Lista degli avvistamenti e recupero dei dettagli

Visualizza i profili delle risorse e i relativi attributi chiave in Cloud Guard per identificare rapidamente gli eventi con la priorità più alta.

Prerequisito: abilitare la ricetta di OCI Threat Detector in almeno una destinazione Cloud Guard definita nell'ambiente e contenente il compartimento radice.

Per creare una destinazione e aggiungere la ricetta, vedere Creazione di una destinazione OCI.

Nota

Quando si crea una destinazione, Cloud Guard richiede di collegare una ricetta del rilevatore di attività e una ricetta del rilevatore di configurazione. Se non si desidera abilitare tali rilevatori sulla destinazione, è possibile rimuoverli al termine della creazione della destinazione. Vedere Modifica di una destinazione OCI e delle relative ricette collegate.
Per aggiungere la ricetta di OCI Threat Detector a una destinazione esistente, vedere Modifica di una destinazione OCI e delle relative ricette collegate.

Nota

Una volta soddisfatto il prerequisito precedente, Cloud Guard inizia un periodo di apprendimento. Questo periodo di apprendimento varia in lunghezza da poche ore a pochi giorni, a seconda del tipo di avvistamento. Cloud Guard non inizia il monitoraggio per rilevare le minacce fino al termine del periodo di apprendimento. Se non si verificano attività sospette, nella pagina Monitoraggio delle minacce non vengono visualizzate informazioni sulle minacce.

1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Cloud Guard, selezionare Monitoraggio delle minacce.
2. Per modificare l'ambito per il quale sono incluse le minacce, utilizzare le seguenti opzioni in Ambito:
  
  Compartimento: selezionare un compartimento. Per includere tutti i compartimenti sottostanti nell'ambito, selezionare Includi compartimenti figlio.
  
  Filtri tag: selezionare aggiungi, quindi compilare la finestra di dialogo Filtri tag. Se si aggiungono più tag, tutti devono corrispondere.
3. Per filtrare l'elenco in base alle date e ai valori del punteggio di rischio, effettuare le selezioni negli elenchi sotto il grafico nella parte superiore della pagina.
4. Per filtrare l'elenco in base ad altri parametri, selezionare Aggiungi filtro, selezionare un tipo di filtro, quindi selezionare uno o più valori.
5. Nel grafico Andamento punteggio rischio a 30 giorni nella parte superiore della pagina, visualizzare le modifiche al punteggio rischio nel tempo.
  
  Per impostazione predefinita, il grafico visualizza i punteggi di rischio complessivi per i profili risorsa con i primi 10 punteggi di rischio negli ultimi 30 giorni.
  
  Modificare i dati visualizzati effettuando una selezione diversa dall'elenco Primi 10 nell'angolo superiore destro del grafico. Queste opzioni vengono in genere visualizzate per un periodo di tempo più breve.
6. Per evidenziare le informazioni del grafico per un determinato profilo di risorsa, passare il puntatore del mouse sul nome nell'elenco nella casella di selezione Primi 10.
7. Per visualizzare informazioni specifiche sul punteggio rischio per un punto del grafico, passare il puntatore del mouse sul punto.
  Il profilo risorsa per le informazioni sul punteggio rischio viene evidenziato anche nell'elenco sotto la casella di selezione Primi 10.
8. Per visualizzare le informazioni di riepilogo per i profili risorsa elencati, scorrere fino alla tabella in cui l'intestazione della prima colonna è Profilo risorsa:
  Nella tabella vengono visualizzate le seguenti informazioni sul profilo risorsa:
  
  Profilo risorsa: il nome del profilo risorsa interessato. Un profilo risorsa consolida gli avvistamenti associati a una risorsa specifica.
  
  Punteggio rischio: il punteggio di rischio per il profilo risorsa. Il punteggio di rischio riflette la gravità della minaccia.
  
  Visualizzazioni: il numero di avvistamenti contabilizzati rispetto all'ID risorsa nel profilo risorsa. Un avvistamento è un'istanza di una particolare tecnica di framework MITRE ATT&CK^® all'interno di una tattica MITRE ATT&CK^®.
  
  Tattiche: il numero di tattiche MITRE ATT&CK^® coinvolte negli avvistamenti. Un numero più alto qui può indicare che un intruso sta facendo progressi nel penetrare le misure di sicurezza.
  
  Tipo di risorsa: il tipo di risorsa nel profilo risorsa interessato.
  
  Prima rilevata: la data e l'ora in cui Cloud Guard ha rilevato per la prima volta l'avvistamento.
  
  Ultimo rilevamento: la data e l'ora in cui Cloud Guard ha rilevato l'ultimo avvistamento.
  
  Primo incidente: la data e l'ora in cui si è verificato il primo incidente.
  
  Ultimo incidente: la data e l'ora dell'ultimo incidente.
9. Per visualizzare informazioni dettagliate per un determinato profilo risorsa, selezionare il relativo collegamento nella colonna Profilo risorsa.
  Nella pagina Dettagli monitoraggio delle minacce vengono visualizzate le informazioni riportate di seguito.
  
  La scheda Informazioni generali contiene un riepilogo della minaccia.
  
  Il grafico Andamento punteggio rischio a 30 giorni mostra le variazioni del punteggio rischio nel tempo per questo particolare profilo risorsa.
  
  La sezione Aspetti elenca gli avvistamenti che determinano il punteggio di rischio.
  
  In Risorse, selezionare un'altra risorsa per visualizzare informazioni diverse.
  
  Le risorse interessate mostrano informazioni sulle risorse coinvolte.
  
  Endpoint mostra gli indirizzi IP interessati.
  
  Suggerimento
  
  Se il punteggio rischio per un profilo risorsa nella pagina Monitoraggio minacce è maggiore o uguale a 80, è stato attivato un problema. Per elaborare il problema:
  
  selezionare il collegamento nella colonna Profilo rischio.
  
  Nella scheda Informazioni generali nella parte superiore della pagina dei dettagli, selezionare il collegamento al nome del problema, accanto a Problemi.
  Per informazioni sull'elaborazione dei problemi, vedere Elaborazione e risoluzione dei problemi nella pagina Problemi
Per un elenco completo dei flag e delle opzioni variabili per i comandi CLI, vedere Command Line Reference.

Avvistamenti

Utilizzare il comando oci cloud-guard avvistamento get e i parametri necessari per ottenere un avvistamento specifico:
oci cloud-guard sighting get --sighting-id <sighting_ocid> [OPTIONS]
Utilizzare il comando oci cloud-guard avvistamento-summary list-sightings e i parametri necessari per elencare tutti gli avvistamenti per un compartimento:
oci cloud-guard sighting-summary list-sightings --compartment-id, -c <compartment_ocid> [OPTIONS]
Endpoint di avvistamento

Utilizzare il comando oci cloud-guard avvistamento-endpoint-summary list-sighting-endpoints e i parametri necessari per elencare gli endpoint per un avvistamento specifico:
oci cloud-guard sighting-endpoint-summary list-sighting-endpoints --sighting-id <sighting_ocid> [OPTIONS]
Risorse interessate

Utilizzare il comando oci cloud-guard sighting-summary list-sightings e i parametri necessari per elencare tutte le risorse interessate per gli avvistamenti per un avvistamento:
oci cloud-guard sighting-impacted-resource-summary list-sighting-impacted-resources --sighting-id <sighting_ocid> [OPTIONS]
Avvistamenti

Eseguire l'operazione GetSighting per ottenere un avvistamento specifico.

Eseguire l'operazione ListSightings per elencare tutti gli avvistamenti per un compartimento.

Endpoint di avvistamento

Eseguire l'operazione ListSightingEndpoints per elencare gli endpoint per un avvistamento specifico.

Risorse interessate

Eseguire l'operazione ListSightingImpactedResources per elencare tutte le risorse interessate per gli avvistamenti di un compartimento.

Documentazione dell'infrastruttura Oracle Cloud

Lista degli avvistamenti e recupero dei dettagli