Oracle Cloud Infrastructureドキュメント

OCIエージェントを使用したコンピュート・スキャン・レシピの作成

Oracle Cloud Infrastructureアカウントに含まれているOCIエージェントを使用してコンピュート(ホスト)スキャン・レシピを作成し、コンソールで結果を表示します。

OCIエージェントは、Center for Internet Securityによって公開されている業界標準のベンチマークへのコンプライアンスをテストします。

重要

  • 開始する前に、脆弱性スキャンのポリシー・ドキュメントを確認してください。スキャンに必要なIAMポリシーを参照してください。
  • OCIエージェントまたはQualysエージェント・コンピュート・スキャン・レシピを作成した後は、そのレシピをエージェントに変更しないでください。別のレシピを作成します。

OCIエージェントを使用してコンピュート・スキャン・レシピを作成するには、次のステップを実行します:

  1. 「レシピのスキャン」リスト・ページの「ホスト」タブで、「作成」を選択します。リスト・ページまたはレシピの検索に関するヘルプが必要な場合は、コンピュート・スキャン・レシピのリストを参照してください。

    「スキャン・レシピの作成」パネルが開きます。

  2. レシピ・タイプが「コンピュート」であることを確認します。
  3. レシピの名前を入力します。

    機密情報を入力しないでください。

  4. 選択したコンパートメントにレシピを作成することを確認します。必要に応じて別のコンパートメントを選択します。
  5. このレシピのパブリックIPポートのスキャンのレベルを選択します。
    • 標準: 1,000個の最も一般的なポート番号をチェックします。
    • 軽量(デフォルト): 100個の最も一般的なポート番号をチェックします。
    • なし: 開いているポートをチェックしません。

    脆弱性スキャン・サービスは、パブリックIPアドレスを検索するネットワーク・マッパーを使用します。スキャンされるポートを参照してください。

  6. OCIエージェントを選択します。
  7. (オプション)CISベンチマーク・スキャンを構成します。
    1. Center for Internet Security (CIS)によって公開されている業界標準のベンチマークへの準拠について、エージェントでターゲットをチェックしない場合、CISベンチマーク・スキャンを無効にします。
    2. CISベンチマーク・スキャンが有効な場合、このレシピのCISベンチマーク・プロファイルを選択します。
      • 厳格: 20%を超えるCISベンチマークに不合格の場合、ターゲットにはCriticalのリスク・レベルが割り当てられます。
      • (デフォルト: 40%を超えるCISベンチマークに不合格の場合、ターゲットにはHighのリスク・レベルが割り当てられます。
      • 軽量: 80%を超えるCISベンチマークに失敗した場合、ターゲットにはHighのリスク・レベルが割り当てられます。
  8. (オプション)「ファイル・スキャンの有効化」を選択して、特定のフォルダでサード・パーティ・アプリケーションの脆弱性をスキャンします。
    ノート

    脆弱性スキャン・サービスは、log4jおよびspring4shellでのみ脆弱性をチェックします。
    1. スキャンするLinuxフォルダには、ターゲットLinuxホストでスキャンするフォルダを少なくとも1つ指定します。

      セミコロンを使用して複数のフォルダを区切ります。

    2. スキャンするWindowsフォルダには、ターゲットWindowsホストでスキャンするフォルダを指定します。
      ノート

      将来使用のためにOracleによって予約されています。Windows OSではファイル・スキャンを使用できません。

      セミコロンを使用して複数のフォルダを区切ります。

    3. ファイル・スキャン・スケジュールを構成します。

      このスケジュールは、このレシピに割り当てられたターゲット上のファイルをスキャンする頻度を制御します。

      「隔週」または「月次」から選択します。

  9. 「スケジュール」で、パブリックIPポート・スキャンのスケジュールを選択します。

    スケジュールにより、このレシピに割り当てられているターゲットをスキャンする頻度を制御します。「日次」または「週次」のいずれかの値を選択します。

    ノート

    Qualysエージェントのスキャン・スケジュールまたは他のQualysエージェント構成を構成するには、Qualysダッシュボードに移動します。

  10. (オプション)「拡張オプションの表示」を選択して、レシピにタグを割り当てます。

    リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを追加する権限もあります。

    定義済タグを追加するには、タグ・ネームスペースを使用する権限が必要です。

    タグ付けの詳細は、リソース・タグを参照してください。タグを追加する必要があるかどうかが不明な場合は、このオプションをスキップするか、管理者に連絡してください。タグは後から追加できます。

  11. 次のいずれかの方法を使用してレシピを保存します。
    • 「スキャン・レシピの作成」を選択して、脆弱性スキャン・サービスにレシピを作成します。
    • 「スタックとして保存」を選択して、リソース・マネージャ・サービスを介してスタックを管理します。「スタックとして保存」ウィンドウで、フィールドに入力し、「保存」を選択します。スタックの詳細は、スタックの管理を参照してください。

レシピの作成後、スキャン・ターゲットを作成してレシピに関連付けることができます。コンピュート・ターゲットの作成を参照してください。