Referência de Receita do Detector

Descrição: Alerta quando uma nova instância do Bastion é criada.

Recomendação: Certifique-se de que somente usuários autorizados criem instâncias do Bastion.

Contexto: Os Bastions fornecem aos usuários acesso SSH seguro e contínuo a hosts de destino em sub-redes privadas, restringindo ainda o acesso público direto.

Parâmetros de Regra:

• Tipo de Serviço: Bastion
• Tipo de Recurso: Instância
• Nível de Risco: Baixo
• Labels: Bastion

• Deixe as definições padrão.

Descrição: Alerta quando uma nova sessão do Bastion é criada.

Recomendação: Certifique-se de que somente usuários autorizados criem sessões do Bastion.

Contexto: Uma Sessão do Bastion fornece acesso SSH contínuo, seguro e limitado por tempo a um host de destino em sub-redes privadas, ao mesmo tempo que restringe o acesso público direto.

Parâmetros de Regra:

• Tipo de Serviço: Bastion
• Tipo de Recurso: Instância
• Nível de Risco: Baixo
• Labels: Bastion

• Deixe as definições padrão.

Descrição: Alerta quando um pacote de CA é atualizado.

Recomendação: Certifique-se de que somente usuários autorizados atualizem pacotes de CA. Se o usuário não estiver autorizado, reverta a atualização.

Contexto: Um pacote de CA é um arquivo que contém certificados raiz e intermediários. A CA no bundle atesta os certificados intermediários dos usuários. Quando um bundle de CA é atualizado, um usuário associado a um certificado intermediário excluído não pode mais acessar recursos atestados pela CA. Da mesma forma, um usuário associado a um certificado intermediário adicionado agora pode acessar esses recursos.

Parâmetros de Regra:

• Tipo de Serviço: Certificates
• Tipo de Recurso: Usuário
• Nível de Risco: MÉDIO
• Labels: Certificados

• Deixe as definições padrão.

Descrição: Alerta quando um pacote de autoridade de certificação (CA) é excluído.

Recomendação: Certifique-se de que somente usuários autorizados excluam pacotes de CA. Se o usuário não estiver autorizado, cancele a exclusão.

Contexto: Um pacote de CA é um arquivo que contém certificados raiz e intermediários. A CA no bundle atesta o certificado intermediário dos usuários. Quando um pacote de CA é excluído, os usuários associados aos certificados intermediários não podem mais acessar recursos que exigem a confirmação da CA.

Parâmetros de Regra:

• Tipo de Serviço: Certificates
• Tipo de Recurso: Usuário
• Nível de Risco: MÉDIO
• Labels: Certificados

• Deixe as definições padrão.

Descrição: Alerta quando um certificado intermediário em um pacote de autoridade de certificação (CA) é revogado.

Recomendação: Certifique-se de que somente usuários autorizados revoguem certificados intermediários em pacotes CA. Se o usuário não estiver autorizado, cancele a revogação.

Contexto: Quando um certificado intermediário em um bundle de CA é revogado, o usuário associado não pode mais acessar recursos que exigem que o certificado intermediário do usuário seja validado por uma CA aprovada.

Parâmetros de Regra:

• Tipo de Serviço: Certificates
• Tipo de Recurso: Usuário
• Nível de Risco: MÉDIO
• Labels: Certificados

• Deixe as definições padrão.

Descrição: Alerta quando uma imagem do serviço Compute é exportada.

Recomendação: As imagens que contêm algo proprietário devem ser marcadas de acordo com os privilégios de exportação permitidos apenas para administradores do OCI adequados.

Contexto: As imagens do serviço Compute podem ser equivalentes a "unidades de dados" e conter informações confidenciais. As imagens que podem conter algo proprietário devem ser identificadas de acordo com os privilégios de exportação permitidos apenas para administradores do OCI adequados.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: MINOR
• Labels: Computação

• Deixe as definições padrão.

Descrição: Alerta quando uma imagem do serviço Compute é importada.

Recomendação: Certifique-se de que uma pessoa esperada para trazer novas imagens para o seu ambiente importe a imagem de computação de origens confiáveis, como a Oracle ou um administrador confiável do serviço Compute.

Contexto: As imagens do serviço Compute são a base para instâncias de computação. Uma nova imagem impacta cada instância de computação futura iniciada com base nessa imagem e as imagens importadas devem vir de fontes conhecidas e confiáveis.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: MINOR
• Labels: Computação

• Deixe as definições padrão.

Descrição: Alerta quando uma instância do Compute é encerrada.

Recomendação: Use as políticas do IAM para restringir as operações de encerramento da instância.

Contexto: As instâncias do serviço Compute podem fornecer funções críticas.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: ALTO
• Labels: Computação

• Deixe as definições padrão.

Descrição: Alerta quando uma imagem do serviço Compute é atualizada.

Recomendação:

Verifique se:

• Uma pessoa que espera trazer novas imagens para o seu ambiente importa a imagem.
• A imagem é importada de origens confiáveis, como a Oracle ou um administrador confiável do serviço Compute.

Contexto: As imagens do serviço Compute são a base para instâncias de computação. Uma modificação nas imagens impacta cada instância de computação futura iniciada com base nessa imagem. As imagens e quaisquer alterações relacionadas a elas devem vir de fontes conhecidas e confiáveis.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: Baixo
• Labels: Computação

• Deixe as definições padrão.

Descrição: Alerta quando um sistema de banco de dados é encerrado.

Recomendação: Verifique se um administrador permitido sanciona e executa o encerramento do sistema de banco de dados e dos bancos de dados relacionados.

Contexto: Os sistemas de banco de dados podem conter dados confidenciais e oferecer funcionalidade crítica. O encerramento de um sistema de banco de dados exclui permanentemente o sistema, quaisquer bancos de dados em execução nele e quaisquer volumes de armazenamento anexados a ele.

Parâmetros de Regra:

• Tipo de Serviço: Sistema de Banco de Dados
• Tipo de Recurso: Sistema
• Nível de Risco: ALTO
• Labels: Banco de Dados

• Deixe as definições padrão.

Descrição: Alerta quando chaves de API do IAM são criadas para um usuário.

Recomendação: Certifique-se de que as chaves de API só sejam criadas por usuários autorizados a criar chaves de API, para si mesmos ou para outros usuários.

Contexto: As chaves de API são necessárias para usar um dos SDKs Oracle ou outras ferramentas do desenvolvedor. O uso dessas ferramentas de desenvolvedor por pessoas cuja função não as exige é uma vulnerabilidade de segurança.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: Baixo
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Só dispare um problema se o usuário não estiver em um grupo de administradores com permissão para criar chaves de API para usuários.

Descrição: Alerta quando a chave de API do IAM de um usuário é excluída.

Recomendação: Certifique-se de que as chaves de API só sejam excluídas por usuários autorizados a criar e excluir chaves de API.

Contexto: As chaves de API são necessárias para usar um dos SDKs Oracle ou outras ferramentas do desenvolvedor. A exclusão de chaves de API para um usuário que está trabalhando com as ferramentas do desenvolvedor Oracle pode impactar seriamente a produtividade.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: Baixo
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para excluir chaves de API dos usuários.

Descrição: Alerta quando um Token de Autenticação do IAM é criado para um usuário.

Recomendação: Certifique-se de que os Tokens de Autenticação do IAM sejam criados por e para usuários autorizados.

Contexto: Tokens de Autenticação podem ser usados para autenticação com APIs de terceiros. A disponibilidade de Tokens de Autenticação para pessoas cuja função não os exige cria uma vulnerabilidade de segurança. Consulte Credenciais do Usuário.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: Baixo
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para criar Tokens de Autenticação do IAM.

Descrição:: Alerta quando um Token de Autenticação do IAM é excluído de um usuário.

Recomendação: Certifique-se de que os Tokens de Autenticação do IAM sejam excluídos por usuários autorizados.

Contexto: Tokens de Autenticação podem ser usados para autenticação com APIs de terceiros. A disponibilidade de Tokens de Autenticação para pessoas cuja função não os exige cria uma vulnerabilidade de segurança. Consulte Credenciais do Usuário.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: Baixo
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para excluir Tokens de Autenticação do IAM.

Descrição: Alerta quando chaves de cliente do IAM são criadas.

Recomendação: Certifique-se de que essas chaves sejam criadas apenas para usuários autorizados.

Contexto: As chaves secretas do cliente são criadas para o uso da API de Compatibilidade do Amazon S3 com o serviço Object Storage.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: Baixo
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para criar chaves do cliente do IAM.

Descrição: Alerta quando as chaves do cliente do IAM são excluídas.

Recomendação: Certifique-se de que a exclusão dessas chaves seja esperada.

Contexto: As chaves secretas do cliente são criadas para o uso da API de Compatibilidade do Amazon S3 com o serviço Object Storage.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: Baixo
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para excluir chaves do cliente do IAM.

Descrição: Alerta quando um grupo do IAM é criado.

Recomendação: Certifique-se de que somente usuários autorizados criem grupos do IAM.

Contexto: Os grupos controlam o acesso a recursos e privilégios.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Grupo
• Nível de Risco: MINOR
• Rótulos: IAM

• Deixe as definições padrão.

Descrição: Alerta quando um grupo do IAM é excluído.

Recomendação: Certifique-se de que somente usuários autorizados executem exclusões de grupo do IAM.

Contexto: Os grupos controlam o acesso a recursos e privilégios.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: GRUPO
• Nível de Risco: MINOR
• Rótulos: IAM

• Deixe as definições padrão.

Descrição: Alerta quando as credenciais do IAM OAuth 2.0 são criadas.

Recomendação: Certifique-se de que essas credenciais sejam criadas apenas para usuários autorizados.

Contexto: As credenciais do IAM OAuth 2.0 são para interação com as APIs dos serviços que usam a autorização do OAuth 2.0. Consulte Credenciais do Usuário.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: Baixo
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo administrativo com permissão para criar credenciais do IAM OAuth 2.0.

Descrição: Alerta quando credenciais do IAM OAuth 2.0 são excluídas.

Recomendação: Certifique-se de que a exclusão dessas credenciais seja esperada

Contexto: As credenciais do IAM OAuth 2.0 são para interação com as APIs dos serviços que usam a autorização do OAuth 2.0. Consulte Credenciais do Usuário.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: Baixo
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo administrativo com permissão para excluir credenciais do IAM OAuth 2.0.

Descrição: Alerta quando os recursos de um usuário do IAM são editados.

Recomendação: Certifique-se de que somente usuários autorizados alterem os recursos de um usuário do IAM.

Contexto: Para acessar o Oracle Cloud Infrastructure, um usuário deve ter as credenciais obrigatórias, como chaves de API, tokens de autenticação e outras credenciais.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: Baixo
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Deixe as definições padrão.

Descrição: Alerta quando um usuário local ou federado é criado no OCI IAM.

Recomendação: Certifique-se de que somente usuários autorizados criem usuários do IAM.

Contexto: Um usuário do IAM pode ser um funcionário ou um sistema individual que precisa gerenciar ou usar os recursos do Oracle Cloud Infrastructure da sua empresa.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: MINOR
• Rótulos: IAM

• Deixe as definições padrão.

Descrição: Alerta quando a senha da Console de um usuário é criada ou redefinida.

Recomendação: Certifique-se de que a senha de um usuário seja redefinida pelo usuário ou por um usuário administrador autorizado a redefinir senhas.

Contexto: A redefinição da senha de um usuário várias vezes ou a redefinição por um usuário que não está autorizado a redefinir senhas pode indicar um risco de segurança.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: Baixo
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Condicionais: Só dispare um problema se o usuário não estiver em um grupo de administradores com permissão para redefinir senhas de usuário.

Descrição: Alerta quando uma política de segurança é modificada.

Recomendação:

Contexto: A alteração das políticas impacta todos os usuários do grupo e pode conceder privilégios a usuários que não precisam deles.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Política.
• Nível de Risco: Baixo
• Labels: CIS_OCI_V1.1_MONITORING, IAM

• Deixe as definições padrão.

Descrição: Alerta quando um usuário local que não tem autenticação multifator (MFA) ativada é autenticado.

Recomendação: Certifique-se de que todos os usuários tenham a MFA ativada.

Contexto: A autenticação multifator (MFA) aumenta a segurança exigindo comprometimento de mais de uma credencial para se passar por um usuário. Os usuários não autorizados não poderão atender ao segundo requisito de autenticação e não poderão acessar o ambiente.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: ALTO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Deixe as definições padrão.

Descrição: Alerta quando um usuário é adicionado a um grupo.

Recomendação: Certifique-se de que o usuário tenha direito de ser membro do grupo.

Contexto: Os grupos controlam o acesso a recursos e privilégios. Os grupos sigilosos devem ser cuidadosamente monitorizados quanto às alterações de associação.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Grupo
• Nível de Risco: MINOR
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Deixe as definições padrão.

Descrição: Alerta quando um usuário é removido de um grupo.

Recomendação: Certifique-se de que o usuário tenha direito de ser membro do grupo.

Contexto: Os grupos controlam o acesso a recursos e privilégios. Os grupos sigilosos devem ser cuidadosamente monitorizados quanto às alterações de associação.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: MINOR
• Rótulos: IAM

• Grupos Condicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para remover usuários desse grupo.

Descrição: Alerta quando um gateway de roteamento dinâmico (DRG) é anexado a uma VCN.

Recomendação: Certifique-se de que a anexação desse DRG à VCN seja permitida e esperada neste compartimento pelo recurso (usuário).

Contexto: DRGs são usados para conectar redes locais existentes a uma rede virtual na nuvem (VCN) com IPSec VPN ou FastConnect.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: Rede
• Tipo de Recurso: DRG
• Nível de Risco: MINOR
• Labels: Rede

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para anexar DRGs a VCNs.

Descrição: Alerta quando um gateway de roteamento dinâmico (DRG) é criado.

Recomendação: Certifique-se de que a criação deste DRG seja permitida e esperada neste compartimento pelo recurso (usuário).

Contexto: DRGs são usados para conectar redes locais existentes a uma rede virtual na nuvem (VCN) com IPSEC VPN ou FastConnect.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: Rede
• Tipo de Recurso: DRG
• Nível de Risco: MINOR
• Labels: Rede

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Condicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para criar DRGs.

Descrição: Alerta quando um gateway de roteamento dinâmico (DRG) é excluído.

Recomendação: Certifique-se de que a exclusão desse DRG seja permitida e esperada pelo recurso ( usuário).

Contexto: DRGs são usados para conectar redes locais existentes a uma rede virtual na nuvem (VCN) com IPSec VPN ou FastConnect.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: Rede
• Tipo de Recurso: DRG
• Nível de Risco: MINOR
• Labels: Rede

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Condicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para excluir DRGs.

Descrição:: Avise quando um gateway de roteamento dinâmico (DRG) for desconectado de uma VCN.

Recomendação: Certifique-se de que a desconexão desse DRG da VCN seja permitida e esperada nesse compartimento pelo recurso ( usuário).

Contexto: DRGs são usados para conectar redes locais existentes a uma rede virtual na nuvem (VCN) com IPSec VPN ou FastConnect.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: Rede
• Tipo de Recurso: DRG
• Nível de Risco: MINOR
• Labels: Rede

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Condicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para desconectar DRGs das VCNs.

Descrição: Alerta quando uma sub-rede é alterada.

Recomendação: Certifique-se de que a alteração na VCN seja permitida e esperada neste compartimento.

Contexto: As sub-redes são subdivisões de uma VCN. As instâncias de computação conectadas na mesma sub-rede usam a mesma tabela de roteamento, listas de segurança e opções de DHCP.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Sub-rede
• Nível de Risco: Baixo
• Labels: Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma sub-rede é excluída.

Recomendação: Ative a autenticação multifator (MFA) para garantir que o usuário esteja realmente conectado e que as credenciais não sejam comprometidas.

Contexto: As sub-redes são subdivisões de uma VCN. As instâncias de computação conectadas na mesma sub-rede usam a mesma tabela de roteamento, listas de segurança e opções de DHCP.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Sub-rede
• Nível de Risco: Baixo
• Labels: Rede

• Deixe as definições padrão.

Descrição: Alerta quando um usuário faz log-in ou uma chamada de API é feita por um endereço IP suspeito. Se a política adequada estiver em vigor, forneça um link do problema do Cloud Guard para obter informações detalhadas sobre o endereço IP suspeito no Threat Intelligence Service. Para obter detalhes sobre a política necessária, consulte Políticas de IAM do Serviço Threat Intelligence.

Recomendação: Ative a autenticação multifator (MFA) para garantir que o usuário esteja realmente conectado e que as credenciais não sejam comprometidas.

Contexto: Um usuário que faz log-in com um endereço IP suspeito é uma ameaça em potencial.

Parâmetros de Regra:

• Tipo de Serviço: Cloud Guard
• Tipo de Recurso: Segurança
• Nível de Risco: CRITICAL
• Labels: Rede

• Configuração: Blocos CIDR da lista de bloqueios ou permissões ou endereços IP específicos na seção Definição de Entrada da regra.

Descrição: Alerta quando uma VCN é criada.

Recomendação: Certifique-se de que a criação de uma nova VCN seja permitida e esperada neste compartimento.

Contexto: VCN é uma rede virtual privada configurada nos dados Oracle. Como uma rede tradicional, ela pode conter regras de firewall e tipos específicos de gateways de comunicação.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: VCN
• Nível de Risco: Baixo
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma VCN é criada.

Recomendação: Certifique-se de que a exclusão de um VCN seja permitida e esperada neste compartimento.

Contexto: VCN é uma rede virtual privada configurada nos dados Oracle. Como uma rede tradicional, ela pode conter regras de firewall e tipos específicos de gateways de comunicação. A exclusão da VCN pode alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: VCN
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma opção de DHCP da VCN é alterada.

Recomendação: Certifique-se de que a alteração nas informações de DHCP e DNS seja permitida para essa VCN e os recursos relacionados.

Contexto: As opções de DHCP controlam determinados tipos de configuração nas instâncias de uma VCN, incluindo a especificação de domínios de pesquisa e resolvedores de DNS que podem direcionar as comunicações dentro das VCNs para recursos da Internet. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: DHCP
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando um gateway de internet da VCN é criado.

Recomendação: Certifique-se de que a criação de um gateway de internet seja permitida para essa VCN e seus recursos relacionados.

Contexto: Gateways de Internet são roteadores virtuais que você pode adicionar à sua VCN para ativar a conectividade direta (entrada ou saída) com a Internet. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Gateway de Internet
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando um gateway de internet da VCN é encerrado.

Recomendação: Certifique-se de que a exclusão de um gateway de internet seja permitida para essa VCN e seus recursos relacionados.

Contexto: Gateways de Internet são roteadores virtuais que você pode adicionar à sua VCN para ativar a conectividade direta (entrada ou saída) com a Internet. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Gateway de Internet
• Nível de Risco: Baixo
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando um LPG (Local Peering Gateway) da VCN é alterado.

Recomendação: Certifique-se de que as alterações no LPG sejam permitidas para essa VCN e seus recursos relacionados.

Contexto: Os LPGs (Local Peering Gateways) da VCN conectam duas VCNs na mesma região sem rotear o tráfego pela Internet. Recursos de LPG nas VCNs para comunicação direta com endereços IP privados. As alterações nos LPGs podem impactar o acesso aos recursos e as comunicações entre VCNs. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Pareamento Local
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando um NSG da VCN é excluído.

Recomendação: Certifique-se de que a remoção do NSG seja permitida nessa VCN e seus recursos relacionados.

Contexto: Os grupos de segurança de rede (NSGs) agem como firewall virtual para instâncias de computação e outros tipos de recursos. Os NSGs têm um conjunto de regras de segurança de entrada e saída aplicadas a um conjunto de NICs virtuais em uma VCN. A exclusão de NSGs pode remover proteções entre recursos na VCN e causar negação de acesso a recursos ou perda de dados.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Grupo de Segurança de Rede
• Nível de Risco: ALTO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma regra de saída do NSG da VCN é alterada.

Recomendação: Certifique-se de que as novas regras de saída sejam permitidas para esse NSG e seus recursos relacionados.

Contexto: Os grupos de segurança de rede (NSGs) agem como firewall virtual para instâncias de computação e outros tipos de recursos. Os NSGs têm um conjunto de regras de segurança de entrada e saída aplicadas a um conjunto de NICs virtuais em uma VCN. As alterações de regra de saída podem causar negação de acesso aos recursos.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Grupo de Segurança de Rede
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma regra de entrada do NSG da VCN é alterada.

Recomendação: Certifique-se de que as novas regras de entrada sejam permitidas para esse NSG e seus recursos relacionados.

Contexto: Os grupos de segurança de rede (NSGs) agem como firewall virtual para instâncias de computação e outros tipos de recursos. Os NSGs têm um conjunto de regras de segurança de entrada e saída aplicadas a um conjunto de NICs virtuais em uma VCN. As alterações nas regras de entrada de NSGs podem permitir conexões e tráfego para novos recursos e VNICs na VCN.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Grupo de Segurança de Rede
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando a tabela de roteamento de uma VCN é alterada.

Recomendação: Certifique-se de que a alteração na tabela de roteamento seja permitida e esperada neste compartimento.

Contexto: As tabelas de roteamento virtual têm regras que se parecem e agem como regras de roteamento de rede tradicionais. Tabelas de roteamento configuradas incorretamente podem enviar tráfego de rede para ser eliminado (bloqueado por blackholing) ou enviado a um destino não intencional. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Tabela de Rota
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando a lista de segurança é criada para uma VCN.

Recomendação: Certifique-se de que a criação dessa lista de segurança seja permitida para essa VCN e seus recursos relacionados.

Contexto: As listas de segurança agem como firewalls virtuais para instâncias de computação e outros recursos e consistem em conjuntos de regras de entrada e saída que se aplicam a todas as VNICs em qualquer sub-rede associada a essa lista de segurança. Várias listas de segurança podem se aplicar a recursos e dar acesso a portas e endereços IP desses recursos. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Lista de Segurança
• Nível de Risco: Baixo
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando a lista de segurança de uma VCN é excluída.

Recomendação: Certifique-se de que a remoção dessa lista de segurança seja permitida para essa VCN e seus recursos relacionados.

Contexto: As listas de segurança agem como firewalls virtuais para instâncias de computação e outros recursos e consistem em conjuntos de regras de entrada e saída que se aplicam a todas as VNICs em qualquer sub-rede associada a essa lista de segurança. Várias listas de segurança podem se aplicar a recursos e dar acesso a portas e endereços IP desses recursos. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Lista de Segurança
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando as regras de saída da lista de segurança de uma VCN são alteradas.

Recomendação: Certifique-se de que as alterações nas regras de saída sejam permitidas para essa lista de segurança e seus recursos relacionados.

Contexto: As listas de segurança agem como firewalls virtuais para instâncias de computação e outros recursos e consistem em conjuntos de regras de entrada e saída que se aplicam a todas as VNICs em qualquer sub-rede associada a essa lista de segurança. Várias listas de segurança podem se aplicar a recursos e dar acesso a portas e endereços IP desses recursos. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Lista de Segurança
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando as regras de entrada da lista de segurança de uma VCN são alteradas.

Recomendação: Certifique-se de que as alterações nas regras de entrada sejam permitidas para essa lista de segurança e seus recursos relacionados.

Contexto: As listas de segurança agem como firewalls virtuais para instâncias de computação e outros recursos e consistem em conjuntos de regras de entrada e saída que se aplicam a todas as VNICs em qualquer sub-rede associada a essa lista de segurança. Várias listas de segurança podem se aplicar a recursos e dar acesso a portas e endereços IP desses recursos. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Lista de Segurança
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma instância do Compute tem um endereço IP público.

Recomendação: Considere cuidadosamente permitir o acesso pela Internet a qualquer instância. Por exemplo, você não deseja permitir acidentalmente o acesso pela Internet a instâncias de bancos de dados confidenciais.

Contexto: Para que uma instância possa ser endereçada publicamente, ela deve:

• Ter um endereço IP público
• Existir em uma sub-rede da rede virtual de computadores (VCN) pública
• Estar em uma VCN que tenha um gateway de internet ativado e configurado para tráfego de saída
• Estar em uma sub-rede em que a lista de segurança esteja configurada para todos os endereços IP e todas as portas (0.0.0.0/0)

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: ALTO
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Computação

• Excluir o IP público da instância: Siga as instruções em Para excluir um IP público efêmero de uma instância.

Descrição: Alerta quando uma instância do serviço Compute não for criada com base em uma imagem pública da Oracle.

Recomendação: Certifique-se de que todas as instâncias estejam executando imagens sancionadas de origens confiáveis.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: Baixo
• Labels: Computação

• Deixe as definições padrão.

Descrição: Alerta quando uma instância é acessível ao público.

Recomendação: Considere cuidadosamente permitir o acesso pela Internet a qualquer instância.

Contexto: Para que uma instância possa ser endereçada publicamente, ela deve:

• Ter um endereço IP público
• Existir em uma sub-rede VCN pública
• Estar em uma VCN que tenha um gateway de internet ativado e configurado para tráfego de saída
• Estar em uma sub-rede em que a lista de segurança esteja configurada para todos os endereços IP e todas as portas (0.0.0.0/0)

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: CRITICAL
• Labels: Computação

• Conditional Groups: Filtre OCIDs de qualquer instância que devam ter um endereço IP público.

Descrição: Alerta quando uma instância do serviço Compute que está sendo executada por meio de uma imagem pública da Oracle.

Recomendação: Certifique-se de que todas as instâncias estejam executando imagens sancionadas de origens confiáveis.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: Baixo
• Labels: Computação

• Deixe as definições padrão.

Descrição: Alerta quando uma instância do serviço Compute está sendo executada sem as tags obrigatórias configuradas.

Recomendação: Certifique-se de que as instâncias estejam usando as tags obrigatórias.

Contexto: As tags são importantes para fins de auditoria e rastreamento.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: MÉDIO
• Rótulos: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configuração: Adicione tags obrigatórias na seção Definição de Entrada da regra.

  Esses formatos são permitidos na caixa Definição de Entrada. Separe entradas múltiplas com vírgulas.

  • <namespace>.<definedkey>=<definedValue>
  • <namespace>.<definedKey>
  • <freeformkey>=<freeformValue>
  • <freeformkey>

  Exemplos:

  • <namespace>.<definedkey>=<definedValue>
    • Operations.Environment=Production - Se o recurso tiver uma tag definida como namespace Operations, uma chave definida como Environment e um valor definido como Production, a regra não acionará um problema.
    • Operations.*=* - Se o recurso tiver um namespace Operations definido com tag, com qualquer chave definida e qualquer valor definido, a regra não acionará um problema.
  • <namespace>.<definedkey>
    • Operations.Environment - Se o recurso tiver uma tag definida como namespace Operations, com uma chave definida de Environment e qualquer valor definido, a regra não acionará um problema.
  • <freeformKey>
    • Project - Se o recurso tiver uma tag definida como chave de formato livre Project, a regra não acionará um problema.
  • <freeformKey>=freeformValue
    • Project=APPROVED - Se o recurso tiver uma tag definida como chave de formato livre Project com um valor de APPROVED, a regra não acionará um problema.

Descrição: Alerta quando é detectado um banco de dados para o qual o Data Safe não está ativado.

Recomendação: Certifique-se de que o Data Safe esteja ativado para todos os compartimentos que o Cloud Guard estiver monitorando, os quais contiverem bancos de dados. Consulte Vamos Começar.

Contexto: O serviço Data Safe ajuda a garantir que seus bancos de dados estejam configurados de forma segura. Esse serviço deve ser ativado para ajudar a monitorar, proteger e mitigar riscos nos seus bancos de dados de nuvem Oracle.

Parâmetros de Regra:

• Tipo de Serviço: Data Safe
• Tipo de Recurso: Tenancy
• Nível de Risco: ALTO
• Labels: Segurança de Banco de Dados.

• Deixe as definições padrão.

Descrição: Alerta quando o backup automático não está ativado para um banco de dados.

Recomendação: Verifique se o backup automático está ativado.

Contexto: a ativação do backup automático garante que, se ocorrer uma falha catastrófica de hardware, você possa restaurar o banco de dados com perda mínima de dados,

Parâmetros de Regra:

• Tipo de Serviço: Banco de Dados
• Tipo de Recurso: Sistema de Banco de Dados
• Nível de Risco: ALTO
• Labels: Banco de Dados

• Grupos Condicionais: Filtra OCIDs de banco de dados para qualquer um que não precise de backup automático, por exemplo, OCIDs em ambientes de teste do desenvolvedor.

Descrição: Alerta quando é detectada uma instância do banco de dados que não está registrada no Data Safe.

Recomendação: Registre esta instância do banco de dados no serviço Data Safe e configure avaliações para avaliar e monitorar a configuração, verificar atividades do usuário e mitigar riscos. Consulte Registro do Banco de Dados de Destino.

Contexto: O serviço Data Safe ajuda a garantir que seus bancos de dados estejam configurados de forma segura. Todos os bancos de dados na nuvem - Esse serviço deve ser ativado para ajudar a monitorar, proteger e mitigar riscos dentro dos seus bancos de dados de nuvem da Oracle.

Parâmetros de Regra:

• Tipo de Serviço: Data Safe
• Tipo de Recurso: Tenancy
• Nível de Risco: MÉDIO
• Labels: Segurança de Banco de Dados.

• Deixe as definições padrão.

Descrição: Alerta quando um patch de banco de dados disponível não foi aplicado dentro do número especificado de dias.

Recomendação: Aplique os patches liberados ao banco de dados quando eles estiverem disponíveis.

Contexto: Os patches do banco de dados tratam problemas de funcionalidade, segurança e desempenho. A maioria das violações de segurança pode ser evitada aplicando os patches disponíveis.

Parâmetros de Regra:

• Tipo de Serviço: Banco de Dados
• Tipo de Recurso: Sistema de Banco de Dados
• Nível de Risco: MÉDIO
• Labels: Banco de Dados

• Configuração: Defina o Número de dias para aplicar o patch na seção Definição de Entrada da regra.
• Grupos Condicionais: Filtra OCIDs de banco de dados para qualquer um que não precise ter o patch mais recente aplicado, por exemplo, OCIDs em ambientes de teste do desenvolvedor.

Recomendação: Certifique-se de que o sistema de banco de dados não tenha um endereço IP público.

Contexto: O uso de um endereço IP público para acessar um banco de dados aumenta sua exposição a riscos potenciais de segurança e continuidade de negócios.

Parâmetros de Regra:

• Tipo de Serviço: Banco de Dados
• Tipo de Recurso: Sistema de Banco de Dados
• Nível de Risco: ALTO
• Labels: Banco de Dados

• Grupos Condicionais: Filtre OCIDs de banco de dados para qualquer um que seria público.

Descrição: Alerta quando um banco de dados é acessível ao público.

Recomendação: Considere cuidadosamente permitir o acesso pela Internet a qualquer sistema de banco de dados.

Contexto: Para que um banco de dados seja acessível publicamente, ele deve:

• Ter um endereço IP público.
• Estar em uma sub-rede VCN pública.
• Estar em uma sub-rede que tenha um gateway de internet ativado e configurado para tráfego de saída.
• Estar em:
  • Uma sub-rede na qual a lista de segurança permita tráfego de qualquer intervalo de CIDRs de origem e "Todos os protocolos" ou...
  • Estar no grupo de segurança de rede que permita o tráfego de qualquer intervalo de CIDRs de origem e "Todos os protocolos".

Parâmetros de Regra:

• Tipo de Serviço: Banco de Dados
• Tipo de Recurso: ExadataBareMetalVM
• Nível de Risco: CRITICAL
• Labels: Banco de Dados

• Grupos Condicionais: Filtre OCIDs de banco de dados para qualquer um que seria público.

Descrição: Alerta quando um patch do sistema de banco de dados disponível não foi aplicado.

Recomendação: Aplique patches liberados ao sistema de banco de dados quando estiverem disponíveis.

Contexto: Os patches do sistema de banco de dados geralmente incluem atualizações que eliminam vulnerabilidades de segurança conhecidas.

Parâmetros de Regra:

• Tipo de Serviço: Banco de Dados
• Tipo de Recurso: Sistema de Banco de Dados
• Nível de Risco: MÉDIO
• Labels: Banco de Dados

• Configuração: Defina o Número de dias para aplicar o patch na seção Definição de Entrada da regra.
• Grupos Adicionais: Filtre OCIDs do sistema de banco de dados para qualquer um que não precise ter o patch mais recente aplicado, por exemplo, OCIDs em ambientes de teste do desenvolvedor.

Descrição: Alerta quando um sistema de banco de dados está em execução com uma versão não sancionada.

Recomendação: Verifique se a versão do sistema de banco de dados implantada foi aprovada e testada.

Contexto: A execução de versões não sancionadas de sistemas de banco de dados pode aumentar suas chances de uma violação de segurança, colocando em risco sua confidencialidade, integridade e disponibilidade de dados.

Parâmetros de Regra:

• Tipo de Serviço: Banco de Dados
• Tipo de Recurso: Sistema de Banco de Dados
• Nível de Risco: CRITICAL
• Labels: Banco de Dados

• Grupos Condicionais: Filtre OCIDs do sistema de banco de dados para qualquer um que não precise ter uma versão sancionada, por exemplo, OCIDs em ambientes de teste do desenvolvedor.

Descrição: Alerta quando um banco de dados está em execução com uma versão não sancionada.

Recomendação: Verifique se a versão do banco de dados implantada foi aprovada e testada.

Contexto: A versão sancionada de um banco de dados tem os recursos de segurança e patches de vulnerabilidade mais recentes. A execução de versões não sancionadas de um banco de dados pode aumentar suas chances de uma violação de segurança, colocando em risco sua confidencialidade, integridade e disponibilidade de dados.

Parâmetros de Regra:

• Tipo de Serviço: Banco de Dados
• Tipo de Recurso: Sistema de Banco de Dados
• Nível de Risco: CRITICAL
• Labels: Banco de Dados

• Grupos Adicionais: Filtre OCIDs de banco de dados para qualquer um que não precise ter uma versão sancionada, por exemplo, OCIDs em ambientes de teste do desenvolvedor.

Descrição: Alerta quando um par de chaves privada/ pública do IAM designado a um usuário é muito antigo.

Recomendação: Alterne as chaves de API regularmente, pelo menos a cada 90 dias.

Contexto: A alteração das chaves de API do IAM pelo menos a cada 90 dias é uma prática recomendada de segurança. Quanto mais tempo as credenciais do IAM permanecerem inalteradas, maior o risco de que elas possam ser comprometidas.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: IAMKey
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configuração: (Opcional) Você pode alterar o valor de 90 dias na seção Definição de Entrada da regra.

Descrição: alerte quando os tokens de autenticação do IAM forem mais antigos do que o número máximo de dias especificado.

Recomendação: Rotacione Tokens de Autenticação do IAM regularmente, pelo menos a cada 90 dias.

Contexto: A alteração de Tokens de Autenticação do IAM pelo menos a cada 90 dias é uma melhor prática de segurança. Quanto mais tempo os Tokens de Autenticação do IAM permanecerem inalterados, maior o risco de eles ficarem comprometidos.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.1_IAM, IAM

• Configuração: Defina o número máximo de dias para Tokens de Autenticação do IAM (é 90) na seção Definição de Entrada da regra.

Descrição: Alerta quando as Chaves Secretas do Cliente do IAM são mais antigas do que seu número máximo de dias especificado.

Recomendação: Rotacione as Chaves Secretas do Cliente do IAM regularmente, pelo menos a cada 90 dias.

Contexto: A alteração das Chaves Secretas do Cliente do IAM pelo menos a cada 90 dias é uma prática recomendada de segurança. Quanto mais tempo as Chaves Secretas do Cliente do IAM permanecerem inalteradas, maior o risco de que possam ser comprometidas.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.1_IAM, IAM

• Configuração: Defina o número máximo de dias para Chaves Secretas do Cliente do IAM (é 90) na seção Definição de Entrada da regra.

Descrição: Alerta quando um grupo do IAM tem menos do que o número mínimo especificado de membros.

Recomendação: Aumente o número de membros do grupo para ser menor que o número mínimo especificado de membros.

Contexto: A associação de grupo do IAM frequentemente concede acesso a recursos e funcionalidades. As associações de grupo que têm poucos membros podem representar privilégios em excesso "órfãs" (não estão mais disponíveis para qualquer usuário).

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Grupo
• Nível de Risco: Baixo
• Rótulos: IAM

• Deixe as definições padrão.

Descrição: Alerta quando um grupo do IAM tem mais que o número máximo especificado de membros.

Recomendação: Reduza o número de membros do grupo para ser menor que o número máximo especificado de membros.

Contexto: A associação de grupo do IAM frequentemente concede acesso a recursos e funcionalidades. As associações de grupo com muitos membros podem representar privilégios excessivamente permissivos sendo concedidos a muitos usuários.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Grupo
• Nível de Risco: MÉDIO
• Rótulos: IAM

• Deixe as definições padrão.

Descrição: Alerta quando uma senha do IAM é anterior ao número máximo de dias especificado.

Recomendação: Alterne as senhas do IAM regularmente, pelo menos a cada 90 dias.

Contexto: A alteração das senhas do IAM pelo menos a cada 90 dias é uma prática melhor de segurança. Quanto mais tempo as credenciais do IAM permanecerem inalteradas, maior o risco de que elas possam ser comprometidas.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configuração: Defina o número máximo de dias para as senhas (o padrão é 90) na seção Definição de Entrada da regra.

Descrição: A política de senha não atende aos requisitos de complexidade.

Recomendação: A Oracle recomenda que uma política de senha forte inclua pelo menos uma letra inferior.

Contexto: Senhas complexas são mais difíceis de adivinhar e podem diminuir as chances de acesso não autorizado ou dados comprometidos.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Política.
• Nível de Risco: Baixo
• Labels: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Deixe as definições padrão.

Descrição: Alerta quando uma política do IAM concede acesso a qualquer atribuição de administrador a um usuário que não é membro do grupo Administradores.

Recomendação: Verifique se a política está restrita para permitir que apenas usuários específicos acessem os recursos exigidos para executar suas funções.

Contexto: Política é um documento que especifica quem pode acessar quais recursos do OCI que sua empresa tem e como. Uma política simplesmente permite que um grupo trabalhe de determinadas formas com tipos específicos de recursos em um compartimento específico.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Política.
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configuração: Adicione OCIDs para todos os grupos que devem ter permissão para esses privilégios na seção Definição de Entrada da regra.

Descrição: Alerta quando o privilégio de administrador da tenancy é concedido a um grupo extra do IAM.

Recomendação: Verifique com o administrador do OCI se essa concessão de direito foi sanada e se a associação do grupo permanece válida após a concessão do privilégio de administrador.

Contexto: Os membros do grupo de administradores da tenancy padrão podem executar qualquer ação em todos os recursos dessa tenancy. Esse direito de alto privilégio deve ser controlado e restrito apenas aos usuários que precisam dele para desempenhar suas funções.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Política.
• Nível de Risco: Baixo
• Labels: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configuração: Adicione OCIDs de grupos que devem ter privilégio de administrador na seção Definição de Entrada da regra.

Descrição: Alerta quando um usuário não tem a autenticação multifator (MFA) ativada.

Recomendação: Ative a autenticação MFA para todos os usuários, usando o aplicativo Oracle Mobile Authenticator (OMA) no dispositivo móvel de cada usuário e o código de acesso temporário (OTP) enviado para o endereço de e-mail registrado do usuário.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: CRITICAL
  Observação
  
  Se sua organização começar a usar o Cloud Guard antes de abril de 2023, o Nível de Risco padrão será MÉDIO.
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Deixe as definições padrão.

Descrição: Alerta quando um usuário tem chaves de API ativadas.

Recomendação: Certifique-se de que o acesso do OCI pelos administradores por meio de chaves de API seja executado como exceção. Não codifique as credenciais do IAM diretamente no software ou nos documentos para um público amplo.

Contexto: As chaves de API do IAM são credenciais usadas para conceder acesso programático aos recursos. Usuários humanos reais não devem usar chaves de API.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: Baixo
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Deixe as definições padrão.

Descrição: Alerta quando uma chave KMS não foi alternada dentro do período especificado.

Recomendação: Certifique-se de alternar as chaves KMS regularmente.

Contexto: Para segurança da informação, você deve alterar ou alternar periodicamente senhas, chaves e materiais criptográficos. A alternância de chaves no KMS reduz o impacto e a probabilidade de comprometimento da chave. Defina o mínimo. Você pode alterar o tempo padrão da alternância de chaves de 180 dias na seção Definição de Entrada da regra.

Parâmetros de Regra:

• Tipo de serviço: KMS
• Tipo de Recurso: Chave KMS
• Nível de Risco: CRITICAL
• Rótulos: CIS_OCI_V1.1_MONITORING, KMS

• Configuração: Defina o tempo padrão de alternância de chaves na seção Definição de Entrada da regra.

Descrição: Alerta quando um recurso não está marcado em conformidade com os requisitos de tag especificados.

Recomendação: Verifique se as tags configuradas estão em uso para imagens de computação, instâncias de computação, sistemas de banco de dados, VCNs, armazenamento de objetos e volumes em blocos de armazenamento.

Contexto: Verifique se as tags configuradas estão em uso para imagens de computação, instâncias de computação, sistemas de banco de dados, VCNs, armazenamento de objetos e volumes em blocos de armazenamento.

Parâmetros de Regra:

• Tipo de Serviço: Vários
• Tipo de Recurso: Vários
• Nível de Risco: Baixo
• Rótulos: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configuração: Adicione tags apropriadas na seção Definição de Entrada da regra.

Descrição: Alerta quando um balanceador de carga tem uma suíte de cifragem configurada que é oci-wider-compatible-ssl-cipher-suite-v1. Essa suíte de cifragem inclui algoritmos como DES e RC4 que são considerados fracos e propensos a ataques. Aplicável somente a suítes de cifragem predefinidas e não aos valores personalizados da suíte de cifragem.

Opcionalmente, use condições para especificar suítes de cifragem adicionais a serem sinalizadas.

Para usar cifras adicionais:

1. Edite a regra do detector O balanceador de carga permite suítes de cifragem fracas.
2. Em Definição de entrada, insira as cifras adicionais como uma lista separada por vírgulas na Lista de Cifras Fracas do LB.
   • Quando a definição de entrada está vazia (padrão), o oci-wider-compatible-ssl-cipher-suite-v1 é marcado e sinalizado.
   • Quando a definição de entrada tiver entradas, as cifras adicionais serão verificadas, bem como oci-wider-compatible-ssl-cipher-suite-v1.
   As cifras adicionais são:

   • oci-compatible-ssl-cipher-suite-v1
   • oci-default-ssl-cipher-suite-v1
   • oci-modern-ssl-cipher-suite-v1
   • oci-tls-11-12-13-wider-ssl-cipher-suite-v1
   • oci-tls-12-13-wider-ssl-cipher-suite-v1

Recomendação: Use suítes de criptografia modernas e padrão que suportem criptografia mais forte.

Contexto: Algumas versões de suítes de cifragem com algoritmos como DES não são recomendadas.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Balanceador de Carga
• Nível de Risco: MÉDIO
• Labels: Rede

• Deixe as definições padrão.

Descrição: Alerta quando um balanceador de carga tem um protocolo configurado como parte de sua política SSL que inclui qualquer versão anterior ao TLS (Transport Layer Security) 1.2.

Recomendação: Certifique-se de que a versão da política SSL configurada seja pelo menos TLS1.2.

Contexto: Versões mais antigas são arriscadas e vulneráveis a muitos tipos de ataques. Vários padrões, como PCI-DSS e NIST, incentivam fortemente o uso do TLS 1.2.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Balanceador de Carga
• Nível de Risco: ALTO
• Labels: Rede

• Deixe as definições padrão.

Descrição: Alerta quando um balanceador de carga não tem conjuntos de backend associados.

Recomendação: Certifique-se de configurar balanceadores de carga com conjuntos de backend para controlar a integridade e o acesso a um balanceador de carga por instâncias definidas.

Contexto: Conjunto de backend é uma entidade lógica definida por uma política de balanceamento de carga, uma política de verificação de integridade e uma lista de servidores de backend.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Balanceador de Carga
• Nível de Risco: CRITICAL
• Labels: Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma lista de segurança de um balanceador de carga tem regras de entrada que aceitam tráfego de uma origem aberta (0.0.0.0/0).

Recomendação: Certifique-se de que os balanceadores de carga do OCI usem regras de entrada ou listeners para só permitir acesso de recursos conhecidos.

Contexto: Os balanceadores de carga do OCI permitem conexões TLS de ponta a ponta entre os aplicativos de um cliente e a VCN. Listener é uma entidade lógica que verifica o tráfego de entrada no endereço IP do balanceador de carga. Para tratar o tráfego TCP, HTTP e HTTPS, configure pelo menos um listener por tipo de tráfego.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Balanceador de Carga
• Nível de Risco: MINOR
• Labels: Rede

• Deixe as definições padrão.

Descrição: Alerta quando um balanceador de carga está em execução com um endereço IP público.

Recomendação: Certifique-se de que todos os balanceadores de carga não obrigados a ser acessíveis ao público estejam em execução com endereços IP privados.

Contexto: Um endereço IP público em um balanceador de carga que não deve ser usado para conteúdo disponível publicamente cria uma vulnerabilidade de segurança desnecessária.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Balanceador de Carga
• Nível de Risco: Alto
• Labels: Rede

• Grupos Adicionais: Filtre OCIDs para qualquer balanceador de carga que deva ter um endereço IP público.

Descrição: Alerta quando o certificado SSL em um balanceador de carga está definido para expirar dentro do período especificado.

Recomendação: Certifique-se de que os certificados sejam alternados oportunamente.

Contexto: Para garantir segurança e usabilidade contínuas, os certificados SSL devem ser alternados no OCI.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Balanceador de Carga
• Nível de Risco: CRITICAL
• Labels: Rede

• Configuração: Defina Dias antes de expirar (o padrão é 48) na seção Definição de Entrada da regra.

Descrição: Quando a regra de saída de um grupo de segurança de rede (NSG) contém um endereço IP de destino e um número de porta não permitidos.

Recomendação: Verifique se as regras de saída para comunicação com o IP/porta são permitidas para esse NSG.

Contexto: Os NSGs agem como firewall virtual para instâncias de computação e outros tipos de recursos. As regras de segurança de saída do NSG se aplicam a um conjunto de NICs virtuais em um VCN para permitir acesso a portas e endereços IP específicos.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Grupo de Segurança de Rede
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Rede

• Configuração: Adicione portas não permitidas na seção Definição de Entrada da regra.

Descrição: Alerta quando a regra de entrada de um grupo de segurança de rede contém um endereço IP de destino e um número de porta não permitidos.

Recomendação: Verifique se as regras de entrada para comunicação com o IP/porta são permitidas para esse NSG.

Contexto: Os NSGs agem como firewall virtual para instâncias de computação e outros tipos de recursos. As regras de segurança de entrada do NSG se aplicam a um conjunto de NICs virtuais em um VCN para permitir acesso a portas e endereços IP específicos.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Grupo de Segurança de Rede
• Nível de Risco: ALTO
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Rede

• Configuração: Adicione portas não permitidas na seção Definição de Entrada da regra.

Descrição: Alerta quando uma VCN está anexada a um gateway de internet.

Recomendação: Certifique-se de que os gateways de internet estejam autorizados a serem anexados a uma VCN e de que esse anexo não exponha recursos à Internet. Certifique-se de que as listas de segurança com regras de entrada e essas listas de segurança não estejam configuradas para permitir acesso de todos os endereços IP 0.0.0.0/0.

Contexto: Os gateways fornecem conectividade externa com hosts em uma VCN. Eles incluem gateway de internet (IGW) para conectividade com a Internet.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: VCN
• Nível de Risco: Baixo
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma VCN é anexada a um peering gateway local.

Recomendação: Certifique-se de que os gateways de pareamento locais estejam autorizados a serem anexados a uma VCN e de que este anexo não exponha recursos à Internet.

Contexto: Os gateways fornecem conectividade externa com hosts em uma VCN. Eles incluem LPG (Local Peering Gateway) para conectividade com a VCN pareada.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: VCN
• Nível de Risco: Baixo
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma VCN não tem lista de segurança de entrada.

Recomendação: Certifique-se de que a VCN do OCI use listas de segurança com regras de entrada para só permitir acesso de recursos conhecidos.

Contexto: As listas de segurança fornecem a capacidade de firewall com e sem monitoramento de estado para controlar o acesso da rede a suas instâncias. Uma lista de segurança é configurada no nível da sub-rede e imposta no nível da instância. Você poderá aplicar várias listas de segurança a uma sub-rede na qual um pacote de rede for permitido, se corresponder a qualquer regra nas listas de segurança.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: VCN
• Nível de Risco: MÉDIO
• Labels: Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma lista de segurança da VCN permite tráfego ilimitado para uma porta não pública de uma origem aberta (0.0.0.0/0).

Recomendação: Use listas de segurança da VCN para restringir o acesso da rede a instâncias em uma sub-rede. Para evitar acesso não autorizado ou ataques em instâncias de computação, a Oracle recomenda que você:

• Use uma lista de segurança da VCN para só permitir acesso SSH ou RDP de blocos CIDR autorizados
• Não deixe as instâncias de computação abertas para a Internet (0.0.0.0/0)

Contexto: Uma VCN tem um conjunto de recursos para impor o controle de acesso da rede e proteger o tráfego da VCN. As listas de segurança fornecem recursos de firewall com e sem monitoramento de estado para controlar o acesso da rede a suas instâncias. Uma lista de segurança é configurada no nível da sub-rede e imposta no nível da instância. Você poderá aplicar várias listas de segurança a uma sub-rede na qual um pacote de rede for permitido, se corresponder a qualquer regra nas listas de segurança.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: VCN
• Nível de Risco: CRITICAL
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma lista de segurança da VCN permite determinadas portas restritas (consulte Definições de Entrada, Protocolo Restrito: Lista de Portas) como parte da regra de entrada da lista de Segurança.

Recomendação: Certifique-se de que suas VCNs do OCI usem listas de segurança que não incluam uma porta listada em "Protocolo Restrito: Lista de Portas" na definição de Entrada desta regra do detector com qualquer regra de entrada ou entrada. A seção Detalhes adicionais de um problema lista as portas restritas abertas específicas que acionaram esse problema.

Contexto: As listas de segurança fornecem a capacidade de firewall com e sem monitoramento de estado para controlar o acesso da rede a suas instâncias. Uma lista de segurança é configurada no nível da sub-rede e imposta no nível da instância. Você poderá aplicar várias listas de segurança a uma sub-rede na qual um pacote de rede for permitido, se corresponder a qualquer regra nas listas de segurança.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: VCN
• Nível de Risco: MINOR
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Rede

• Configuração:
  • Modifique Protocolo Restrito: Lista de Portas conforme necessário, na seção Definição de Entrada da regra.

  É possível inserir listas de portas manualmente ou inserir nomes de uma ou mais listas de segurança que você definiu. Consulte Listas de Segurança.

Descrição: Alerta quando uma placa de interface de rede virtual (VNIC) não tem NSG associado).

Recomendação: Certifique-se de que todas as VNICs tenham um NSG associado.

Contexto: VNIC é um componente de rede que permite que um recurso, como uma instância de computação, estabeleça conexão com uma VCN. A VNIC determina como a instância estabelece conexão com pontos finais dentro e fora da VCN. Cada VNIC reside em uma sub-rede de uma VCN. Uma VNIC sem um NSG pode disparar um problema de conectividade.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: VCN
• Nível de Risco: MINOR
• Labels: Rede

• Configuração: Modificar Protocolo Restrito: Lista de Portas conforme necessário, na seção Definição de Entrada da regra.

Descrição: Alerta quando o Oracle VSS (Serviço de Verificação de Vulnerabilidade) verifica contêineres e identifica vulnerabilidades de segurança cibernética conhecidas. Para usar essa regra, crie uma Receita de Verificação do Host e um Destino de Verificação do Host no serviço Scanning. Consulte Scanning: Getting Started na documentação de Verificação.

Recomendação: Execute as ações recomendadas que estão documentadas para cada vulnerabilidade, como aplicar um patch do sistema operacional.

Contexto: O serviço Scanning identifica vulnerabilidades de aplicativos, bibliotecas, sistemas operacionais e serviços. Cada vulnerabilidade no banco de dados tem um identificador distinto ou CVE.

Parâmetros de Regra:

• Tipo de Serviço: Verificação, Computação
• Tipo de Recurso: Contêiner
• Nível de Risco: CRITICAL
• Rótulos: VSS

• Deixe as definições padrão (todos os CVEs são detectados)

Descrição: Alerta quando o Serviço de Verificação de Vulnerabilidade (VSS) do Oracle verifica instâncias do serviço Compute (hosts) e identifica portas abertas. Para usar essa regra, crie uma Receita de Verificação do Host e um Destino de Verificação do Host no serviço Scanning. Consulte Scanning: Getting Started na documentação de Verificação.

Recomendação: Verifique se as portas identificadas devem estar abertas neste host e feche-as se não for necessário abri-las. Se todas as portas abertas estiverem corretas, verifique se a lista de portas permitidas contém todos os números de portas abertas. Além disso, verifique se a lista de portas não permitidas não contém nenhum número de porta aberta.

Contexto: Determinadas portas são necessárias para operação e entrega de serviços, mas quaisquer portas abertas além da lista desejada podem potencialmente ser usadas para explorar os serviços.

Parâmetros de Regra:

• Tipo de Serviço: Verificação, Computação
• Tipo de Recurso: Computação
• Nível de Risco: CRITICAL
• Rótulos: VSS

• Configuração: Adicione todas as portas que devem ser ignoradas à lista Portas permitidas na seção Definição de Entrada da regra.
  Observação
  
  

  Se você adicionar o mesmo número de porta à lista Portas permitidas e à lista Portas não permitidas na seção Definição de Entrada da regra, a lista Portas não permitidas terá precedência; um problema ainda será acionado quando o Cloud Guard localizar a porta aberta.

Descrição: Alerta quando o Serviço de Verificação de Vulnerabilidade (VSS) do Oracle verifica instâncias do serviço Compute (hosts) e identifica vulnerabilidades conhecidas de segurança cibernética. Para usar essa regra, crie uma Receita de Verificação do Host e um Destino de Verificação do Host no serviço Scanning. Consulte Scanning: Getting Started na documentação de Verificação.

Recomendação: Execute as ações recomendadas que estão documentadas para cada vulnerabilidade, como aplicar um patch do sistema operacional.

Contexto: O serviço Scanning identifica vulnerabilidades de aplicativos, bibliotecas, sistemas operacionais e serviços. Cada vulnerabilidade no banco de dados tem um identificador distinto ou CVE.

Parâmetros de Regra:

• Tipo de Serviço: Verificação, Computação
• Tipo de Recurso: Computação
• Nível de Risco: CRITICAL
• Rótulos: VSS

• Deixe as definições padrão (todos os CVEs são detectados)

Descrição: Alerta quando um volume em blocos é criptografado com chaves gerenciadas pela Oracle.

Recomendação: Designe uma chave KMS a esse volume.

Contexto: A criptografia de volumes fornece um nível extra de segurança em seus dados. O gerenciamento de chaves de criptografia é fundamental para proteger e acessar dados protegidos. Alguns clientes desejam identificar entre chaves gerenciadas pela Oracle e chaves gerenciadas pelo usuário criptografadas para volumes em blocos.

Parâmetros de Regra:

• Tipo de Serviço: Armazenamento
• Tipo de Recurso: Volume em Blocos
• Nível de Risco: MINOR
• Rótulos: KMS

• Chaves Gerenciadas pela Oracle: Recomendadas para proteger volumes em blocos.
• Chaves Gerenciadas pelo Usuário:
  • Use o KMS sempre que possível.
  • Implemente o Oracle Security Zones nos compartimentos para garantir que a prática seja seguida.
• Grupos Adicionais: Evite usar, por causa do grande número de volumes.

Descrição: Alerta quando um volume em blocos não está anexado à instância associada.

Recomendação: Verifique se o volume está anexado.

Parâmetros de Regra:

• Tipo de Serviço: Armazenamento
• Tipo de Recurso: Volume em Blocos
• Nível de Risco: MÉDIO
• Labels: Armazenamento

• Grupos Condicionais: Evite usar, por causa do grande número de volumes.

Descrição: Alerta quando um bucket é público.

Recomendação: Certifique-se de que o bucket esteja sancionado para acesso público e, caso contrário, oriente o administrador do OCI a restringir a política do bucket de modo a permitir que apenas usuários específicos acessem os recursos necessários para desempenhar as funções que lhes incumbem

Contexto: O serviço Object Storage oferece suporte ao acesso anônimo e não autenticado a um bucket. Um bucket público que tem acesso de leitura ativado para usuários anônimos permite que qualquer pessoa obtenha metadados de objeto, faça download de objetos de bucket e, se desejar, liste o conteúdo do bucket.

Parâmetros de Regra:

• Tipo de Serviço: Armazenamento
• Tipo de Recurso: Bucket.
• Nível de Risco: CRITICAL
• Rótulos: CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Grupos Adicionais: Filtre nomes de bucket (<namespace>/<name>) para qualquer um que supostamente seja público.

Descrição: Alerta quando um bucket do serviço Object Storage é criptografado com uma chave gerenciada pela Oracle.

Recomendação: Designe uma chave do Vault a esse bucket.

Contexto: A criptografia de buckets de armazenamento fornece um nível extra de segurança em seus dados. O gerenciamento de chaves de criptografia é fundamental para proteger e acessar dados protegidos. Alguns clientes desejam identificar chaves gerenciadas pela Oracle criptografadas de buckets de armazenamento.

Parâmetros de Regra:

• Tipo de Serviço: Armazenamento
• Tipo de Recurso: Bucket.
• Nível de Risco: MINOR
• Rótulos: CIS_OCI_V1.1_ObjectStorage, ObjectStorage, KMS

• Configuração: Essa regra é desativada por padrão no Detector de Configuração do OCI, porque pode gerar problemas que podem não ser críticos para muitos operadores do Cloud Guard. Se você ativar essa regra, certifique-se de definir cuidadosamente Grupos Condicionais para direcionar somente os buckets específicos que você NÃO deseja criptografar com uma chave gerenciada pela Oracle. Se você precisar de um controle de chave rigoroso usando chaves gerenciadas pelo usuário por meio do Vault, crie um compartimento do Oracle Security Zone e crie recursos nesse compartimento.

Descrição: Alerta quando os logs de acesso de leitura não estão ativados para um bucket do Object Storage.

Recomendação: Certifique-se de que os logs de leitura estejam ativados para o bucket e que os logs estejam sendo monitorados continuamente pelas ferramentas de segurança.

Contexto: Os logs de acesso ajudam a proteger seus objetos confidenciais, fornecendo visibilidade das atividades relacionadas às operações de leitura e gravação nos objetos dentro do bucket de armazenamento de objetos.

Parâmetros de Regra:

• Tipo de Serviço: Armazenamento
• Tipo de Recurso: Bucket.
• Nível de Risco: Baixo
• Rótulos: CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configuração: Esta regra é desativada por padrão no Detector de Configuração do OCI e não pode ser ativada lá. Ativar esta regra:
  1. Clonando o Detector de Configuração do OCI. Consulte Clonando uma Receita do Detector do OCI.
  2. Ative a regra na cópia gerenciada pelo usuário (clonada) do Detector de Configuração do OCI. Consulte Editando Definições de Regra em uma Receita do Detector do OCI.
  3. Anexe a cópia gerenciada pelo usuário (clonada) do Detector de Configuração do OCI a todos os destinos nos quais você deseja que a regra seja ativada. Consulte Editando um Destino do OCI e Suas Receitas Anexadas.

Descrição: Alerta quando os logs de acesso de gravação não estão ativados para um bucket do Object Storage.

Recomendação: Certifique-se de que a gravação de logs esteja ativada para o bucket e de que os logs estejam sendo monitorados continuamente pelas ferramentas de segurança.

Contexto: Os logs de acesso ajudam a proteger seus objetos confidenciais, fornecendo visibilidade das atividades relacionadas às operações de leitura e gravação nos objetos dentro do bucket de armazenamento de objetos.

Parâmetros de Regra:

• Tipo de Serviço: Armazenamento
• Tipo de Recurso: Bucket.
• Nível de Risco: Baixo
• Rótulos: CIS_OCI_V1.1_MONITORING, CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configuração: Esta regra é desativada por padrão no Detector de Configuração do OCI e não pode ser ativada lá. Ativar esta regra:
  1. Clonando o Detector de Configuração do OCI. Consulte Clonando uma Receita do Detector do OCI.
  2. Ative a regra na cópia gerenciada pelo usuário (clonada) do Detector de Configuração do OCI. Consulte Editando Definições de Regra em uma Receita do Detector do OCI.
  3. Anexe a cópia gerenciada pelo usuário (clonada) do Detector de Configuração do OCI a todos os destinos nos quais você deseja que a regra seja ativada. Consulte s.

Descrição: Alerta quando um contêiner não tem uma verificação de prontidão.

Recomendação: Certifique-se de que todos os contêineres tenham uma sondagem de prontidão definida.

Parâmetros de Regra:

• Definindo Configurações:
  • userRangeMin (int): O limite inferior (incluído) do intervalo de IDs de usuário UNIX necessário. Corresponde às seções .spec.securityContext.runAsUser e .spec.containers[].securityContext.runAsUser de uma especificação de pod.
  • userRangeMax (int): O limite superior (incluído) do intervalo de IDs de usuário UNIX necessário. Corresponde às seções .spec.securityContext.runAsUser e .spec.containers[].securityContext.runAsUser de uma especificação de pod.
• Nível de Risco: MÉDIO
• Labels: Disponibilidade do Contêiner

Descrição: Alerta quando um contêiner não está usando um gancho de ciclo de vida pós-início.

Recomendação: Certifique-se de que todos os contêineres sempre usem um gancho de ciclo de vida pós-início.

Parâmetros de Regra:

• Definindo Configurações:
  • hookActions (lista): Lista de ações de gancho permitidas. Usando a ação não permitida, o gancho ausente ou vazio violará a regra. Use "any" para verificar a existência, independentemente da ação. Corresponde à seção spec.containers[].lifecycle.postStart de uma especificação de pod.
• Nível de Risco: BAIXO
• Labels: Disponibilidade do Contêiner

Descrição: Alerta quando um contêiner não está usando um gancho de ciclo de vida de pré-parada.

Recomendação: Certifique-se de que todos os contêineres tenham um gancho de ciclo de vida pré-parada configurado.

Parâmetros de Regra:

• Definindo Configurações:
  • hookActions (lista): Lista de ações de gancho permitidas. Usando a ação não permitida, o gancho ausente ou vazio violará a regra. Use "any" para verificar a existência, independentemente da ação. Corresponde à seção spec.containers[].lifecycle.preStop de uma especificação de pod.
• Nível de Risco: BAIXO
• Labels: Disponibilidade do Contêiner

Descrição: Alerta quando um contêiner está usando uma porta privilegiada (1-1024).

Recomendação: Certifique-se de que nenhum contêiner seja exposto em portas privilegiadas.

Parâmetros de Regra:

• Nível de Risco: ALTO
• Labels: Rede de Contêiner

Descrição: Alerta quando há apenas réplica para uma implantação do Kubernetes.

Recomendação: Certifique-se de que todas as implantações do Kubernetes tenham várias réplicas.

Parâmetros de Regra:

• Nível de Risco: BAIXO
• Labels: Disponibilidade do Contêiner

Descrição: Alerta quando um pod é encontrado que usa um período de tolerância de encerramento de pod grande.

Recomendação: Certifique-se de que os pods não usem períodos de tolerância de desligamento grandes.

Parâmetros de Regra:

• Definindo Configurações:
  • maximum (int) 60: Limite para o período de terminação de tolerância do pod em segundos. Os pods sem período de tolerância definido são considerados como tendo o período padrão de 30 segundos. Corresponde à seção spec.terminationGracePeriodSeconds de uma especificação de pod.
• Nível de Risco: BAIXO
• Labels: Disponibilidade do Contêiner

Descrição: Alerta quando uma porta de host é usada.

Recomendação: Certifique-se de que as portas do host não sejam usadas.

Parâmetros de Regra:

• Nível de Risco: ALTO
• Labels: Rede de Contêiner

Descrição: Alerta quando uma porta de nó é usada.

Recomendação: Certifique-se de que as portas do nó não sejam usadas.

Parâmetros de Regra:

• Nível de Risco: MÉDIO
• Labels: Rede de Contêiner

Descrição: Alerta quando uma política de extração de imagem não está definida como always.

Recomendação: Certifique-se de que todos os contêineres usem uma política de extração de imagem aprovada.

Parâmetros de Regra:

• Definindo Configurações:
  • imagePullPolicy (string): Lista separada por vírgulas de políticas de extração de imagem permitidas, uma das quais deve ser definida explicitamente pela especificação do contêiner. Corresponde à seção spec.containers[].imagePullPolicy de uma especificação de pod.
• Nível de Risco: BAIXO
• Labels: Garantia de Imagem

Descrição: Alerta quando uma imagem não é referenciada de um dos registros confiáveis configurados.

Recomendação: Certifique-se de que as imagens do contêiner sejam referenciadas apenas dos registros permitidos.

Parâmetros de Regra:

• Definindo Configurações:
  • allowedRegistriesRegex (string): Uma expressão regular que descreve os registros de imagem permitidos. Sintaxe detalhada. Corresponde à seção spec.containers[].image de uma especificação de pod.
• Nível de Risco: ALTO
• Labels: Garantia de Imagem

Descrição: Alerta quando uma imagem não é referenciada por um hash SHA.

Recomendação: Certifique-se de que as imagens sejam referenciadas por meio de hashes SHA.

Parâmetros de Regra:

• Nível de Risco: BAIXO
• Labels: Garantia de Imagem

Descrição: Alerta quando um pod está em execução na conta de serviço padrão.

Recomendação: Certifique-se de que nenhum contêiner seja executado na conta de serviço padrão.

Parâmetros de Regra:

• Nível de Risco: MÉDIO
• Labels: Kubernetes RBAC

Descrição: Alerta quando símbolos curinga são usados com ClusterRoles ou Atribuições.

Recomendação: Certifique-se de que os símbolos curinga não sejam usados com ClusterRoles ou Atribuições.

Parâmetros de Regra:

• Nível de Risco: MÉDIO
• Labels: Kubernetes RBAC

Descrição: Alerta quando um segredo é acessado por meio de uma variável de ambiente em vez de em um volume.

Recomendação: Certifique-se de que os segredos do Kubernetes sejam montados como volume.

Parâmetros de Regra:

• Nível de Risco: MÉDIO
• Labels: Segredos do Kubernetes

Descrição: Alerta quando um contêiner não tem um limite de CPU definido.

Recomendação: Certifique-se de que todos os contêineres tenham um limite de CPU definido.

Parâmetros de Regra:

• Definindo Configurações:
  • maximum (string): Valores maiores que o máximo são considerados violação da regra. Os qualificadores do Kubernetes são suportados. Use "any" para verificar a existência sem um limite. Corresponde à seção spec.containers[].resources.limits.cpu de uma especificação de pod.
• Nível de Risco: MÉDIO
• Labels: Consumo de Recursos

Descrição: Alerta quando um contêiner não tem uma solicitação de CPU definida.

Recomendação: Certifique-se de que os contêineres sempre tenham uma solicitação de CPU definida.

Parâmetros de Regra:

• Definindo Configurações:
  • maximum (string): Valores maiores que o máximo são considerados violação da regra. Os qualificadores do Kubernetes são suportados. Use "any" para verificar a existência sem um limite. Corresponde à seção spec.containers[].resources.requests.cpu de uma especificação de pod.
• Nível de Risco: MÉDIO
• Labels: Consumo de Recursos

Descrição: Alerta quando um contêiner não tem um limite de memória definido.

Recomendação: Certifique-se de que os contêineres sempre tenham um limite de memória definido.

Parâmetros de Regra:

• Definindo Configurações:
  • maximum (string): Valores maiores que o máximo são considerados violação da regra. Os qualificadores do Kubernetes são suportados. Use "any" para verificar a existência sem um limite. Corresponde à seção spec.containers[].resources.limits.memory de uma especificação de pod.
• Nível de Risco: MÉDIO
• Labels: Consumo de Recursos

Descrição: Alerta quando um contêiner não tem solicitações de memória definidas.

Recomendação: Certifique-se de que os contêineres sempre tenham solicitações de memória definidas.

Parâmetros de Regra:

• Definindo Configurações:
  • maximum (string): Valores maiores que o máximo são considerados violação da regra. Os qualificadores do Kubernetes são suportados. Use "any" para verificar a existência sem um limite. Corresponde à seção spec.containers[].resources.limits.memory de uma especificação de pod.
• Nível de Risco: MÉDIO
• Labels: Consumo de Recursos

Descrição: Alerta quando um contêiner não tem limite de armazenamento definido.

Recomendação: Certifique-se de que todos os contêineres tenham um conjunto de solicitações de armazenamento efêmero.

Parâmetros de Regra:

• Definindo Configurações:
  • maximum (string): Valores maiores que o máximo são considerados violação da regra. Os qualificadores do Kubernetes são suportados. Use "any" para verificar a existência sem um limite. Corresponde à seção spec.containers[].resources.limits.memory de uma especificação de pod.
• Nível de Risco: BAIXO
• Labels: Consumo de Recursos

Descrição: Alerta quando um contêiner tem permissão para executar no namespace IPC do host.

Recomendação: Certifique-se de que nenhum contêiner tenha permissão para ser executado no namespace IPC do host.

Parâmetros de Regra:

• Nível de Risco: ALTO
• Labels: Contexto de Segurança

Descrição: Alerta quando um contêiner tem permissão para executar no namespace Linux de rede do host.

Recomendação: Certifique-se de que nenhum contêiner tenha permissão para ser executado no namespace de rede do host.

Parâmetros de Regra:

• Nível de Risco: ALTO
• Labels: Contexto de Segurança

Descrição: Alerta quando um contêiner tem permissão para executar no namespace PID do host.

Recomendação: Certifique-se de que nenhum contêiner tenha permissão para ser executado no namespace PID do host.

Parâmetros de Regra:

• Nível de Risco: ALTO
• Labels: Contexto de Segurança

Descrição: Alerta quando um contêiner tem permissão para montar o sistema de arquivos do host.

Recomendação: Certifique-se de que nenhum contêiner tenha permissão para montar o sistema de arquivos do host.

Parâmetros de Regra:

• Definindo Configurações:
  • allowedHostPaths (lista): Lista de prefixos de caminho de host na lista de permissões. A montagem não tem a opção somente leitura especificada. Corresponde à seção .spec.volumes.hostPath.path de uma especificação de pod.
  • allowedReadOnlyHostPaths (lista): Lista de prefixos de caminho de host na lista de permissões. A montagem não especificou a opção somente leitura. Corresponde às seções .spec.volumes.hostPath.path e .spec.containers[].volumeMounts[].readOnly de uma especificação de pod.
• Nível de Risco: ALTO
• Labels: Contexto de Segurança

Descrição: Alerta quando um contêiner tem permissão para escalar seus privilégios.

Recomendação: Certifique-se de que nenhum contêiner tenha permissão para escalar seus privilégios.

Parâmetros de Regra:

• Nível de Risco: ALTO
• Labels: Contexto de Segurança

Descrição: Alerta quando determinadas cargas de trabalho de contêiner estão em execução com um GID não esperado.

Recomendação: Certifique-se de que todas as cargas de trabalho do contêiner estejam configuradas para execução em um GID que esteja dentro do intervalo permitido.

Parâmetros de Regra:

• Definindo Configurações:
  • runAsGroupRangeMin (int): O limite inferior (incluído) do intervalo de IDs do grupo de usuários UNIX necessário. Corresponde às seções .spec.securityContext.runAsGroup e .spec.containers[].securityContext.runAsGroup de uma especificação de pod.
  • runAsGroupRangeMax (int): O limite superior (incluído) do intervalo de IDs do grupo de usuários UNIX necessário. Corresponde às seções .spec.securityContext.runAsGroup e .spec.containers[].securityContext.runAsGroup de uma especificação de pod.
  • supplementalGroupsRangeMin (int): O limite inferior (incluído) do intervalo de grupos de usuários UNIX complementares necessários. Cada GID na lista de grupos complementares precisa pertencer ao intervalo especificado. Corresponde às seções .spec.securityContext.supplementalGroups e .spec.containers[].securityContext.supplementalGroups de uma especificação de pod.
  • supplementalGroupsRangeMax (int): O limite superior (incluído) do intervalo de grupos de usuários UNIX complementares necessários. Cada GID na lista de grupos complementares precisa pertencer ao intervalo especificado. Corresponde às seções .spec.securityContext.supplementalGroups e .spec.containers[].securityContext.supplementalGroups de uma especificação de pod.
  • fsGroupRangeMin (int): O limite inferior (incluído) da faixa de IDs do grupo de usuários UNIX necessária usada para o conteúdo do grupo de volumes do Kubernetes. Corresponde às seções .spec.securityContext.fsGroup e .spec.containers[].securityContext.fsGroup de uma especificação de pod. No entanto, observe que as definições no nível do contêiner não são honradas no Kubernetes para este campo.
  • fsGroupRangeMax (int): O limite superior (incluído) da faixa de IDs do grupo de usuários UNIX necessária usada para o conteúdo do grupo de volumes do Kubernetes. Corresponde às seções .spec.securityContext.fsGroup e .spec.containers[].securityContext.fsGroup de uma especificação de pod. No entanto, observe que as definições no nível do contêiner não são honradas no Kubernetes para este campo.
• Nível de Risco: MÉDIO
• Labels: Contexto de Segurança

Descrição: Alerta quando determinadas cargas de trabalho de contêiner estão em execução com um UID não esperado.

Recomendação: Certifique-se de que todas as cargas de trabalho de contêiner estejam configuradas para execução em um UID que esteja dentro do intervalo permitido.

Parâmetros de Regra:

• Definindo Configurações:
  • userRangeMin (int): O limite inferior (incluído) do intervalo de IDs de usuário UNIX necessário. Corresponde às seções .spec.securityContext.runAsUser e .spec.containers[].securityContext.runAsUser de uma especificação de pod.
  • userRangeMax (int): O limite superior (incluído) do intervalo de IDs de usuário UNIX necessário. Corresponde às seções .spec.securityContext.runAsUser e .spec.containers[].securityContext.runAsUser de uma especificação de pod.
• Nível de Risco: MÉDIO
• Labels: Contexto de Segurança

Descrição: Alerta quando determinadas cargas de trabalho de contêiner estão sendo executadas como raiz.

Recomendação: Certifique-se de que nenhuma carga de trabalho de contêiner esteja sendo executada como raiz.

Parâmetros de Regra:

• Nível de Risco: ALTO
• Labels: Contexto de Segurança

Descrição: Alerta quando um contêiner está em execução no modo privilegiado.

Recomendação: Certifique-se de que nenhum contêiner esteja em execução no modo privilegiado.

Parâmetros de Regra:

• Nível de Risco: ALTO
• Labels: Contexto de Segurança

Descrição: Alerta quando um contêiner está em execução com um sistema de arquivos não somente para leitura.

Recomendação: Certifique-se de que nenhum contêiner esteja em execução com um sistema de arquivos raiz de contêiner gravável.

Parâmetros de Regra:

• Nível de Risco: ALTO
• Labels: Contexto de Segurança

Descrição: Alerta quando um contêiner está em execução com recursos que não estão na lista permitida.

Recomendação: Certifique-se de que nenhum contêiner esteja em execução com recursos que não estejam na lista permitida.

Parâmetros de Regra:

• Definindo Configurações:
  • allowedCapabilities (lista): A lista de recursos UNIX que o contêiner tem permissão para adicionar. Use "ALL" para permitir a adição de qualquer recurso. Corresponde à seção .spec.containers[].securityContext.capabiliteis.add de uma especificação de pod. Consulte a página do manual do linux para obter uma lista completa dos recursos.
  • requiredDropCapacidades (lista): A lista de recursos UNIX que o contêiner deve eliminar. Use "ALL" para exigir a eliminação explícita de todos os recursos. Corresponde à seção .spec.containers[].securityContext.capabiliteis.drop de uma especificação de pod. Consulte a página do manual do linux para obter uma lista completa dos recursos.
• Nível de Risco: MÉDIO
• Labels: Contexto de Segurança

Descrição: Alerta quando um contêiner não tem uma verificação de integridade.

Recomendação: Certifique-se de que todos os contêineres tenham uma sondagem de vida definida.

Parâmetros de Regra:

• Definindo Configurações:
  • probeTypes (lista): Lista de ações de sondagem permitidas. Usando a ação não permitida, a sondagem ausente ou vazia violará a regra. Use "any" para verificar a existência, independentemente da ação. Corresponde à seção spec.containers[].livenessProbe de uma especificação de pod.
• Nível de Risco: MÉDIO
• Labels: Disponibilidade da Carga de Trabalho

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Linux/Windows

Descrição: Detecta quando a Segurança da Instância não está instalada ou não está em execução conforme esperado. Por exemplo:

InstanceOCID: <redacted>, currently in active state. The agent was last detected on 2024-03-19 21:11:27.41, more than 24 hours ago

Recomendação: Há alguns motivos pelos quais você pode receber este alerta:

• Se o host de computação estiver inativo e o agente de segurança da instância não puder acessar o host por mais de 24 horas. Investigue seu host de computação para ver se foi isso que aconteceu.
• Se as políticas de segurança da instância não estiverem corretas. Verifique se todas as estas políticas foram adicionadas.
• Se a versão mais recente da segurança da instância não estiver presente. O Oracle Cloud Agent (OCA) atualiza automaticamente o agente de segurança da instância em um host, portanto, se isso não tiver acontecido, verifique o seguinte:

  No Linux:

  1. O Oracle Cloud Agent (OCA) está ativado e em execução na sua instância?

     sudo systemctl status oracle-cloud-agent.service

  2. Verifique se o plug-in de segurança da instância está em execução. Ele é responsável por gerenciar o ciclo de vida do agente de segurança da instância. Se o plug-in de segurança da instância estiver em execução, mas você tiver esse problema, isso significa que pode haver algo errado com o agente de segurança da instância ou que o plug-in está obtendo um erro 4xx e o agente não está instalado ou não está em execução.

     pgrep oci-wlp

  3. Verifique se o plug-in de segurança da instância está obtendo um erro 404 no log.

     sudo vim /var/log/oracle-cloud-agent/plugins/oci-wlp/oci-wlp.log

  4. Confirme se o agente de segurança da instância está em execução na sua instância.

     sudo systemctl status wlp-agent-osqueryd.service

     Se a saída do comando tiver erros, tente reiniciar o serviço.

     sudo systemctl restart wlp-agent-osqueryd.service

  No Windows:

  1. Verifique se o plug-in de segurança da instância foi ativado no OCA (Oracle Cloud Agent) da sua instância.
     1. Vá para Menu Iniciar > Ferramentas Administrativas do Windows > Serviços.
     2. Verifique o status da Proteção de Carga de Trabalho do Oracle Cloud Agent Cloud Guard. Deve mostrar que está correndo.
     3. Se for interrompido, selecione à direita e selecione Iniciar.
  2. Verifique se o agente de segurança da instância está em execução na sua instância.
     1. Vá para Menu Iniciar > Ferramentas Administrativas do Windows > Serviços.
     2. Verifique o status do serviço wlp-agent. Deve mostrar que está correndo.
     3. Se for interrompido, selecione à direita e selecione Iniciar.

Depois de encontrar o problema e corrigi-lo, aguarde 24 horas para que esse problema desapareça. Se você ainda estiver vendo isso após 24 horas e tiver verificado novamente as etapas acima, entre em contato com o Suporte Técnico da Oracle.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Labels: Segurança da Instância

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: WMI é a infraestrutura para gerenciamento de dados e operações em sistemas operacionais baseados no Windows. É um processo de nível de serviço usado para executar scripts e pode ser usado para iniciar terminais de scripts ou para tentar fazer download de uma carga útil.

Recomendação: Monitore objetos WMI recém-construídos que possam estabelecer persistência e/ou elevar privilégios usando mecanismos do sistema.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Rótulos: MITRE_T1546

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: Detecta a desativação potencial de recursos de segurança do Windows. Alerta se os serviços Windows Defender (windefend), Windows Firewall) mpssvc e Windows Security Service (wscvcs) não estão em execução. Por exemplo:

Windows security service in stopped state: windefend

Recomendação: a desativação da regra de segurança do Windows pode deixar os recursos em risco. Pesar os riscos e reativar as regras aplicáveis.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Rótulos: MITRE_T1562.001

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: Isso pode indicar a pulverização de senhas em contas do Windows, ou seja, o uso repetido da mesma senha em várias contas.

Recomendação: Determine se a conta do usuário em questão é o usuário real que está tentando fazer log-in.

Use autenticação multifator. Sempre que possível, ative a autenticação multifator em serviços externos. Defina políticas para bloquear contas após um determinado número de tentativas de login com falha para impedir que senhas sejam adivinhadas.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Rótulos: MITRE_T1110

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Linux

Descrição: É comum que os atores de ameaças façam upload de um web shell para serviços HTTP. Isso procura por soquetes abertos em serviços HTTP comuns, como o Apache.

Recomendação: Confirme com o proprietário do sistema se o caminho do servidor Web deve ter um arquivo com uma escuta de porta do servidor.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: MÉDIO
• Rótulos: MITRE_T1505.003

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Linux

Descrição: Retorna possíveis Shells Revertidos em processos do sistema. Por exemplo:

Possible reverse shell on system process (pid | path | remote_address | remote_port): 10129 | /usr/bin/bash | | 0, 10164 | /usr/bin/bash | | 0]

Recomendação: Reúna a lista de IPs que estão se conectando ao shell reverso e determine se o IP está na lista de má reputação. Investigue se há outros processos associados ao PID de shell reverso.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Rótulos: MITRE_T1505.003

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: O malware tenta ser executado no espaço de privilégio do usuário. Nesta consulta, estamos limitando-a ao espaço temporário e examinando a linha de comando em busca de ferramentas comuns usadas para identificar/reconhecer o ambiente.

Recomendação: Investigue o binário para determinar se ele é uma execução legítima. Considere isolar a instância para investigação adicional.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Rótulos: MITRE_T1059

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição:Detecta processos que tentam mascarar como processos legítimos do Windows por meio de caminhos incorretos. Por exemplo:

Process masquerading as legitimate windows process explorer.exe at path(s): c:\users\opc\downloads\new folder\explorer\bin\debug\explorer.exe

Recomendação: Reúna o hash do arquivo e determine se ele é um binário inválido conhecido. Determine se o binário mascarado está tentando chamar ou executar outros arquivos no sistema.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Rótulos: MITRE_T1574.009

Esta regra está presente nas seguintes receitas:

SO: Linux/Windows

• Receita do Detector de Segurança da Instância do OCI - Enterprise (gerenciada pela Oracle)
• Receita do Detector de Segurança da Instância do OCI (gerenciada pela Oracle)

Descrição: Detecta processos que estão atendendo a conexões de rede. Por exemplo:

Disallowed open ports: {"scannedIps":[{"hostIp":"127.0.0.53","ports":[{"port":"53","type":null,"process":"systemd-resolve : /lib/systemd/systemd-resolved","family":"ipv4","protocol":"tcp"}

Recomendação: Verifique se essas portas devem ser abertas neste host e feche-as se não for necessário abri-las.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: CRITICAL
• Rótulos: MITRE_T1505.003

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: Procurando Putty no modo de listening para criar um túnel SSH.

Recomendação: Reúna a lista de endereços IP que estão se conectando ao processo Putty e investigue qualquer um que pareça suspeito.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Rótulos: MITRE_T1572

Esta regra está presente nas seguintes receitas:

SO: Linux

• Receita do Detector de Segurança da Instância do OCI - Enterprise (gerenciada pela Oracle)
• Receita do Detector de Segurança da Instância do OCI (gerenciada pela Oracle)

Descrição: Verifica instâncias de computação para identificar vulnerabilidades conhecidas de segurança cibernética relacionadas a aplicativos, bibliotecas, sistemas operacionais e serviços. Esse detector reporta problemas quando o serviço descobre que uma instância tem uma ou mais vulnerabilidades no nível de severidade de CVE configurado ou superior. As vulnerabilidades com nível de severidade de CVE abaixo do nível selecionado não terão um problema do Cloud Guard criado, mas serão refletidas como parte dos problemas agregados mostrados na página Recursos do Cloud Guard.

Recomendação: Verifique as vulnerabilidades encontradas e priorize-as. Tome medidas de correção ou mitigação apropriadas para a vulnerabilidade.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: CRITICAL
• Labels: Segurança da Instância

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Linux

Descrição: Procurando o Putty no modo de listening para criar um túnel SSH para um comando de terminal incorporado do Linux.

Recomendação: Reúna a lista de endereços IP que estão se conectando ao processo Putty e investigue qualquer um que pareça suspeito.

Sempre que possível, só permita a execução de scripts assinados. Use o controle de aplicativo quando apropriado.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Rótulos: MITRE_T1572

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Linux

Descrição: O malware pode usar jobs cron em execução em uma programação periódica para verificar portas traseiras.

Recomendação: Investigue o binário para determinar se ele é uma execução legítima. Considere isolar a instância para investigação adicional.

Sempre que possível, só permita a execução de scripts assinados. Use o controle de aplicativo quando apropriado.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: MÉDIO
• Rótulos: MITRE_T1547

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: O malware pode usar uma tarefa programada em execução na pasta temporária para executar um backdoor novamente na reinicialização.

Recomendação: Investigue o binário para determinar se ele é uma execução legítima. Considere isolar a instância para investigação adicional.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Rótulos: MITRE_T1053

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: Essa detecção procura serviços de janelas suspeitos em execução na pasta temporária, que pode ser um mecanismo comum usado por malware para garantir que o backdoor seja executado em uma programação periódica.

Recomendação: Investigue o binário para determinar se ele é uma execução legítima. Considere isolar a instância para investigação adicional.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Rótulos: MITRE_T1547

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: O malware pode usar uma inicialização para executar um backdoor novamente na reinicialização.

Recomendação: Investigue o binário para determinar se ele é uma execução legítima. Considere isolar a instância para investigação adicional.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: MÉDIO
• Rótulos: MITRE_T1547

Descrição: Alerta quando um usuário realizou atividades que geram uma pontuação de risco acima do limite do problema, o que pode indicar uma conta comprometida ou uma ameaça interna. Adversários podem usar técnicas de força bruta para obter acesso a contas quando as senhas são desconhecidas. Os usuários podem abusar de seus privilégios atribuídos e executar tarefas muito além dos requisitos de negócios, o que pode ser prejudicial à organização.

Recomendação: Considere desativar temporariamente a conta enquanto investiga a atividade e exija uma redefinição de senha se o usuário não reconhecer a atividade.

Contexto: A pontuação de risco de um usuário que excede o limite do problema pode indicar uma conta comprometida ou um funcionário insatisfeito.

Parâmetros da Regra: Essa regra não tem parâmetros que você possa modificar

• Deixe as definições padrão.