ディテクタ・レシピ・リファレンス

説明: 新しい要塞インスタンスが作成されたときにアラートを生成します。

推奨事項: 権限のあるユーザーのみが要塞インスタンスを作成することを確認します。

バックグラウンド: 要塞は、プライベート・サブネット内のターゲット・ホストへのセキュアでシームレスなSSHアクセスをユーザーに提供しますが、直接パブリック・アクセスは制限します。

ルール・パラメータ:

• サービス・タイプ: 要塞
• リソース・タイプ:インスタンス
• リスク・レベル:低
• ラベル: Bastion

• デフォルト設定のままにします。

説明: 新しい要塞セッションが作成されたときにアラートを生成します。

推奨事項: 権限のあるユーザーのみが要塞セッションを作成することを確認します。

バックグラウンド: 要塞セッションは、プライベート・サブネット内のターゲット・ホストへのセキュアでシームレスな期限付きSSHアクセスを提供しますが、直接パブリック・アクセスは制限します。

ルール・パラメータ:

• サービス・タイプ: 要塞
• リソース・タイプ:インスタンス
• リスク・レベル:低
• ラベル: Bastion

• デフォルト設定のままにします。

説明: CAバンドルが更新されたときにアラートを生成します。

推奨事項: 権限のあるユーザーのみがCAバンドルを更新することを確認します。ユーザーに権限がない場合は、更新を取り消します。

バックグラウンド: CAバンドルは、ルート証明書および中間証明書を含むファイルです。バンドルのCAは、ユーザーの中間証明書を保証します。CAバンドルが更新されると、削除された中間証明書に関連付けられているユーザーは、CAによって保証されたリソースにアクセスできなくなります。同様に、追加された中間証明書に関連付けられているユーザーは、これらのリソースにアクセスできるようになります。

ルール・パラメータ:

• サービス・タイプ: 証明書
• リソース・タイプ:ユーザー
• リスク・レベル:中
• ラベル: Certificates

• デフォルト設定のままにします。

説明: 認証局(CA)バンドルが削除されたときにアラートを生成します。

推奨事項: 権限のあるユーザーのみがCAバンドルを削除することを確認します。ユーザーが認可されていない場合は、削除を取り消します。

バックグラウンド: CAバンドルは、ルート証明書および中間証明書を含むファイルです。バンドルのCAは、ユーザーの中間証明書を保証します。CAバンドルが削除されると、中間証明書に関連付けられているユーザーは、CAの保証を必要とするリソースにアクセスできなくなります。

ルール・パラメータ:

• サービス・タイプ: 証明書
• リソース・タイプ:ユーザー
• リスク・レベル:中
• ラベル: Certificates

• デフォルト設定のままにします。

説明: 認証局(CA)バンドルが取り消されたときにアラートを生成します。

推奨事項: 権限のあるユーザーのみがCAバンドルの中間証明書を取り消すことを確認します。ユーザーに権限がない場合は、取消しを取り消します。

バックグラウンド: CAバンドルの中間証明書が取り消されると、関連付けられたユーザーは、承認されたCAによってユーザーの中間証明書を保証する必要があるリソースにアクセスできなくなります。

ルール・パラメータ:

• サービス・タイプ: 証明書
• リソース・タイプ:ユーザー
• リスク・レベル:中
• ラベル: Certificates

• デフォルト設定のままにします。

説明: コンピュート・イメージがエクスポートされた場合にアラートを生成します。

推奨事項: 独自の情報を含むイメージは、適切なOCI管理者のみに許可されたエクスポート権限を使用して正しくタグ付けされる必要があります。

バックグラウンド: コンピュート・イメージは、データ・ドライブと同様に機密情報を含んでいる場合があります。独自の情報を含むことのあるイメージは、適切なOCI管理者のみに許可されたエクスポート権限を使用して正しく識別される必要があります。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:軽度
• ラベル: Compute。

• デフォルト設定のままにします。

説明:コンピュート・イメージがインポートされた場合にアラートを生成します。

推奨事項: 新しいイメージを環境に移行する予定のユーザーが、Oracleや信頼できるコンピュート管理者などの信頼できるソースからコンピュート・イメージをインポートしていることを確認します。

バックグラウンド: コンピュート・イメージは、コンピュート・インスタンスの基盤です。新しいイメージは、そのイメージから起動される将来のすべてのコンピュート・インスタンスに影響するため、インポート対象のイメージは信頼できる既知のソースから取得される必要があります。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:軽度
• ラベル: Compute。

• デフォルト設定のままにします。

説明: コンピュート・インスタンスが終了した場合にアラートを生成します。

推奨事項: IAMポリシーを使用してインスタンスの終了操作を制限します。

バックグラウンド: コンピュート・インスタンスは、重要な機能を提供している場合があります。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:高
• ラベル: Compute。

• デフォルト設定のままにします。

説明: コンピュート・イメージが更新された場合にアラートを生成します。

推奨:

次を確認します:

• 新しいイメージを環境に移行する予定のユーザーがイメージをインポートします。
• イメージは、Oracleや信頼できるコンピュート管理者などの信頼できるソースからインポートされます。

バックグラウンド: コンピュート・イメージは、コンピュート・インスタンスの基盤です。イメージの変更は、そのイメージから起動される将来のすべてのコンピュート・インスタンスに影響します。イメージとそれに関連する変更は、信頼できる既知のソースから取得される必要があります。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:低
• ラベル: Compute。

• デフォルト設定のままにします。

説明: データベース・システムが終了した場合にアラートを生成します。

推奨事項: 許可された管理者がデータベース・システムおよび関連データベースの終了を認可して実行していることを確認します。

バックグラウンド: データベース・システムは、機密データを保持し、重要な機能を提供している場合があります。データベース・システムを終了すると、システム、そのシステムで実行されているすべてのデータベース、およびシステムにアタッチされているすべてのストレージ・ボリュームが完全に削除されます。

ルール・パラメータ:

• サービス・タイプ: DBシステム
• リソース・タイプ:システム
• リスク・レベル:高
• ラベル: Database

• デフォルト設定のままにします。

説明: ユーザーのIAM APIキーが作成された場合にアラートを生成します。

推奨事項: APIキーを作成する権限のあるユーザーのみが、自分または他のユーザーのAPIキーを作成していることを確認します。

バックグラウンド: Oracle SDKまたは他の開発者ツールのいずれかを使用するには、APIキーが必要です。職務権限で必要としていないユーザーがこれらの開発者ツールを使用することは、セキュリティ脆弱性につながります。

ルール・パラメータ:

• (ステータス:無効)
• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:低
• ラベル: IAM

• グループ関連の操作を実行しているユーザーを確認する場合は、ルールを有効にします。
• 条件グループ: ユーザーのAPIキーを作成する権限を持つ管理グループにユーザーが属していない場合にのみ問題をトリガーします。

説明: ユーザーのIAM APIキーが削除された場合にアラートを生成します。

推奨事項: APIキーを作成および削除する権限のあるユーザーのみがAPIキーを削除していることを確認します。

バックグラウンド: Oracle SDKまたは他の開発者ツールのいずれかを使用するには、APIキーが必要です。Oracle開発者ツールで作業しているユーザーのAPIキーを削除すると、生産性に深刻な影響を与える可能性があります。

ルール・パラメータ:

• (ステータス:無効)
• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:低
• ラベル: IAM

• グループ関連の操作を実行しているユーザーを確認する場合は、ルールを有効にします。
• 条件グループ: ユーザーのAPIキーを削除する権限を持つ管理グループにユーザーが属していない場合にのみ問題をトリガーします。

説明: ユーザーのIAM認証トークンが作成された場合にアラートを生成します。

推奨事項: 権限のあるユーザーが、自分のIAM認証トークンを作成していることを確認します。

バックグラウンド: 認証トークンは、サードパーティAPIでの認証に使用できます。職務権限で必要としていないユーザーが認証トークンを使用することは、セキュリティ脆弱性につながります。ユーザー資格証明を参照してください。

ルール・パラメータ:

• (ステータス:無効)
• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:低
• ラベル: IAM

• グループ関連の操作を実行しているユーザーを確認する場合は、ルールを有効にします。
• 条件グループ: IAM認証トークンを作成する権限を持つ管理グループにユーザーが属していない場合にのみ問題をトリガーします。

説明: ユーザーのIAM認証トークンが削除された場合にアラートを生成します。

推奨事項: 権限のあるユーザーが、IAM認証トークンを削除していることを確認します。

バックグラウンド: 認証トークンは、サードパーティAPIでの認証に使用できます。職務権限で必要としていないユーザーが認証トークンを使用することは、セキュリティ脆弱性につながります。ユーザー資格証明を参照してください。

ルール・パラメータ:

• (ステータス:無効)
• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:低
• ラベル: IAM

• グループ関連の操作を実行しているユーザーを確認する場合は、ルールを有効にします。
• 条件グループ: IAM認証トークンを削除する権限を持つ管理グループにユーザーが属していない場合にのみ問題をトリガーします。

説明: IAM顧客キーが作成された場合にアラートを生成します。

推奨事項: 権限のあるユーザーのみに対してこれらのキーを作成していることを確認します。

バックグラウンド: 顧客秘密キーは、オブジェクト・ストレージでAmazon S3互換APIを使用するために作成されます。

ルール・パラメータ:

• (ステータス:無効)
• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:低
• ラベル: IAM

• グループ関連の操作を実行しているユーザーを確認する場合は、ルールを有効にします。
• 条件グループ: IAM顧客キーを作成する権限を持つ管理グループにユーザーが属していない場合にのみ問題をトリガーします。

説明: IAM顧客キーが削除された場合にアラートを生成します。

推奨事項: これらのキーの削除が予期されることを確認します。

バックグラウンド: 顧客秘密キーは、オブジェクト・ストレージでAmazon S3互換APIを使用するために作成されます。

ルール・パラメータ:

• (ステータス:無効)
• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:低
• ラベル: IAM

• グループ関連の操作を実行しているユーザーを確認する場合は、ルールを有効にします。
• 条件グループ: IAM顧客キーを削除する権限を持つ管理グループにユーザーが属していない場合にのみ問題をトリガーします。

説明: IAMグループが作成された場合にアラートを生成します。

推奨事項: 権限のあるユーザーのみがIAMグループを作成していることを確認します。

バックグラウンド: グループは、リソースおよび権限へのアクセスを制御します。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:グループ
• リスク・レベル:軽度
• ラベル: IAM

• デフォルト設定のままにします。

説明: IAMグループが削除された場合にアラートを生成します。

推奨事項: 権限のあるユーザーのみがIAMグループの削除を実行していることを確認します。

バックグラウンド: グループは、リソースおよび権限へのアクセスを制御します。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:グループ
• リスク・レベル:軽度
• ラベル: IAM

• デフォルト設定のままにします。

説明: IAM OAuth 2.0資格証明が作成された場合にアラートを生成します。

推奨事項: 権限のあるユーザーのみに対してこれらの資格証明を作成していることを確認します。

バックグラウンド: IAM OAuth 2.0資格証明は、OAuth 2.0認可を使用するサービスのAPIと対話するためのものです。ユーザー資格証明を参照してください。

ルール・パラメータ:

• (ステータス:無効)
• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:低
• ラベル: IAM

• グループ関連の操作を実行しているユーザーを確認する場合は、ルールを有効にします。
• 条件グループ: IAM OAuth 2.0資格証明を作成する権限を持つ管理グループにユーザーが属していない場合にのみ問題をトリガーします。

説明: IAM OAuth 2.0資格証明が削除された場合にアラートを生成します。

推奨事項: これらの資格証明の削除が予期されることを確認します。

バックグラウンド: IAM OAuth 2.0資格証明は、OAuth 2.0認可を使用するサービスのAPIと対話するためのものです。ユーザー資格証明を参照してください。

ルール・パラメータ:

• (ステータス:無効)
• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:低
• ラベル: IAM

• グループ関連の操作を実行しているユーザーを確認する場合は、ルールを有効にします。
• 条件グループ: IAM OAuth 2.0資格証明を削除する権限を持つ管理グループにユーザーが属していない場合にのみ問題をトリガーします。

説明: IAMユーザーの機能が編集された場合にアラートを生成します。

推奨事項: 権限のあるユーザーのみがIAMユーザーの機能を変更していることを確認します。

バックグラウンド: Oracle Cloud Infrastructureにアクセスするには、ユーザーは、APIキー、認証トークン、その他の資格証明などの必要な資格証明を持っている必要があります。

ルール・パラメータ:

• (ステータス:無効)
• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:低
• ラベル: IAM

• グループ関連の操作を実行しているユーザーを確認する場合は、ルールを有効にします。
• デフォルト設定のままにします。

説明: OCI IAMでローカル・ユーザーまたはフェデレーテッド・ユーザーが作成された場合にアラートを生成します。

推奨事項: 権限のあるユーザーのみがIAMユーザーを作成していることを確認します。

バックグラウンド: IAMユーザーは、会社のOracle Cloud Infrastructureリソースを管理または使用する必要がある個々の従業員またはシステムです。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:軽度
• ラベル: IAM

• デフォルト設定のままにします。

説明: ユーザーのコンソール・パスワードが作成またはリセットされた場合にアラートを生成します。

推奨事項: ユーザーのパスワードが、そのユーザーまたはパスワードをリセットする権限のある管理ユーザーによってリセットされていることを確認します。

バックグラウンド: ユーザーのパスワードを複数回リセットしたり、ユーザー・パスワードをリセットする権限のないユーザーがリセットしたりすると、セキュリティ・リスクが生じる可能性があります。

ルール・パラメータ:

• (ステータス:無効)
• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:低
• ラベル: IAM

• グループ関連の操作を実行しているユーザーを確認する場合は、ルールを有効にします。
• 条件グループ: ユーザー・パスワードをリセットする権限を持つ管理グループにユーザーが属していない場合にのみ問題をトリガーします。

説明: セキュリティ・ポリシーが変更された場合にアラートを生成します。

推奨:

バックグラウンド: ポリシーを変更すると、グループ内のすべてのユーザーに影響し、必要のない権限がユーザーに付与される場合があります。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:ポリシー
• リスク・レベル:低
• ラベル: CIS_OCI_V1.1_MONITORING、IAM

• デフォルト設定のままにします。

説明:マルチファクタ認証(MFA)が有効になっていないローカル・ユーザーが認証された場合にアラートを生成します。

推奨事項:すべてのユーザーがMFAを有効にしていることを確認します。

バックグラウンド:マルチファクタ認証(MFA)では、ユーザーを偽装するために複数の資格証明を危険にさらす必要があるため、セキュリティが向上します。権限のないユーザーは、2番目の認証要件を満たすことができず、環境にアクセスできなくなります。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:高
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、IAM

• デフォルト設定のままにします。

説明: ユーザーがグループに追加された場合にアラートを生成します。

推奨事項: ユーザーがグループのメンバーになる資格があることを確認します。

バックグラウンド: グループは、リソースおよび権限へのアクセスを制御します。機密グループは、メンバーシップの変更を詳細にモニターする必要があります。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:グループ
• リスク・レベル:軽度
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、IAM

• デフォルト設定のままにします。

説明: ユーザーがグループから削除された場合にアラートを生成します。

推奨事項: ユーザーがグループのメンバーになる資格があることを確認します。

バックグラウンド: グループは、リソースおよび権限へのアクセスを制御します。機密グループは、メンバーシップの変更を詳細にモニターする必要があります。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:軽度
• ラベル: IAM

• 条件グループ: このグループからユーザーを削除する権限を持つ管理グループにユーザーが属していない場合にのみ問題をトリガーします。

説明: 動的ルーティング・ゲートウェイ(DRG)がVCNにアタッチされた場合にアラートを生成します。

推奨事項: このDRGのVCNへのアタッチが許可され、リソース(ユーザー)によってこのコンパートメントで予期されることを確認します。

バックグラウンド: DRGは、IPSec VPNまたはFastConnectを使用して既存のオンプレミス・ネットワークを仮想クラウド・ネットワーク(VCN)に接続するために使用されます。

ルール・パラメータ:

• (ステータス:無効)
• サービスタイプ:ネットワーキング
• リソース・タイプ: DRG
• リスク・レベル:軽度
• ラベル: Network

• グループ関連の操作を実行しているユーザーを確認する場合は、ルールを有効にします。
• 条件グループ: VCNにDRGをアタッチする権限を持つ管理グループにユーザーが属していない場合にのみ問題をトリガーします。

説明: 動的ルーティング・ゲートウェイ(DRG)が作成された場合にアラートを生成します。

推奨事項: このDRGの作成が許可され、リソース(ユーザー)によってこのコンパートメントで予期されることを確認します。

バックグラウンド: DRGは、IPSEC VPNまたはFastConnectを使用して既存のオンプレミス・ネットワークを仮想クラウド・ネットワーク(VCN)に接続するために使用されます。

ルール・パラメータ:

• (ステータス:無効)
• サービスタイプ:ネットワーキング
• リソース・タイプ: DRG
• リスク・レベル:軽度
• ラベル: Network

• グループ関連の操作を実行しているユーザーを確認する場合は、ルールを有効にします。
• 条件グループ: DRGを作成する権限を持つ管理グループにユーザーが属していない場合にのみ問題をトリガーします。

説明: 動的ルーティング・ゲートウェイ(DRG)が削除された場合にアラートを生成します。

推奨事項: このDRGの削除が許可され、リソース(ユーザー)によって予期されることを確認します。

バックグラウンド: DRGは、IPSec VPNまたはFastConnectを使用して既存のオンプレミス・ネットワークを仮想クラウド・ネットワーク(VCN)に接続するために使用されます。

ルール・パラメータ:

• (ステータス:無効)
• サービスタイプ:ネットワーキング
• リソース・タイプ: DRG
• リスク・レベル:軽度
• ラベル: Network

• グループ関連の操作を実行しているユーザーを確認する場合は、ルールを有効にします。
• 条件グループ: DRGを削除する権限を持つ管理グループにユーザーが属していない場合にのみ問題をトリガーします。

説明: 動的ルーティング・ゲートウェイ(DRG)がVCNからデタッチされた場合にアラートを生成します。

推奨事項: このDRGのVCNからのデタッチが許可され、リソース(ユーザー)によってこのコンパートメントで予期されることを確認します。

バックグラウンド: DRGは、IPSec VPNまたはFastConnectを使用して既存のオンプレミス・ネットワークを仮想クラウド・ネットワーク(VCN)に接続するために使用されます。

ルール・パラメータ:

• (ステータス:無効)
• サービスタイプ:ネットワーキング
• リソース・タイプ: DRG
• リスク・レベル:軽度
• ラベル: Network

• グループ関連の操作を実行しているユーザーを確認する場合は、ルールを有効にします。
• 条件グループ: VCNからDRGをデタッチする権限を持つ管理グループにユーザーが属していない場合にのみ問題をトリガーします。

説明: サブネットが変更された場合にアラートを生成します。

推奨事項: VCNの変更が許可され、このコンパートメントで予期されることを確認します。

バックグラウンド: サブネットはVCNの下位区分です。同じサブネットで接続されているコンピュート・インスタンスは、同じルート表、セキュリティ・リストおよびDHCPオプションを使用します。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: サブネット
• リスク・レベル:低
• ラベル: Network

• デフォルト設定のままにします。

説明: サブネットが削除された場合にアラートを生成します。

推奨事項: マルチファクタ認証(MFA)を有効にして、ユーザーがログインしているユーザー本人であり、資格証明が侵害されていないことを確認します。

バックグラウンド: サブネットはVCNの下位区分です。同じサブネットで接続されているコンピュート・インスタンスは、同じルート表、セキュリティ・リストおよびDHCPオプションを使用します。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: サブネット
• リスク・レベル:低
• ラベル: Network

• デフォルト設定のままにします。

説明: 疑わしいIPアドレスからユーザーがログインするかAPI呼出しが行われた場合にアラートを生成します。適切なポリシーが設定されている場合は、クラウド・ガードの問題から脅威インテリジェンス・サービス内の疑わしいIPアドレスの詳細情報へのリンクを提供します。必要なポリシーの詳細は、脅威インテリジェンスIAMポリシーを参照してください。

推奨事項: マルチファクタ認証(MFA)を有効にして、ユーザーがログインしているユーザー本人であり、資格証明が侵害されていないことを確認します。

バックグラウンド: 疑わしいIPアドレスからログインするユーザーは、潜在的な脅威です。

ルール・パラメータ:

• サービス・タイプ: クラウド・ガード
• リソース タイプ:セキュリティ
• リスク・レベル:クリティカル
• ラベル: Network

• 構成: ルールの「入力設定」セクションで、CIDRブロックまたは特定のIPアドレスをブロックリストまたは許可リストに登録します。

説明: VCNが作成された場合にアラートを生成します。

推奨事項: 新しいVCNの作成が許可され、このコンパートメントで予期されることを確認します。

バックグラウンド: VCNは、Oracleデータ・センターで設定する仮想プライベート・ネットワークです。従来のネットワークと同様に、これにはファイアウォール・ルールおよび特定のタイプの通信ゲートウェイが含まれることがあります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: VCN
• リスク・レベル:低
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCNが作成された場合にアラートを生成します。

推奨事項: VCNの削除が許可され、このコンパートメントで予期されることを確認します。

バックグラウンド: VCNは、Oracleデータ・センターで設定する仮想プライベート・ネットワークです。従来のネットワークと同様に、これにはファイアウォール・ルールおよび特定のタイプの通信ゲートウェイが含まれることがあります。VCNの削除によって、ルーティング、FQDN解決およびその他のネットワーク操作が変更される可能性があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: VCN
• リスク・レベル:中
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCN DHCPオプションが変更された場合にアラートを生成します。

推奨事項: DHCPおよびDNS情報の変更が、このVCNと関連リソースで許可されていることを確認します。

バックグラウンド: DHCPオプションは、検索ドメインの指定や、VCN内の通信をインターネット・リソースに転送できるDNSリゾルバの指定など、VCNにあるインスタンスの特定のタイプの構成を制御します。VCNの変更によって、ルーティング、FQDN解決およびその他のネットワーク操作が変更される可能性があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: DHCP
• リスク・レベル:中
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCNインターネット・ゲートウェイが作成された場合にアラートを生成します。

推奨事項: インターネット・ゲートウェイの作成が、このVCNと関連リソースで許可されていることを確認します。

バックグラウンド: インターネット・ゲートウェイは、インターネットに対する直接接続(インバウンドまたはアウトバウンド)を可能にするためにVCNに追加できる仮想ルーターです。VCNの変更によって、ルーティング、FQDN解決およびその他のネットワーク操作が変更される可能性があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: インターネット・ゲートウェイ
• リスク・レベル:中
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCNインターネット・ゲートウェイが終了した場合にアラートを生成します。

推奨事項: インターネット・ゲートウェイの削除が、このVCNと関連リソースで許可されていることを確認します。

バックグラウンド: インターネット・ゲートウェイは、インターネットに対する直接接続(インバウンドまたはアウトバウンド)を可能にするためにVCNに追加できる仮想ルーターです。VCNの変更によって、ルーティング、FQDN解決およびその他のネットワーク操作が変更される可能性があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: インターネット・ゲートウェイ
• リスク・レベル:低
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCNローカル・ピアリング・ゲートウェイが変更された場合にアラートを生成します。

推奨事項: LPGの変更が、このVCNと関連リソースで許可されていることを確認します。

バックグラウンド: VCNローカル・ピアリング・ゲートウェイ(LPG)は、トラフィックをインターネット経由でルーティングせずに、同じリージョン内の2つのVCNを接続します。VCN内のLPGリソースは、プライベートIPアドレスと直接通信します。LPGの変更によって、リソース・アクセスおよびVCN間の通信が影響を受ける可能性があります。VCNの変更によって、ルーティング、FQDN解決およびその他のネットワーク操作が変更される可能性があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: ローカル・ピアリング・ゲートウェイ
• リスク・レベル:中
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCNのNSGが削除された場合にアラートを生成します。

推奨事項: NSGの削除が、このVCNと関連リソースで許可されていることを確認します。

バックグラウンド: ネットワーク・セキュリティ・グループ(NSG)は、コンピュート・インスタンスおよび他の種類のリソースの仮想ファイアウォールとして機能します。NSGには、VCN内の仮想NICのセットに適用される一連のインバウンド(イングレス)およびアウトバウンド(エグレス)・セキュリティ・ルールがあります。NSGの削除によって、VCN内のリソース間の保護が失われ、リソースへのアクセス拒否またはデータ損失が発生する可能性があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: ネットワーク・セキュリティ・グループ
• リスク・レベル:高
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCNのNSGエグレス・ルールが変更された場合にアラートを生成します。

推奨事項: 新しいエグレス・ルールが、このNSGと関連リソースで許可されていることを確認します。

バックグラウンド: ネットワーク・セキュリティ・グループ(NSG)は、コンピュート・インスタンスおよび他の種類のリソースの仮想ファイアウォールとして機能します。NSGには、VCN内の仮想NICのセットに適用される一連のインバウンド(イングレス)およびアウトバウンド(エグレス)・セキュリティ・ルールがあります。エグレス・ルールの変更によって、リソースへのアクセスが拒否される可能性があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: ネットワーク・セキュリティ・グループ
• リスク・レベル:中
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCNのNSGイングレス・ルールが変更された場合にアラートを生成します。

推奨事項: 新しいイングレス・ルールが、このNSGと関連リソースで許可されていることを確認します。

バックグラウンド: ネットワーク・セキュリティ・グループ(NSG)は、コンピュート・インスタンスおよび他の種類のリソースの仮想ファイアウォールとして機能します。NSGには、VCN内の仮想NICのセットに適用される一連のインバウンド(イングレス)およびアウトバウンド(エグレス)・セキュリティ・ルールがあります。NSGイングレス・ルールの変更によって、VCN内の新しいリソースおよびVNICへの接続とトラフィックが許可される可能性があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: ネットワーク・セキュリティ・グループ
• リスク・レベル:中
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCNのルート表が変更された場合にアラートを生成します。

推奨事項: ルート表の変更が許可され、このコンパートメントで予期されることを確認します。

バックグラウンド: 仮想ルート表には、従来のネットワーク・ルート・ルールのように動作するルールがあります。ルート表が正しく構成されていないと、送信されたネットワーク・トラフィックが破棄(ブラックホール化)されたり、意図しないターゲットに送信されたりする可能性があります。VCNの変更によって、ルーティング、FQDN解決およびその他のネットワーク操作が変更される可能性があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: ルート表
• リスク・レベル:中
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCNのセキュリティ・リストが作成された場合にアラートを生成します。

推奨事項: このセキュリティ・リストの作成が、このVCNと関連リソースで許可されていることを確認します。

バックグラウンド: セキュリティ・リストは、コンピュート・インスタンスおよびその他のリソースの仮想ファイアウォールとして機能し、そのセキュリティ・リストに関連付けられたサブネット内のすべてのVNICに適用されるイングレスおよびエグレス・ルールのセットで構成されます。複数のセキュリティ・リストがリソースに適用され、それらのリソースのポートおよびIPアドレスへのアクセス権が付与される場合があります。VCNの変更によって、ルーティング、FQDN解決およびその他のネットワーク操作が変更される可能性があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: セキュリティ・リスト
• リスク・レベル:低
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCNのセキュリティ・リストが削除された場合にアラートを生成します。

推奨事項: このセキュリティ・リストの削除が、このVCNと関連リソースで許可されていることを確認します。

バックグラウンド: セキュリティ・リストは、コンピュート・インスタンスおよびその他のリソースの仮想ファイアウォールとして機能し、そのセキュリティ・リストに関連付けられたサブネット内のすべてのVNICに適用されるイングレスおよびエグレス・ルールのセットで構成されます。複数のセキュリティ・リストがリソースに適用され、それらのリソースのポートおよびIPアドレスへのアクセス権が付与される場合があります。VCNの変更によって、ルーティング、FQDN解決およびその他のネットワーク操作が変更される可能性があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: セキュリティ・リスト
• リスク・レベル:中
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCNセキュリティ・リストのエグレス・ルールが変更された場合にアラートを生成します。

推奨事項: エグレス・ルールの変更が、このセキュリティ・リストと関連リソースで許可されていることを確認します。

バックグラウンド: セキュリティ・リストは、コンピュート・インスタンスおよびその他のリソースの仮想ファイアウォールとして機能し、そのセキュリティ・リストに関連付けられたサブネット内のすべてのVNICに適用されるイングレスおよびエグレス・ルールのセットで構成されます。複数のセキュリティ・リストがリソースに適用され、それらのリソースのポートおよびIPアドレスへのアクセス権が付与される場合があります。VCNの変更によって、ルーティング、FQDN解決およびその他のネットワーク操作が変更される可能性があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: セキュリティ・リスト
• リスク・レベル:中
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCNセキュリティ・リストのイングレス・ルールが変更された場合にアラートを生成します。

推奨事項: イングレス・ルールの変更が、このセキュリティ・リストと関連リソースで許可されていることを確認します。

バックグラウンド: セキュリティ・リストは、コンピュート・インスタンスおよびその他のリソースの仮想ファイアウォールとして機能し、そのセキュリティ・リストに関連付けられたサブネット内のすべてのVNICに適用されるイングレスおよびエグレス・ルールのセットで構成されます。複数のセキュリティ・リストがリソースに適用され、それらのリソースのポートおよびIPアドレスへのアクセス権が付与される場合があります。VCNの変更によって、ルーティング、FQDN解決およびその他のネットワーク操作が変更される可能性があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: セキュリティ・リスト
• リスク・レベル:中
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: コンピュート・インスタンスにパブリックIPアドレスが割り当てられている場合にアラートを生成します。

推奨事項: すべてのインスタンスへのインターネット・アクセスを許可することは、慎重に検討してください。たとえば、機密性の高いデータベース・インスタンスへのインターネット・アクセスを誤って許可しないようにします。

バックグラウンド: インスタンスをパブリックにアドレス指定可能にするには、次の要件があります:

• パブリックIPアドレスを持ちます
• パブリック仮想コンピュータ・ネットワーク(VCN)のサブネットに存在します
• アウトバウンド・トラフィック用に構成されたインターネット・ゲートウェイが有効になっているVCN上にあります
• すべてのIPアドレスおよびすべてのポート(0.0.0.0/0)に対してセキュリティ・リストが構成されているサブネット上にあります

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:高
• ラベル: CIS_OCI_V1.0_NETWORK、CIS_OCI_V1.1_NETWORK、Compute

• インスタンスからのパブリックIPの削除: インスタンスからエフェメラル・パブリックIPを削除するにはの手順に従います。

説明: コンピュート・インスタンスがOracleパブリック・イメージから構築されていない場合にアラートを生成します。

推奨事項: すべてのインスタンスが、信頼できるソースから認可されたイメージを実行していることを確認します。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:低
• ラベル: Compute。

• デフォルト設定のままにします。

説明: インスタンスにパブリックにアクセス可能な場合にアラートを生成します。

推奨事項: すべてのインスタンスへのインターネット・アクセスを許可することは、慎重に検討してください。

バックグラウンド: インスタンスをパブリックにアドレス指定可能にするには、次の要件があります:

• パブリックIPアドレスを持ちます
• パブリックVCNサブネットに存在します
• アウトバウンド・トラフィック用に構成されたインターネット・ゲートウェイが有効になっているVCN上にあります
• すべてのIPアドレスおよびすべてのポート(0.0.0.0/0)に対してセキュリティ・リストが構成されているサブネット上にあります

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:クリティカル
• ラベル: Compute。

• 条件グループ: パブリックIPアドレスを割り当てる必要があるインスタンスOCIDをフィルタで除外します。

説明: 実行中のコンピュート・インスタンスがOracleパブリック・イメージから構築されている場合にアラートを生成します。

推奨事項: すべてのインスタンスが、信頼できるソースから認可されたイメージを実行していることを確認します。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:低
• ラベル: Compute。

• デフォルト設定のままにします。

説明: コンピュート・インスタンスが構成済の必須タグなしで実行されている場合にアラートを生成します。

推奨事項: インスタンスが必須タグを使用していることを確認します。

バックグラウンド: タグは、監査およびトラッキングのために重要です。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:中
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、TAGS

• 構成: ルールの「入力設定」セクションで、必須タグを追加します。

  これらの形式は、「入力設定」ボックスで使用できます。複数のエントリはカンマで区切ります。

  • <namespace>.<definedkey>=<definedValue>
  • <namespace>.<definedKey>
  • <freeformkey>=<freeformValue>
  • <freeformkey>

  次に例を示します。

  • <namespace>.<definedkey>=<definedValue>
    • Operations.Environment=Production - リソースに、Operationsネームスペースに設定されたタグ、Environmentという定義済のキーおよびProductionという定義済の値がある場合、ルールは問題をトリガーしません。
    • Operations.*=* - リソースに、Operationsネームスペースに設定されたタグ、任意の定義済のキーおよび任意の定義済の値がある場合、ルールは問題をトリガーしません。
  • <namespace>.<definedkey>
    • Operations.Environment - リソースに、Operationsネームスペースに設定されたタグ、Environmentという定義済のキーおよび任意の定義済の値がある場合、ルールは問題をトリガーしません。
  • <freeformKey>
    • Project - リソースに、フリーフォーム・キーProjectに設定されたタグがある場合、ルールは問題をトリガーしません。
  • <freeformKey>=freeformValue
    • Project=APPROVED - リソースに、APPROVEDという値を持つフリーフォーム・キーProjectに設定されたタグがある場合、ルールは問題をトリガーしません。

説明: データ・セーフが有効になっていないデータベースが検出された場合にアラートを生成します。

推奨事項:データベースを含む、クラウド・ガードがモニターしているすべてのコンパートメントで、データ・セーフが有効になっていることを確認します。開始を参照してください。

バックグラウンド: データ・セーフは、データベースが安全に構成されていることを確認するのに役立ちます。このサービスをアクティブ化して、Oracleクラウド・データベースのモニター、保護およびリスクの軽減に役立てる必要があります。

ルール・パラメータ:

• サービス・タイプ: データ・セーフ
• リソース・タイプ:テナント。
• リスク・レベル:高
• ラベル: Database Security

• デフォルト設定のままにします。

説明: データベースの自動バックアップが有効になっていない場合にアラートを生成します。

推奨事項: 自動バックアップが有効になっていることを確認します。

バックグラウンド: 自動バックアップを有効にすると、致命的なハードウェア障害が発生した場合に、データ損失を最小限に抑えてデータベースをリストアできます。

ルール・パラメータ:

• サービス・タイプ:データベース
• Resource Type: DBシステム
• リスク・レベル:高
• ラベル: Database

• 条件グループ: 開発者テスト環境のOCIDなど、自動的にバックアップする必要がないデータベースOCIDをフィルタで除外します。

説明: データ・セーフに登録されていないデータベース・インスタンスが検出された場合にアラートを生成します。

推奨事項: このデータベース・インスタンスをデータ・セーフに登録し、構成の評価とモニター、ユーザー・アクティビティの確認、リスクの軽減のための評価を構成します。ターゲット・データベースの登録を参照してください。

バックグラウンド: データ・セーフは、データベースが安全に構成されていることを確認するのに役立ちます。すべてのクラウド・データベース。このサービスをアクティブ化して、Oracleクラウド・データベースのモニター、保護およびリスクの軽減に役立てる必要があります。

ルール・パラメータ:

• サービス・タイプ: データ・セーフ
• リソース・タイプ:テナント。
• リスク・レベル:中
• ラベル: Database Security

• デフォルト設定のままにします。

説明: 指定した日数内に使用可能なデータベース・パッチが適用されていない場合にアラートを生成します。

推奨事項: リリースされたパッチが使用可能な場合は、データベースに適用します。

バックグラウンド: データベース・パッチは、機能、セキュリティおよびパフォーマンスの問題に対処します。ほとんどのセキュリティ違反は、使用可能なパッチを適用することで回避できます。

ルール・パラメータ:

• サービス・タイプ:データベース
• Resource Type: DBシステム
• リスク・レベル:中
• ラベル: Database

• 構成: ルールの「入力設定」セクションで、「パッチを適用するまでの日数」を設定します。
• 条件グループ: 開発者テスト環境のOCIDなど、最新のパッチを適用する必要がないデータベースOCIDをフィルタで除外します。

推奨事項: データベース・システムにパブリックIPアドレスが割り当てられていないことを確認します。

バックグラウンド: パブリックIPアドレスを使用してデータベースにアクセスすると、潜在的なセキュリティ・リスクおよびビジネス継続性リスクが高まります。

ルール・パラメータ:

• サービス・タイプ:データベース
• Resource Type: DBシステム
• リスク・レベル:高
• ラベル: Database

• 条件グループ: パブリックにする必要のあるデータベースOCIDをフィルタで除外します。

説明: データベースにパブリックにアクセス可能な場合にアラートを生成します。

推奨事項: すべてのデータベース・システムへのインターネット・アクセスを許可することは、慎重に検討してください。

バックグラウンド: データベースにパブリックにアクセスできるようにするには、次のことが必要です:

• パブリックIPアドレスを持ちます
• パブリックVCNサブネット内にあります。
• アウトバウンド・トラフィック用に構成されたインターネット・ゲートウェイが有効になっているサブネット上にあります。
• 次の場所にあります:
  • セキュリティ・リストにより、任意のソースCIDR範囲および「すべてのプロトコル」からのトラフィックが許可されるサブネット。または...
  • 任意のソースCIDR範囲および「すべてのプロトコル」からのトラフィックを許可するネットワーク・セキュリティ・グループ。

ルール・パラメータ:

• サービス・タイプ:データベース
• リソース・タイプ: ExadataBareMetalVM
• リスク・レベル:クリティカル
• ラベル: Database

• 条件グループ: パブリックにする必要のあるデータベースOCIDをフィルタで除外します。

説明: 使用可能なデータベース・システム・パッチが適用されていない場合にアラートを生成します。

推奨事項: リリースされたパッチが使用可能な場合は、データベース・システムに適用します。

バックグラウンド: 通常、データベース・システム・パッチには、既知のセキュリティ脆弱性を解消する更新が含まれます。

ルール・パラメータ:

• サービス・タイプ:データベース
• Resource Type: DBシステム
• リスク・レベル:中
• ラベル: Database

• 構成: ルールの「入力設定」セクションで、「パッチを適用するまでの日数」を設定します。
• 条件グループ: 開発者テスト環境のOCIDなど、最新のパッチを適用する必要がないデータベース・システムOCIDをフィルタで除外します。

説明: 認可されていないバージョンでデータベース・システムが実行されている場合にアラートを生成します。

推奨事項: デプロイされたデータベース・システム・バージョンが承認およびテストされていることを確認します。

バックグラウンド: データベース・システムの認可されていないバージョンを実行すると、セキュリティ違反の可能性が高くなり、データの機密性、整合性および可用性がリスクにさらされることがあります。

ルール・パラメータ:

• サービス・タイプ:データベース
• Resource Type: DBシステム
• リスク・レベル:クリティカル
• ラベル: Database

• 条件グループ: 開発者テスト環境のOCIDなど、認可されたバージョンを使用する必要がないデータベース・システムOCIDをフィルタで除外します。

説明: 認可されていないバージョンでデータベースが実行されている場合にアラートを生成します。

推奨事項: デプロイされたデータベース・バージョンが承認およびテストされていることを確認します。

バックグラウンド: データベースの認可されたバージョンには、最新のセキュリティ機能および脆弱性パッチが含まれます。データベースの認可されていないバージョンを実行すると、セキュリティ違反の可能性が高くなり、データの機密性、整合性および可用性がリスクにさらされることがあります。

ルール・パラメータ:

• サービス・タイプ:データベース
• Resource Type: DBシステム
• リスク・レベル:クリティカル
• ラベル: Database

• 条件グループ: 開発者テスト環境のOCIDなど、認可されたバージョンを使用する必要がないデータベースOCIDをフィルタで除外します。

説明: ユーザーに割り当てられているIAMの秘密/公開キー・ペアが古すぎる場合にアラートを生成します。

推奨事項: 少なくとも90日ごとにAPIキーを定期的にローテーションします。

バックグラウンド: 少なくとも90日ごとにIAM APIキーを変更することが、セキュリティのベスト・プラクティスです。IAM資格証明が変更されない時間が長くなるほど、セキュリティ侵害のリスクが高まります。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ: IAMKey
• リスク・レベル:中
• ラベル: CIS_OCI_V1.0_IAM、CIS_OCI_V1.1_IAM、IAM

• 構成: (オプション)ルールの「入力設定」セクションで90日の値を変更できます。

説明: IAM認証トークンが指定した最大日数より古い場合にアラートを生成します。

推奨事項: 少なくとも90日ごとにIAM認証トークンを定期的にローテーションします。

バックグラウンド: 少なくとも90日ごとにIAM認証トークンを変更することが、セキュリティのベスト・プラクティスです。IAM認証トークンが変更されない時間が長くなるほど、セキュリティ侵害のリスクが高まります。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:中
• ラベル: CIS_OCI_V1.1_IAM, IAM

• 構成:ルールの入力設定セクションで、IAM認証トークンの最大数(90)を設定します。

説明: IAM顧客秘密キーが指定した最大日数より古い場合にアラートを生成します。

推奨事項: 少なくとも90日ごとにIAM顧客秘密キーを定期的にローテーションします。

バックグラウンド: 少なくとも90日ごとにIAM顧客秘密キーを変更することが、セキュリティのベスト・プラクティスです。IAM顧客秘密キーが変更されない時間が長くなるほど、セキュリティ侵害のリスクが高まります。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:中
• ラベル: CIS_OCI_V1.1_IAM, IAM

• 構成:ルールの入力設定セクションで、IAM顧客秘密キーの最大数(90)を設定します。

説明: IAMグループのメンバー数が指定した最小数より少ない場合にアラートを生成します。

推奨事項: 指定した最小メンバー数より少ないグループ・メンバーの数を増やします。

バックグラウンド: IAMグループ・メンバーシップによって、リソースおよび機能へのアクセス権が高い頻度で付与されます。メンバーが少なすぎるグループ・メンバーシップは、過剰な権限が孤立している(どのユーザーも使用できなくなった)ことを表している可能性があります。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:グループ
• リスク・レベル:低
• ラベル: IAM

• デフォルト設定のままにします。

説明: IAMグループのメンバー数が指定した最大数より多い場合にアラートを生成します。

推奨事項: 指定した最大メンバー数より少なくなるようにグループ・メンバーの数を減らします。

バックグラウンド: IAMグループ・メンバーシップによって、リソースおよび機能へのアクセス権が高い頻度で付与されます。メンバーが多すぎるグループ・メンバーシップは、過剰に許可された権限が多くのユーザーに付与されていることを表している可能性があります。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:グループ
• リスク・レベル:中
• ラベル: IAM

• デフォルト設定のままにします。

説明: IAMパスワードが指定した最大日数より古い場合にアラートを生成します。

推奨事項: 少なくとも90日ごとにIAMパスワードを定期的にローテーションします。

バックグラウンド: 少なくとも90日ごとにIAMパスワードを変更することが、セキュリティのベスト・プラクティスです。IAM資格証明が変更されない時間が長くなるほど、セキュリティ侵害のリスクが高まります。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:中
• ラベル: CIS_OCI_V1.0_IAM、CIS_OCI_V1.1_IAM、IAM

• 構成: ルールの「入力設定」セクションで、パスワードの最大日数(デフォルトは90)を設定します。

説明: パスワード・ポリシーが複雑性要件を満たしていません。

推奨事項: 強力なパスワード・ポリシーには少なくとも1つの小文字を含めることをお薦めします。

バックグラウンド: 複雑なパスワードは推測しにくく、不正アクセスやデータ漏洩の可能性が低下します。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:ポリシー
• リスク・レベル:低
• ラベル: CIS_OCI_V1.1_IAM、CIS_OCI_V1.0_IAM、IAM

• デフォルト設定のままにします。

説明: IAMポリシーによって、管理者グループのメンバー以外のユーザーに管理者ロールのアクセス権が付与される場合にアラートを生成します。

推奨事項: ジョブ機能の実現に必要なリソースへのアクセスを特定のユーザーのみに許可するようポリシーが制限されていることを確認します。

バックグラウンド: ポリシーは、会社が保有するどのOCIリソースに誰がどのようにアクセスできるかを指定するドキュメントです。ポリシーは、グループが特定のコンパートメント内の特定のタイプのリソースを特定の方法で処理することを許可します。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:ポリシー
• リスク・レベル:中
• ラベル: CIS_OCI_V1.1_IAM、CIS_OCI_V1.0_IAM、IAM

• 構成: ルールの「入力設定」セクションで、これらの権限を許可する必要があるグループのOCIDを追加します。

説明: テナンシ管理者権限が必要以上のIAMグループに付与されている場合にアラートを生成します。

推奨事項: OCI管理者に、この資格付与が認可されており、管理者権限の付与後もグループのメンバーシップが有効なままであることを確認します。

バックグラウンド: デフォルトのテナンシ管理者グループ・メンバーは、そのテナンシ内のすべてのリソースに対して任意のアクションを実行できます。この高い権限の資格は、各自の職務権限を実行するために必要なユーザーのみに制限する必要があります。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:ポリシー
• リスク・レベル:低
• ラベル: CIS_OCI_V1.1_IAM、CIS_OCI_V1.0_IAM、IAM

• 構成: ルールの「入力設定」セクションで、管理者権限を割り当てる必要があるグループのOCIDを追加します。

説明: ユーザーがマルチファクタ認証(MFA)を有効にしていない場合にアラートを生成します。

推奨事項: 各ユーザーのモバイル・デバイス上のOracle Mobile Authenticator (OMA)アプリケーションと、ユーザーの登録済電子メール・アドレスに送信されるワンタイム・パスコード(OTP)を使用して、すべてのユーザーに対してMFAを有効にします。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:クリティカル
  ノート
  
  組織が2023年4月より前にクラウド・ガードの使用を開始した場合、デフォルトのリスク・レベルはMEDIUMです。
• ラベル: CIS_OCI_V1.0_IAM、CIS_OCI_V1.1_IAM、IAM

• デフォルト設定のままにします。

説明: ユーザーがAPIキーを有効にしている場合にアラートを生成します。

推奨事項: APIキーを介した管理者によるOCIアクセスが例外として実行されることを確認します。IAM資格証明をソフトウェアまたはドキュメントに直接ハードコードして広く公開しないでください。

バックグラウンド: IAM APIキーは、プログラムによるリソースへのアクセス権の付与に使用される資格証明です。実際の人間のユーザーはAPIキーを使用しないでください。

ルール・パラメータ:

• サービス・タイプ: IAM
• リソース・タイプ:ユーザー
• リスク・レベル:低
• ラベル: CIS_OCI_V1.0_IAM、CIS_OCI_V1.1_IAM、IAM

• デフォルト設定のままにします。

説明: 指定した期間内にKMSキーがローテーションされなかった場合にアラートを生成します。

推奨事項: KMSキーを定期的にローテーションしていることを確認します。

バックグラウンド: 情報セキュリティのために、定期的にパスワード、キーおよび暗号情報を変更またはローテーションする必要があります。KMSのキーをローテーションすると、キー侵害の影響および可能性が減少します。最小値を設定します。ルールの「入力設定」セクションで、キーをローテーションするデフォルトの期間を180日から変更できます。

ルール・パラメータ:

• サービス・タイプ: KMS
• リソース・タイプ: KMSキー
• リスク・レベル:クリティカル
• ラベル: CIS_OCI_V1.1_MONITORING、KMS

• 構成: ルールの「入力設定」セクションで、キーをローテーションするデフォルトの期間を設定します。

説明: 指定したタグ付け要件に準拠するようにリソースがタグ付けされていない場合にアラートを生成します。

推奨事項: 構成されたタグがコンピュート・イメージ、コンピュート・インスタンス、データベース・システム、VCN、オブジェクト・ストレージおよびストレージ・ブロック・ボリュームで使用されていることを確認します。

バックグラウンド: 構成されたタグがコンピュート・イメージ、コンピュート・インスタンス、データベース・システム、VCN、オブジェクト・ストレージおよびストレージ・ブロック・ボリュームで使用されていることを確認します。

ルール・パラメータ:

• サービス・タイプ:複数
• リソース・タイプ:複数
• リスク・レベル:低
• ラベル: CIS_OCI_V1.0_MONITORING、CIS_OCI_V1.1_MONITORING、TAGS

• 構成: ルールの「入力設定」セクションで、適切なタグを追加します。

説明: ロード・バランサでoci-wider-compatible-ssl-cipher-suite-v1の暗号スイートが構成されている場合にアラートを生成します。この暗号スイートには、脆弱とみなされ、攻撃を受けやすいDESやRC4などのアルゴリズムが含まれます。事前定義された暗号スイートにのみ適用可能で、カスタム暗号スイートの値には適用できません。

推奨事項: より強力な暗号化をサポートするデフォルトの最新の暗号スイートを使用してください。

バックグラウンド: DESなどのアルゴリズムを使用する暗号スイートの特定のバージョンは、推奨されません。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: ロード・バランサ
• リスク・レベル:中
• ラベル: Network

• デフォルト設定のままにします。

説明: Transport Layer Security (TLS) 1.2より前のバージョンを含むSSLポリシーの一部としてロード・バランサにプロトコルが構成されている場合にアラートを生成します。

推奨事項: 構成されているSSLポリシー・バージョンがTLS 1.2以上であることを確認します。

バックグラウンド: 古いバージョンは、リスクが高く、多くのタイプの攻撃に対して脆弱です。PCI-DSSやNISTなどの複数の標準で、TLS 1.2の使用が強く推奨されています。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: ロード・バランサ
• リスク・レベル:高
• ラベル: Network

• デフォルト設定のままにします。

説明: ロード・バランサに関連付けられたバックエンド・セットがない場合にアラートを生成します。

推奨事項: 定義済のインスタンスがロード・バランサのヘルスおよびアクセスを制御できるように、バックエンド・セットを持つロード・バランサを構成していることを確認します。

バックグラウンド: バックエンド・セットは、ロード・バランシング・ポリシー、ヘルス・チェック・ポリシー、およびバックエンド・サーバーのリストによって定義される論理エンティティです。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: ロード・バランサ
• リスク・レベル:クリティカル
• ラベル: Network

• デフォルト設定のままにします。

説明: オープン・ソース(0.0.0.0/0)からのトラフィックを受け入れるイングレス・ルールがロード・バランサのセキュリティ・リストに含まれる場合にアラートを生成します。

推奨事項: OCIロード・バランサが、インバウンド・ルールまたはリスナーを使用して既知のリソースからのアクセスのみを許可していることを確認します。

バックグラウンド: OCIロード・バランサによって、クライアントのアプリケーションとVCN間のエンドツーエンドTLS接続が可能になります。リスナーは、ロード・バランサのIPアドレスに対する受信トラフィックをチェックする論理エンティティです。TCP、HTTPおよびHTTPSトラフィックを処理するには、トラフィック・タイプごとに1つ以上のリスナーを構成する必要があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: ロード・バランサ
• リスク・レベル:軽度
• ラベル: Network

• デフォルト設定のままにします。

説明: ロード・バランサがパブリックIPアドレスで実行されている場合にアラートを生成します。

推奨事項: パブリックにアクセス可能にする必要のないすべてのロード・バランサがプライベートIPアドレスで実行されていることを確認します。

バックグラウンド: パブリックに使用可能なコンテンツに使用することを意図していないロード・バランサ上のパブリックIPアドレスによって、不必要なセキュリティ脆弱性が作成されます。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: ロード・バランサ
• リスク・レベル:高
• ラベル: Network

• 条件グループ: パブリックIPアドレスを割り当てる必要があるロード・バランサのOCIDをフィルタで除外します。

説明: ロード・バランサのSSL証明書が指定した期間内に期限切れになるように設定されている場合にアラートを生成します。

推奨事項: 証明書が適切な間隔でローテーションされていることを確認します。

バックグラウンド: 継続的なセキュリティおよびユーザビリティを確保するには、SSL証明書をOCIでローテーションする必要があります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: ロード・バランサ
• リスク・レベル:クリティカル
• ラベル: Network

• 構成: ルールの「入力設定」セクションで、「失効前の日数」(デフォルトは48)を設定します。

説明: ネットワーク・セキュリティ・グループ(NSG)のエグレス・ルールに、許可されない宛先IPアドレスおよびポート番号が含まれている場合にアラートを生成します。

推奨事項: IP/ポートと通信するためのエグレス・ルールがこのNSGで許可されていることを確認します。

バックグラウンド: NSGは、コンピュート・インスタンスおよび他の種類のリソースの仮想ファイアウォールとして機能します。NSGのアウトバウンド(エグレス)・セキュリティ・ルールは、VCNの仮想NICのセットに適用され、特定のポートおよびIPアドレスへのアクセスを許可します。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: ネットワーク・セキュリティ・グループ
• リスク・レベル:中
• ラベル: CIS_OCI_V1.0_NETWORK、CIS_OCI_V1.1_NETWORK、Network

• 構成: ルールの「入力設定」セクションで、許可されないポートを追加します。

説明: ネットワーク・セキュリティ・グループのイングレス・ルールに、許可されない宛先IPアドレスおよびポート番号が含まれている場合にアラートを生成します。

推奨事項: IP/ポートと通信するためのイングレス・ルールがこのNSGで許可されていることを確認します。

バックグラウンド: NSGは、コンピュート・インスタンスおよび他の種類のリソースの仮想ファイアウォールとして機能します。NSGのインバウンド(イングレス)・セキュリティ・ルールは、VCNの仮想NICのセットに適用され、特定のポートおよびIPアドレスへのアクセスを許可します。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: ネットワーク・セキュリティ・グループ
• リスク・レベル:高
• ラベル: CIS_OCI_V1.0_NETWORK、CIS_OCI_V1.1_NETWORK、Network

• 構成: ルールの「入力設定」セクションで、許可されないポートを追加します。

説明: VCNがインターネット・ゲートウェイにアタッチされている場合にアラートを生成します。

推奨事項: インターネット・ゲートウェイがVCNへのアタッチを認可され、このアタッチメントでインターネットにリソースが公開されないことを確認します。イングレス/インバウンド・ルールを含むセキュリティ・リストが、すべてのIPアドレス0.0.0.0/0からのアクセスを許可するように構成されていないことを確認します。

バックグラウンド: ゲートウェイは、VCN内のホストへの外部接続を提供します。これには、インターネット接続のためのインターネット・ゲートウェイ(IGW)が含まれます。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: VCN
• リスク・レベル:低
• ラベル: CIS_OCI_V1.0_NETWORK、CIS_OCI_V1.1_NETWORK、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCNがローカル・ピアリング・ゲートウェイにアタッチされている場合にアラートを生成します。

推奨事項: ローカル・ピアリング・ゲートウェイがVCNへのアタッチを認可され、このアタッチメントでインターネットにリソースが公開されないことを確認します。

バックグラウンド: ゲートウェイは、VCN内のホストへの外部接続を提供します。これには、ピアリング済VCNへの接続のためのローカル・ピアリング・ゲートウェイ(LPG)が含まれます。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: VCN
• リスク・レベル:低
• ラベル: CIS_OCI_V1.0_NETWORK、CIS_OCI_V1.1_NETWORK、CIS_OCI_V1.1_MONITORING、Network

• デフォルト設定のままにします。

説明: VCNにインバウンド・セキュリティ・リストがない場合にアラートを生成します。

推奨事項: OCI VCNが、イングレスまたはインバウンド・ルールを含むセキュリティ・リストを使用して、既知のリソースからのアクセスのみを許可していることを確認します。

バックグラウンド: セキュリティ・リストは、インスタンスへのネットワーク・アクセスを制御するステートフルおよびステートレス・ファイアウォール機能を提供します。セキュリティ・リストは、サブネット・レベルで構成され、インスタンス・レベルで適用されます。ネットワーク・パケットが許可されているサブネットがセキュリティ・リスト内のいずれかのルールと一致する場合は、そのサブネットに複数のセキュリティ・リストを適用できます。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: VCN
• リスク・レベル:中
• ラベル: Network

• デフォルト設定のままにします。

説明: VCNセキュリティ・リストで、オープン・ソース(0.0.0.0/0)からの非パブリック・ポートへの無制限のトラフィックが許可されている場合にアラートを生成します。

推奨事項: VCNセキュリティ・リストを使用して、サブネット内のインスタンスへのネットワーク・アクセスを制限します。コンピュート・インスタンスに対する不正アクセスまたは攻撃を防ぐために、次をお薦めします:

• VCNセキュリティ・リストを使用して、認可されたCIDRブロックからのSSHまたはRDPアクセスのみを許可します
• コンピュート・インスタンスをインターネット(0.0.0.0/0)に対して公開しないでください

バックグラウンド: VCNには、ネットワーク・アクセス制御を適用し、VCNトラフィックを保護するための機能のコレクションがあります。セキュリティ・リストは、インスタンスへのネットワーク・アクセスを制御するステートフルおよびステートレス・ファイアウォール機能を提供します。セキュリティ・リストは、サブネット・レベルで構成され、インスタンス・レベルで適用されます。ネットワーク・パケットが許可されているサブネットがセキュリティ・リスト内のいずれかのルールと一致する場合は、そのサブネットに複数のセキュリティ・リストを適用できます。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: VCN
• リスク・レベル:クリティカル
• ラベル: CIS_OCI_V1.0_NETWORK、CIS_OCI_V1.1_NETWORK、Network

• デフォルト設定のままにします。

説明: VCNセキュリティ・リストで、セキュリティ・リストのイングレス・ルールの一部として特定の制限ポート(「入力設定」、「制限付きプロトコル: ポート・リスト」を参照)が許可されている場合にアラートを生成します。

推奨事項: OCI VCNが、イングレス・ルールまたはインバウンド・ルールを使用して、このディテクタ・ルールの「入力」設定の「制限されたプロトコル: ポート・リスト」にリストされているポートを含まないセキュリティ・リストを使用していることを確認します。問題の追加詳細セクションには、この問題をトリガーした特定の開いている制限ポートがリストされます。

バックグラウンド: セキュリティ・リストは、インスタンスへのネットワーク・アクセスを制御するステートフルおよびステートレス・ファイアウォール機能を提供します。セキュリティ・リストは、サブネット・レベルで構成され、インスタンス・レベルで適用されます。ネットワーク・パケットが許可されているサブネットがセキュリティ・リスト内のいずれかのルールと一致する場合は、そのサブネットに複数のセキュリティ・リストを適用できます。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: VCN
• リスク・レベル:軽度
• ラベル: CIS_OCI_V1.0_NETWORK、CIS_OCI_V1.1_NETWORK、Network

• 構成:
  • ルールの「入力設定」セクションで、必要に応じて「制限付きプロトコル: ポート・リスト」を変更します。

  ポート・リストを手動で入力することも、定義した1つ以上のセキュリティ・リストの名前を入力することもできます。セキュリティ・リストを参照してください。

説明: 仮想ネットワーク・インタフェース・カード(VNIC)にNSGが関連付けられていない場合にアラートを生成します。

推奨事項: すべてのVNICにNSGが関連付けられていることを確認します。

バックグラウンド: VNICは、コンピュート・インスタンスなどのリソースがVCNに接続できるようにするネットワーキング・コンポーネントです。VNICは、VCN内外でインスタンスがエンドポイントに接続する方法を決定します。各VNICは、VCNのサブネット内に存在します。NSGがないVNICによって接続の問題がトリガーされることがあります。

ルール・パラメータ:

• サービスタイプ:ネットワーキング
• リソース・タイプ: VCN
• リスク・レベル:軽度
• ラベル: Network

• 構成: ルールの「入力設定」セクションで、必要に応じて「制限付きプロトコル: ポート・リスト」を変更します。

説明: Oracle Vulnerability Scanning Service (VSS)がコンテナをスキャンし、既知のサイバーセキュリティの脆弱性を識別した場合にアラートを生成します。このルールを使用するには、スキャン・サービスでホスト・スキャン・レシピとホスト・スキャン・ターゲットを作成する必要があります。スキャンのドキュメントのスキャン: 開始を参照してください。

推奨事項: OSパッチを適用するなど、脆弱性ごとにドキュメントに記載されている推奨アクションを実行します。

バックグラウンド: スキャン・サービスは、アプリケーション、ライブラリ、オペレーティング・システムおよびサービスの脆弱性を識別します。データベースの各脆弱性には、個別の識別子(CVE)があります。

ルール・パラメータ:

• サービス・タイプ: スキャン、コンピュート
• リソース・タイプ:コンテナ
• リスク・レベル:クリティカル
• ラベル: VSS

• デフォルト設定のままにします(すべてのCVEが検出されます)。

説明: Oracle Vulnerability Scanning Service (VSS)がコンピュート・インスタンス(ホスト)をスキャンし、オープン・ポートを識別した場合にアラートを生成します。このルールを使用するには、スキャン・サービスでホスト・スキャン・レシピとホスト・スキャン・ターゲットを作成する必要があります。スキャンのドキュメントのスキャン: 開始を参照してください。

推奨事項: 識別されたポートを確認し、このホストで開かないように決定した場合は閉じます。

バックグラウンド: サービスの操作や配信には一定のポートが必要ですが、意図する以上に用意されたオープン・ポートは、サービスの悪用に使用される可能性があります。

ルール・パラメータ:

• サービス・タイプ: スキャン、コンピュート
• 「リソース・タイプ」:コンピュート
• リスク・レベル:クリティカル
• ラベル: VSS

• 構成:無視するポートをルールの「入力設定」セクションの「許可されたポート」リストに追加します。
  ノート
  
  

  ルールの「入力設定」セクションの「許可されたポート」リストと「許可されていないポート」リストの両方に同じポート番号を追加すると、「許可されていないポート」リストが優先されます。クラウド・ガードでポートが開いていることが検出されると、問題が引き続きトリガーされます。

説明: Oracle Vulnerability Scanning Service (VSS)がコンピュート・インスタンス(ホスト)をスキャンし、既知のサイバーセキュリティの脆弱性を識別した場合にアラートを生成します。このルールを使用するには、スキャン・サービスでホスト・スキャン・レシピとホスト・スキャン・ターゲットを作成する必要があります。スキャンのドキュメントのスキャン: 開始を参照してください。

推奨事項: OSパッチを適用するなど、脆弱性ごとにドキュメントに記載されている推奨アクションを実行します。

バックグラウンド: スキャン・サービスは、アプリケーション、ライブラリ、オペレーティング・システムおよびサービスの脆弱性を識別します。データベースの各脆弱性には、個別の識別子(CVE)があります。

ルール・パラメータ:

• サービス・タイプ: スキャン、コンピュート
• 「リソース・タイプ」:コンピュート
• リスク・レベル:クリティカル
• ラベル: VSS

• デフォルト設定のままにします(すべてのCVEが検出されます)。

説明: ブロック・ボリュームがOracle管理キーで暗号化されている場合にアラートを生成します。

推奨事項: このボリュームにKMSキーを割り当てます。

バックグラウンド: ボリュームを暗号化すると、データのセキュリティ・レベルが向上します。暗号化キーの管理は、保護されたデータの保護およびアクセスに不可欠です。一部の顧客は、ブロック・ボリューム暗号化のOracle管理キーとユーザー管理キーの識別を希望します。

ルール・パラメータ:

• サービス・タイプ:ストレージ
• リソース・タイプ: ブロック・ボリューム
• リスク・レベル:軽度
• ラベル: KMS

• Oracle管理キー: ブロック・ボリュームを保護するために推奨されます。
• ユーザー管理キー:
  • 可能なかぎりKMSを使用します。
  • プラクティスに準拠するようにコンパートメントにOracleセキュリティ・ゾーンを実装します。
• 条件グループ: 大量のボリュームがあるため、使用を避けてください。

説明: 関連付けられたインスタンスにブロック・ボリュームがアタッチされていない場合にアラートを生成します。

推奨事項: ボリュームがアタッチされていることを確認します。

ルール・パラメータ:

• サービス・タイプ:ストレージ
• リソース・タイプ: ブロック・ボリューム
• リスク・レベル:中
• ラベル: Storage

• 条件グループ: 大量のボリュームがあるため、使用を避けてください。

説明: バケットがパブリックの場合にアラートを生成します。

推奨事項: バケットのパブリック・アクセスが容認されていることを確認し、そうでない場合はバケット・ポリシーを制限してジョブ機能の実現に必要なリソースへのアクセスを特定のユーザーのみに許可するようOCI管理者に依頼します。

バックグラウンド: オブジェクト・ストレージでは、バケットへの匿名の未認証アクセスがサポートされます。匿名ユーザーに対して読取りアクセスが有効になっているパブリック・バケットでは、オブジェクト・メタデータの取得、バケット・オブジェクトのダウンロードおよびオプションでバケット・コンテンツのリストを誰でも行うことができます。

ルール・パラメータ:

• サービス・タイプ:ストレージ
• リソース・タイプ:バケット
• リスク・レベル:クリティカル
• ラベル: CIS_OCI_V1.1_ObjectStorage、ObjectStorage

• 条件グループ: パブリックにする必要のあるバケットは、バケット名(<namespace>/<name>)をフィルタで除外します。

説明: オブジェクト・ストレージ・バケットがOracle管理キーで暗号化されている場合にアラートを生成します。

推奨:このバケットにVaultキーを割り当てます。

バックグラウンド: ストレージ・バケットを暗号化すると、データのセキュリティ・レベルが向上します。暗号化キーの管理は、保護されたデータの保護およびアクセスに不可欠です。一部の顧客は、ストレージ・バケット暗号化のOracle管理キーの識別を希望します。

ルール・パラメータ:

• サービス・タイプ:ストレージ
• リソース・タイプ:バケット
• リスク・レベル:軽度
• ラベル: CIS_OCI_V1.1_ObjectStorage、ObjectStorage、KMS

• 構成:このルールは、多くのクラウド・ガード演算子にとって重要ではない可能性がある問題が発生する可能性があるため、OCI構成ディテクタではデフォルトで無効になっています。このルールを有効にする場合は、Oracle管理キーで暗号化しない特定のバケットのみをターゲットにするように条件グループを慎重に設定してください。Vaultでユーザー管理キーを使用して厳密なキー制御を行う必要がある場合は、Oracleセキュリティ・ゾーン・コンパートメントを作成し、そのコンパートメントにリソースを作成します。

説明:オブジェクト・ストレージ・バケットに対して読取りアクセス・ログが有効になっていない場合にアラートを生成します。

推奨事項:読取りログがバケットに対して有効になっていること、およびログがセキュリティ・ツールによって継続的に監視されていることを確認してください。

バックグラウンド:アクセス・ログは、オブジェクト・ストレージ・バケット内のオブジェクトに対する読取りおよび書込み操作に関するアクティビティを可視化することで、機密オブジェクトを保護するのに役立ちます。

ルール・パラメータ:

• サービス・タイプ:ストレージ
• リソース・タイプ:バケット
• リスク・レベル:低
• ラベル: CIS_OCI_V1.1_ObjectStorage、ObjectStorage

• 構成:このルールは、OCI構成ディテクタではデフォルトで無効になっており、そこで有効にすることはできません。このルールを使用可能にする:
  1. OCI Configuration Detectorのクローニング。OCIディテクタ・レシピのクローニングを参照してください。
  2. OCI構成ディテクタのユーザー管理(クローン)コピーでルールを有効にします。OCIディテクタ・レシピのルール設定の編集を参照してください。
  3. ルールを有効にするすべてのターゲットに、OCI構成ディテクタのユーザー管理(クローン)コピーをアタッチします。「OCIターゲットおよびそのアタッチされたレシピの編集」を参照してください。

説明:オブジェクト・ストレージ・バケットに対して書込みアクセス・ログが有効になっていない場合にアラートを生成します。

推奨事項:書込みログがバケットに対して有効になっていること、およびログがセキュリティ・ツールによって継続的に監視されていることを確認してください。

バックグラウンド:アクセス・ログは、オブジェクト・ストレージ・バケット内のオブジェクトに対する読取りおよび書込み操作に関するアクティビティを可視化することで、機密オブジェクトを保護するのに役立ちます。

ルール・パラメータ:

• サービス・タイプ:ストレージ
• リソース・タイプ:バケット
• リスク・レベル:低
• ラベル: CIS_OCI_V1.1_MONITORING、CIS_OCI_V1.1_ObjectStorage、ObjectStorage

• 構成:このルールは、OCI構成ディテクタではデフォルトで無効になっており、そこで有効にすることはできません。このルールを使用可能にする:
  1. OCI Configuration Detectorのクローニング。OCIディテクタ・レシピのクローニングを参照してください。
  2. OCI構成ディテクタのユーザー管理(クローン)コピーでルールを有効にします。OCIディテクタ・レシピのルール設定の編集を参照してください。
  3. ルールを有効にするすべてのターゲットに、OCI構成ディテクタのユーザー管理(クローン)コピーをアタッチします。sを参照してください。

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明: インスタンス・セキュリティがインストールされていないか、予期したとおりに実行されていないことを検出します。たとえば:

InstanceOCID: <redacted>, currently in active state. The agent was last detected on 2024-03-19 21:11:27.41, more than 24 hours ago

推奨事項:このアラートを受信する理由はいくつかあります:

• コンピュート・ホストが停止しており、インスタンス・セキュリティ・エージェントが24時間以上ホストに到達できない場合。コンピュート・ホストを調査して、これが行われたかどうかを確認します。
• インスタンス・セキュリティ・ポリシーが正しくない場合。すべてのこれらのポリシーが追加されていることを確認します。
• インスタンス・セキュリティの最新バージョンが存在しない場合。Oracle Cloud Agent (OCA)はホスト上のインスタンス・セキュリティ・エージェントを自動的に更新するため、これが発生していない場合は次を確認してください:

  Linuxの場合:

  1. Oracle Cloud Agent (OCA)が有効化され、インスタンスで実行されていますか。

     sudo systemctl status oracle-cloud-agent.service

  2. インスタンス・セキュリティ・プラグインが実行されているかどうかを確認します。インスタンス・セキュリティ・エージェントのライフ・サイクルの管理を担当します。インスタンス・セキュリティ・プラグインが実行されているが、この問題がある場合、インスタンス・セキュリティ・エージェントに何か問題があるか、プラグインで4xxエラーが発生し、エージェントがインストールされていないか、実行されていないことを意味します。

     pgrep oci-wlp

  3. インスタンス・セキュリティ・プラグインがログで404エラーを取得しているかどうかを確認します。

     sudo vim /var/log/oracle-cloud-agent/plugins/oci-wlp/oci-wlp.log

  4. インスタンス・セキュリティ・エージェントがインスタンスで実行されていることを確認します。

     sudo systemctl status wlp-agent-osqueryd.service

     コマンド出力にエラーがある場合は、サービスを再起動してみてください。

     sudo systemctl restart wlp-agent-osqueryd.service

  Windowsの場合:

  1. インスタンスのOracle Cloud Agent (OCA)でインスタンス・セキュリティ・プラグインが有効になっていることを確認します。
     1. 「スタート・メニュー」→「Windows管理ツール」→「サービス」に移動します。
     2. Oracle Cloud Agent Cloud Guardワークロード保護のステータスを確認します。それが走っていることを示すはずです。
     3. 停止している場合は、右クリックして「開始」を選択します。
  2. インスタンス・セキュリティ・エージェントがインスタンスで実行されているかどうかを確認します。
     1. 「スタート・メニュー」→「Windows管理ツール」→「サービス」に移動します。
     2. wlp-agentサービスのステータスを確認します。それが走っていることを示すはずです。
     3. 停止している場合は、右クリックして「開始」を選択します。

問題を見つけて修正したら、この問題が解決するまで24時間かかります。24時間経過しても表示され、前述のステップを再確認した場合は、Oracleサポートに連絡してください。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:高
• ラベル:インスタンス・セキュリティ

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明: WMIは、Windowsベースのオペレーティング・システムでの管理データおよび操作のためのインフラストラクチャです。これは、スクリプトの実行に使用されるサービス・レベルのプロセスであり、スクリプト端末の起動やペイロードのダウンロードの試行に使用できます。

推奨事項:システム・メカニズムを使用して永続性を確立したり、権限を高めたりする可能性のある、新しく構築されたWMIオブジェクトをモニターします。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:高
• ラベル: MITRE_T1546

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明: Windowsセキュリティ機能の潜在的な無効化を検出します。たとえば:

Windows security service in stopped state: windefend

推奨事項: Windowsセキュリティ・ルールを無効にすると、リソースが危険にさらされる可能性があります。リスクを評価し、適用可能なルールを再アクティブ化します。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:高
• ラベル: MITRE_T1562.001

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明:これは、複数のアカウントで同じパスワードを繰り返し使用するという、Windowsアカウントでのパスワード・スプレーを示すことができます。

推奨事項:問題のユーザー・アカウントが、ログインしようとしている実際のユーザーかどうかを確認します。

マルチファクタ認証を使用します。可能な場合は、外部向けサービスでマルチファクタ認証を有効にします。パスワードが推測されないように、ログイン試行に一定回数失敗した後、アカウントをロックするポリシーを設定します。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:高
• ラベル: MITRE_T1110

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明:これは、アウトバウンド・ネットワーク接続を行うプロセスを検索しようとしています。また、アプリケーションがアウトバウンド接続を行って更新を検索することも珍しくありません。

推奨事項:これを調査し、接続しようとしているIPを特定します。実行可能ファイルの普及、予想される場所にあるかどうか、および有効なデジタル署名で署名されているかどうかを確認します。さらなる調査のためにインスタンスを分離することを検討してください。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:中
• ラベル: MITRE_TA0011

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明:これは、アウトバウンド・ネットワーク接続を行うプロセスを検索しようとしています。また、アプリケーションがアウトバウンド接続を行って更新を検索することも珍しくありません。

推奨事項:これを調査し、接続しようとしているIPを特定します。実行可能ファイルの普及、予想される場所にあるかどうか、および有効なデジタル署名で署名されているかどうかを確認します。さらなる調査のためにインスタンスを分離することを検討してください。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:中
• ラベル: MITRE_TA0011

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明:脅威アクターは、WebシェルをHTTPサービスにアップロードすることが一般的です。これは、Apacheなどの一般的なHTTPサービスでオープンソケットを探します。

推奨事項: Webサーバー・パスにサーバー・ポートがリスニングされているファイルがあることが想定されているかどうか、システム所有者に確認します。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:中
• ラベル: MITRE_T1505.003

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明:システム・プロセスで可能なリバース・シェルを返します。次に例を示します。

Possible reverse shell on system process (pid | path | remote_address | remote_port): 10129 | /usr/bin/bash | | 0, 10164 | /usr/bin/bash | | 0]

推奨事項:リバース・シェルに接続しているIPのリストを収集し、IPが不正な評価リストにあるかどうかを判断します。リバース・シェルPIDに関連付けられた他のプロセスがあるかどうかを調べます。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:高
• ラベル: MITRE_T1505.003

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明:マルウェアは、ユーザー権限領域から実行しようとします。この問合せでは、一時領域に制限し、コマンドラインで環境の横方向/再接続に使用される共通ツールを確認します。

推奨事項:バイナリを調査して、それが正当な実行であるかどうかを判断します。さらなる調査のためにインスタンスを分離することを検討してください。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:高
• ラベル: MITRE_T1059

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明:不正なパスを介して正当なWindowsプロセスとしてマスカレードしようとしているプロセスを検出します。次に例を示します。

Process masquerading as legitimate windows process explorer.exe at path(s): c:\users\opc\downloads\new folder\explorer\bin\debug\explorer.exe

推奨事項:ファイルのハッシュを収集し、それが既知の不正なバイナリであるかどうかを判断します。マスカレードバイナリが呼び出しを試みているのか、システム上のほかのファイルを実行しようとしているのかを確認します。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:高
• ラベル: MITRE_T1574.009

このルールは、次のレシピに存在します。

• OCIインスタンス・セキュリティ・ディテクタ・レシピ- エンタープライズ(Oracle管理)
• OCIインスタンス・セキュリティ・ディテクタ・レシピ(Oracle管理)

説明:ネットワーク接続をリスニングしているプロセスを検出します。次に例を示します。

Disallowed open ports: {"scannedIps":[{"hostIp":"127.0.0.53","ports":[{"port":"53","type":null,"process":"systemd-resolve : /lib/systemd/systemd-resolved","family":"ipv4","protocol":"tcp"}

推奨事項:これらのポートをこのホストで開いているかどうかを確認し、開いている必要がない場合は閉じます。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:クリティカル
• ラベル: MITRE_T1505.003

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明: SSHトンネルを作成するためのリスニング・モードのPuttyを探しています。

推奨事項: Puttyプロセスに接続しているIPアドレスのリストを収集し、疑わしいと思われるIPアドレスを調査します。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:高
• ラベル: MITRE_T1572

このルールは、次のレシピに存在します。

• OCIインスタンス・セキュリティ・ディテクタ・レシピ- エンタープライズ(Oracle管理)
• OCIインスタンス・セキュリティ・ディテクタ・レシピ(Oracle管理)

説明:コンピュート・インスタンスをスキャンして、アプリケーション、ライブラリ、オペレーティング・システムおよびサービスに関連する既知のサイバーセキュリティ脆弱性を識別します。このディテクタは、構成されたCVE重大度レベル以上でインスタンスが1つ以上の脆弱性を検出したときに問題を報告します。選択したレベルより低いCVE重大度レベルの脆弱性には、クラウド・ガードの問題は作成されませんが、クラウド・ガードの「リソース」ページに表示される集計済の問題の一部として反映されます。

推奨事項:検出された脆弱性を確認し、優先順位を付けます。脆弱性に適した修正または軽減措置を講じます。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:クリティカル
• ラベル:インスタンス・セキュリティ

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明:一般的なスクリプト・ツールで作成されているリバース・シェル。

推奨事項:スクリプトの機能を確認し、スクリプトが接続しようとしているIPも確認します。可能な場合は、署名付きスクリプトの実行のみを許可します。必要に応じてアプリケーション制御を使用します。

.

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:高
• ラベル: MITRE_T1059

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明:リスニング・モードでPuttyを探し、Linux組込みのターミナル・コマンドのSSHトンネルを作成します。

推奨事項: Puttyプロセスに接続しているIPアドレスのリストを収集し、疑わしいと思われるIPアドレスを調査します。

可能な場合は、署名付きスクリプトの実行のみを許可します。必要に応じてアプリケーション制御を使用します。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:高
• ラベル: MITRE_T1572

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明:マルウェアは、定期的なスケジュールで実行されているcronジョブを使用してバックドアをチェックできます。

推奨事項:バイナリを調査して、それが正当な実行であるかどうかを判断します。さらなる調査のためにインスタンスを分離することを検討してください。

可能な場合は、署名付きスクリプトの実行のみを許可します。必要に応じてアプリケーション制御を使用します。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:中
• ラベル: MITRE_T1547

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明:マルウェアは、一時フォルダから実行されているスケジュール済タスクを使用して、再起動時にバックドアを再実行できます。

推奨事項:バイナリを調査して、それが正当な実行であるかどうかを判断します。さらなる調査のためにインスタンスを分離することを検討してください。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:高
• ラベル: MITRE_T1053

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明:マルウェアがバックドアを日常的なスケジュールで実行できるようにするために使用する一般的なメカニズム。scheduled_tasks表を参照し、一時フォルダ内のファイルのみを指すように検索を制限します。

推奨事項:バイナリを調査して、それが正当な実行であるかどうかを判断します。さらなる調査のためにインスタンスを分離することを検討してください。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:高
• ラベル: MITRE_T1547

このルールは、OCIインスタンス・セキュリティ・ディテクタ・レシピ— エンタープライズ(Oracle管理)レシピに存在します。

説明:マルウェアは、再起動時に再度バックドアを実行する起動を使用できます。

推奨事項:バイナリを調査して、それが正当な実行であるかどうかを判断します。さらなる調査のためにインスタンスを分離することを検討してください。

ルール・パラメータ:

• サービス・タイプ:コンピュート
• リソース・タイプ:インスタンス
• リスク・レベル:中
• ラベル: MITRE_T1547

説明: 問題のしきい値を超えるリスク・スコアを生成するアクティビティをユーザーが実行した場合にアラートを生成します。これは、アカウント侵害や内部脅威を示しています。敵対者は、パスワードが不明な場合に、総当たり手法を使用してアカウントにアクセスできます。ユーザーは、割り当てられた権限を悪用して、ビジネス要件を超えてタスクを実行でき、組織に悪影響を及ぼす可能性があります。

推奨事項: アクティビティの調査中にアカウントを一時的に無効にし、ユーザーがアクティビティを認識していない場合はパスワードのリセットを要求することを検討してください。

バックグラウンド: 問題のしきい値を超えるユーザーのリスク・スコアは、アカウントの侵害や不満を抱いている従業員を示している可能性があります。

ルール・パラメータ: このルールには、変更できるパラメータはありません。

• デフォルト設定のままにします。