Segurança de Instância
A Segurança da Instância é uma nova receita do detector do Oracle Cloud Guard que monitora hosts de computação em busca de atividades suspeitas.
- Sobre a Segurança da Instância fornece uma introdução aos conceitos que são úteis para entender quando você está trabalhando com a Segurança da Instância.
- Ativando a Segurança da Instância mostra como começar a usar a Segurança da Instância aplicando uma receita do detector de Segurança da Instância a um destino.
- Receitas do Detector de Segurança da Instância descreve as receitas do detector de Segurança da Instância.
Sobre a Segurança da Instância
A Segurança da Instância fornece segurança de runtime para cargas de trabalho em hosts virtuais e bare metal do serviço Compute. A Segurança da Instância expande o Cloud Guard do gerenciamento da postura de segurança na nuvem para a proteção da carga de trabalho na nuvem. Ele garante que as necessidades de segurança sejam atendidas em um só lugar com visibilidade consistente e compreensão holística do estado de segurança da infraestrutura.
A Segurança da Instância coleta informações de segurança importantes sobre hosts de computação, como alertas de segurança (chamados de problemas no Cloud Guard), vulnerabilidades e portas abertas, para fornecer orientação acionável para detecção e prevenção. Você pode detectar processos suspeitos, criação de porta aberta e execução de script para cargas de trabalho, com visibilidade no nível do sistema operacional. A Segurança da Instância fornece novas detecções prontas para uso gerenciadas pela Oracle e as consultas gerenciadas pelo cliente para casos de uso de caça a ameaças.
A Segurança da Instância é integrada nativamente ao OCI Logging para que você possa exportar logs facilmente para seu conjunto de ferramentas de segurança de terceiros.
Solução de segurança baseada no EBPF
O Instance Security usa a tecnologia Extended Berkeley Packet Filter (eBPF) para detectar eventos de segurança no nível do kernel. O eBPF é uma tecnologia do kernel que permite que os programas sejam executados sem ter que alterar o código-fonte do kernel.
Você pode coletar dados automaticamente para detectar anomalias de segurança e obter insights profundos sobre os sistemas operacionais, sem modificar nenhum código do kernel e sem afetar significativamente o desempenho.
Alinhado com o MITRE ATT&CK Framework
O Instance Security fornece um conjunto de regras de detector prontas para uso gerenciadas pela Oracle que estão alinhadas com a estrutura MITRE ATT&CK destinada a reduzir o trabalho manual do seu centro de operações de segurança (SOC) para encontrar atividades adversárias conhecidas.
As informações são executadas por meio de modelos alinhados com a estrutura do MITRE ATT&CK para categorizar as táticas e técnicas potenciais envolvidas.
Executar Consultas Sob Demanda
Você pode executar consultas sob demanda em instâncias do serviço Compute periodicamente ou sob demanda para fornecer visibilidade em tempo real do estado da sua máquina.
A Segurança da Instância executa OSquery sob o capô que expõe OS dados do SO como um banco de dados relacional de alto desempenho. O Osquery é um agente de host multiplataforma de alto desempenho, código aberto para dar visibilidade e insights para sua frota. Ele coleta e normaliza dados independentemente do sistema operacional e aumenta a visibilidade em toda a sua infraestrutura. O OSquery vem com suporte de centenas de tabelas que abrangem tudo, desde processos em execução até extensões de kernel carregadas. A Segurança da Instância suporta a maioria das tabelas de consulta de código aberto, além das tabelas personalizadas da OCI.
Consultas de Programação
Depois de executar uma consulta e estar satisfeito com o resultado dela, você poderá programá-la para ser executada com frequência regular. Se você tiver a necessidade de fornecer evidências de atender a determinados controles de segurança como parte dos requisitos de conformidade e auditoria para seus hosts de computação, poderá usar consultas programadas. A Segurança da Instância é integrada ao serviço OCI Logging e você pode configurar o serviço OCI Logging para enviar seus dados brutos para um serviço de informações de segurança e gerenciamento de eventos (SIEM) ou agregador de dados de terceiros.
Receitas do Detector de Segurança da Instância
Há duas receitas do detector de Segurança de Instância gerenciadas pela Oracle:
- Receita do Detector de Segurança da Instância do OCI — Enterprise (gerenciada pela Oracle).
- Receita do Detector de Segurança da Instância do OCI (gerenciada pela Oracle).
Você pode fazer configurações personalizadas de receitas do detector clonando essas receitas e regras. Consulte Clonando uma Receita do Detector do OCI.
Você só pode aplicar uma receita do detector de Segurança de Instância a um destino. Se quiser alterar a receita, primeiro remova a existente do destino e aplique a outra.
Receita do Detector de Segurança da Instância do OCI - Enterprise (gerenciada pela Oracle)
Esta receita é uma oferta paga que fornece funcionalidade completa de serviço. Ele fornece alertas com base nas detecções prontas para uso da Oracle e permite consultar sua frota usando consultas personalizadas e programadas.
Essa receita do detector pronta para uso usa todas as regras do detector de Segurança de Instância detalhadas em Regras do Detector de Segurança de Instância do OCI.
Para saber quanto custa, consulte as informações de preços do Cloud Guard na Lista de Preços do Cloud. Você pode usar a Ferramenta de Estimativa de Custos para ajudá-lo a determinar seu uso mensal e fatura. Consulte Visão Geral do Serviço Billing and Cost Management.
| Recurso | Contagem por Tenancy |
|---|---|
| Número de instâncias cobertas por região | Ilimitado |
| Regras do detector prontas para uso | Ilimitado |
| Consultas sob demanda | Ilimitado |
| Consultas programadas | 25 consultas por instância por dia |
| Tamanho dos resultados da consulta programada | 5 MB por instância por dia |
Este exemplo mostra como os limites de consulta programados funcionam.
O limite para o tamanho dos resultados da consulta programada é por instância; portanto, se você tiver 10 instâncias em uma região, seu limite regional no nível do tenant será de 5*10 = 50 MB por dia
Quando você atingir o limite de resultados de consulta programada em uma região, as consultas mostrarão um status Failed e você verá a mensagem:
Scheduled query size limit has reached, the limit will reset the next dayDepois que o limite for redefinido no dia seguinte, as consultas programadas serão bem-sucedidas até que o limite seja atingido novamente.
Receita do Detector de Segurança da Instância do OCI (gerenciada pela Oracle)
Se você não está pronto para investir em segurança de instâncias, mas quer provar o serviço, você pode experimentar esta receita gratuita. Ele alertará você sobre vulnerabilidades e problemas de verificação de porta aberta, e você poderá executar um número limitado de consultas.
Esta receita do detector usa as regras do detector de Segurança da Instância:
| Recurso | Contagem por Tenancy |
|---|---|
| Número de instâncias cobertas por região | 5 |
| Regras do detector prontas para uso | 2 |
| Consultas sob demanda | 30 por mês por região |
| Consultas programadas | 0 |
Este exemplo mostra como os limites de consulta sob demanda funcionam considerando dois cenários.
Você tem um limite mensal de 30 consultas sob demanda em uma região:
- Você executa sua primeira consulta sob demanda e direciona 25 instâncias ativas e todas são bem-sucedidas, fornecendo 25 resultados.
- Você executa uma segunda consulta sob demanda e direciona 25 instâncias ativas, mas desta vez você só obterá cinco resultados em cinco instâncias selecionadas aleatoriamente porque só tinha 5 consultas sob demanda restantes para o mês.
- Se, em seguida, executar uma terceira consulta sob demanda e direcionar apenas uma instância, você verá a seguinte mensagem:
You have consumed free adhoc units for this month, your limit will reset next month
As consultas expiradas são reembolsadas de volta ao limite mensal após cerca de 15 minutos.
- Sua primeira consulta sob demanda direcionou 25 instâncias (24 agentes ativos e 1 inativo) e o resultado é que ela expirou com 24 resultados dos agentes ativos.
- Você executou uma segunda consulta sob demanda e direcionou 25 instâncias (24 ativas e 1 agente inativo) e, dessa vez, você só obtém cinco resultados em cinco instâncias selecionadas aleatoriamente porque só tinha 5 consultas sob demanda restantes para o mês.
- Se, em seguida, executar uma terceira consulta sob demanda e direcionar apenas uma instância, você verá a seguinte mensagem:
You have consumed free adhoc units for this month, your limit will reset next month