Documentação do Oracle Cloud Infrastructure

Ativando a Segurança de Instância

Ative a Segurança da Instância no Cloud Guard.

Para ativar a Segurança da Instância em sua tenancy:

Aplicando uma Receita de Segurança de Instância a um Novo Destino do Cloud Guard

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Cloud Guard, selecione Configuração.
  2. Em Destinos, selecione Criar novo destino.
  3. Na página Criar destino, painel Informações básicas, digite um Nome de destino e uma Descrição opcional para o destino.
  4. Selecione o Compartimento a ser designado ao destino.
  5. Selecione Próximo.
  6. No painel Configuração, em receita Segurança da Instância, selecione Todas as instâncias de computação e selecione uma das receitas do detector de Segurança da Instância gerenciadas pela Oracle:
    • Receita do Detector de Segurança da Instância do OCI - Enterprise (gerenciada pela Oracle)
    • Receita do Detector de Segurança da Instância do OCI (gerenciada pela Oracle)
    Consulte Receitas do Detector de Segurança da Instância.
  7. Verifique o novo destino e selecione Criar.
  8. Em Configuração, selecione a guia Segurança da Instância e selecione Ativar/Editar ao lado de Detalhes da configuração de log.
  9. Na página de detalhes da configuração de log, você pode ativar o log bruto de Segurança da Instância para uma região.
  10. Para a região desejada, selecione Ativar Log.
  11. No painel Ativar log, selecione o Compartimento.
  12. Selecione um grupo de logs existente ou crie um novo selecionando Criar novo grupo. Consulte Gerenciamento do Grupo de Logs.
  13. Selecione por quanto tempo o log manterá o log, para valores entre 30 dias e 180 dias, ou defina um valor de retenção de log personalizado.
  14. Selecione Ativar log.
Observação

Se você não ativar os logs brutos de Segurança da Instância aqui, poderá ativá-los na Console do serviço Logging. Consulte Ativando Logs no Serviço Logging.

Aplicando uma Receita de Segurança de Instância a um Destino do Cloud Guard

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Cloud Guard, selecione Configuração.
  2. Localize o destino que deseja usar e selecione o nome do destino.
  3. Em Configuração, selecione a guia Segurança da Instância e selecione Adicionar receitas e escolha uma das receitas do detector de Segurança da Instância gerenciadas pela Oracle:
    Consulte Receitas do Detector de Segurança da Instância.
  4. Aceite o prompt para adicionar as políticas de Segurança da Instância ao seu ambiente.
  5. Na caixa de diálogo Adicionar receitas do detector, escolha a receita do detector de Segurança de Instância gerenciada pela Oracle que você deseja usar e selecione Adicionar receitas.
  6. Role até a parte inferior e ao lado de Log, selecione Ativar/Editar.
  7. Para cada região desejada, selecione o menu Ações (menu de ações) e selecione Ativar Log.
    1. No painel Ativar log, o compartimento no qual o destino está é mostrado. Não é possível alterá-lo.
    2. Escolha um grupo de logs existente ou crie um novo selecionando Criar novo grupo. Consulte Gerenciamento do Grupo de Logs.
    3. Escolha por quanto tempo o log manterá o log, para valores entre 30 dias e 180 dias, ou defina um valor de retenção de log personalizado.
    4. Selecione Ativar log.

A etapa final de ativar a Segurança da Instância é adicionar as instruções de política na Console.

Observação

Se você não ativar os logs brutos de Segurança da Instância aqui, poderá ativá-los na Console do serviço Logging. Consulte Ativando Logs no Serviço Logging.

Instruções de Política para Segurança da Instância

Você deve adicionar essas políticas na Console como parte da ativação da Segurança da Instância.

As políticas permitem que o agente de Segurança da Instância acesse os recursos necessários na tenancy e, sem essas políticas, você não obterá resultados.

Para obter informações sobre como especificar as instruções de política na Console, consulte Criando uma Política.

Instruções de Política do Usuário

Essas políticas fornecem permissões de usuário para usar a Segurança da Instância para consultas sob demanda e consultas programadas. Adicione-as às suas políticas de usuário, substituindo group pelo nome de um grupo apropriado de usuários.

Allow group <group> to { INSTANCE_READ } in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_READ} in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_CREATE} in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_INSPECT } in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_DELETE } in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_READ} in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_CREATE} in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_INSPECT } in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_DELETE } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_INSPECT} in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_READ } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_CREATE } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_DELETE } in compartment <compartment>

Instruções da Política de Log de Serviço

Essas políticas permitem que os usuários acessem logs. Adicione-as às suas políticas de usuário, substituindo group pelo nome de um grupo apropriado de usuários.

Allow group <group> to { CG_SERVICE_LOGGING_READ } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_CREATE } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_UPDATE } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_DELETE } in compartment <compartment>

Instruções da Política da Tenancy

Essas políticas permitem que a Segurança da Instância acesse os recursos necessários na tenancy.

Allow any-user to { WLP_BOM_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_CONFIG_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_ADHOC_QUERY_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_ADHOC_RESULTS_CREATE } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Endorse any-user to { WLP_LOG_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_METRICS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_ADHOC_QUERY_READ } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_ADHOC_RESULTS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }

Usando Grupos Dinâmicos para Controlar o Acesso a Consultas Sob Demanda e Programadas

Você deve criar grupos dinâmicos para trabalhar com consultas sob demanda (ad hoc) e programadas. O tipo de recurso é:

  • Para consultas sob demanda, cloudguardadhocquery.
  • Para consultas programadas, cloudguarddatasource.
Observação

  • Cada consulta é vinculada automaticamente a um grupo dinâmico com base no tipo de recurso e nas tags opcionais.
  • O acesso é determinado pelo grupo dinâmico ao qual a consulta pertence.
  • Se não houver políticas para uma consulta, ela obterá uma exceção não autorizada quando a consulta for executada.

Este exemplo mostra como criar um grupo dinâmico para cada tipo de consulta. Para obter mais informações, consulte Gerenciando Grupos Dinâmicos.

  1. Crie os grupos dinâmicos:
    Grupo Dinâmico Declaração de Grupo Dinâmico
    adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id'}
    scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-compartment-id' }

    Se você estiver usando o agente on-premises, poderá usar os mesmos grupos dinâmicos ou criar grupos dinâmicos separados, dependendo de qual compartimento suas instâncias on-premises estão configuradas.

    Grupo Dinâmico Declaração de Grupo Dinâmico
    on_prem_adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-on-prem-compartment-id'}
    on_prem_scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-on-prem-compartment-id' }
  2. Em seguida, grave políticas para conceder à instância de leitura acesso aos grupos dinâmicos recém-criados para seu compartimento ou tenancy (compartimento raiz).
    allow dynamic-group adhoc_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguardadhocquery' }
 allow dynamic-group scheduled_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguarddatasource' }

    Se você estiver usando o agente on-premises, haverá duas políticas adicionais que deverão ser gravadas.

    allow dynamic-group on_prem_adhoc_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguardadhocquery' }

allow dynamic-group on_prem_scheduled_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguarddatasource' }

    Para obter mais informações sobre como criar políticas para tenancies ou compartimentos, consulte como as políticas funcionam.

  3. Agora, você pode criar consultas:

Usando Tags para Isolar Permissões de Consulta

Você pode usar tags para isolar e categorizar consultas programadas que está executando. Para obter mais informações sobre o uso de tags, consulte Tagging.

Observação

Para usar tags, crie as consultas sob demanda ou programadas usando a CLI ou a API.
  1. Crie os grupos dinâmicos com tags:
    Grupo Dinâmico Declaração de Grupo Dinâmico
    adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id', tag.namespace.tag-key.value = 'tag-value' }
    scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-compartment-id', tag.namespace.tag-key.value = 'tag-value' }

    Por exemplo, suponha que você tenha um namespace de tag chamado "Departamentos" e uma tag nesse namespace chamada "department_type" com uma lista de valores de ["hr", "finance", "marketing", "it"]. A instrução de grupo dinâmico para uma consulta personalizada seria

    all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id', tag.department_type.tag-key.value = 'finance' }
  2. Crie políticas para conceder à instância de leitura acesso aos grupos dinâmicos recém-criados.
    allow dynamic-group adhoc_query_dg to read instances in compartment my-compartment where all { request.principal.type = 'cloudguardadhocquery' }
allow dynamic-group scheduled_query_dg to read instances in compartment my-compartment where all { request.principal.type = 'cloudguarddatasource' }
  3. Agora, você pode criar consultas usando CLI ou API com as tags definidas: