참고:

이 사용지침서에서는 Oracle Cloud에 접근해야 합니다. 무료 계정에 등록하려면 Oracle Cloud Infrastructure Free Tier 시작하기를 참조하십시오.
Oracle Cloud Infrastructure 인증서, 테넌시 및 구획에 대한 예제 값을 사용합니다. 실습을 완료하면 이러한 값을 클라우드 환경에 고유한 값으로 대체합니다.

조건에 따라 문제를 감지하도록 Oracle Cloud Guard 감지기 규칙 구성

소개

Oracle Cloud Guard는 대상을 스캔하는 무료 클라우드 네이티브 서비스로, OCI(Oracle Cloud Infrastructure) 구획으로, 감지기 정책이라는 정책에 정의된 규칙을 기반으로 문제를 감지합니다. 규칙이 충족되면 콘솔에서 검토할 수 있는 문제가 생성됩니다. Cloud Guard는 응답기 정책에 정의된 규칙을 사용하여 문제를 처리합니다. Cloud Guard에는 미리 정의된 다양한 감지기 레시피가 제공됩니다. 예를 들어, 구성 감지기 레시피, 작업 감지기 레시피 등입니다. 감지기 레시피에는 여러 감지기 규칙이 있으며, 이러한 규칙이 트리거되면 Cloud Guard가 문제를 생성합니다.

Cloud Guard 개요 화면 이미지

Cloud Guard를 구성한 후에는 미리 정의된 감지기 정책에 따라 문제 감지가 시작됩니다. Cloud Guard가 감지한 문제를 검토할 때 사용 사례에 따라 가양성이라는 문제가 발생할 수 있습니다. 예를 들어 Cloud Guard "인스턴스에 공개적으로 액세스할 수 있음" 및 "인스턴스에 공용 IP가 있음" 감지기 규칙은 인터넷에서 액세스할 수 있고 공용 IP가 있는 대상(구획)의 인스턴스를 감지합니다. 그러나 데모/교육 컴퓨팅 인스턴스에 공용 IP가 있고 인터넷에서 액세스할 수 있도록 허용하고자 합니다.

Cloud Guard 감지기 규칙에서 조건부 그룹을 구성하여 이를 달성할 수 있으며 거의 모든 유형의 감지기 규칙에 대해 이를 수행할 수 있습니다.

목표

조건에 따라 문제를 감지하도록 Cloud Guard 감지기 규칙을 구성합니다.

필요 조건

관리자 계정으로 OCI 테넌시에 액세스하거나 Cloud Guard 감지기 규칙 및 관리 목록을 관리할 수 있는 액세스 권한입니다.
Cloud Guard가 사용으로 설정되고 구성 감지기를 사용하여 문제를 감지합니다.

작업 1: 조건에 따라 실행되어야 하는 감지기 규칙 식별

감지기 규칙 조건부 그룹 구성을 시작하기 전에 작업해야 할 감지기 규칙을 알아야 합니다. 이 자습서에서는 구성 감지기 규칙 "인스턴스에 공용(public) IP 주소가 있음"을 사용하는 방법을 설명합니다. 이 감지기 규칙은 대상의 컴퓨트 인스턴스를 스캔하고 인스턴스에 공용 IP가 지정된 경우 Cloud Guard가 문제를 생성하고 해당 응답기 규칙이 자동으로 삭제되도록 설정된 경우

Cloud Guard 인스턴스의 이미지에 공용 IP 주소 감지기 규칙이 있습니다.

마찬가지로 감지기 규칙에 대한 범위를 설정할 수 있는 다른 감지기 규칙을 식별할 수 있습니다. 예를 들어 버킷이 공용인지 감지하고 Cloud Guard가 응답기 규칙에 의한 감지 시 전용으로 설정하는 "버킷은 공용" 감지기 규칙입니다. 그러나 공용 문서를 호스트하는 공용 버킷이 있을 수 있으며 Cloud Guard가 이 버킷에 대한 문제를 생성하도록 하려고 합니다.

Cloud Guard 버킷은 공용 감지기 규칙 이미지

Cloud Guard에는 감지기 규칙이 문제를 감지하면 자동으로 트리거(구성 가능, 기본값 해제)할 수 있는 응답기가 있습니다. 이러한 경우 Cloud Guard 응답기 규칙 실행으로 인해 리소스에 액세스할 수 없는 유저의 조건부 액세스가 필요한 감지기 규칙을 알게 됩니다. 예를 들어 사용자가 진정한 이유로 컴퓨트 인스턴스에 대한 공용 IP가 필요하지만 Cloud Guard 응답기 작업이 감지 시 인스턴스에서 공용 IP를 제거한 경우입니다.

참고 레시피에 조건을 추가할 때 다음을 고려하십시오. 대상 레벨의 레시피에 정의된 조건은 특정 대상으로 범위가 지정되며 다른 대상의 다른 레시피에는 영향을 주지 않습니다. 레시피 레벨에서 정의된 조건은 레시피가 연결된 모든 대상에 영향을 줍니다. 자세한 내용은 여기에서 확인하십시오.

다음 표에서는 레시피에 사용할 수 있는 일부 지원되는 매개변수를 보여줍니다. 작업 레시피 매개변수가 작업자의 대상으로 지정되고 구성 레시피 매개변수가 리소스의 대상으로 지정되었음을 알 수 있습니다.

레시피	조건부 매개변수
활동 레시피	지역 - 작업자가 시작되는 지역입니다. Location(City, State, Province, Country) - 작업자의 위치입니다. Tags - Actor에 적용됩니다. IPv6/IPv4 Address - 작업자의 IP 주소입니다. User Names(사용자 이름) - 작업자의 사용자 이름입니다.
구성 레시피	Tags(태그) - 리소스에 적용된 태그입니다. OCID - 리소스의 OCID입니다. 예: 컴퓨트 인스턴스, DB 시스템, 로드 밸런서, 사용자, 그룹, 정책, VNIC, VCN 등의 OCID 버킷 네임스페이스/이름 CIDR/IPv6/IPv4 주소 - 리소스의 IP입니다(예: 데이터베이스 시스템에 공용 IP 주소가 있고 인스턴스에 공용 IP 주소가 있음).

레시피

조건부 매개변수

활동 레시피

지역 - 작업자가 시작되는 지역입니다.
Location(City, State, Province, Country) - 작업자의 위치입니다.
Tags - Actor에 적용됩니다.
IPv6/IPv4 Address - 작업자의 IP 주소입니다.
User Names(사용자 이름) - 작업자의 사용자 이름입니다.

구성 레시피

Tags(태그) - 리소스에 적용된 태그입니다.
OCID - 리소스의 OCID입니다. 예: 컴퓨트 인스턴스, DB 시스템, 로드 밸런서, 사용자, 그룹, 정책, VNIC, VCN 등의 OCID
버킷 네임스페이스/이름
CIDR/IPv6/IPv4 주소 - 리소스의 IP입니다(예: 데이터베이스 시스템에 공용 IP 주소가 있고 인스턴스에 공용 IP 주소가 있음).

작업 2: 감지기 규칙에서 조건 그룹 생성

Cloud Guard, Targets, (target-name), Target details, Detector recipe, OCI Configuration Detector Recipe (Oracle managed)로 이동합니다.

참고: 미리 정의된 감지기 레시피를 복제한 경우 해당 레시피로 이동합니다. 예제에서는 감지기 규칙 "Instance에 공용 IP 주소가 있습니다."에 조건을 추가합니다.
감지기 규칙에서 인스턴스를 검색하면 인스턴스 관련 감지기 규칙이 표시됩니다.
오른쪽에 있는 세 개의 점을 눌러 감지기 규칙을 편집합니다. 조건 그룹에서:
- 예제 iam-demo에서 이 규칙을 적용할 구획을 선택합니다.
- 목록에서 매개변수(예: instance OCID)를 선택합니다.
- Cloud Guard가 공용 IP를 사용하는 인스턴스 중 하나를 감지하도록 하므로 이 예에서 "not in" 연산자를 선택합니다.
- 목록에서 사용자 정의 목록을 선택하면 다음 단계에서 다루게 될 관리 목록이 표시됩니다.
- 제외할 공용 IP를 사용하는 컴퓨트 인스턴스가 두 개 이상 있는 경우 다른 조건을 추가합니다.
- 인스턴스의 OCID를 입력하고 저장합니다.
  
  주: 매개변수 목록은 감지기 규칙과 관련이 있습니다. 각 규칙에는 공통 매개변수와 규칙과 관련된 매개변수가 있습니다. 하나의 조건부 그룹에 있는 여러 조건이 논리적 AND를 사용합니다.
해결된 문제를 확인합니다. 변경사항이 저장되면 잠시 후 Cloud Guard가 변경사항을 감지하고 문제를 해결됨으로 표시하여 컴퓨트 인스턴스에 대한 기존 문제를 자동으로 해결합니다. 해결된 문제 목록에서 확인할 수 있습니다.

감지기 규칙을 편집하여 감지기 규칙에서 단일 또는 다중 조건을 정적으로 추가하는 방법을 확인했습니다. 동일한 유형의 여러 조건을 다른 값으로 추가해야 하는 경우 어떻게 해야 합니까? 한 가지 옵션은 감지기 규칙 편집을 계속하는 것이지만 다음 단계에서 볼 수 있는 관리 목록을 사용하여 이를 수행하는 더 좋은 방법이 있습니다.

작업 3: 감지기 규칙에서 관리 목록 사용

관리되는 목록을 생성합니다.

참고: 이 예에서는 공용 IP를 가질 수 있는 몇 가지 컴퓨트 인스턴스가 있습니다. 따라서 리소스 OCID 유형의 "PublicInstances"라는 관리 목록을 생성하고 공용 IP를 가질 수 있는 모든 컴퓨트 인스턴스의 OCID를 추가했습니다. 관리 목록을 생성하는 방법에 대한 문서를 참조하십시오.
값을 정적으로 추가하는 대신 감지기 규칙에서 관리 목록을 사용합니다.

주: 예제에서는 "Instance has public IP" 감지기 규칙 변경 목록을 사용자정의 목록에서 관리 목록으로 편집하고 목록 이름을 "PublicInstance"로 지정했습니다. 관리 목록을 사용하면 감지기 규칙을 편집하는 대신 한 곳에서 인스턴스 OCID를 쉽게 추가/삭제할 수 있습니다.

다음 단계

Cloud Guard가 생성한 문제를 검토하여 감지기 규칙에 조건을 추가할 수 있는 위치를 찾아 Cloud Guard가 비즈니스 논리를 기반으로 문제를 생성하지 않고 가양성을 제거하도록 합니다.

수락

작성자: Sunil Joshi(OCI Identity/IDCS)

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 살펴보거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하십시오. 또한 Oracle Learning Explorer가 되려면 education.oracle.com/learning-explorer를 방문하십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.

제목 및 저작권 정보

Configure Oracle Cloud Guard detector rules to detect problems based on conditions

F82942-02

September 2023