controllo dell'applicazione.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: MEDIO
• Etichette: MITRE_T1547

Questa regola è presente nella ricetta di OCI Instance Security Detector - Enterprise (gestita da Oracle).

SO: finestre

Descrizione: il malware può utilizzare un task pianificato in esecuzione dalla cartella temporanea per eseguire di nuovo una backdoor al riavvio.

Suggerimento: esaminare il file binario per determinare se si tratta di un'esecuzione legittima. Valutare la possibilità di isolare l'istanza per ulteriori indagini.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: ALTO
• Etichette: MITRE_T1053

Questa regola è presente nella ricetta di OCI Instance Security Detector - Enterprise (gestita da Oracle).

SO: finestre

Descrizione: questo rilevamento cerca i servizi Windows sospetti in esecuzione dalla cartella temporanea, che può essere un meccanismo comune utilizzato dal malware per garantire che la backdoor venga eseguita in base a una pianificazione periodica.

Suggerimento: esaminare il file binario per determinare se si tratta di un'esecuzione legittima. Valutare la possibilità di isolare l'istanza per ulteriori indagini.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: ALTO
• Etichette: MITRE_T1547

Questa regola è presente nella ricetta di OCI Instance Security Detector - Enterprise (gestita da Oracle).

SO: finestre

Descrizione: il malware può utilizzare un avvio che esegue di nuovo una backdoor al riavvio.

Suggerimento: esaminare il file binario per determinare se si tratta di un'esecuzione legittima. Valutare la possibilità di isolare l'istanza per ulteriori indagini.

Parametri della regola:

• Tipo di servizio: Compute
• Tipo di risorsa: istanza
• Livello di rischio: MEDIO
• Etichette: MITRE_T1547

Descrizione: avviso quando un utente ha eseguito attività che generano un punteggio di rischio superiore alla soglia del problema, che potrebbe indicare un account compromesso o una minaccia interna. Gli avversari possono utilizzare tecniche di forza bruta per ottenere l'accesso agli account quando le password sono sconosciute. Gli utenti potrebbero abusare dei privilegi assegnati ed eseguire task ben oltre i requisiti aziendali, il che può essere dannoso per l'organizzazione.

Suggerimento: considerare la possibilità di disabilitare temporaneamente l'account durante l'analisi dell'attività e richiedere la reimpostazione della password se l'utente non riconosce l'attività.

In background: il punteggio di rischio di un utente che supera la soglia del problema potrebbe indicare un account compromesso o un dipendente scontento.

Parametri regola: questa regola non dispone di parametri modificabili.

• Lasciare le impostazioni predefinite.