Nota:

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriversi a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Configurare le regole del rilevatore di Oracle Cloud Guard per rilevare i problemi in base alle condizioni

Introduzione

Oracle Cloud Guard è un servizio cloud nativo gratuito che analizza le destinazioni: compartimenti Oracle Cloud Infrastructure (OCI) e rileva i problemi in base alle regole definite nei criteri denominati criteri del rilevatore. Una volta soddisfatta una regola, viene creato un problema che è possibile rivedere dalla console. Cloud Guard agisce sui problemi utilizzando le regole definite nei criteri del rispondente. Cloud Guard viene fornito con varie ricette predefinite dei rilevatori. Ad esempio, ricette del rilevatore di configurazione, ricette del rilevatore di attività e così via. Le ricette del rilevatore dispongono di diverse regole del rilevatore, quando queste regole vengono attivate, Cloud Guard crea un problema.

Una volta configurato Cloud Guard, inizia a rilevare i problemi in base ai criteri del rilevatore pronti all'uso. Quando esamini i problemi rilevati da Cloud Guard, potresti riscontrare alcuni problemi sono falsi positivi in base al tuo caso d'uso. Ad esempio, l'istanza di Cloud Guard "è accessibile pubblicamente" e le regole del rilevatore di "istanza dispone di un IP pubblico" rilevano le istanze nelle tue destinazioni (compartimento) accessibili da Internet e dotate di un IP pubblico. Tuttavia, desideri consentire a un'istanza di computazione demo/addestramento di avere un IP pubblico e renderlo accessibile da Internet.

È possibile ottenere questo risultato configurando gruppi condizionali nelle regole del rilevatore Cloud Guard ed è possibile eseguirlo per quasi tutti i tipi di regole del rilevatore.

Obiettivi

• Configurare le regole del rilevatore Cloud Guard per rilevare i problemi in base alle condizioni.

Prerequisiti

• Accesso a una tenancy OCI con l'account amministratore o l'accesso per gestire le regole del rilevatore Cloud Guard e la lista gestita.
• Cloud Guard è abilitato e rileva i problemi mediante i rilevatori di configurazione.

Task 1: identificare la regola del rilevatore che deve essere eseguita in base a una condizione

Prima di avviare la configurazione del gruppo condizionale della regola del rilevatore, è necessario conoscere le regole del rilevatore da utilizzare. In questa esercitazione viene fornita una dimostrazione dell'uso di una regola del rilevatore di configurazione "L'istanza ha un indirizzo IP pubblico". Questa regola del rilevatore analizza le istanze di computazione in una destinazione e, se all'istanza è assegnato un IP pubblico, Cloud Guard crea un problema e se viene impostata la regola del rispondente corrispondente per eliminare automaticamente

Analogamente, è possibile identificare altre regole del rilevatore che si desidera impostare per le regole del rilevatore. Ad esempio, una regola del rilevatore "Bucket è pubblica" che rileva se il bucket è pubblico e Cloud Guard la renderà privata al momento del rilevamento in base alla regola del rispondente. Tuttavia, potresti avere un bucket pubblico che ospita i documenti pubblici e desideri che Cloud Guard crei un problema per questo bucket.

Cloud Guard dispone di rispondenti che possono attivare automaticamente (configurabili e non attivi per impostazione predefinita) quando una regola del rilevatore rileva un problema. In questi casi, verranno fornite informazioni sulle regole del rilevatore che richiedono l'accesso condizionale da parte degli utenti che non possono accedere alla risorsa a causa dell'esecuzione della regola del rispondente Cloud Guard. Ad esempio, se un utente ha bisogno di un IP pubblico per un'istanza di computazione per un motivo valido, ma l'attività del rispondente Cloud Guard ha rimosso l'IP pubblico dall'istanza al momento del rilevamento.

Nota Quando si aggiunge una condizione a una ricetta, le condizioni definite nella ricetta a livello di destinazione vengono definite nella destinazione specifica e non influiscono su altre ricette in altre destinazioni. La condizione definita a livello di ricetta influirà su tutte le destinazioni a cui è collegata la ricetta. Per ulteriori informazioni, fai clic qui.

Le tabelle seguenti mostrano alcuni dei parametri supportati disponibili per le ricette. La tabella indica che i parametri delle ricette attività sono destinati all'attore e che i parametri delle ricette di configurazione sono destinati alla risorsa.

Ricetta	Parametri condizionali
Ricetta attività	Area: area da cui proviene l'attore. Ubicazione(Città, Stato, Provincia, Paese) - Ubicazione dell'attore. Tag: applicati all'attore. IPv6/IPv4 Indirizzo: indirizzo IP dell'attore. Nomi utente: nome utente dell'attore.
Ricetta di configurazione	Tag: tag applicate alla risorsa. OCID: OCID della risorsa. Esempio: OCID dell'istanza di computazione, sistema DB, load balancer, utente, gruppo, criteri, VNIC, VCN e così via. Spazio di nomi bucket/Nome Indirizzo CIDR/IPv6/IPv4: IP della risorsa, se applicabile (esempio: il sistema di database ha un indirizzo IP pubblico, l'istanza ha un indirizzo IP pubblico).

Task 2: creare un gruppo di condizioni nella regola del rilevatore

1. Passare a Cloud Guard, Destinazioni, (target-name), Dettagli destinazione, Ricetta del rilevatore, Ricetta del rilevatore di configurazione OCI (gestione Oracle).

   Nota: se è stata clonata la ricetta del rilevatore predefinita, passare a tale ricetta. Nell'esempio riportato di seguito verrà aggiunta una condizione alla regola del rilevatore "L'istanza ha un indirizzo IP pubblico".

2. Nella regola del rilevatore, cercare l'istanza e verranno visualizzate le regole del rilevatore correlate all'istanza

   

3. Modificare la regola del rilevatore facendo clic sui tre punti a destra. Sotto il gruppo condizionale:

   • Selezionare il compartimento in cui applicare questa regola, nell'esempio iam-demo.

   • Selezionare il parametro dalla lista, nell'esempio instance OCID.

   • Selezionare l'operatore nel nostro esempio "non in" perché si desidera che Cloud Guard rilevi una delle istanze con l'IP pubblico.

   • Selezionare l'elenco personalizzato dall'elenco. L'elenco gestito verrà visualizzato anche nel passo successivo.

   • Se desideri escludere più istanze di computazione con indirizzo IP pubblico, aggiungi un'altra condizione.

   • Immettere l'OCID dell'istanza e salvare.

     Nota: la lista dei parametri è specifica delle regole del rilevatore. Ogni regola avrà parametri comuni e alcuni specifici delle regole. Più condizioni in un gruppo condizionale utilizzano AND logico.

   

4. Visualizzare il problema risolto. Una volta salvate le modifiche, dopo un breve periodo di tempo, Cloud Guard rileverà la modifica e risolverà automaticamente i problemi esistenti per l'istanza di computazione contrassegnando il problema come risolto. È possibile visualizzarlo nell'elenco dei problemi risolti.

   

Abbiamo visto come aggiungere staticamente una singola o più condizioni in una regola del rilevatore modificando la regola del rilevatore. Se è necessario aggiungere più condizioni dello stesso tipo con un valore diverso. Un'opzione è quella di continuare a modificare la regola del rilevatore, ma esiste un modo migliore per farlo utilizzando la lista gestita che verrà visualizzata nel passo successivo.

Task 3: utilizzare la lista gestita nelle regole del rilevatore

1. Creare una lista gestita.

   Nota: nel nostro esempio, ci sono alcune istanze di computazione che hanno il permesso di avere un IP pubblico. Pertanto, abbiamo creato una lista gestita denominata "PublicInstances" di tipo OCID risorsa e aggiunto l'OCID di tutte le istanze di computazione che possono avere un IP pubblico. Consulta questo documento su come creare un elenco gestito.

   

2. Utilizzare la lista gestita nelle regole del rilevatore anziché aggiungere staticamente i valori.

   Nota: nell'esempio, la regola del rilevatore "Instance has public IP" è stata modificata da una lista personalizzata a una lista gestita e il nome della lista è "PublicInstance". La lista gestita semplifica l'aggiunta o l'eliminazione dell'OCID istanza da una posizione anziché la modifica della regola del rilevatore.

   

Passi successivi

Esaminare i problemi generati da Cloud Guard per scoprire dove è possibile aggiungere condizioni alle regole del rilevatore in modo che Cloud Guard non generi problemi in base alla business logic e rimuova i falsi positivi.

Collegamenti correlati

• Abilitazione di Cloud Guard
• Concetti di Cloud Guard
• Home OCI Cloud Guard

Approvazioni

• Autore: Sunil Joshi (OCI Identity/IDCS)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Explorer di Oracle Learning.

Per la documentazione sul prodotto, visitare il sito Oracle Help Center.

---

Titolo e informazioni sul copyright

Configure Oracle Cloud Guard detector rules to detect problems based on conditions

F82942-02

September 2023

Copyright © 2023, Oracle and/or its affiliates.