Documentazione dell'infrastruttura Oracle Cloud

Informazioni su Rilevatore di minacce

Comprendi i concetti e la terminologia necessari per utilizzare il componente Rilevatore di minacce di Cloud Guard.

Il componente Rilevatore di minacce in Cloud Guard raccoglie ed elabora le informazioni sulle potenziali minacce come indicato di seguito.

  1. Le informazioni vengono raccolte dalle destinazioni Cloud Guard.
  2. Il rilevatore di minacce riceve informazioni sulle potenziali minacce dal servizio di intelligence sulle minacce. Si tratta di indicatori di compromissione, come indirizzi IP e domini, associati a server di comando e controllo malware noti.
  3. Tali informazioni vengono eseguite attraverso modelli allineati al framework MITRE ATT&CK per classificare le potenziali tattiche e tecniche coinvolte.
  4. Tali modelli producono "avvistamenti", singole istanze di potenziali comportamenti dannosi, ai quali viene assegnato un punteggio per valutare la gravità delle conseguenze se l'attacco è reale e la probabilità che l'attacco è reale.
  5. Gli avvistamenti vengono quindi raggruppati in un profilo risorsa.
  6. Il profilo delle risorse viene valutato per valutare il rischio descritto dalla sequenza di avvistamenti.
  7. Viene assegnato un livello di rischio in base al punteggio di rischio più alto degli ultimi 14 giorni.
  8. Se il livello di rischio diventa critico, viene generato un problema.

Le pagine Monitoraggio delle minacce e Dettagli monitoraggio delle minacce visualizzano informazioni per ogni profilo di risorsa elencato. Per interpretare le informazioni visualizzate, acquisire familiarità con i seguenti concetti chiave e terminologia.

Concetti di monitoraggio delle minacce di alto livello

Questi concetti sono fondamentali per comprendere il monitoraggio delle minacce in Cloud Guard, soprattutto quando si utilizza la pagina Monitoraggio delle minacce e Dettagli sul monitoraggio delle minacce.

  • Sighting: un'istanza specifica di potenziali comportamenti dannosi rilevati da Cloud Guard. Gli avvistamenti individuali sono correlati nel tempo e nelle varie regioni. La raccolta di avvistamenti correlati è valutata sulla probabilità che rappresenti un attacco e su quanto grave sarebbe un tale attacco.
  • Tipo di avvistamento: Cloud Guard rileva diversi tipi di avvistamento. Vedere Informazioni di riferimento sul tipo di avvistamento.
  • Correlazione: Cloud Guard raccoglie dati non elaborati in ogni area. Cloud Guard correla quindi gli avvistamenti correlati tra le varie aree e calcola un punteggio normalizzato per gli avvistamenti correlati. Se il punteggio di rischio normalizzato supera una soglia, Cloud Guard attiva un problema e assegna un livello di severità e un livello di affidabilità al problema.
  • Fiducia: un livello di affidabilità rappresenta una stima della probabilità che un avvistamento rappresenti realmente un aggressore effettivo. Cloud Guard utilizza le stesse categorie sia per i livelli di severità che per i livelli di fiducia nei dettagli di spionaggio risultanti:

    La combinazione di fattori utilizzata da Cloud Guard per determinare il livello di affidabilità è diversa per diversi tipi di avvistamento. Vedere le sezioni "Gravità" e "Fiducia" per ogni tipo di avvistamento in Riferimento tipo di avvistamento.

  • Severità: un livello di affidabilità rappresenta una stima della probabilità che un avvistamento rappresenti effettivamente un aggressore. Un livello di gravità rappresenta il potenziale livello di minaccia rappresentato da un avvistamento - quanto grave potrebbe essere l'avvistamento, supponendo che rappresenti un vero e proprio attaccante. Cloud Guard visualizza le seguenti categorie sia per i livelli di severità che per i livelli di fiducia nei dettagli di spionaggio risultanti:

    La combinazione di fattori utilizzata da Cloud Guard per determinare il livello di severità è diversa per diversi tipi di avvistamento. Vedere le sezioni "Gravità" e "Fiducia" per ogni tipo di avvistamento in Riferimento tipo di avvistamento.

  • Sighting Score: combina le valutazioni di gravità e affidabilità, insieme ad altri fattori, per ricavare una stima numerica della gravità della minaccia.

    Il punteggio di avvistamento è diverso dal punteggio di rischio associato ai problemi.

  • Punteggio rischio: Cloud Guard raccoglie dati non elaborati in ogni area e calcola un punteggio di rischio non elaborato per gli avvistamenti correlati. Cloud Guard correla quindi gli avvistamenti correlati tra le varie aree e calcola un punteggio normalizzato per gli avvistamenti correlati. Se il punteggio di rischio normalizzato supera una soglia, Cloud Guard attiva un problema e assegna un livello di severità e un livello di affidabilità al problema.
  • Livello di rischio: si basa sul punteggio di rischio massimo di 14 giorni. (Critico, Alto, Medio, Basso, Minore). Il livello di rischio aumenta immediatamente quando viene registrato un punteggio di rischio elevato. Se non vengono registrati altri punteggi rischio elevati, il livello di rischio diminuisce lentamente, poiché tale punteggio rischio elevato richiede 14 giorni per uscire dal calcolo del livello di rischio.

    Per le definizioni di questi livelli di rischio, vedere Visualizzazione dei problemi dallo snapshot dei problemi.

  • Tattica: dal punto di vista della struttura MITRE ATT&CK, l'avvistamento verrà classificato come istanza di questa tattica MITRE. Ad esempio, Escalation privilegi o Accesso credenziali.
  • Tecnica: dal punto di vista della struttura MITRE ATT&CK, l'avvistamento verrà classificato come un'istanza di questa tecnica o sottotecnica MITRE. Ad esempio, Password Guessing o Exfiltration in Cloud Storage.
  • Profilo risorsa: raccolta di informazioni osservate da Cloud Guard per risorse specifiche che potrebbero essere sotto attacco, come indicato dal punteggio di rischio derivato dagli avvistamenti correlati. Queste informazioni includono avvistamenti, punteggi e ID risorsa. Cloud Guard monitora le destinazioni e crea profili per le risorse osservate e gli avvistamenti man mano che vengono rilevati comportamenti dannosi. Attualmente, il profilo delle risorse è sempre focalizzato su un utente.

Parametri riportati per gli avvistamenti

Vengono inoltre monitorati i seguenti parametri. Alcuni di questi parametri vengono visualizzati solo nella pagina Monitoraggio minacce o nella pagina Dettagli monitoraggio minacce.

  • Risorsa, ID risorsa, Nome risorsa: identificativo della risorsa di destinazione nell'avvistamento.
  • Compartimento: compartimento OCI in cui si trova la risorsa.
  • Destinazione: la destinazione Cloud Guard contenente il compartimento OCI.
  • Aree: l'area o le aree in cui è stato rilevato l'avvistamento.
  • Primo rilevamento: la data e l'ora in cui l'avvistamento è stato rilevato per la prima volta.
  • Ultimo rilevamento: la data e l'ora dell'ultimo rilevamento dell'avvistamento.
  • Punteggio rischio picco: il punteggio di rischio più alto per un determinato profilo di rischio.
  • Data picco: la data del punteggio di rischio più alto per un determinato profilo di rischio.
  • ASN endpoint: il numero di Autonomous System associato all'indirizzo IP dell'endpoint identificato in un avvistamento.
  • Servizio endpoint: i servizi specifici utilizzati dall'endpoint identificato in un avvistamento.
  • Tipo di endpoint: se l'indirizzo IP è noto al servizio Intel per le minacce OCI, viene dichiarato "sospetto" e l'indirizzo IP diventa un collegamento alle informazioni in tale servizio.