Introduzione a Cloud Guard

Rivedere i concetti di Oracle Cloud Guard, assicurarsi di soddisfare i prerequisiti, abilitare inizialmente Cloud Guard e quindi accedere regolarmente a Cloud Guard.

Pianificazione per Cloud Guard

Trascorrere un po' di tempo a pianificare il mapping della funzionalità Cloud Guard nell'ambiente in uso, prima di abilitare e configurare Cloud Guard, potrebbe farti risparmiare tempo dopo.

Puoi abilitare Cloud Guard e iniziare a monitorare immediatamente l'ambiente. È sufficiente specificare una singola destinazione mappata al compartimento di livello superiore nella diramazione di Oracle Cloud Infrastructure che si desidera monitorare. Successivamente, nel tempo, puoi personalizzare la configurazione di Cloud Guard in base alla tua esperienza nell'elaborazione dei problemi rilevati da Cloud Guard. Puoi personalizzare continuamente la configurazione di Cloud Guard per ottimizzare le prestazioni verso un obiettivo in due parti:

Non lasciare che nulla che rappresenti un potenziale rischio per la sicurezza venga inosservato.
Non rilevare falsi positivi "troppo" - problemi che in realtà non rappresentano potenziali rischi per la sicurezza.

Se fai una certa pianificazione, potresti essere in grado di avere un vantaggio su questo obiettivo in due parti. Tutto ciò che devi fare è esaminare come le risorse nella tua tenancy Oracle Cloud Infrastructure sono organizzate in compartimenti.

Sondaggio sull'ambiente

Esaminare i tipi di risorse memorizzate in diverse parti della gerarchia dei compartimenti nella tenancy Oracle Cloud Infrastructure. Ci sono gruppi di risorse in diverse parti di tale gerarchia di compartimenti che devono essere monitorati in modi diversi, al fine di rilevare diversi tipi di minacce? Lo stesso problema, se rilevato in compartimenti diversi, rappresenterebbe livelli di rischio diversi?

Cloud Guard ti consente di definire diverse aree all'interno della tua tenancy Oracle Cloud Infrastructure che possono essere monitorate in modi diversi. Il compromesso è che tutti i compartimenti all'interno di un'area definita sono monitorati allo stesso modo.

Acquisisci familiarità con la terminologia di Cloud Guard

Concetti di Cloud Guard definisce i termini appresi mentre si utilizza Cloud Guard. Per iniziare, la lista riportata di seguito contiene un riepilogo delle informazioni necessarie per iniziare a pianificare Cloud Guard.

Oggetto: Definisce l'ambito dei controlli di Cloud Guard. Tutti i compartimenti all'interno di una destinazione vengono controllati nello stesso modo e si dispone delle stesse opzioni per l'elaborazione dei problemi rilevati.
Rilevatore: Esegue controlli per identificare potenziali problemi di sicurezza in base ad attività o configurazioni. Le regole seguite per identificare i problemi sono le stesse per tutti i compartimenti di una destinazione.
rispondente: Specifica le azioni che Cloud Guard può eseguire quando i rilevatori identificano i problemi. Le regole per l'elaborazione dei problemi identificati sono le stesse per tutti i compartimenti di una destinazione.

Familiarizza con le ricette del rilevatore Cloud Guard

Esaminare le regole descritte nelle sezioni di Riferimento ricetta rilevatore per individuare diversi rilevatori. All'interno dell'ambiente:

Sono previsti compartimenti che non si desidera monitorare con Cloud Guard? In tal caso, è necessario definire una o più destinazioni in modo da escludere questi compartimenti.
Pensi di voler impostare il livello di rischio in modo diverso o abilitare e disabilitare le regole in modo diverso per le risorse in diverse parti della gerarchia dei compartimenti Oracle Cloud Infrastructure? Per configurare le regole del rilevatore in modo diverso per compartimenti diversi, è necessario definire destinazioni separate per tali compartimenti.
Ad esempio, per la regola di configurazione "Bucket is public", il livello di rischio predefinito è "CRITICAL" e la regola è abilitata per impostazione predefinita. Queste impostazioni devono essere uguali per tutti i compartimenti?
È possibile disabilitare le azioni ricetta del rispondente in caso di problemi identificati dai rilevatori. Se si desidera che le azioni per una determinata regola del rispondente siano abilitate in alcuni compartimenti, ma disabilitate in altri, è necessario definire destinazioni separate per tali compartimenti.
Ad esempio, la regola del rispondente "Rendi bucket privato" è abilitata per impostazione predefinita. Si dispone di alcuni compartimenti in cui tutti i bucket sono pubblici per progettazione e pertanto è possibile disabilitare questa regola?

Pianifica in che modo le destinazioni verranno mappate ai compartimenti

Se a questo punto non si ritiene necessario definire più destinazioni e si sono completati i prerequisiti, è possibile procedere con Abilitazione di Cloud Guard. È sempre possibile modificare la configurazione di destinazione in un secondo momento, in base alle esigenze.

Se si ritiene di dover impostare le destinazioni per consentire il monitoraggio di compartimenti diversi in modo diverso, tenere presenti le linee guida riportate di seguito durante il mapping delle destinazioni ai compartimenti.

Tutti i compartimenti di una destinazione ereditano la configurazione di tale destinazione. Le impostazioni del rilevatore e della regola del rispondente per una destinazione si applicano al compartimento di livello superiore assegnato a tale destinazione e a tutti i compartimenti subordinati sottostanti nella gerarchia dei compartimenti.
Se si desidera escludere alcuni compartimenti dal monitoraggio, creare le destinazioni sotto il livello radice e non includere il compartimento radice in alcuna destinazione.
La destinazione definita all'interno di una destinazione esistente sostituisce la configurazione ereditata. All'interno di una destinazione esistente, è possibile assegnare un compartimento sotto il compartimento di livello superiore della destinazione a una nuova destinazione. È possibile modificare le impostazioni del rilevatore e della regola del rispondente per la nuova destinazione, che ora si applicano al compartimento di livello superiore assegnato a tale destinazione e a tutti i compartimenti subordinati sottostanti nella gerarchia dei compartimenti.

Selezionare con attenzione l'area generazione report

Quando abiliti Cloud Guard, ti viene chiesto di selezionare un'area di reporting. Considerare attentamente le conseguenze della scelta dell'area di reporting:

L'area di generazione report selezionata esegue il commit dell'organizzazione per garantire la conformità a tutti i requisiti legali del paese in cui è ospitata l'area di generazione report.
Dopo che Cloud Guard è stato abilitato, non è possibile modificare l'area di reporting senza disabilitare e riabilitare Cloud Guard.
Tutte le personalizzazioni e i problemi esistenti (inclusa la cronologia) vengono persi quando si disabilita Cloud Guard, pertanto sarà necessario ripristinare manualmente tali personalizzazioni.
Tutte le chiamate API, ad eccezione dei READ, devono essere effettuate nell'area di reporting.

Prima di iniziare i passi per abilitare Cloud Guard, assicurati di prendere la decisione migliore per la tua area di reporting.

Abilitazione di Cloud Guard

Eseguire questo task per abilitare Oracle Cloud Guard dalla console OCI.

Prerequisito: completare i task in Prerequisiti e Planning for Cloud Guard.

Due strategie

Puoi utilizzare uno dei due approcci di base per abilitare Cloud Guard:

Inizia con la configurazione predefinita: si desidera che Cloud Guard inizi a segnalare i problemi il prima possibile dopo aver completato il processo di abilitazione.
Non saltare le selezioni facoltative durante il processo di abilitazione.
Nota

Se si salta una qualsiasi delle selezioni facoltative durante il processo di abilitazione, Cloud Guard non avvia automaticamente la segnalazione dei problemi dopo aver completato il processo di abilitazione. Se si salta le impostazioni facoltative durante l'abilitazione, Cloud Guard non potrà avviare la segnalazione dei problemi fino a quando non si aggiungono ricette del rilevatore alla destinazione specificata. Vedere Modifica di una destinazione OCI e delle relative ricette collegate.
Personalizza prima la configurazione: si desidera personalizzare la configurazione di Cloud Guard prima che Cloud Guard inizi a segnalare i problemi.
È possibile saltare una o tutte le selezioni facoltative durante il processo di abilitazione.

Qualunque sia l'approccio adottato per abilitare Cloud Guard, puoi perfezionare la configurazione Cloud Guard in base alle esigenze dopo l'abilitazione.

Passi per abilitare Cloud Guard

Eseguire il login a OCI Console come utente Oracle Cloud Guard creato in Prerequisiti, nella sezione "Creazione dell'utente e del gruppo Cloud Guard".
Aprire il menu di navigazione e Identity e sicurezza. In Cloud Guard selezionare qualsiasi risorsa.

Nota

Se la pagina per la risorsa Cloud Guard su cui si è fatto clic viene aperta, Cloud Guard è già abilitato.
Nella pagina Cloud Guard, selezionare il pulsante Abilita Cloud Guard in alto a destra per aprire la finestra di dialogo Abilita Cloud Guard.
Il pannello Criteri Cloud Guard visualizza una lista di tutti i criteri OCI che devono essere abilitati affinché Cloud Guard sia completamente funzionale. La colonna a destra mostra:
- Non aggiunto se il criterio non è attualmente abilitato.
- Aggiunto se il criterio è attualmente abilitato.
A meno che non si stia riabilitando Cloud Guard dopo la disabilitazione, tutte le voci devono essere Non aggiunte.

Nota

Questi criteri sono privilegi di sola lettura che consentono a Cloud Guard di monitorare le risorse OCI all'interno della tenancy. Questi criteri non forniscono a Cloud Guard alcun privilegio di gestione per le risorse,

Eccezione: il criterio manage cloudevents-rules consente a Cloud Guard di creare regole di sottoscrizione agli eventi di audit, fondamentali per Cloud Guard per rilevare i problemi. Le regole del rilevatore di attività di Cloud Guard funzionano includendo e analizzando gli eventi di audit nella tenancy. Cloud Guard deve creare una regola gestita dagli eventi cloud nella tenancy, in modo che possa eseguire la sottoscrizione agli eventi di audit. Il privilegio USE è necessario per consentire a Cloud Guard di elencare le regole di sicurezza NSG.

I seguenti criteri IAM vengono aggiunti automaticamente al gruppo di criteri "Criteri Cloud Guard" quando si seleziona Crea criterio nella parte inferiore del pannello Criteri Cloud Guard nella finestra di dialogo Abilita Cloud Guard:
```
allow service cloudguard to manage cloudevents-rules in tenancy where target.rule.type='managed'
allow service cloudguard to read audit-events in tenancy
allow service cloudguard to read authentication-policies in tenancy
allow service cloudguard to read autonomous-database-family in tenancy
allow service cloudguard to read compartments in tenancy
allow service cloudguard to read compute-management-family in tenancy
allow service cloudguard to read database-family in tenancy
allow service cloudguard to read data-safe-family in tenancy
allow service cloudguard to read dynamic-groups in tenancy
allow service cloudguard to read groups in tenancy
allow service cloudguard to read instance-family in tenancy
allow service cloudguard to read keys in tenancy
allow service cloudguard to read load-balancers in tenancy
allow service cloudguard to read log-groups in tenancy
allow service cloudguard to read object-family in tenancy
allow service cloudguard to read policies in tenancy
allow service cloudguard to read tenancies in tenancy
allow service cloudguard to read users in tenancy
allow service cloudguard to read vaults in tenancy
allow service cloudguard to read virtual-network-family in tenancy
allow service cloudguard to read volume-family in tenancy
allow service cloudguard to use network-security-groups in tenancy
```
1. Nella parte inferiore del pannello Criterio Cloud Guard, selezionare Crea criterio.
  
  Se tutti i criteri richiesti vengono creati correttamente, le voci nella colonna a destra ora sono Aggiunte.
2. Se una qualsiasi delle voci nella colonna a destra viene comunque visualizzata in Non aggiunto, aggiungere i criteri manualmente:
  A seconda di come si utilizza il servizio OCI Identity, vedere:
  - IAM con domini di identità
  - IAM senza domini di Identity
Selezionare Successivo per passare al pannello Informazioni di base.
1. Selezionare un'area Generazione report.
  L'area di reporting deve essere un'area supportata da Cloud Guard. Se Cloud Guard non supporta l'area selezionata, selezionare un'altra area.
  Attenzione:
  
  Valuta attentamente la selezione della tua area di reporting:
  - L'area di generazione report selezionata esegue il commit dell'organizzazione per garantire la conformità a tutti i requisiti legali del paese in cui è ospitata l'area di generazione report.
  - Dopo che Cloud Guard è stato abilitato, non è possibile modificare l'area di reporting senza disabilitare e riabilitare Cloud Guard.
  - Tutte le personalizzazioni e i problemi esistenti (inclusa la cronologia) vengono persi quando si disabilita Cloud Guard, pertanto sarà necessario ripristinare manualmente tali personalizzazioni.
  - Tutte le chiamate API, ad eccezione dei READ, devono essere effettuate nell'area di reporting.
2. Assicurarsi di registrare il nome dell'area di generazione report specificata.
  
  In tutti i task di configurazione e risoluzione dei problemi eseguiti dopo l'abilitazione, è necessario specificare l'area di generazione report Cloud Guard e non l'area di origine OCI.
  
  Nota
  
  Per cercare il nome dell'area di generazione report, vedere Visualizzazione dell'area di generazione report.
3. Specificare i compartimenti da monitorare nella tenancy OCI.
  Selezionare una di queste opzioni:
  - Tutti per monitorare tutti i compartimenti.
  - Selezionare i compartimenti, quindi effettuare una selezione dalla lista per monitorare solo i compartimenti specificati.
  - Nessuno per non monitorare alcun compartimento. È possibile selezionare Nessuno per visualizzare semplicemente il contenuto delle ricette del rilevatore prima di abilitarle.
    
    Nota
    
    La selezione effettuata qui definisce una destinazione da monitorare per Cloud Guard. Per abilitare l'opzione "Inizia con configurazione predefinita", non selezionare Nessuno.
4. (Facoltativo) Selezionare una ricetta del rilevatore di configurazione dalla lista.
  
  Nota
  
  Per abilitare l'opzione "Inizia con configurazione predefinita", non saltare questa selezione.
5. (Facoltativo) Selezionare una ricetta del rilevatore di attività dalla lista.
  
  Nota
  
  Per abilitare l'opzione "Inizia con configurazione predefinita", non saltare questa selezione.
6. Selezionare Abilita.
  
  Una barra di avanzamento sostituisce il pulsante Abilita Cloud Guard nella pagina Cloud Guard.
  
  Nota
  
  Se si è raggiunto questo punto in una tenancy libera, l'abilitazione non procede.
Al termine dell'abilitazione, nella pagina Cloud Guard selezionare Vai a Cloud Guard.

Viene visualizzata la pagina Panoramica di Cloud Guard e viene avviata l'esercitazione guidata. Gradualmente,

Nota

Se si è seguito l'approccio "Inizia con configurazione predefinita" nel processo di abilitazione, le informazioni sui problemi inizieranno a comparire presto in Cloud Guard. La tempestività di visualizzazione delle informazioni sul problema dipende dall'ambiente in uso, dalla configurazione delle destinazioni e dei rilevatori e dal numero di problemi che Cloud Guard deve rilevare.
Esercitazione guidata per acquisire familiarità con le funzioni della pagina Panoramica.

Pagina successiva

Nota

Qualunque sia l'approccio seguito nel processo di abilitazione, Cloud Guard disabilita due regole del rilevatore di configurazione OCI per impostazione predefinita nelle nuove tenancy. La disabilitazione iniziale di queste regole è necessaria per impedire a Cloud Guard di generare un numero eccessivo di problemi che si potrebbero considerare falsi positivi. Per ulteriori informazioni su queste regole, vedere:

Suggerimento

Alcune delle regole del rilevatore abilitate per impostazione predefinita potrebbero generare un numero eccessivo di problemi nel proprio ambiente specifico. Per poter disabilitare le regole del rilevatore, è necessario duplicare la ricetta del rilevatore gestita da Oracle per creare una versione gestita dall'utente. Vedere Duplicazione di una ricetta del rilevatore OCI.

Per eliminare rapidamente i problemi che ora si considerano falsi positivi, per ogni regola ricetta gestita dall'utente che produce un numero eccessivo di problemi:

Determinare le impostazioni delle regole da modificare in modo che la regola non generi più i falsi positivi.
Vedere le informazioni di riferimento per la regola nel manuale Riferimento ricetta rilevatore.
Modificare le impostazioni della regola in modo che la regola non generi più i falsi positivi.
Vedere Modifica delle impostazioni delle regole in una ricetta del rilevatore OCI.
Disabilitare la regola.
Vedere Modifica delle impostazioni delle regole in una ricetta del rilevatore OCI.
Riabilitare la regola.
Vedere Modifica delle impostazioni delle regole in una ricetta del rilevatore OCI.

Se nel processo di abilitazione hai seguito l'approccio "Inizia con configurazione predefinita", le informazioni sui problemi inizieranno presto a comparire in Cloud Guard. La tempestività di visualizzazione delle informazioni sul problema dipende dall'ambiente in uso, dalla configurazione delle destinazioni e dei rilevatori e dal numero di problemi che Cloud Guard deve rilevare.
Nota
Se nel processo di abilitazione si è seguito l'approccio "Personalizza prima la configurazione", non vengono visualizzate informazioni sui problemi finché non vengono completati tutti i task di configurazione saltati durante l'abilitazione:
1. Definire una o più destinazioni. Vedere Creazione di una destinazione OCI.
2. Facoltativo: duplicare le ricette del rilevatore gestite da Oracle. Vedere Duplicazione di una ricetta del rilevatore OCI.
3. Facoltativo: personalizzare le ricette del rilevatore per l'ambiente. Vedere Modifica di una ricetta del rilevatore OCI gestita dall'utente.
4. Aggiungere ricette del rilevatore a ogni destinazione. Vedere Modifica di una destinazione OCI e delle relative ricette collegate.
Dopo che Cloud Guard ha iniziato a segnalare problemi:
- Per ottimizzare la configurazione Cloud Guard per soddisfare al meglio le esigenze specifiche del proprio ambiente. Vedere Personalizzazione della configurazione OCI di base di Cloud Guard.
- Per interpretare le informazioni di riepilogo sui problemi rilevati, eseguire il drill-down dei dettagli e risolvere problemi specifici, vedere Elaborazione dei problemi segnalati.
- Per assicurarti che Cloud Guard sia completamente integrato con altri servizi OCI, consulta la sezione relativa all'integrazione di Cloud Guard con altri servizi.

Integrazione di Cloud Guard con altri servizi

Assicurarsi che siano disponibili i dettagli di configurazione necessari per supportare l'integrazione di Cloud Guard con altri servizi.

Dopo aver completato l'esecuzione dei task in Abilitazione di Cloud Guard, oltre ad alcuni task di follow-up se si utilizza la strategia Personalizza prima la configurazione, tutte le integrazioni con altri servizi dovrebbero funzionare senza problemi.

Una volta resi disponibili i nuovi servizi che supportano l'integrazione con Cloud Guard in un secondo momento, è necessario assicurarsi che i dettagli della configurazione Cloud Guard supportino correttamente il nuovo servizio:

Le destinazioni Cloud Guard devono contenere tutti i compartimenti in cui si trovano le risorse del nuovo servizio che Cloud Guard deve monitorare.
Le ricette del rilevatore Cloud Guard contenenti le regole specifiche del nuovo servizio devono essere collegate a tali destinazioni Cloud Guard.

Espandere uno dei seguenti nomi di servizio per visualizzare i passi da seguire per assicurarsi che i dettagli della configurazione Cloud Guard supportino correttamente il servizio.

Servizio certificati

Servizio Data Safe

Prerequisito: assicurarsi che il servizio Data Safe sia già abilitato e funzioni correttamente. Se si eseguono i passi riportati di seguito prima dell'abilitazione del servizio Data Safe, Cloud Guard avvisa dell'esigenza di abilitare Data Safe ogni volta che trova un database.

Se Cloud Guard NON è già abilitato:
1. Abilita Cloud Guard: vedere Abilitazione di Cloud Guard.
  
  Attenersi alla procedura "Inizia con la configurazione predefinita".
2. Assicurarsi di abilitare la ricetta del rilevatore di configurazione OCI.
3. Assicurarsi di definire una destinazione Cloud Guard che copra i compartimenti OCI che Cloud Guard deve monitorare per il servizio Data Safe.
4. Assicurarsi che la ricetta del rilevatore di configurazione OCI sia collegata alla destinazione Cloud Guard. Vedere Visualizzazione dei dettagli per una destinazione.
  
  Se necessario, vedere Creazione di una destinazione o Modifica delle ricette aggiunte a una destinazione.
Se Cloud Guard è già abilitato, assicurarsi che la tenancy Cloud Guard abbia:
- Destinazioni Cloud Guard definite che includono tutti i compartimenti OCI che si desidera vengano monitorati da Cloud Guard per il servizio Data Safe. Vedere Visualizzazione dei dettagli per una destinazione.
- La ricetta del rilevatore di configurazione OCI (gestita da Oracle o gestita dall'utente) collegata a ciascuna di tali destinazioni. Vedere Visualizzazione dei dettagli per una destinazione.
  Se necessario, vedere Creazione di una destinazione o Modifica delle ricette aggiunte a una destinazione.
Aggiungere i criteri seguenti alla tenancy Cloud Guard per abilitare l'accesso alle informazioni su Data Safe:

allow service cloudguard to read data-safe-family in tenancy

allow service cloudguard to read autonomous-database-family in tenancy
Se necessario, perfezionare la configurazione di queste regole elencate nella ricetta del rilevatore di configurazione OCI (gestita da Oracle o gestita dall'utente). Vedere Modifica delle impostazioni delle regole nelle ricette di una destinazione.
- Data Safe non abilitato (questa regola non è operativa dopo l'abilitazione di Data Safe)
- Il database non è registrato con Data Safe (questa regola non è operativa se Data Safe non è abilitato)
Il tuo obiettivo è ottimizzare le configurazioni delle regole in modo da non perdere problemi reali, ma non sei sopraffatto dai falsi positivi. Potrebbe essere necessario monitorare i problemi generati dal servizio Data Safe per un certo periodo di tempo prima di poter determinare se sono necessarie modifiche alle regole.
Visualizzare i problemi generati dal servizio Data Safe nella pagina Problemi di Cloud Guard. Vedere Visualizzazione della lista dei problemi.
Per visualizzare i problemi solo per il servizio Data Safe, filtrare la lista Problemi utilizzando Etichette = Sicurezza database.
Nota

La voce Etichette non fa distinzione tra maiuscole e minuscole, ma è necessario corrispondere esattamente ai caratteri di "sicurezza del database".

Servizio di intelligence sulle minacce

Servizio di log

Sicurezza istanza utilizza il servizio di log OCI per registrare l'attività.

Prerequisito: assicurarsi che sia Cloud Guard che il servizio di log siano abilitati.

Esistono due tipi di log prodotti da Cloud Guard.

Log raw Cloud Guard prodotti dalla sicurezza delle istanze. È possibile abilitare questi log quando si collega una ricetta di sicurezza dell'istanza a una destinazione. In alternativa, è possibile abilitarle dal servizio di log.
Log dei risultati delle query Cloud Guard, prodotti dalle query pianificate.

Per informazioni sui criteri per l'utilizzo dei log, vedere Autorizzazioni necessarie per l'utilizzo di log e gruppi di log

Per informazioni sui tipi di log prodotti da Cloud Guard, vedere Dettagli di log per Cloud Guard.

Documentazione dell'infrastruttura Oracle Cloud