クラウド・ガードの開始

Oracle Cloud Guardの概念を参照し、前提条件を満たしていることを確認し、最初にクラウド・ガードを有効にしてから、定期的にクラウド・ガードにアクセスします。

クラウド・ガードの計画

クラウド・ガードを有効にして構成する前に、クラウド・ガード機能をどのように環境にマップするかについて時間をかけて計画しておくと、後で時間を節約できることがあります。

クラウド・ガードを有効にして、環境のモニターをすぐに開始できます。実行する必要があるのは、モニターするOracle Cloud Infrastructureのブランチの最上位レベル・コンパートメントにマップする単一のターゲットを指定することのみです。その後、クラウド・ガードで検出された問題の処理に関する経験に基づいて、時間の経過とともにクラウド・ガード構成をカスタマイズできます。クラウド・ガード構成を継続的にカスタマイズして、2つの目的に沿ってパフォーマンスを最適化できます:

潜在的なセキュリティ・リスクを表すものが検出されないようにします。
誤検出(実際には潜在的なセキュリティ・リスクを表していない問題)の数が多くなりすぎないようにします。

一定の計画を立てると、この2つの目的に沿って有利に作業を開始できます。実行する必要があるのは、Oracle Cloud Infrastructureテナンシのリソースがコンパートメントにどのように編成されているかを調査することのみです。

環境の調査

Oracle Cloud Infrastructureテナンシのコンパートメント階層の異なる部分に格納されているリソースのタイプを調査します。異なるタイプの脅威を検出するために、そのコンパートメント階層の異なる部分に異なる方法でモニターする必要があるリソースのグループはありますか。異なるコンパートメントで検出された同じ問題は、異なるリスク・レベルを表しますか。

クラウド・ガードでは、異なる方法でモニターできるOracle Cloud Infrastructureテナンシ内の様々な領域を定義できます。トレードオフとして、定義された領域内のすべてのコンパートメントが、同じ方法でモニターされます。

クラウド・ガードの用語の理解

「クラウド・ガードの概念」では、クラウド・ガードでの作業時に学習する用語を定義します。次のリストに、クラウド・ガードの計画を開始するために知っておく必要があることをまとめます。

ターゲット: クラウド・ガードでチェックする対象の範囲を定義します。ターゲット内のすべてのコンパートメントは同じ方法でチェックされ、検出された問題を処理するために同じオプションを使用します。
ディテクタ: アクティビティまたは構成に基づいて、潜在的なセキュリティの問題を識別するためのチェックを実行します。問題を識別するために従うルールは、ターゲット内のすべてのコンパートメントで同じです。
レスポンダ: ディテクタが問題を識別したときにクラウド・ガードが実行できるアクションを指定します。識別した問題を処理する方法のルールは、ターゲット内のすべてのコンパートメントで同じです。

クラウド・ガードのディテクタ・レシピの理解

様々なディテクタについては、ディテクタ・レシピ・リファレンスの各項で説明されているルールを参照してください。環境内で:

クラウド・ガードによってまったくモニターしないコンパートメントはありますか。その場合、それらのコンパートメントを除外するように1つ以上のターゲットを定義する必要があります。
Oracle Cloud Infrastructureコンパートメント階層の異なる部分にあるリソースに対して、リスク・レベルを別々に設定したり、ルールを別々に有効化および無効化したりすることを検討していますか?コンパートメントごとに異なるディテクタ・ルールを構成するには、それらのコンパートメントに対して個別のターゲットを定義する必要があります。
たとえば、「バケットがパブリックです」構成ルールの場合、デフォルトのリスク・レベルは「クリティカル」で、ルールはデフォルトで有効になります。これらの設定をすべてのコンパートメントで同じにする必要がありますか。
ディテクタが識別した問題に対するレスポンダ・レシピ・アクションを無効にできます。特定のレスポンダ・ルールのアクションを一部のコンパートメントで有効にし、その他で無効にする場合は、それらのコンパートメントに対して個別のターゲットを定義する必要があります。
たとえば、「バケットをプライベートにする」レスポンダ・ルールはデフォルトで有効になります。設計上すべてのバケットがパブリックであるコンパートメントがあり、このルールを無効にできますか。

ターゲットをコンパートメントにマップする方法の計画

この時点で複数のターゲットを定義する必要がなく、前提条件を完了している場合は、クラウド・ガードの有効化に進むことができます。必要に応じて、後からいつでもターゲット構成を変更できます。

異なるコンパートメントを異なる方法でモニターできるようにターゲットを設定する必要がある場合は、ターゲットをコンパートメントにマップする際に次のガイドラインに留意してください:

ターゲットのすべてのコンパートメントは、そのターゲットの構成を継承します。ターゲットに対するディテクタおよびレスポンダ・ルールの設定は、そのターゲットに割り当てられた最上位レベル・コンパートメントと、コンパートメント階層内でその下位にあるすべてのコンパートメントに適用されます。
一部のコンパートメントをモニタリングから除外する場合は、ルート・レベルの下位にターゲットを作成し、どのターゲットにもルート・コンパートメントを含めないでください。
既存のターゲット内で定義されたターゲットは、継承された構成をオーバーライドします。既存のターゲット内で、ターゲットの最上位レベル・コンパートメントの下位にあるコンパートメントを新しいターゲットに割り当てることができます。新しいターゲットに対するディテクタおよびレスポンダ・ルールの設定は変更可能で、それらの設定は、そのターゲットに割り当てられた最上位レベル・コンパートメントと、コンパートメント階層内でその下位にあるすべてのコンパートメントに適用されます。

レポート・リージョンを慎重に選択

クラウド・ガードを有効にすると、レポート・リージョンを選択するように求められます。レポート・リージョンの選択結果を慎重に検討してください:

選択したレポート・リージョンによって、組織は、レポート・リージョンがホストされている国のすべての法的要件に準拠するように拘束されます。
クラウド・ガードを有効にした後は、クラウド・ガードを無効にして再度有効にしないかぎり、レポート・リージョンを変更できません。
クラウド・ガードを無効にすると、すべてのカスタマイズおよび既存の問題(履歴を含む)は失われるため、それらのカスタマイズを手動でリストアする必要があります。
READを除くすべてのAPIコールは、レポート・リージョンで実行する必要があります。

クラウド・ガードを有効化するステップを開始する前に、レポート・リージョンに最適な決定を行ってください。

クラウド・ガードの有効化

OCIコンソールからOracle Cloud Guardを有効にするには、このタスクを実行します。

前提条件: 「前提条件」および「クラウド・ガードの計画」のタスクを完了します。

2つの戦略

クラウド・ガードを有効にするには、2つの基本的なアプローチのいずれかを使用できます:

デフォルト構成で開始: 有効化プロセスの完了後、できるだけ早くクラウド・ガードで問題のレポートを開始します。
有効化プロセス中にオプションの選択をスキップしないでください。
ノート

有効化プロセス中にオプションの選択をスキップすると、クラウド・ガードでは有効化プロセスの完了後に問題のレポートが自動的に開始されません。有効化中にオプション設定をスキップすると、指定したターゲットにディテクタ・レシピを追加するまで、クラウド・ガードでは問題のレポートが開始されません。OCIターゲットとそのアタッチされたレシピの編集を参照してください。
最初に構成をカスタマイズ: クラウド・ガードで問題のレポートを開始する前に、クラウド・ガードの構成をカスタマイズします。
有効化プロセス中に、オプションの選択の一部または全部をスキップできます。

どのアプローチを使用してクラウド・ガードを有効にしても、有効化後に必要に応じてクラウド・ガード構成を調整できます。

クラウド・ガードを有効にするステップ

前提条件の「クラウド・ガード・ユーザーおよびグループの作成」の項で作成したOracle Cloud GuardユーザーとしてOCIコンソールにログインします。
ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「クラウド・ガード」で、任意のリソースをクリックします。

ノート

クリックしたクラウド・ガード・リソースのページが開いた場合、クラウド・ガードはすでに有効です。
「クラウド・ガード」ページで、右上にある「クラウド・ガードの有効化」ボタンをクリックして、「クラウド・ガードの有効化」ダイアログ・ボックスを開きます。
「クラウド・ガード・ポリシー」パネルには、クラウド・ガードが完全に機能するために有効にする必要があるすべてのOCIポリシーのリストが表示されます。右側の列は、次のとおりです。
- ポリシーが現在有効になっていない場合は追加されません。
- ポリシーが現在有効になっている場合は「追加済」。
無効化後にクラウド・ガードを再度有効にしないかぎり、すべてのエントリは追加しないでください。

ノート

これらのポリシーは、クラウド・ガードでテナンシ内のOCIリソースをモニターできるようにする読取り専用権限です。これらのポリシーでは、クラウド・ガードにリソースの管理権限がありません。

例外: manage cloudevents-rulesポリシーにより、クラウド・ガードは監査イベント・サブスクリプション・ルールを作成できます。これは、クラウド・ガードが問題を検出するために不可欠です。クラウド・ガードのアクティビティ・ディテクタ・ルールは、テナンシ内の監査イベントを取り込んで分析することで機能します。クラウド・ガードは、監査イベントをサブスクライブできるように、テナンシにクラウド・イベント管理ルールを作成する必要があります。クラウド・ガードにNSGセキュリティ・ルールのリストを許可するには、USE権限が必要です。

「クラウド・ガードの有効化」ダイアログ・ボックスの「クラウド・ガード・ポリシー」パネルの下部にある「ポリシーの作成」をクリックすると、次のIAMポリシーが「クラウド・ガード・ポリシー」ポリシー・グループに自動的に追加されます:
```
allow service cloudguard to manage cloudevents-rules in tenancy where target.rule.type='managed'
allow service cloudguard to read audit-events in tenancy
allow service cloudguard to read authentication-policies in tenancy
allow service cloudguard to read autonomous-database-family in tenancy
allow service cloudguard to read compartments in tenancy
allow service cloudguard to read compute-management-family in tenancy
allow service cloudguard to read database-family in tenancy
allow service cloudguard to read data-safe-family in tenancy
allow service cloudguard to read dynamic-groups in tenancy
allow service cloudguard to read groups in tenancy
allow service cloudguard to read instance-family in tenancy
allow service cloudguard to read keys in tenancy
allow service cloudguard to read load-balancers in tenancy
allow service cloudguard to read log-groups in tenancy
allow service cloudguard to read object-family in tenancy
allow service cloudguard to read policies in tenancy
allow service cloudguard to read tenancies in tenancy
allow service cloudguard to read users in tenancy
allow service cloudguard to read vaults in tenancy
allow service cloudguard to read virtual-network-family in tenancy
allow service cloudguard to read volume-family in tenancy
allow service cloudguard to use network-security-groups in tenancy
```
1. 「クラウド・ガード・ポリシー」パネルの下部で、「ポリシーの作成」をクリックします。
  
  必要なポリシーがすべて正常に作成されると、右側の列のエントリが「追加済」になります。
2. 右側の列のエントリが「未追加」にまだ表示されている場合は、これらのポリシーを手動で追加します。
  OCIアイデンティティ・サービスの使用方法に応じて、次を参照してください:
  - アイデンティティ・ドメインを使用したIAM
  - アイデンティティ・ドメインを使用しないIAM
「次」をクリックして、「基本情報」パネルに進みます。
1. 「レポート・リージョン」を選択します。
  レポート・リージョンは、クラウド・ガードでサポートされているリージョンである必要があります。選択したリージョンがクラウド・ガードでサポートされていない場合は、別のリージョンを選択します。
  注意
  
  レポート・リージョンの選択は慎重に検討してください:
  - 選択したレポート・リージョンによって、組織は、レポート・リージョンがホストされている国のすべての法的要件に準拠するように拘束されます。
  - クラウド・ガードを有効にした後は、クラウド・ガードを無効にして再度有効にしないかぎり、レポート・リージョンを変更できません。
  - クラウド・ガードを無効にすると、すべてのカスタマイズおよび既存の問題(履歴を含む)は失われるため、それらのカスタマイズを手動でリストアする必要があります。
  - READを除くすべてのAPIコールは、レポート・リージョンで実行する必要があります。
2. 指定したレポート・リージョンの名前を記録していることを確認してください。
  
  有効化後に実行するすべての構成およびトラブルシューティング・タスクで、OCIホーム・リージョンではなくクラウド・ガード・レポート・リージョンを指定する必要があります。
  
  ノート
  
  レポート・リージョンの名前を確認するには、レポート・リージョンの表示を参照してください。
3. OCIテナンシでモニターするコンパートメントを指定します。
  次のいずれかのオプションを選択します:
  - 「すべて」では、すべてのコンパートメントをモニターします。
  - 「コンパートメントの選択」では、リストから選択して、指定したコンパートメントのみをモニターします。
  - 「なし」では、コンパートメントをモニターしません。ディテクタ・レシピを有効にする前に、それらの内容を単に表示する場合に「なし」を選択できます。
    
    ノート
    
    ここでの選択によって、クラウド・ガードがモニターするターゲットが定義されます。「デフォルト構成で開始」オプションを使用して有効にするには、「なし」を選択しないでください。
4. (オプション)リストから「構成ディテクタ・レシピ」を選択します。
  
  ノート
  
  「デフォルト構成で開始」オプションを使用して有効にするには、この選択をスキップしないでください。
5. (オプション)リストからアクティビティ・ディテクタ・レシピを選択します。
  
  ノート
  
  「デフォルト構成で開始」オプションを使用して有効にするには、この選択をスキップしないでください。
6. 「有効化」をクリックします。
  
  進行状況バーによって、「クラウド・ガード」ページの「クラウド・ガードの有効化」ボタンが置き換えられます。
  
  ノート
  
  無料のテナンシでこの段階に達した場合、有効化は続行されません。
有効化が完了したら、「クラウド・ガード」ページで「クラウド・ガードに移動」をクリックします。

クラウド・ガードの「概要」ページが表示され、ガイド・ツアーが開始されます。段階的に、

ノート

有効化プロセスで「Start with Default Configuration」アプローチに従った場合、問題に関する情報がクラウド・ガードにすぐに表示されます。問題の情報の表示が開始される時期は、環境、ターゲットとディテクタの構成、およびクラウド・ガードが検出する問題の数によって異なります。
ガイド・ツアーを実行して、「概要」ページの機能をよく理解します。

次の手順

ノート

有効化プロセスで従ったアプローチにかかわらず、クラウド・ガードは、新しいテナンシ内で、2つのOCI構成ディテクタ・ルールをデフォルトで無効にします。誤検出と見なされる過剰な数の問題をクラウド・ガードが生成しないようにするには、最初にこれらのルールを無効にする必要があります。これらのルールの詳細は、次を参照してください:

ヒント

デフォルトで有効になっているディテクタ・ルールによっては、特定の環境において過剰な数の問題が発生する可能性があります。ディテクタ・ルールを無効にできるようにするには、Oracle管理ディテクタ・レシピをクローニングして、ユーザー管理バージョンを作成する必要があります。OCIディテクタ・レシピのクローニングを参照してください。

過剰な数の問題を生成するユーザー管理レシピ・ルールごとに、誤検出と見なされる問題を迅速にクリアするには:

ルールによってこれらの誤検出が生成されなくなるように、変更するルール設定を決定します。
ディテクタ・レシピ・リファレンスでルールのリファレンス情報を参照してください。
ルールによってこれらの誤検出が生成されなくなるように、ルール設定を変更します。
OCIディテクタ・レシピのルール設定の編集を参照してください。
ルールを無効にします。
OCIディテクタ・レシピのルール設定の編集を参照してください。
ルールを再度有効にします。
OCIディテクタ・レシピのルール設定の編集を参照してください。

有効化プロセスで「デフォルト構成で開始」アプローチに従った場合、問題に関する情報の表示がクラウド・ガードですぐに開始されます。問題の情報の表示が開始される時期は、環境、ターゲットとディテクタの構成、およびクラウド・ガードが検出する問題の数によって異なります。
ノート
有効化プロセスで「最初に構成をカスタマイズ」アプローチに従った場合、有効化中にスキップしたすべての構成タスクを完了するまで、問題に関する情報が表示されません:
1. 1つ以上のターゲットを定義します。「OCIターゲットの作成」を参照してください。
2. オプション: Oracle管理ディテクタ・レシピをクローニングします。OCIディテクタ・レシピのクローニングを参照してください。
3. オプション: 環境に合うようにディテクタ・レシピをカスタマイズします。ユーザー管理のOCIディテクタ・レシピの編集を参照してください。
4. 各ターゲットにディテクタ・レシピを追加します。OCIターゲットとそのアタッチされたレシピの編集を参照してください。
クラウド・ガードが問題のレポートを開始した後で:
- クラウド・ガード構成を微調整して、環境の特定のニーズに対応するには、クラウド・ガードのベースOCI構成のカスタマイズを参照してください。
- 検出された問題のサマリー情報を解釈し、詳細にドリルダウンして特定の問題を解決するには、報告された問題の処理を参照してください。
- クラウド・ガードが他のOCIサービスと完全に統合されていることを確認するには、クラウド・ガードとその他のサービスの統合を参照してください。

クラウド・ガードと他のサービスの統合

クラウド・ガードと他のサービスとの統合をサポートするために必要な構成詳細が設定されていることを確認します。

「クラウド・ガードの有効化」のタスクと、「最初に構成をカスタマイズ」戦略を使用する場合の一部のフォローアップ・タスクの実行が終了した後、他のサービスとのすべての統合がスムーズに機能している必要があります。

後でクラウド・ガードとの統合をサポートする新しいサービスが使用可能になったら、クラウド・ガード構成の詳細が新しいサービスを正しくサポートしていることを確認する必要があります:

クラウド・ガード・ターゲットには、クラウド・ガードがモニターする必要のある新しいサービスのリソースが置かれているすべてのコンパートメントが含まれている必要があります。
新規サービスに固有のルールを含むクラウド・ガード・ディテクタ・レシピは、それらのクラウド・ガード・ターゲットにアタッチする必要があります。

クラウド・ガード構成の詳細がサービスを正しくサポートすることを確認するために従うステップを参照するには、次のいずれかのサービス名を展開します。

証明書サービス

前提条件: 証明書サービスがすでに有効化されており、正しく動作していることを確認します。

クラウド・ガードがまだ有効になっていない場合:
1. クラウド・ガードの有効化 - クラウド・ガードの有効化を参照してください。
  
  「デフォルト構成で開始」のステップに従います。
2. 「OCIアクティビティ・ディテクタ・レシピ」を有効にしていることを確認します。
3. クラウド・ガードで証明書サービスをモニターするOCIコンパートメントをカバーするクラウド・ガード・ターゲットを定義していることを確認します。
4. OCIアクティビティ・ディテクタ・レシピがクラウド・ガード・ターゲットにアタッチされていることを確認します。ターゲットの詳細の表示を参照してください。
  
  必要に応じて、ターゲットの作成またはターゲットに追加されたレシピの変更を参照してください。
クラウド・ガードがすでに有効化されている場合は、クラウド・ガード・テナンシに次のものがあることを確認します:
- クラウド・ガードで証明書サービスをモニターするすべてのOCIコンパートメントを含む、定義されたクラウド・ガード・ターゲット - ターゲットの詳細の表示を参照してください。
- これらの各ターゲットにアタッチされたOCIアクティビティ・ディテクタ・レシピ(Oracle管理またはユーザー管理) - ターゲットの詳細の表示を参照してください。
  必要に応じて、ターゲットの作成またはターゲットに追加されたレシピの変更を参照してください。
必要に応じて、OCIアクティビティ・ディテクタ・レシピ(Oracle管理またはユーザー管理)にリストされているこれらのルールの構成を絞り込みます - ターゲット・レシピのルール設定の変更を参照してください。
- CAバンドルが更新されました
- 認証局(CA)が削除されました
- 中間認証局(CA)が取り消されました
目標は、実際の問題を逃さず、誤検出が大量になることもないように、ルール構成を最適化することです。ルールの変更が必要かどうかを判断する前に、証明書サービスから生成される問題をしばらくモニターする必要がある場合があります。
クラウド・ガードの「問題」ページで証明書サービスから生成された問題を表示します - 問題リストの表示を参照してください。
証明書サービスの問題のみを表示するには、「ラベル = 証明書」を使用して「問題」リストをフィルタします。
ノート

「ラベル」・エントリでは大文字と小文字は区別されませんが、"certificates"の文字と正確に一致する必要があります。

データ・セーフ・サービス

前提条件: データ・セーフ・サービスがすでに有効化されており、正しく動作していることを確認します。データ・セーフ・サービスが有効になる前に次のステップを実行すると、クラウド・ガードによって、データベースが見つかったときにデータ・セーフを有効にする必要があることが警告されます。

クラウド・ガードがまだ有効になっていない場合:
1. クラウド・ガードの有効化 - クラウド・ガードの有効化を参照してください。
  
  「デフォルト構成で開始」のステップに従います。
2. 「OCI構成ディテクタ・レシピ」を有効にしていることを確認します。
3. クラウド・ガードでデータ・セーフ・サービスをモニターするOCIコンパートメントをカバーするクラウド・ガード・ターゲットを定義していることを確認します。
4. OCI構成ディテクタ・レシピがクラウド・ガード・ターゲットにアタッチされていることを確認します。ターゲットの詳細の表示を参照してください。
  
  必要に応じて、ターゲットの作成またはターゲットに追加されたレシピの変更を参照してください。
クラウド・ガードがすでに有効化されている場合は、クラウド・ガード・テナンシに次のものがあることを確認します:
- クラウド・ガードでデータ・セーフ・サービスをモニターするすべてのOCIコンパートメントを含む、定義されたクラウド・ガード・ターゲット - ターゲットの詳細の表示を参照してください。
- これらの各ターゲットにアタッチされたOCI構成ディテクタ・レシピ(Oracle管理またはユーザー管理) - ターゲットの詳細の表示を参照してください。
  必要に応じて、ターゲットの作成またはターゲットに追加されたレシピの変更を参照してください。
次のポリシーをクラウド・ガード・テナンシに追加して、データ・セーフ情報へのアクセスを有効にします:

allow service cloudguard to read data-safe-family in tenancy

allow service cloudguard to read autonomous-database-family in tenancy
必要に応じて、OCI構成ディテクタ・レシピ(Oracle管理またはユーザー管理)にリストされているこれらのルールの構成を絞り込みます - ターゲット・レシピのルール設定の変更を参照してください。
- データ・セーフが有効になっていません(このルールは、データ・セーフが有効になった後は効力がありません)
- データベースがデータ・セーフに登録されていません(データ・セーフが有効になっていない場合、このルールは効力がありません)
目標は、実際の問題を逃さず、誤検出が大量になることもないように、ルール構成を最適化することです。ルールの変更が必要かどうかを判断する前に、データ・セーフ・サービスから生成される問題をしばらくモニターする必要がある場合があります。
クラウド・ガードの「問題」ページでデータ・セーフ・サービスから生成された問題を表示します - 問題リストの表示を参照してください。
データ・セーフ・サービスの問題のみを表示するには、「ラベル = データベース・セキュリティ」を使用して「問題」リストをフィルタします。
ノート

「ラベル」・エントリでは大文字と小文字は区別されませんが、"database security"の文字と正確に一致する必要があります。

脅威インテリジェンス・サービス

Oracle Cloud Infrastructureドキュメント