Oracle Cloud Infrastructureドキュメント

インスタンス・セキュリティ

インスタンス・セキュリティは、コンピュート・ホストで疑わしいアクティビティを監視する新しいOracle Cloud Guardディテクタ・レシピです。

インスタンス・セキュリティについて

インスタンス・セキュリティは、コンピュート仮想ホストおよびベア・メタル・ホストのワークロードの実行時セキュリティを提供します。インスタンス・セキュリティは、クラウド・セキュリティ・ポスチャ管理からクラウド・ワークロード保護までクラウド・ガードを拡張し、セキュリティ・ニーズを1箇所で満たし、一貫した可視性とインフラストラクチャのセキュリティ状態を包括的に理解できるようにします。

インスタンス・セキュリティは、セキュリティ・アラート(クラウド・ガードの問題と呼ばれる)、脆弱性、オープン・ポートなどのコンピュート・ホストに関する重要なセキュリティ情報を収集し、検出および防止のための実用的なガイダンスを提供します。OSレベルの可視性により、ワークロードの疑わしいプロセス、オープン・ポート作成およびスクリプト実行を検出できます。インスタンス・セキュリティは、Oracle管理のすぐに使用できる新しい検出と、脅威ハンティングのユース・ケースに対する顧客管理問合せを提供します。

インスタンス・セキュリティはOCIロギングとネイティブに統合されているため、サードパーティのセキュリティ・ツールにログを簡単にエクスポートできます。

EBPFベースのセキュリティ・ソリューション

インスタンス・セキュリティでは、Extended Berkeley Packet Filter (eBPF)テクノロジを使用して、カーネル・レベルでセキュリティ・イベントを検出します。eBPFは、カーネル・ソース・コードを変更せずにプログラムを実行できるカーネル・テクノロジです。

カーネル・コードを変更することなく、パフォーマンスに大きな影響を与えることなく、データを自動的に収集してセキュリティの異常を検出し、OSに関する深いインサイトを得ることができます。

MITRE攻撃フレームワークに準拠

インスタンス・セキュリティは、セキュリティ・オペレーション・センター(SOC)が既知の敵対活動を見つけるための手動作業を減らすことを目的として、MITRE攻撃フレームワークに準拠した、Oracle管理のすぐに使用できるディテクタ・ルール・スイートを提供します。

この情報は、MITRE攻撃フレームワークに合せたモデルを介して実行され、関連する潜在的な戦術および技術を分類します。

オンデマンド問合せの実行

オンデマンド問合せは、コンピュート・インスタンスで定期的に実行することも、オンデマンドで実行して、マシンの状態をリアルタイムで可視化することもできます。

インスタンス・セキュリティは、OSデータを高パフォーマンスのリレーショナル・データベースとして公開する内部でOSqueryを実行します。Osqueryは、高性能でオープンソースのマルチプラットフォーム・ホスト・エージェントであり、フリートに対する可視性とインサイトを提供します。OSに関係なくデータを収集および正規化し、インフラストラクチャ全体の可視性を高めます。OSqueryには、実行中のプロセスからロードされたカーネル拡張までのすべてをカバーする数百の表からのサポートが付属しています。インスタンス・セキュリティでは、OCIカスタム作成表に加えて、オープン・ソースの問合せ表のほとんどがサポートされます。

問合せのスケジュール

問合せを実行し、問合せ結果に満足したら、問合せを定期的に実行するようにスケジュールできます。コンピュート・ホストのコンプライアンスおよび監査要件の一部として特定のセキュリティ制御を満たす証拠を提供する必要がある場合は、スケジュール済問合せを使用できます。インスタンス・セキュリティOCIロギング・サービスと統合されており、OCIロギング・サービスを構成して、RAWデータをセキュリティ情報およびイベント管理(SIEM)サービスまたはサードパーティ・データ・アグリゲータに送信できます。

インスタンス・セキュリティ・ディテクタ・レシピ

2つのOracle管理のインスタンス・セキュリティ・ディテクタ・レシピがあります:

  • OCIインスタンス・セキュリティ・ディテクタ・レシピ- エンタープライズ(Oracle管理)。
  • OCIインスタンス・セキュリティ・ディテクタ・レシピ(Oracle管理)。

ディテクタ・レシピのカスタム構成は、これらのレシピおよびルールをクローニングすることで作成できます。OCIディテクタ・レシピのクローニングを参照してください。

1つのターゲットに適用できるインスタンス・セキュリティ・ディテクタ・レシピは1つのみです。レシピを変更する場合は、最初にターゲットから既存のレシピを削除してから、もう一方を適用する必要があります。

OCIインスタンス・セキュリティ・ディテクタ・レシピ- エンタープライズ(Oracle管理)

このレシピは、完全なサービス機能を提供する有料オファリングです。これにより、すぐに使えるOracleの検出に基づいてアラートが生成され、カスタムおよびスケジュールされた問合せを使用してフリートを問い合せることができます。

このすぐに使用できるディテクタ・レシピでは、OCIインスタンス・セキュリティ・ディテクタ・ルールで説明されているすべてのインスタンス・セキュリティ・ディテクタ・ルールが使用されます。

コストの詳細を確認するには、クラウド価格リストクラウド・ガードの価格情報を参照してください。コスト見積りツールを使用すると、月次使用量と請求額を判断できます。「請求およびコストの管理の概要」を参照してください。

リソース テナンシ当たりの数
対象となるインスタンスの数/リージョン 無制限
すぐに使用できるディテクタ・ルール 無制限
オンデマンド問合せ 無制限
スケジュール済問合せ 1日あたりインスタンスあたり25件のクエリ
スケジュール済問合せ結果のサイズ 1日あたりインスタンス当たり5MB

この例では、スケジュール済問合せによってどのように動作が制限されるかを示します。

スケジュール済問合せ結果のサイズはインスタンスごとに制限されるため、リージョン内に10個のインスタンスがある場合、テナント・レベルのリージョン制限は5*10 = 1日当たり50MBです

リージョン内のスケジュール済問合せ結果の制限に達すると、問合せにFailedステータスが表示され、次のメッセージが表示されます。

Scheduled query size limit has reached, the limit will reset the next day

制限が翌日にリセットされると、スケジュールされたクエリーは制限に達するまで成功します。

OCIインスタンス・セキュリティ・ディテクタ・レシピ(Oracle管理)

インスタンス・セキュリティに投資する準備ができていないが、サービスを試す場合は、この無料レシピを試すことができます。これにより、脆弱性およびオープン・ポート・スキャンの問題が警告され、限られた数の問合せを実行できます。

このディテクタ・レシピでは、インスタンス・セキュリティ・ディテクタ・ルールを使用します:

リソース テナンシ当たりの数
対象となるインスタンスの数/リージョン 5
すぐに使用できるディテクタ・ルール 2
オンデマンド問合せ リージョン当たり月30日
スケジュール済問合せ 0

この例では、2つのシナリオを考慮して、オンデマンド問合せによってどのように機能するかを示します。

リージョン内のオンデマンド問合せは、月次制限として30個あります。

  1. 最初のオンデマンド問合せを実行し、25のアクティブ・インスタンスをターゲットにすると、すべてが成功し、25の結果が得られます。
  2. 2番目のオンデマンド問合せを実行し、25のアクティブ・インスタンスをターゲットとしますが、今回は、5つのランダムに選択されたインスタンスで5つの結果しか得られません。これは、月に5つのオンデマンド問合せしか残っていないためです。
  3. 3番目のオンデマンド問合せを実行し、1つのインスタンスのみをターゲットにすると、次のメッセージが表示されます。
    You have consumed free adhoc units for this month, your limit will reset next month

期限切れの問合せは、約15分後に月次制限に払い戻されます。

  1. 最初のオンデマンド問合せで25個のインスタンス(24個のアクティブ・エージェントと1個の非アクティブ・エージェント)がターゲット指定され、その結果、アクティブ・エージェントから24個の結果が期限切れになります。
  2. 2つ目のオンデマンド問合せを実行し、25個のインスタンス(24個のアクティブ・エージェントと1個の非アクティブ・エージェント)をターゲットにしました。今回は、5つのランダムに選択されたインスタンスで5つの結果しか得られません。これは、月に5つのオンデマンド問合せしか残っていないためです。
  3. 3番目のオンデマンド問合せを実行し、1つのインスタンスのみをターゲットにすると、次のメッセージが表示されます。
    You have consumed free adhoc units for this month, your limit will reset next month