Oracle Cloud Infrastructureドキュメント

観察のリストとその詳細の取得

クラウド・ガードでリソース・プロファイルとそのキー属性を表示して、優先度が最も高いイベントをすばやく識別します。

前提条件: 環境で定義され、ルート・コンパートメントを含む少なくとも1つのクラウド・ガード・ターゲットでOCI脅威ディテクタ・レシピを有効にします。

ノート

前の前提条件を満たした後、クラウド・ガードは学習期間を開始します。この学習期間の長さは、観察タイプに応じて数時間から数日まで様々です。クラウド・ガードは、学習期間が終了するまで、脅威を検出するためのモニタリングを開始しません。疑わしいアクティビティが発生していない場合は、「脅威モニタリング」ページに脅威情報は表示されません。
    1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「クラウド・ガード」で、「脅威モニタリング」をクリックします。
    2. 脅威が含まれる範囲を変更するには、「スコープ」で次のオプションを使用します。
      • コンパートメント: コンパートメントを選択します。その下にあるすべてのコンパートメントをスコープに含めるには、「子コンパートメントを含む」を選択します。
      • タグ・フィルタ: 「追加」をクリックし、「タグ・フィルタ」ダイアログ・ボックスに入力します。複数のタグを追加する場合は、すべて一致する必要があります。
    3. 日付およびリスク・スコア値のリストをフィルタするには、ページ上部にあるチャートの下のリストで選択します。
    4. 他のパラメータのリストをフィルタするには、「フィルタの追加」をクリックし、「フィルタ・タイプ」を選択してから、1つ以上の値を選択します。
    5. ページ上部の「30日間のリスク・スコアのトレンド」チャートで、長期にわたるリスク・スコアの変化を表示します。
      • デフォルトでは、過去30日間に上位10のリスク・スコアがあるリソース・プロファイルの全体的なリスク・スコアがグラフ表示されます。
      • チャートの右上隅にある「上位10」リストから別の選択を行い、表示されるデータを変更します。通常、これらのオプションは短い期間について表示されます
    6. 特定のリソース・プロファイルのグラフ情報を強調表示するには、「上位10」選択ボックスの下にあるリスト内の名前の上にカーソルを置きます。
    7. グラフ内のポイントの特定のリスク・スコア情報を表示するには、ポイントの上にカーソルを置きます。
      リスク・スコア情報のリソース・プロファイルも、「上位10」選択ボックスの下のリスト内で強調表示されます。
    8. リストされているリソース・プロファイルのサマリー情報を表示するには、最初の列ヘッダーがリソース・プロファイルである表まで下にスクロールします。
      この表には、次のリソース・プロファイル情報が表示されます。
      • リソース・プロファイル: 影響を受けるリソース・プロファイルの名前。リソース・プロファイルは、特定のリソースに関連付けられた観察を統合します。
      • リスク・スコア: リソース・プロファイルのリスク・スコア。リスクスコアは脅威の深刻さを反映しています。
      • 観察: リソース・プロファイルのリソースIDに対して投稿された観察の数。観察は、MITRE ATT&CK®戦術内の特定のMITRE ATT&CK®フレームワーク技術のインスタンスです。
      • 戦術: 目撃に関連するMITRE ATT&CK®戦術の数。ここでの数値が大きいほど、侵入者がセキュリティ対策の侵入を進めていることを示している可能性があります。
      • リソース・タイプ: 影響を受けるリソース・プロファイルのリソースのタイプ。
      • 最初の検出: クラウド・ガードが最初に観察を検出した日時。
      • 最終検出: クラウド・ガードが最後に観察を検出した日時。
      • 初回発生日: インシデントが最初に発生した日時。
      • 最終発生日: インシデントが最後に発生した日時。
    9. 特定のリソース・プロファイルの詳細情報を表示するには、「リソース・プロファイル」列でそのリンクをクリックします。
      「脅威モニタリングの詳細」ページに次の情報が表示されます:
      • 「一般情報」タブには、脅威の要約が表示されます。
      • 「30日間のリスク・スコアのトレンド」チャートには、この特定のリソース・プロファイルに対する、時間ごとのリスク・スコアの変更が表示されます。
      • 「観察」セクションには、リスク・スコアにファクタリングする観察が一覧表示されます。
      • 「リソース」で、別のリソースを選択して別の情報を表示します:
        • 「影響を受けるリソース」には、関連するリソースに関する情報が表示されます。
        • 「エンドポイント」には、関連するIPアドレスが表示されます。
      ヒント

      「脅威モニタリング」ページの「リソース・プロファイル」「リスク・スコア」が80以上である場合、問題がトリガーされています。問題を処理するには:
      1. 「リスク・プロファイル」列のリンクをクリックします。
      2. 詳細ページ上部の「一般情報」タブで、「問題」の横にある問題名のリンクをクリックします。

        問題の処理に関するガイダンスは、「問題」ページでの問題の処理および解決を参照してください

  • CLIコマンドのフラグおよび変数オプションの完全なリストは、コマンドライン・リファレンスを参照してください。

    観察

    oci cloud-guard sighting getコマンドおよび必要なパラメータを使用して、特定の観察を取得します:

    oci cloud-guard sighting get --sighting-id <sighting_ocid> [OPTIONS]

    コンパートメントのすべての観察をリストするには、oci cloud-guard sighting-summary list-sightingsコマンドおよび必須パラメータを使用します:

    oci cloud-guard sighting-summary list-sightings --compartment-id, -c <compartment_ocid> [OPTIONS]

    監視エンドポイント

    oci cloud-guard sighting-endpoint-summary list-sighting-endpointsコマンドおよび必要なパラメータを使用して、特定の観察のエンドポイントをリストします:

    oci cloud-guard sighting-endpoint-summary list-sighting-endpoints --sighting-id <sighting_ocid> [OPTIONS]

    影響を受けるリソース

    oci cloud-guard sighting-summary list-sightingsコマンドおよび必要なパラメータを使用して、目撃のために影響を受けるすべてのリソースをリスト表示します:

    oci cloud-guard sighting-impacted-resource-summary list-sighting-impacted-resources --sighting-id <sighting_ocid> [OPTIONS]

  • 観察

    GetSighting操作を実行して、特定の観察を取得します。

    ListSightings操作を実行して、コンパートメントのすべての観察をリストします。

    監視エンドポイント

    ListSightingEndpoints操作を実行して、特定の観察のエンドポイントをリストします。

    影響を受けるリソース

    ListSightingImpactedResources操作を実行して、コンパートメントの観察の影響を受けるすべてのリソースをリストします。