Referência de Receita do Detector

Descrição: Alerta quando uma nova instância do Bastion é criada.

Recomendação: Verifique se apenas usuários autorizados criam instâncias do serviço Bastion.

Background: Os bastions fornecem aos usuários acesso SSH seguro e contínuo aos hosts de destino em sub-redes privadas, ao mesmo tempo em que restringem o acesso público direto.

Parâmetros de Regra:

• Tipo de Serviço: Bastion
• Tipo de Recurso: Instância
• Nível de Risco: BAIXO
• Labels: Bastion

• Deixe as definições padrão.

Descrição: Alerta quando uma nova sessão do Bastion é criada.

Recomendação: Certifique-se que apenas usuários autorizados criem sessões do serviço Bastion.

Segundo Plano: Uma Sessão do Bastion fornece acesso SSH limitado pelo tempo, seguro e contínuo a um host de destino em sub-redes privadas, ao mesmo tempo em que restringe acesso público direto.

Parâmetros de Regra:

• Tipo de Serviço: Bastion
• Tipo de Recurso: Instância
• Nível de Risco: BAIXO
• Labels: Bastion

• Deixe as definições padrão.

Descrição: Alerta quando um bundle de CAs é atualizado.

Recomendação: Verifique se apenas usuários autorizados atualizam bundles de CA. Se o usuário não estiver autorizado, reverta a atualização.

Plano de fundo: Um pacote de CAs é um arquivo que contém certificados raiz e intermediários. A CA no bundle atesta os certificados intermediários dos usuários. Quando um bundle de CA é atualizado, um usuário associado a um certificado intermediário excluído não pode mais acessar recursos atestados pela CA. Da mesma forma, um usuário associado a um certificado intermediário adicionado agora pode acessar esses recursos.

Parâmetros de Regra:

• Tipo de Serviço: Certificados
• Tipo de Recurso: Usuário
• Nível de Risco: MÉDIO
• Labels: Certificados

• Deixe as definições padrão.

Descrição: Alerta quando um bundle de autoridade de certificação (CA) for excluído.

Recomendação: Certifique-se que somente usuários autorizados excluam pacotes de CAs que são excluídos apenas por usuários autorizados. Se o usuário não estiver autorizado, cancele a exclusão.

Plano de fundo: Um pacote de CAs é um arquivo que contém certificados raiz e intermediários. A CA no bundle atesta o certificado intermediário dos usuários. Quando um pacote de CA é excluído, os usuários associados aos certificados intermediários não podem mais acessar recursos que exigem a confirmação da CA.

Parâmetros de Regra:

• Tipo de Serviço: Certificados
• Tipo de Recurso: Usuário
• Nível de Risco: MÉDIO
• Labels: Certificados

• Deixe as definições padrão.

Descrição: Alerta quando um certificado intermediário em um bundle de autoridade de certificação (CA) é revogado.

Recomendação: Verifique se apenas usuários autorizados revogam certificados intermediários em bundles de CA. Se o usuário não estiver autorizado, cancele a revogação.

Antecedentes: Quando um certificado intermediário em um bundle de CAs é revogado, o usuário associado não pode mais acessar recursos que exigem que o certificado intermediário do usuário seja atestado por uma CA aprovada.

Parâmetros de Regra:

• Tipo de Serviço: Certificados
• Tipo de Recurso: Usuário
• Nível de Risco: MÉDIO
• Labels: Certificados

• Deixe as definições padrão.

Descrição: Alerta quando uma imagem do serviço Compute é exportada.

Recomendação: Imagens que contêm qualquer coisa proprietária devem ser marcadas adequadamente com privilégios de exportação permitidos apenas para administradores adequados do OCI.

Plano de fundo: As imagens do serviço Compute podem ser equivalentes às "unidades de disco de dados" e conter informações confidenciais. As imagens que podem conter algo proprietário devem ser identificadas de acordo com os privilégios de exportação permitidos apenas para administradores do OCI adequados.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: MINOR
• Rótulos: Computação

• Deixe as definições padrão.

Descrição: Alerta quando uma imagem do serviço Compute é importada.

Recomendação: Certifique-se de que uma pessoa esperada para trazer novas imagens ao seu ambiente importe a imagem de computação de origens confiáveis, como Oracle ou um administrador do serviço Compute confiável.

Segundo Plano: As imagens de computação são os fundamentos das instâncias de computação. Uma nova imagem impacta cada instância de computação futura iniciada com base nessa imagem e as imagens importadas devem vir de fontes conhecidas e confiáveis.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: MINOR
• Rótulos: Computação

• Deixe as definições padrão.

Descrição: Alerta quando uma instância do serviço Compute é encerrada.

Recomendação: Use políticas do serviço IAM para restringir operações do encerramento de instâncias.

Segundo Plano: As instâncias do serviço Compute podem entregar funções críticas.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Rótulos: Computação

• Deixe as definições padrão.

Descrição: Alerta quando uma imagem do serviço Compute é atualizada.

Recomendação:

Verifique se:

• Uma pessoa que espera trazer novas imagens para o seu ambiente importa a imagem.
• A imagem é importada de origens confiáveis, como a Oracle ou um administrador confiável do serviço Compute.

Segundo Plano: As imagens de computação são os fundamentos das instâncias de computação. Uma modificação nas imagens impacta cada instância de computação futura iniciada com base nessa imagem. As imagens e quaisquer alterações relacionadas a elas devem vir de fontes conhecidas e confiáveis.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: BAIXO
• Rótulos: Computação

• Deixe as definições padrão.

Descrição: Alerta quando um sistema do banco de dados é encerrado.

Recomendação: Certifique-se de que um administrador permitido sancione e execute o encerramento do sistema do banco de Dados e dos Bancos de Dados relacionados.

Segundo Plano: Os sistemas de Banco de Dados podem armazenar dados confidenciais e fornecer funcionalidade crítica. O encerramento de um sistema de banco de dados exclui permanentemente o sistema, quaisquer bancos de dados em execução nele e quaisquer volumes de armazenamento anexados a ele.

Parâmetros de Regra:

• Tipo de Serviço: Sistema do Banco de Dados
• Tipo de Recurso: Sistema
• Nível de Risco: HIGH
• Labels: Banco de Dados

• Deixe as definições padrão.

Descrição: Alerta quando as chaves da API do serviço IAM são criadas para um usuário.

Recomendação: Verifique se as chaves da API são criadas somente por usuários autorizados a criar chaves da API, para eles mesmos ou para outros usuários.

Segundo Plano: as chaves da API são necessárias para usar um dos SDKs da Oracle ou outras ferramentas de desenvolvedor. O uso dessas ferramentas de desenvolvedor por pessoas cuja função não as exige é uma vulnerabilidade de segurança.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: BAIXO
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Só dispare um problema se o usuário não estiver em um grupo de administradores com permissão para criar chaves de API para usuários.

Descrição: alerta quando uma chave da API do IAM do usuário é excluída.

Recomendação: Verifique se as chaves da API só são excluídas por usuários autorizados a criar e excluir chaves da API.

Segundo Plano: as chaves da API são necessárias para usar um dos SDKs da Oracle ou outras ferramentas de desenvolvedor. A exclusão de chaves de API para um usuário que está trabalhando com as ferramentas do desenvolvedor Oracle pode impactar seriamente a produtividade.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: BAIXO
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para excluir chaves de API dos usuários.

Descrição: Alerta quando um Token De Autenticação do Serviço IAM é criado para um usuário.

Recomendação: Verifique se os Tokens de Autenticação do Serviço IAM foram criados por usuários autorizados e para eles.

Background: Tokens de Autorização podem ser usados para autenticação com APIs de terceiros. A disponibilidade de Tokens de Autenticação para pessoas cuja função não os exige cria uma vulnerabilidade de segurança. Consulte Credenciais do Usuário.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: BAIXO
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para criar Tokens de Autenticação do IAM.

Descrição: Alerta quando um Token do IAM Auth é excluído para um usuário.

Recomendação: Verifique se os Tokens de Autenticação do serviço IAM são excluídos por usuários autorizados.

Background: Tokens de Autorização podem ser usados para autenticação com APIs de terceiros. A disponibilidade de Tokens de Autenticação para pessoas cuja função não os exige cria uma vulnerabilidade de segurança. Consulte Credenciais do Usuário.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: BAIXO
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para excluir Tokens de Autenticação do IAM.

Descrição: Alerta quando as chaves do cliente do serviço IAM são criadas.

Recomendação: Verifique se essas chaves são criadas somente para usuários autorizados.

Segundo Plano: As chaves secretas do cliente são criadas para uso de API da Compatibilidade com Amazon S3 com o Object Storage.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: BAIXO
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para criar chaves do cliente do IAM.

Descrição: Alerta quando as chaves de cliente do serviço IAM são excluídas.

Recomendação: Verifique se a exclusão dessas chaves é esperada.

Segundo Plano: As chaves secretas do cliente são criadas para uso de API da Compatibilidade com Amazon S3 com o Object Storage.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: BAIXO
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para excluir chaves do cliente do IAM.

Descrição: Alerta quando um grupo do serviço IAM é criado.

Recomendação: Certifique-se que apenas usuários autorizados criem grupos do serviço IAM.

Segundo Plano: Os grupos controlam o acesso a recursos e privilégios.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Grupo
• Nível de Risco: MINOR
• Rótulos: IAM

• Deixe as definições padrão.

Descrição: Alerta quando um grupo do serviço IAM é excluído.

Recomendação: Certifique-se que apenas usuários autorizados executem exclusões do grupo do serviço IAM.

Segundo Plano: Os grupos controlam o acesso a recursos e privilégios.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: GRUPO
• Nível de Risco: MINOR
• Rótulos: IAM

• Deixe as definições padrão.

Descrição: Alerta quando as credenciais do serviço IAM OAuth 2.0 são criadas.

Recomendação: Verifique se essas credenciais são criadas somente para usuários autorizados.

Antecedentes: As credenciais IAM OAuth 2.0 são para interagir com as APIs desses serviços que usam a autorização OAuth 2.0. Consulte Credenciais do Usuário.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: BAIXO
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo administrativo com permissão para criar credenciais do IAM OAuth 2.0.

Descrição: Alerta quando as credenciais IAM OAuth 2.0 são excluídas.

Recomendação: Verifique se é esperada a exclusão dessas credenciais.

Antecedentes: As credenciais IAM OAuth 2.0 são para interagir com as APIs desses serviços que usam a autorização OAuth 2.0. Consulte Credenciais do Usuário.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: BAIXO
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo administrativo com permissão para excluir credenciais do IAM OAuth 2.0.

Descrição: Alerta quando os recursos do usuário do IAM são editados.

Recomendação: Certifique-se que apenas usuários autorizados alterem os recursos de um usuário do IAM.

Segundo Plano: Para acessar a Oracle Cloud Infrastructure, um usuário deve ter as credenciais necessárias, como chaves da API, tokens de auth e outras credenciais.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: BAIXO
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Deixe as definições padrão.

Descrição: Alerta quando um usuário local ou federado é criado no OCI IAM.

Recomendação: Certifique-se que apenas usuários autorizados criem usuários do serviço IAM.

Antecedentes: Um usuário do IAM pode ser um funcionário ou sistema individual que precisa gerenciar ou usar recursos do Oracle Cloud Infrastructure da sua empresa.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: MINOR
• Rótulos: IAM

• Deixe as definições padrão.

Descrição: Alerta quando uma senha da Console do usuário é criada ou redefinida.

Recomendação: Certifique-se de que a senha de um usuário seja redefinida por ele ou por um usuário administrador autorizado a redefinir senhas.

Segundo Plano: Redefinir a senha de um usuário várias vezes ou redefinir por um usuário que não está autorizado a redefinir as senhas do usuário pode indicar um risco de segurança.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: BAIXO
• Rótulos: IAM

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Condicionais: Só dispare um problema se o usuário não estiver em um grupo de administradores com permissão para redefinir senhas de usuário.

Descrição: Alerta quando uma política da segurança é modificada.

Recomendação:

Segundo Plano: A alteração de políticas afeta todos os usuários do grupo e pode conceder privilégios aos usuários que não precisam delas.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Política
• Nível de Risco: BAIXO
• Labels: CIS_OCI_V1.1_MONITORING, IAM

• Deixe as definições padrão.

Descrição: Alerta quando um usuário local que não tem autenticação multifator (MFA) ativada é autenticado.

Recomendação: Certifique-se de que todos os usuários tenham a MFA ativada.

Antecedentes: A autenticação multifator (MFA) aumenta a segurança ao exigir comprometimento de mais de uma credencial para representar um usuário. Os usuários não autorizados não poderão atender ao segundo requisito de autenticação e não poderão acessar o ambiente.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: HIGH
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Deixe as definições padrão.

Descrição: Alerta ao adicionar um usuário a um grupo.

Recomendação: Certifique-se de que o usuário tenha o direito de ser membro do grupo.

Segundo Plano: Os grupos controlam o acesso a recursos e privilégios. Os grupos sigilosos devem ser cuidadosamente monitorizados quanto às alterações de associação.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Grupo
• Nível de Risco: MINOR
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, IAM

• Deixe as definições padrão.

Descrição: Alerta quando um usuário é removido de um grupo.

Recomendação: Certifique-se de que o usuário tenha o direito de ser membro do grupo.

Segundo Plano: Os grupos controlam o acesso a recursos e privilégios. Os grupos sigilosos devem ser cuidadosamente monitorizados quanto às alterações de associação.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: MINOR
• Rótulos: IAM

• Grupos Condicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para remover usuários desse grupo.

Descrição: Alerta quando um DRG (dynamic routing gateway) é anexado a uma VCN.

Recomendação: Certifique-se de que a anexação deste DRG à VCN seja permitida e esperada neste compartimento pelo recurso (usuário).

Segundo Plano: DRGs são usados para conectar redes locais existentes a uma VCN (rede virtual na nuvem) com IPSec VPN ou FastConnect.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: Rede
• Tipo de Recurso: DRG
• Nível de Risco: MINOR
• Rótulos: Rede

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Adicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para anexar DRGs a VCNs.

Descrição: Alerta quando um DRG (Dynamic Routing Gateway) é criado.

Recomendação: Certifique-se de que a criação deste DRG seja permitida e esperada neste compartimento pelo recurso (usuário).

Segundo Plano: DRGs são usados para conectar redes locais existentes a uma rede virtual na nuvem (VCN) com uma VPN IPSEC ou FastConnect.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: Rede
• Tipo de Recurso: DRG
• Nível de Risco: MINOR
• Rótulos: Rede

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Condicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para criar DRGs.

Descrição: Alerta quando um DRG (Dynamic Routing Gateway) é excluído.

Recomendação: certifique-se de que a exclusão deste DRG seja permitida e esperada pelo recurso (usuário).

Segundo Plano: DRGs são usados para conectar redes locais existentes a uma VCN (rede virtual na nuvem) com IPSec VPN ou FastConnect.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: Rede
• Tipo de Recurso: DRG
• Nível de Risco: MINOR
• Rótulos: Rede

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Condicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para excluir DRGs.

Descrição: Alerta quando um DRG (Dynamic Routing Gateway) é desanexado de uma VCN.

Recomendação: Certifique-se de que a desanexação deste DRG da VCN seja permitida e esperada neste compartimento pelo recurso (usuário).

Segundo Plano: DRGs são usados para conectar redes locais existentes a uma VCN (rede virtual na nuvem) com IPSec VPN ou FastConnect.

Parâmetros de Regra:

• (Status: Desativado))
• Tipo de Serviço: Rede
• Tipo de Recurso: DRG
• Nível de Risco: MINOR
• Rótulos: Rede

• Ative a regra se quiser ver quais usuários estão executando operações relacionadas ao grupo.
• Grupos Condicionais: Acione um problema somente se o usuário não estiver em um grupo de administradores com permissão para desconectar DRGs das VCNs.

Descrição: Alerta quando uma sub-rede é alterada.

Recomendação: Certifique-se de que a alteração na VCN seja permitida e esperada neste compartimento.

Segundo Plano: As sub-redes são subdivisões de uma VCN. As instâncias de computação conectadas na mesma sub-rede usam a mesma tabela de roteamento, listas de segurança e opções de DHCP.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Sub-rede
• Nível de Risco: BAIXO
• Rótulos: Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma sub-rede é excluída.

Recomendação: ative a autenticação multifator (MFA) para garantir que o usuário esteja genuinamente conectado e as credenciais não sejam comprometidas.

Segundo Plano: As sub-redes são subdivisões de uma VCN. As instâncias de computação conectadas na mesma sub-rede usam a mesma tabela de roteamento, listas de segurança e opções de DHCP.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Sub-rede
• Nível de Risco: BAIXO
• Rótulos: Rede

• Deixe as definições padrão.

Descrição: Alerta quando um usuário faz login ou uma chamada de API é feita com base em um endereço IP suspeito. Se a política adequada estiver em vigor, forneça um link do problema de Cloud Guard para informações detalhadas sobre o endereço IP suspeito no Serviço de Inteligência de Ameaças. Para obter detalhes sobre a política necessária, consulte Políticas de IAM do Serviço Threat Intelligence.

Recomendação: ative a autenticação multifator (MFA) para garantir que o usuário esteja genuinamente conectado e as credenciais não sejam comprometidas.

Antecedentes: Um usuário que se conecta a partir de um endereço IP suspeito é uma ameaça potencial.

Parâmetros de Regra:

• Tipo de Serviço: Cloud Guard
• Tipo de Recurso: Segurança
• Nível de Risco: CRÍTICO
• Rótulos: Rede

• Configuração: Blocos CIDR da lista de bloqueios ou permissões ou endereços IP específicos na seção Definição de Entrada da regra.

Descrição: Alerta quando uma VCN é criada.

Recomendação: Verifique se a criação de uma nova VCN é permitida e esperada neste compartimento.

Background: Uma VCN é uma rede virtual privada que você configura nos data centers da Oracle. Como uma rede tradicional, ela pode conter regras de firewall e tipos específicos de gateways de comunicação.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• VCN do Tipo de Recurso
• Nível de Risco: BAIXO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma VCN é criada.

Recomendação: Verifique se a exclusão de uma VCN é permitida e esperada neste compartimento.

Background: Uma VCN é uma rede virtual privada que você configura nos data centers da Oracle. Como uma rede tradicional, ela pode conter regras de firewall e tipos específicos de gateways de comunicação. A exclusão da VCN pode alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• VCN do Tipo de Recurso
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma opção VCN DHCP é alterada.

Recomendação: Certifique-se de que a alteração nas informações de DHCP e DNS seja permitida para essa VCN e recursos relacionados.

Segundo Plano: as opções do DHCP controlam determinados tipos de configuração nas instâncias em uma VCN, incluindo especificação de domínios de pesquisa e resolvedores DNS que podem direcionar as comunicações dentro de VCNs para recursos de Internet. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: DHCP
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando um gateway da Internet da VCN é criado.

Recomendação: Verifique se a criação de um gateway da internet é permitida para essa VCN e seus recursos relacionados.

Segundo Plano: Os gateways de Internet são roteadores virtuais que você pode adicionar à sua VCN para ativar a conectividade direta (de entrada ou de saída) com a internet. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Gateway da Internet
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando um gateway da Internet da VCN é encerrado.

Recomendação: Verifique se a exclusão de um gateway da internet é permitida para essa VCN e seus recursos relacionados.

Segundo Plano: Os gateways de Internet são roteadores virtuais que você pode adicionar à sua VCN para ativar a conectividade direta (de entrada ou de saída) com a internet. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Gateway da Internet
• Nível de Risco: BAIXO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando um gateway de pareamento local da VCN é alterado.

Recomendação: Certifique-se de que as alterações no LPG sejam permitidas para essa VCN e seus recursos relacionados.

Segundo Plano: Os LPG (Local Peering Gateways) da VCN conectam duas VCNs na mesma região sem rotear o tráfego pela internet. Recursos de LPG nas VCNs para comunicação direta com endereços IP privados. As alterações nos LPGs podem impactar o acesso aos recursos e as comunicações entre VCNs. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Pareamento Local do Gateway
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando o NSG de uma VCN é excluído.

Recomendação: Verifique se a remoção do NSG é permitida para esta VCN e seus recursos relacionados.

Segundo Plano: Os NSGs (grupos de segurança de redes) atuam como um firewall virtual para instâncias de computação e outros tipos de recursos. Os NSGs têm um conjunto de regras de segurança de entrada e saída aplicadas a um conjunto de NICs virtuais em uma VCN. A exclusão de NSGs pode remover proteções entre recursos na VCN e causar negação de acesso a recursos ou perda de dados.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Grupo de Segurança de Rede
• Nível de Risco: HIGH
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando a regra da saída de NSG de uma VCN é alterada.

Recomendação: Certifique-se de que as novas regras da saída sejam permitidas para esse NSG e seus recursos relacionados.

Segundo Plano: Os NSGs (grupos de segurança de redes) atuam como um firewall virtual para instâncias de computação e outros tipos de recursos. Os NSGs têm um conjunto de regras de segurança de entrada e saída aplicadas a um conjunto de NICs virtuais em uma VCN. As alterações de regra de saída podem causar negação de acesso aos recursos.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Grupo de Segurança de Rede
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando a regra da VCN de entrada do NSG é alterada.

Recomendação: Verifique se as novas regras de entrada são permitidas para esse NSG e seus recursos relacionados.

Segundo Plano: Os NSGs (grupos de segurança de redes) atuam como um firewall virtual para instâncias de computação e outros tipos de recursos. Os NSGs têm um conjunto de regras de segurança de entrada e saída aplicadas a um conjunto de NICs virtuais em uma VCN. As alterações nas regras de entrada de NSGs podem permitir conexões e tráfego para novos recursos e VNICs na VCN.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Grupo de Segurança de Rede
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando a tabela da rota de uma VCN é alterada.

Recomendação: Certifique-se de que a alteração na tabela da rota seja permitida e esperada neste compartimento.

Segundo Plano: Tabelas de roteamento virtuais têm regras que parecem e agem como regras de roteamento tradicionais de rede. Tabelas de roteamento configuradas incorretamente podem enviar tráfego de rede para ser eliminado (bloqueado por blackholing) ou enviado a um destino não intencional. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Tabela de Roteamento
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma lista para uma VCN é criada.

Recomendação: Certifique-se de que a criação dessa Lista de Segurança seja permitida para essa VCN e seus recursos relacionados.

Segundo Plano: As listas de segurança atuam como firewalls virtuais para instâncias do serviço Compute e outros recursos e consistem de conjuntos de regras de entrada e saída que se aplicam a todas as VNICs de qualquer sub-rede associada à lista de segurança. Várias listas de segurança podem se aplicar a recursos e dar acesso a portas e endereços IP desses recursos. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Lista de Segurança
• Nível de Risco: BAIXO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma lista da segurança de uma VCN é excluída.

Recomendação: Certifique-se de que a remoção dessa Lista de Segurança seja permitida para essa VCN e seus recursos relacionados.

Segundo Plano: As listas de segurança atuam como firewalls virtuais para instâncias do serviço Compute e outros recursos e consistem de conjuntos de regras de entrada e saída que se aplicam a todas as VNICs de qualquer sub-rede associada à lista de segurança. Várias listas de segurança podem se aplicar a recursos e dar acesso a portas e endereços IP desses recursos. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Lista de Segurança
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando as regras da lista de saída de segurança de uma VCN são alteradas.

Recomendação: Certifique-se de que as alterações nas regras de saída sejam permitidas para essa lista e seus recursos relacionados.

Segundo Plano: As listas de segurança atuam como firewalls virtuais para instâncias do serviço Compute e outros recursos e consistem de conjuntos de regras de entrada e saída que se aplicam a todas as VNICs de qualquer sub-rede associada à lista de segurança. Várias listas de segurança podem se aplicar a recursos e dar acesso a portas e endereços IP desses recursos. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Lista de Segurança
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando as regras da lista de segurança de uma VCN são alteradas.

Recomendação: Certifique-se de que as alterações nas regras de entrada sejam permitidas para essa lista e seus recursos relacionados.

Segundo Plano: As listas de segurança atuam como firewalls virtuais para instâncias do serviço Compute e outros recursos e consistem de conjuntos de regras de entrada e saída que se aplicam a todas as VNICs de qualquer sub-rede associada à lista de segurança. Várias listas de segurança podem se aplicar a recursos e dar acesso a portas e endereços IP desses recursos. As alterações da VCN podem alterar o roteamento, a resolução de FQDN e outras operações de rede.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Lista de Segurança
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma instância do serviço Compute tem um endereço IP público.

Recomendação: Considere a possibilidade de permitir o acesso à Internet em qualquer instância. Por exemplo, você não deseja permitir acidentalmente o acesso pela Internet a instâncias de bancos de dados confidenciais.

Plano de fundo: Para que uma instância seja endereçável publicamente, ela deve:

• Ter um endereço IP público
• Existir em uma sub-rede da rede virtual de computadores (VCN) pública
• Estar em uma VCN que tenha um gateway de internet ativado e configurado para tráfego de saída
• Estar em uma sub-rede em que a lista de segurança esteja configurada para todos os endereços IP e todas as portas (0.0.0.0/0)

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Serviço Compute

• Excluir o IP público da instância: Siga as instruções em Para excluir um IP público efêmero de uma instância.

Descrição: Alerta quando uma instância do serviço Compute não é criada de uma imagem pública da Oracle.

Recomendação: Certifique-se de que suas instâncias se tornem acessíveis por meio de origens confiáveis.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: BAIXO
• Rótulos: Computação

• Deixe as definições padrão.

Descrição: Alerta quando uma instância está acessível publicamente.

Recomendação: Considere a possibilidade de permitir o acesso à Internet em qualquer instância.

Plano de fundo: Para que uma instância seja endereçável publicamente, ela deve:

• Ter um endereço IP público
• Existir em uma sub-rede VCN pública
• Estar em uma VCN que tenha um gateway de internet ativado e configurado para tráfego de saída
• Estar em uma sub-rede em que a lista de segurança esteja configurada para todos os endereços IP e todas as portas (0.0.0.0/0)

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: CRÍTICO
• Rótulos: Computação

• Conditional Groups: Filtre OCIDs de qualquer instância que devam ter um endereço IP público.

Descrição: Alerta quando uma instância do serviço Compute em execução é criada com base na imagem pública da Oracle.

Recomendação: Certifique-se de que suas instâncias se tornem acessíveis por meio de origens confiáveis.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: BAIXO
• Rótulos: Computação

• Deixe as definições padrão.

Descrição: Alerta quando uma instância do serviço Compute está em execução sem as tags configuradas necessárias.

Recomendação: Certifique-se de que as instâncias estejam usando as tags obrigatórias.

Background: As tags são importantes para fins de auditoria e rastreamento.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configuração: Adicione tags obrigatórias na seção Definição de Entrada da regra.

  Esses formatos são permitidos na caixa Definição de Entrada. Separe entradas múltiplas com vírgulas.

  • <namespace>.<definedkey>=<definedValue>
  • <namespace>.<definedKey>
  • <freeformkey>=<freeformValue>
  • <freeformkey>

  Exemplos:

  • <namespace>.<definedkey>=<definedValue>
    • Operations.Environment=Production - Se o recurso tiver uma tag definida como namespace Operations, uma chave definida como Environment e um valor definido como Production, a regra não acionará um problema.
    • Operations.*=* - Se o recurso tiver um namespace Operations definido com tag, com qualquer chave definida e qualquer valor definido, a regra não acionará um problema.
  • <namespace>.<definedkey>
    • Operations.Environment - Se o recurso tiver uma tag definida como namespace Operations, com uma chave definida de Environment e qualquer valor definido, a regra não acionará um problema.
  • <freeformKey>
    • Project - Se o recurso tiver uma tag definida como chave de formato livre Project, a regra não acionará um problema.
  • <freeformKey>=freeformValue
    • Project=APPROVED - Se o recurso tiver uma tag definida como chave de formato livre Project com um valor de APPROVED, a regra não acionará um problema.

Descrição: Alerta quando um banco de Dados é detectado para o qual o Data Safe não está ativado.

Recomendação: Certifique-se de que a opção Data Safe esteja ativada para todos os compartimentos que a Cloud Guard está monitorando, que contêm bancos de dados Consulte Conceitos Básicos.

Segundo Plano: O Data Safe ajuda a garantir que seus bancos de dados estejam configurados com segurança. Esse serviço deve ser ativado para ajudar a monitorar, proteger e mitigar riscos nos seus bancos de dados de nuvem Oracle.

Parâmetros de Regra:

• Tipo de Serviço: Data Safe
• Tipo de Recurso: Tenancy
• Nível de Risco: HIGH
• Rótulos: Segurança do Banco de Dados

• Deixe as definições padrão.

Descrição: Alerta quando um backup automático não está ativado para um banco de dados.

Recomendação: Certifique-se de que o backup automático esteja ativado.

Segundo Plano: Ativar o backup automático garante que, se ocorrer uma falha catastrófica no hardware, você poderá restaurar o banco de Dados com o mínimo de perda de informações,

Parâmetros de Regra:

• Tipo de Serviço: Banco de Dados
• Tipo de Recurso: Sistema do Banco de Dados
• Nível de Risco: HIGH
• Labels: Banco de Dados

• Grupos Condicionais: Filtra OCIDs de banco de dados para qualquer um que não precise de backup automático, por exemplo, OCIDs em ambientes de teste do desenvolvedor.

Descrição: Alerta quando uma instância de banco de Dados é detectada e não está registrada no Data Safe.

Recomendação: Registre esta instância de banco de dados no Data Safe e configure avaliações para avaliar e monitorar configuração, verificar atividades de usuário e mitigar riscos. Consulte Registro do Banco de Dados de Destino.

Segundo Plano: O Data Safe ajuda a garantir que seus bancos de dados estejam configurados com segurança. Todos os bancos de dados na nuvem - Esse serviço deve ser ativado para ajudar a monitorar, proteger e mitigar riscos dentro dos seus bancos de dados de nuvem da Oracle.

Parâmetros de Regra:

• Tipo de Serviço: Data Safe
• Tipo de Recurso: Tenancy
• Nível de Risco: MÉDIO
• Rótulos: Segurança do Banco de Dados

• Deixe as definições padrão.

Descrição: Alerte quando um patch disponível do banco da dados não tiver sido aplicado dentro do número de dias especificado.

Recomendação: Aplique patches liberados ao banco de dados quando eles estiverem disponíveis.

Segundo Plano: Os patches de banco de dados tratam de problemas com funcionalidade, segurança e desempenho. A maioria das violações de segurança pode ser evitada aplicando os patches disponíveis.

Parâmetros de Regra:

• Tipo de Serviço: Banco de Dados
• Tipo de Recurso: Sistema do Banco de Dados
• Nível de Risco: MÉDIO
• Labels: Banco de Dados

• Configuração: Defina o Número de dias para aplicar o patch na seção Definição de Entrada da regra.
• Grupos Condicionais: Filtra OCIDs de banco de dados para qualquer um que não precise ter o patch mais recente aplicado, por exemplo, OCIDs em ambientes de teste do desenvolvedor.

Recomendação: Verifique se o sistema de banco de dados não tem um endereço IP público.

Segundo Plano: o uso de um endereço IP público para acessar um banco de dados aumenta sua exposição a possíveis riscos de segurança e continuidade dos negócios.

Parâmetros de Regra:

• Tipo de Serviço: Banco de Dados
• Tipo de Recurso: Sistema do Banco de Dados
• Nível de Risco: HIGH
• Labels: Banco de Dados

• Grupos Condicionais: Filtre OCIDs de banco de dados para qualquer um que seria público.

Descrição: Alerta quando um banco de dados está acessível ao público.

Recomendação: Considere a possibilidade de permitir o acesso à Internet em qualquer sistema de banco de dados.

Plano de fundo: Para um banco de dados ser acessível publicamente, ele deve:

• Ter um endereço IP público.
• Estar em uma sub-rede VCN pública.
• Estar em uma sub-rede que tenha um gateway de internet ativado e configurado para tráfego de saída.
• Estar em:
  • Uma sub-rede na qual a lista de segurança permita tráfego de qualquer intervalo de CIDRs de origem e "Todos os protocolos" ou...
  • Estar no grupo de segurança de rede que permita o tráfego de qualquer intervalo de CIDRs de origem e "Todos os protocolos".

Parâmetros de Regra:

• Tipo de Serviço: Banco de Dados
• Tipo de Recurso: ExadataBareMetalVM
• Nível de Risco: CRÍTICO
• Labels: Banco de Dados

• Grupos Condicionais: Filtre OCIDs de banco de dados para qualquer um que seria público.

Descrição: Alerta quando um patch do sistema de banco de dados disponível não foi aplicado.

Recomendação: Aplique patches liberados ao sistema de banco de dados quando estiverem disponíveis.

Segundo Plano: Os patches do sistema de banco de dados geralmente incluem atualizações que eliminam vulnerabilidades conhecidas de segurança.

Parâmetros de Regra:

• Tipo de Serviço: Banco de Dados
• Tipo de Recurso: Sistema do Banco de Dados
• Nível de Risco: MÉDIO
• Labels: Banco de Dados

• Configuração: Defina o Número de dias para aplicar o patch na seção Definição de Entrada da regra.
• Grupos Adicionais: Filtre OCIDs do sistema de banco de dados para qualquer um que não precise ter o patch mais recente aplicado, por exemplo, OCIDs em ambientes de teste do desenvolvedor.

Descrição: Alerta quando um sistema do banco de Dados está em execução com uma versão que não foi sancionada. Essa regra só se aplica a ambientes do Oracle Database Cloud Service. Outros ambientes de banco de dados Oracle não são abordados.

Recomendação: Certifique-se de que a versão do sistema de banco de dados implantado seja aprovada e testada.

Segundo Plano: A execução de versões não sancionadas dos sistemas de banco de dados pode aumentar suas chances de uma violação da segurança, colocando em risco a confidencialidade, a integridade e a disponibilidade dos dados.

Parâmetros de Regra:

• Tipo de Serviço: Banco de Dados
• Tipo de Recurso: Sistema do Banco de Dados
• Nível de Risco: CRÍTICO
• Labels: Banco de Dados

• Grupos Condicionais: Filtre OCIDs do sistema de banco de dados para qualquer um que não precise ter uma versão sancionada, por exemplo, OCIDs em ambientes de teste do desenvolvedor.

Descrição: Alerta quando um banco de dados está em execução com uma versão que não foi sancionada. Essa regra só se aplica a ambientes do Oracle Database Cloud Service. Outros ambientes de banco de dados Oracle não são abordados.

Recomendação: Verifique se a versão do banco de dados implantado foi aprovada e testada.

Plano de Fundo: A versão sancionada de um banco de dados tem as funcionalidades de segurança e os patches da vulnerabilidade mais recentes. A execução de versões não sancionadas de um banco de dados pode aumentar suas chances de uma violação de segurança, colocando em risco sua confidencialidade, integridade e disponibilidade de dados.

Parâmetros de Regra:

• Tipo de Serviço: Banco de Dados
• Tipo de Recurso: Sistema do Banco de Dados
• Nível de Risco: CRÍTICO
• Labels: Banco de Dados

• Grupos Adicionais: Filtre OCIDs de banco de dados para qualquer um que não precise ter uma versão sancionada, por exemplo, OCIDs em ambientes de teste do desenvolvedor.

Descrição: Alerta quando um par IAM de chaves privadas/públicas designado a um usuário é muito antigo.

Recomendação: Rotacione as chaves de API regularmente, pelo menos a cada 90 dias.

Segundo Plano: Alterar as chaves da API do IAM pelo menos a cada 90 dias é uma prática recomendada de segurança. Quanto mais tempo as credenciais do IAM permanecerem inalteradas, maior o risco de que elas possam ser comprometidas.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: IAMKey
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configuração: (Opcional) Você pode alterar o valor de 90 dias na seção Definição de Entrada da regra.

Descrição: Alerta quando os Tokens de Autenticação do IAM são anteriores ao número máximo de dias especificado.

Recomendação: Rotacione os Tokens do IAM Auth regularmente, pelo menos a cada 90 dias.

Segundo Plano: A alteração dos Tokens de Autorização do IAM pelo menos a cada 90 dias é uma prática recomendada de segurança. Quanto mais tempo os Tokens de Autenticação do IAM permanecerem inalterados, maior o risco de eles ficarem comprometidos.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.1_IAM, IAM

• Configuração: Defina o número máximo de dias para Tokens de Autenticação do IAM (é 90) na seção Definição de Entrada da regra.

Descrição: Alerta quando as Chaves Secretas do Cliente do IAM são mais antigas que o número máximo de dias especificado.

Recomendação: Rotacione as Chaves Secretas do Cliente do IAM regularmente, pelo menos a cada 90 dias.

Antecedentes: Alterar as Chaves Secretas do Cliente do IAM pelo menos a cada 90 dias é uma prática recomendada para segurança. Quanto mais tempo as Chaves Secretas do Cliente do IAM permanecerem inalteradas, maior o risco de que possam ser comprometidas.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.1_IAM, IAM

• Configuração: Defina o número máximo de dias para Chaves Secretas do Cliente do IAM (é 90) na seção Definição de Entrada da regra.

Descrição: Alerta quando um grupo do serviço IAM tem menos do que o número mínimo especificado de membros.

Recomendação: Aumente o número de membros de grupo para que sejam menores que o número mínimo especificado de membros.

Segundo Plano: A associação do grupo do serviço IAM concede frequentemente acesso a recursos e recursos. As associações de grupo que têm poucos membros podem representar privilégios em excesso "órfãs" (não estão mais disponíveis para qualquer usuário).

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Grupo
• Nível de Risco: BAIXO
• Rótulos: IAM

• Deixe as definições padrão.

Descrição: Alerta quando um grupo do serviço IAM tem mais do que o número máximo especificado de membros.

Recomendação: Reduza o número de membros de grupo para ser menor que o número máximo de membros especificado.

Segundo Plano: A associação do grupo do serviço IAM concede frequentemente acesso a recursos e recursos. As associações de grupo com muitos membros podem representar privilégios excessivamente permissivos sendo concedidos a muitos usuários.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Grupo
• Nível de Risco: MÉDIO
• Rótulos: IAM

• Deixe as definições padrão.

Descrição: Alerta quando uma senha do serviço IAM é mais antiga que o número máximo de dias especificado.

Recomendação: Rotacione as senhas do IAM regularmente, pelo menos a cada 90 dias.

Antecedentes: Alterar senhas do IAM a cada 90 dias é uma prática recomendada de segurança. Quanto mais tempo as credenciais do IAM permanecerem inalteradas, maior o risco de que elas possam ser comprometidas.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Configuração: Defina o número máximo de dias para as senhas (o padrão é 90) na seção Definição de Entrada da regra.

Descrição: A política de senhas não atende aos requisitos de complexidade.

Recomendação: A Oracle recomenda que uma política com senha forte inclua pelo menos uma letra minúscula.

Antecedentes: As senhas complexas são mais difíceis de adivinhar e podem diminuir as chances de acesso não autorizado ou dados comprometidos.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Política
• Nível de Risco: BAIXO
• Labels: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Deixe as definições padrão.

Descrição: Alerta quando uma política do serviço IAM concede a qualquer usuário que não seja membro do grupo Administradores acesso a qualquer atribuição do administrador.

Recomendação: Certifique-se de que a política esteja restrita para permitir que apenas usuários específicos acessem os recursos necessários para realizar suas funções de cargo.

Plano de fundo: Uma política é um documento que especifica quem pode acessar quais recursos do OCI sua empresa tem e como. Uma política simplesmente permite que um grupo trabalhe de determinadas formas com tipos específicos de recursos em um compartimento específico.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Política
• Nível de Risco: MÉDIO
• Labels: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configuração: Adicione OCIDs para todos os grupos que devem ter permissão para esses privilégios na seção Definição de Entrada da regra.

Descrição: Alerta quando o privilégio do administrador da tenancy é concedido a um grupo extra do serviço IAM.

Recomendação: Verifique com o administrador do OCI que essa concessão do direito foi sancionada e que a associação do grupo permanece válida após a concessão do privilégio do administrador.

Segundo Plano: Os membros padrão do grupo de administradores de tenancies podem executar qualquer ação em todos os recursos dessa tenancy. Esse direito de alto privilégio deve ser controlado e restrito apenas aos usuários que precisam dele para desempenhar suas funções.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Política
• Nível de Risco: BAIXO
• Labels: CIS_OCI_V1.1_IAM, CIS_OCI_V1.0_IAM, IAM

• Configuração: Adicione OCIDs de grupos que devem ter privilégio de administrador na seção Definição de Entrada da regra.

Descrição: alerta quando um usuário não tem autenticação multifator (MFA) ativada.

Recomendação: Ative a MFA para todos os usuários, usando o aplicativo Oracle Mobile Authenticator (OMA) no dispositivo móvel de cada usuário e o código de acesso ocasional (OTP) enviado ao endereço de email registrado do usuário.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: CRÍTICO
  Observação
  
  Se sua organização começar a usar o Cloud Guard antes de abril de 2023, o Nível de Risco padrão será MÉDIO.
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Deixe as definições padrão.

Descrição: Alerta quando um usuário tem chaves da API ativadas.

Recomendação: Verifique se o acesso do OCI por administradores por meio das chaves de API é executado como uma exceção. Não codifique as credenciais do IAM diretamente no software ou nos documentos para um público amplo.

Segundo Plano: As chaves da API do serviço IAM são credenciais usadas para conceder acesso programático a recursos. Usuários humanos reais não devem usar chaves de API.

Parâmetros de Regra:

• Tipo de Serviço: IAM
• Tipo de Recurso: Usuário
• Nível de Risco: BAIXO
• Labels: CIS_OCI_V1.0_IAM, CIS_OCI_V1.1_IAM, IAM

• Deixe as definições padrão.

Descrição: Alerta quando uma chave do KMS não foi alternada dentro do período especificado.

Recomendação: Certifique-se de rotacionar as chaves KMS regularmente.

Antecedentes: Para segurança de informações, altere ou gire periodicamente senhas, chaves e materiais criptográficos. A alternância de chaves no KMS reduz o impacto e a probabilidade de comprometimento da chave. Defina o mínimo. Você pode alterar o tempo padrão para rotacionar chaves de 180 dias na seção Definição de Entrada da regra.

Parâmetros de Regra:

• Tipo de Serviço: KMS
• Tipo de Recurso: Chave KMS
• Nível de Risco: CRÍTICO
• Labels: CIS_OCI_V1.1_MONITORING, KMS

• Configuração: Defina o tempo padrão de alternância de chaves na seção Definição de Entrada da regra.

Descrição: Alerta quando um recurso não está marcado em conformidade com os requisitos de tag especificados.

Recomendação: Verifique se as tags configuradas estão sendo usadas para imagens de computação, instâncias do serviço Compute, Sistemas de Banco de Dados, VCNs, Armazenamento de Objetos e Volumes em Blocos de Armazenamento.

Segundo plano: verifique se as tags configuradas estão sendo usadas para imagens de computação, instâncias do serviço Compute, sistemas de banco de dados, VCNs, armazenamento de objeto e volumes de bloco de armazenamento.

Parâmetros de Regra:

• Tipo de Serviço: Vários
• Tipo de Recurso: Vários
• Nível de Risco: BAIXO
• Labels: CIS_OCI_V1.0_MONITORING, CIS_OCI_V1.1_MONITORING, TAGS

• Configuração: Adicione tags apropriadas na seção Definição de Entrada da regra.

Descrição: Alerta quando um balanceador da carga tem uma suíte de cifragem configurada que é oci-wider-compatible-ssl-cipher-suite-v1. Essa suíte de cifragem inclui algoritmos como DES e RC4 que são considerados fracos e propensos a ataques. Aplicável somente a suítes de cifragem predefinidas e não aos valores personalizados da suíte de cifragem.

Opcionalmente, use condições para especificar suítes de cifragem adicionais a serem sinalizadas.

Para usar cifras adicionais:

1. Edite a regra do detector O balanceador de carga permite suítes de cifragem fracas.
2. Em Definição de entrada, insira as cifras adicionais como uma lista separada por vírgulas na Lista de Cifras Fracas do LB.
   • Quando a definição de entrada está vazia (padrão), o oci-wider-compatible-ssl-cipher-suite-v1 é marcado e sinalizado.
   • Quando a definição de entrada tiver entradas, as cifras adicionais serão verificadas, bem como oci-wider-compatible-ssl-cipher-suite-v1.
   As cifras adicionais são:

   • oci-compatible-ssl-cipher-suite-v1
   • oci-default-ssl-cipher-suite-v1
   • oci-modern-ssl-cipher-suite-v1
   • oci-tls-11-12-13-wider-ssl-cipher-suite-v1
   • oci-tls-12-13-wider-ssl-cipher-suite-v1

Recomendação: Use suítes de cifragem padrão e modernas que suportam criptografia mais forte.

Segundo Plano: Algumas versões de conjuntos de cifras com algoritmos como DES não são recomendadas.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Balanceador de Carga
• Nível de Risco: MÉDIO
• Rótulos: Rede

• Deixe as definições padrão.

Descrição: Alerta quando um balanceador da carga tem um protocolo configurado como parte da política SSL que inclui qualquer versão inferior ao TLS (Transport Layer Security) 1.2.

Recomendação: Certifique-se de que a versão de política SSL configurada seja pelo menos TLS 1.2.

Antecedentes: As versões mais antigas são arriscadas e vulneráveis a muitos tipos de ataques. Vários padrões, como PCI-DSS e NIST, incentivam fortemente o uso do TLS 1.2.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Balanceador de Carga
• Nível de Risco: HIGH
• Rótulos: Rede

• Deixe as definições padrão.

Descrição: Alerta quando um balanceador da carga não tem conjuntos de backend associados.

Recomendação: Certifique-se de configurar balanceadores de carga com conjuntos de back-end para controlar a integridade e o acesso a um balanceador de carga por instâncias definidas.

Plano de fundo: Um conjunto de backend é uma entidade lógica definida por uma política para balanceamento de carga, uma política para verificação da integridade e uma lista de servidores de back-end.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Balanceador de Carga
• Nível de Risco: CRÍTICO
• Rótulos: Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma lista de segurança de um balanceador da carga tem regras da entrada que aceitam o tráfego de uma origem aberta (0.0.0.0/0).

Recomendação: Certifique-se de que o seu balanceador de carga OCI use regras de entrada ou listeners para só permitir o acesso de recursos conhecidos.

Antecedentes: Os balanceadores da carga da OCI permitem conexões TLS completas entre os aplicativos de um cliente e sua VCN. Listener é uma entidade lógica que verifica o tráfego de entrada no endereço IP do balanceador de carga. Para tratar o tráfego TCP, HTTP e HTTPS, configure pelo menos um listener por tipo de tráfego.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Balanceador de Carga
• Nível de Risco: MINOR
• Rótulos: Rede

• Deixe as definições padrão.

Descrição: Alerta quando um balanceador da carga está em execução com um endereço IP público.

Recomendação: Verifique se todos os balanceadores de carga que não precisem ser acessíveis publicamente estão em execução com endereços IP privados.

Segundo Plano: Um endereço IP público em um balanceador de carga que não se destina a ser usado para conteúdo disponível publicamente cria uma vulnerabilidade desnecessária de segurança.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Balanceador de Carga
• Nível de Risco: Alto
• Rótulos: Rede

• Grupos Adicionais: Filtre OCIDs para qualquer balanceador de carga que deva ter um endereço IP público.

Descrição: Alerta quando o certificado SSL em um balanceador de carga está definido para expirar dentro do período especificado.

Recomendação: Certifique-se de que os certificados sejam alternados em tempo hábil.

Background: Para garantir segurança e usabilidade contínuas, os certificados SSL devem ser alternados na OCI.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Balanceador de Carga
• Nível de Risco: CRÍTICO
• Rótulos: Rede

• Configuração: Defina Dias antes de expirar (o padrão é 48) na seção Definição de Entrada da regra.

Descrição: Alerta quando a regra do grupo de segurança da rede (NSG) contém um endereço IP de destino e número de porta não autorizados.

Recomendação: Certifique-se de que as regras de saída para comunicação com o IP/porta sejam permitidas para esse NSG.

Segundo Plano: Os NSGs atuam como um firewall virtual para instâncias de computação e outros tipos de recursos. As regras de segurança de saída do NSG se aplicam a um conjunto de NICs virtuais em um VCN para permitir acesso a portas e endereços IP específicos.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Grupo de Segurança de Rede
• Nível de Risco: MÉDIO
• Label: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Rede

• Configuração: Adicione portas não permitidas na seção Definição de Entrada da regra.

Descrição: Alerta quando a regra do ingresso para um grupo da segurança da rede contém um endereço IP de destino e número de porta não autorizados.

Recomendação: Certifique-se de que as regras de entrada para comunicação com o IP/porta sejam permitidas para esse NSG.

Segundo Plano: Os NSGs atuam como um firewall virtual para instâncias de computação e outros tipos de recursos. As regras de segurança de entrada do NSG se aplicam a um conjunto de NICs virtuais em um VCN para permitir acesso a portas e endereços IP específicos.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• Tipo de Recurso: Grupo de Segurança de Rede
• Nível de Risco: HIGH
• Label: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Rede

• Configuração: Adicione portas não permitidas na seção Definição de Entrada da regra.

Descrição: Alerta quando uma VCN é anexada a um gateway de internet.

Recomendação: Certifique-se de que os gateways da Internet estejam autorizados a ser anexados a uma VCN e de que esse anexo não exponha recursos à Internet. Certifique-se de que as listas de segurança com regras de entrada e essas listas de segurança não estejam configuradas para permitir acesso de todos os endereços IP 0.0.0.0/0.

Segundo Plano: Os gateways fornecem conectividade externa com hosts em uma VCN. Eles incluem gateway de internet (IGW) para conectividade com a Internet.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• VCN do Tipo de Recurso
• Nível de Risco: BAIXO
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma VCN é anexada a um gateway de pareamento local.

Recomendação: Certifique-se de que os gateways de pareamento locais estejam autorizados a serem anexados a uma VCN e de que esse anexo não exponha recursos à Internet.

Segundo Plano: Os gateways fornecem conectividade externa com hosts em uma VCN. Eles incluem LPG (Local Peering Gateway) para conectividade com a VCN pareada.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• VCN do Tipo de Recurso
• Nível de Risco: BAIXO
• Labels: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, CIS_OCI_V1.1_MONITORING, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma VCN não tem lista de segurança de entrada.

Recommendation: Ensure that your OCI VCN's use security lists with ingress or inbound rules to only allow access from known resources.

Antecedentes: As listas de segurança fornecem recursos de firewall com e sem monitoramento do estado para controlar o acesso da rede às suas instâncias. Uma lista de segurança é configurada no nível da sub-rede e imposta no nível da instância. Você poderá aplicar várias listas de segurança a uma sub-rede na qual um pacote de rede for permitido, se corresponder a qualquer regra nas listas de segurança.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• VCN do Tipo de Recurso
• Nível de Risco: MÉDIO
• Rótulos: Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma lista do VCN permite tráfego irrestrito para uma porta não pública de um código-fonte aberto (0.0.0.0/0).

Recomendação: Use listas VCN para restringir o acesso à rede às instâncias de uma sub-rede. Para evitar acesso não autorizado ou ataques em instâncias de computação, a Oracle recomenda que você:

• Use uma lista de segurança da VCN para só permitir acesso SSH ou RDP de blocos CIDR autorizados
• Não deixe as instâncias de computação abertas para a Internet (0.0.0.0/0)

Antecedentes: Uma VCN tem uma coleção de recursos para impor controle do acesso à rede e proteger o tráfego de VCN. As listas de segurança fornecem recursos de firewall com e sem monitoramento de estado para controlar o acesso da rede a suas instâncias. Uma lista de segurança é configurada no nível da sub-rede e imposta no nível da instância. Você poderá aplicar várias listas de segurança a uma sub-rede na qual um pacote de rede for permitido, se corresponder a qualquer regra nas listas de segurança.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• VCN do Tipo de Recurso
• Nível de Risco: CRÍTICO
• Label: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Rede

• Deixe as definições padrão.

Descrição: Alerta quando uma lista da segurança de VCN permite determinadas portas restritas (consulte Definições de Entrada, Lista de Protocolos Restritos:Portas) como parte da regra da entrada da lista Segurança.

Recomendação: Certifique-se de que as suas VCNs do OCI usem listas de segurança que não incluam uma porta listada no "Protocolo Restrito:Lista de Portas" na definição de Entrada dessa regra do detector com qualquer regra de entrada ou entrada. A seção Detalhes Adicionais de um problema lista as portas restritas abertas específicas que acionaram esse problema.

Antecedentes: As listas de segurança fornecem recursos de firewall com e sem monitoramento do estado para controlar o acesso da rede às suas instâncias. Uma lista de segurança é configurada no nível da sub-rede e imposta no nível da instância. Você poderá aplicar várias listas de segurança a uma sub-rede na qual um pacote de rede for permitido, se corresponder a qualquer regra nas listas de segurança.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• VCN do Tipo de Recurso
• Nível de Risco: MINOR
• Label: CIS_OCI_V1.0_NETWORK, CIS_OCI_V1.1_NETWORK, Rede

• Configuração:
  • Modifique Protocolo Restrito: Lista de Portas conforme necessário, na seção Definição de Entrada da regra.

  É possível inserir listas de portas manualmente ou inserir nomes de uma ou mais listas de segurança que você definiu. Consulte Listas de Segurança.

Descrição: Alerta quando uma VNIC (Virtual Network Interface Card) não tem NSG (Associated).

Recomendação: Verifique se todas as VNICs têm um NSG associado.

Segundo Plano: Uma VNIC é um componente de rede que permite que um recurso, como uma instância de computação, se conecte a uma VCN. A VNIC determina como a instância estabelece conexão com pontos finais dentro e fora da VCN. Cada VNIC reside em uma sub-rede de uma VCN. Uma VNIC sem um NSG pode disparar um problema de conectividade.

Parâmetros de Regra:

• Tipo de Serviço: Rede
• VCN do Tipo de Recurso
• Nível de Risco: MINOR
• Rótulos: Rede

• Configuração: Modificar Protocolo Restrito: Lista de Portas conforme necessário, na seção Definição de Entrada da regra.

Descrição: Alerta quando o Serviço de Verificação de Vulnerabilidade (VSS) do Oracle verifica contêineres e identifica vulnerabilidades conhecidas de segurança cibernética. Para usar essa regra, crie uma Receita de Verificação do Host e um Destino de Verificação do Host no serviço Scanning. Consulte Scanning: Getting Started na documentação de Verificação.

Recomendação: Execute as ações recomendadas que estão documentadas para cada vulnerabilidade, como aplicar um patch do SO.

Antecedentes: O serviço de Verificação identifica vulnerabilidades para aplicativos, bibliotecas, sistemas operacionais e serviços. Cada vulnerabilidade no banco de dados tem um identificador distinto ou CVE.

Parâmetros de Regra:

• Tipo de Serviço: Verificação, Computação
• Tipo de Recurso: Contêiner
• Nível de Risco: CRÍTICO
• Labels: VSS

• Deixe as definições padrão (todos os CVEs são detectados)

Descrição: Alerta quando o VSS (Oracle Vulnerability Scanning Service) verifica instâncias do serviço Compute (hosts) e identifica portas abertas. Para usar essa regra, crie uma Receita de Verificação do Host e um Destino de Verificação do Host no serviço Scanning. Consulte Scanning: Getting Started na documentação de Verificação.

Recomendação: verifique se as portas identificadas devem estar abertas neste host e feche-as se não for necessário abri-las. Se todas as portas abertas estiverem corretas, verifique se a lista de portas permitidas contém todos os números de portas abertas. Além disso, verifique se a lista de portas não permitidas não contém nenhum número de porta aberta.

Background: Determinadas portas são necessárias para a operação e a entrega de serviços, mas quaisquer portas abertas além da lista pretendida podem ser usadas para explorar os serviços.

Parâmetros de Regra:

• Tipo de Serviço: Verificação, Computação
• Tipo de Recurso: Computação
• Nível de Risco: CRÍTICO
• Labels: VSS

• Configuração: Adicione todas as portas que devem ser ignoradas à lista Portas permitidas na seção Definição de Entrada da regra.
  Observação
  
  

  Se você adicionar o mesmo número de porta à lista Portas permitidas e à lista Portas não permitidas na seção Definição de Entrada da regra, a lista Portas não permitidas terá precedência; um problema ainda será acionado quando o Cloud Guard localizar a porta aberta.

Descrição: Alerta quando o Serviço de Verificação de Vulnerabilidade (VSS) do Oracle verifica instâncias do serviço Compute (hosts) e identifica vulnerabilidades conhecidas de segurança cibernética. Para usar essa regra, crie uma Receita de Verificação do Host e um Destino de Verificação do Host no serviço Scanning. Consulte Scanning: Getting Started na documentação de Verificação.

Recomendação: Execute as ações recomendadas que estão documentadas para cada vulnerabilidade, como aplicar um patch do SO.

Antecedentes: O serviço de Verificação identifica vulnerabilidades para aplicativos, bibliotecas, sistemas operacionais e serviços. Cada vulnerabilidade no banco de dados tem um identificador distinto ou CVE.

Parâmetros de Regra:

• Tipo de Serviço: Verificação, Computação
• Tipo de Recurso: Computação
• Nível de Risco: CRÍTICO
• Labels: VSS

• Deixe as definições padrão (todos os CVEs são detectados)

Descrição: Alerta quando um volume em blocos é criptografado com chaves gerenciadas pela Oracle.

Recomendação: Designe uma chave KMS a este volume.

Antecedentes: A criptografia de volumes fornece um nível extra de segurança em seus dados. O gerenciamento de chaves de criptografia é fundamental para proteger e acessar dados protegidos. Alguns clientes desejam identificar entre chaves gerenciadas pela Oracle e chaves gerenciadas pelo usuário criptografadas para volumes em blocos.

Parâmetros de Regra:

• Tipo de Serviço: Armazenamento
• Tipo de Recurso: Volume em Blocos
• Nível de Risco: MINOR
• Labels: KMS

• Chaves Gerenciadas pela Oracle: Recomendadas para proteger volumes em blocos.
• Chaves Gerenciadas pelo Usuário:
  • Use o KMS sempre que possível.
  • Implemente o Oracle Security Zones nos compartimentos para garantir que a prática seja seguida.
• Grupos Adicionais: Evite usar, por causa do grande número de volumes.

Descrição: Alerta quando um volume em blocos não está anexado à sua instância associada.

Recomendação: Certifique-se de que o volume esteja anexado.

Parâmetros de Regra:

• Tipo de Serviço: Armazenamento
• Tipo de Recurso: Volume em Blocos
• Nível de Risco: MÉDIO
• Rótulos: Armazenamento

• Grupos Condicionais: Evite usar, por causa do grande número de volumes.

Descrição: Alerta quando um bucket é público.

Recomendação: Verifique se o bucket foi sancionado para acesso público e, caso contrário, direcione o administrador do OCI para restringir a política de bucket a fim de permitir que apenas usuários específicos acessem os recursos necessários para realizar suas funções de job.

Plano de fundo: O Object Storage suporta acesso anônimo e sem autenticação a um bucket. Um bucket público que tem acesso de leitura ativado para usuários anônimos permite que qualquer pessoa obtenha metadados de objeto, faça download de objetos de bucket e, se desejar, liste o conteúdo do bucket.

Parâmetros de Regra:

• Tipo de Serviço: Armazenamento
• Tipo de Recurso: Bucket
• Nível de Risco: CRÍTICO
• Labels: CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Grupos Adicionais: Filtre nomes de bucket (<namespace>/<name>) para qualquer um que supostamente seja público.

Descrição: Alerta quando um bucket do serviço Object Storage é criptografado com uma chave gerenciada pela Oracle.

Recomendação: Atribua uma chave do Vault a este bucket.

Segundo Plano: A criptografia de buckets de armazenamento fornece um nível extra de segurança em seus dados. O gerenciamento de chaves de criptografia é fundamental para proteger e acessar dados protegidos. Alguns clientes desejam identificar chaves gerenciadas pela Oracle criptografadas de buckets de armazenamento.

Parâmetros de Regra:

• Tipo de Serviço: Armazenamento
• Tipo de Recurso: Bucket
• Nível de Risco: MINOR
• Labels: CIS_OCI_V1.1_ObjectStorage, ObjectStorage, KMS

• Configuração: Essa regra é desativada por padrão no Detector de Configuração do OCI, porque pode gerar problemas que podem não ser críticos para muitos operadores do Cloud Guard. Se você ativar essa regra, certifique-se de definir cuidadosamente Grupos Condicionais para direcionar somente os buckets específicos que você NÃO deseja criptografar com uma chave gerenciada pela Oracle. Se você precisar de um controle de chave rigoroso usando chaves gerenciadas pelo usuário por meio do Vault, crie um compartimento do Oracle Security Zone e crie recursos nesse compartimento.

Descrição: Alerta quando os logs de acesso de leitura não estão ativados para um bucket do serviço Object Storage.

Recomendação: Certifique-se de que os logs de leitura estejam ativados para o bucket e que os logs estejam sendo monitorados continuamente pelas ferramentas de segurança.

Segundo Plano: Os logs de acesso ajudam a proteger seus objetos confidenciais, fornecendo visibilidade das atividades em torno de operações de leitura e gravação nos objetos dentro do bucket de armazenamento de objetos.

Parâmetros de Regra:

• Tipo de Serviço: Armazenamento
• Tipo de Recurso: Bucket
• Nível de Risco: BAIXO
• Labels: CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configuração: Esta regra é desativada por padrão no Detector de Configuração do OCI e não pode ser ativada lá. Ativar esta regra:
  1. Clonando o Detector de Configuração do OCI. Consulte Clonando uma Receita do Detector do OCI.
  2. Ative a regra na cópia gerenciada pelo usuário (clonada) do Detector de Configuração do OCI. Consulte Editando Definições de Regra em uma Receita do Detector do OCI.
  3. Anexe a cópia gerenciada pelo usuário (clonada) do Detector de Configuração do OCI a todos os destinos nos quais você deseja que a regra seja ativada. Consulte Editando um Destino do OCI e Suas Receitas Anexadas.

Descrição: Alerta quando os logs de acesso de gravação não estão ativados para um bucket do serviço Object Storage.

Recomendação: Certifique-se de que os logs de gravação estejam ativados para o bucket e que os logs estejam sendo monitorados continuamente pelas ferramentas de segurança.

Segundo Plano: Os logs de acesso ajudam a proteger seus objetos confidenciais, fornecendo visibilidade das atividades em torno de operações de leitura e gravação nos objetos dentro do bucket de armazenamento de objetos.

Parâmetros de Regra:

• Tipo de Serviço: Armazenamento
• Tipo de Recurso: Bucket
• Nível de Risco: BAIXO
• Labels: CIS_OCI_V1.1_MONITORING, CIS_OCI_V1.1_ObjectStorage, ObjectStorage

• Configuração: Esta regra é desativada por padrão no Detector de Configuração do OCI e não pode ser ativada lá. Ativar esta regra:
  1. Clonando o Detector de Configuração do OCI. Consulte Clonando uma Receita do Detector do OCI.
  2. Ative a regra na cópia gerenciada pelo usuário (clonada) do Detector de Configuração do OCI. Consulte Editando Definições de Regra em uma Receita do Detector do OCI.
  3. Anexe a cópia gerenciada pelo usuário (clonada) do Detector de Configuração do OCI a todos os destinos nos quais você deseja que a regra seja ativada. Consulte s.

Descrição: Alerta quando um contêiner não tem uma verificação de prontidão.

Recomendação: Certifique-se de que todos os contêineres tenham verificação de prontidão.

Parâmetros de Regra:

• Definindo Configurações:
  • userRangeMin (int): O limite inferior (incluído) do intervalo de IDs de usuário UNIX necessário. Corresponde às seções .spec.securityContext.runAsUser e .spec.containers[].securityContext.runAsUser de uma especificação de pod.
  • userRangeMax (int): O limite superior (incluído) do intervalo de IDs de usuário UNIX necessário. Corresponde às seções .spec.securityContext.runAsUser e .spec.containers[].securityContext.runAsUser de uma especificação de pod.
• Nível de Risco: MÉDIO
• Labels: Disponibilidade de Contêiner

Descrição: Alerta quando um contêiner não está usando um gancho de ciclo de vida pós-início.

Recomendação: Certifique-se de que todos os contêineres usem um gancho de ciclo de vida pós-inicialização.

Parâmetros de Regra:

• Definindo Configurações:
  • hookActions (lista): Lista de ações de gancho permitidas. Usando a ação não permitida, o gancho ausente ou vazio violará a regra. Use "any" para verificar a existência, independentemente da ação. Corresponde à seção spec.containers[].lifecycle.postStart de uma especificação de pod.
• Nível de Risco: BAIXO
• Labels: Disponibilidade de Contêiner

Descrição: Alerta quando um contêiner não está usando um gancho de ciclo de vida de pré-parada.

Recomendação: Certifique-se de que todos os contêineres usem um gancho de ciclo de vida pré-parada.

Parâmetros de Regra:

• Definindo Configurações:
  • hookActions (lista): Lista de ações de gancho permitidas. Usando a ação não permitida, o gancho ausente ou vazio violará a regra. Use "any" para verificar a existência, independentemente da ação. Corresponde à seção spec.containers[].lifecycle.preStop de uma especificação de pod.
• Nível de Risco: BAIXO
• Labels: Disponibilidade de Contêiner

Descrição: Alerta quando um contêiner está usando uma porta privilegiada (1-1024).

Recomendação: Considere cuidadosamente quais cargas de trabalho de contêiner exigem o uso de portas privilegiadas para cumprir sua finalidade.

Parâmetros de Regra:

• Nível de Risco: HIGH
• Labels: Container Networking

Descrição: Alerta quando há apenas réplica para uma implantação do Kubernetes.

Recomendação: Certifique-se de que todas as implantações do Kubernetes tenham várias réplicas.

Parâmetros de Regra:

• Nível de Risco: BAIXO
• Labels: Disponibilidade de Contêiner

Descrição: Alerta quando um pod é encontrado que usa um período de tolerância de encerramento de pod grande.

Recomendação: evite períodos de tolerância de desligamento excessivamente longos que podem retardar as implantações e os tempos de recuperação.

Parâmetros de Regra:

• Definindo Configurações:
  • maximum (int) 60: Limite para o período de terminação de tolerância do pod em segundos. Os pods sem período de tolerância definido são considerados como tendo o período padrão de 30 segundos. Corresponde à seção spec.terminationGracePeriodSeconds de uma especificação de pod.
• Nível de Risco: BAIXO
• Labels: Disponibilidade de Contêiner

Descrição: Alerta quando uma porta de host é usada.

Recomendação: Considere cuidadosamente quais serviços precisam ser expostos por meio de uma porta de host para cumprir sua finalidade.

Parâmetros de Regra:

• Nível de Risco: HIGH
• Labels: Container Networking

Descrição: Alerta quando uma porta de nó é usada.

Recomendação: Considere cuidadosamente quais serviços precisam ser expostos por meio de uma porta de nó para cumprir sua finalidade.

Parâmetros de Regra:

• Nível de Risco: MÉDIO
• Labels: Container Networking

Descrição: Alerta quando uma política de extração de imagem não está definida como always.

Recomendação: Certifique-se de que as imagens do contêiner sejam extraídas do registro toda vez que o pod for iniciado.

Parâmetros de Regra:

• Definindo Configurações:
  • imagePullPolicy (string): Lista separada por vírgulas de políticas de extração de imagem permitidas, uma das quais deve ser definida explicitamente pela especificação do contêiner. Corresponde à seção spec.containers[].imagePullPolicy de uma especificação de pod.
• Nível de Risco: BAIXO
• Labels: Image Assurance

Descrição: Alerta quando uma imagem não é referenciada de um dos registros confiáveis configurados.

Recomendação: Considere cuidadosamente a origem das imagens de contêiner e certifique-se de que elas sejam provenientes apenas de registros aprovados.

Parâmetros de Regra:

• Definindo Configurações:
  • allowedRegistriesRegex (string): Uma expressão regular que descreve os registros de imagem permitidos. Sintaxe detalhada. Corresponde à seção spec.containers[].image de uma especificação de pod.
• Nível de Risco: HIGH
• Labels: Image Assurance

Descrição: Alerta quando uma imagem não é referenciada por um hash SHA.

Recomendação: Faça referência a imagens de contêiner usando resumos SHA para garantir que as implantações sempre usem a imagem pretendida e não modificada e para evitar atualizações não intencionais devido a alterações de tag.

Parâmetros de Regra :

• Nível de Risco: BAIXO
• Labels: Image Assurance

Descrição: Alerta quando um pod está em execução na conta de serviço padrão.

Recomendação: Certifique-se de que os contêineres não usem a conta de serviço padrão em um namespace.

Parâmetros de Regra:

• Nível de Risco: MÉDIO
• Labels: Kubernetes RBAC

Descrição: Alerta quando símbolos curinga são usados com ClusterRoles ou Atribuições.

Recomendação: Evite usar curingas nas atribuições do Kubernetes RBAC para garantir que os usuários e serviços recebam apenas as permissões específicas de que precisam.

Parâmetros de Regra:

• Nível de Risco: MÉDIO
• Labels: Kubernetes RBAC

Descrição: Alerta quando um segredo é acessado por meio de uma variável de ambiente em vez de em um volume.

Recomendação: Certifique-se de que os segredos do Kubernetes sejam acessados por meio de um volume montado em vez de variáveis ambientais.

Parâmetros de Regra:

• Nível de Risco: MÉDIO
• Labels: Segredos do Kubernetes

Descrição: Alerta quando um contêiner não tem um limite de CPU definido.

Recomendação: Certifique-se de que os contêineres sempre tenham um limite de CPU definido.

Parâmetros de Regra:

• Definindo Configurações:
  • maximum (string): Valores maiores que o máximo são considerados violação da regra. Os qualificadores do Kubernetes são suportados. Use "any" para verificar a existência sem um limite. Corresponde à seção spec.containers[].resources.limits.cpu de uma especificação de pod.
• Nível de Risco: MÉDIO
• Labels: Consumo de Recursos

Descrição: Alerta quando um contêiner não tem uma solicitação de CPU definida.

Recomendação: Certifique-se de que os contêineres sempre tenham uma solicitação de CPU definida.

Parâmetros de Regra:

• Definindo Configurações:
  • maximum (string): Valores maiores que o máximo são considerados violação da regra. Os qualificadores do Kubernetes são suportados. Use "any" para verificar a existência sem um limite. Corresponde à seção spec.containers[].resources.requests.cpu de uma especificação de pod.
• Nível de Risco: MÉDIO
• Labels: Consumo de Recursos

Descrição: Alerta quando um contêiner não tem um limite de memória definido.

Recomendação: Certifique-se de que os contêineres sempre tenham um limite de memória definido.

Parâmetros de Regra:

• Definindo Configurações:
  • maximum (string): Valores maiores que o máximo são considerados violação da regra. Os qualificadores do Kubernetes são suportados. Use "any" para verificar a existência sem um limite. Corresponde à seção spec.containers[].resources.limits.memory de uma especificação de pod.
• Nível de Risco: MÉDIO
• Labels: Consumo de Recursos

Descrição: Alerta quando um contêiner não tem solicitações de memória definidas.

Recomendação: Certifique-se de que os contêineres sempre tenham solicitações de memória definidas.

Parâmetros de Regra:

• Definindo Configurações:
  • maximum (string): Valores maiores que o máximo são considerados violação da regra. Os qualificadores do Kubernetes são suportados. Use "any" para verificar a existência sem um limite. Corresponde à seção spec.containers[].resources.limits.memory de uma especificação de pod.
• Nível de Risco: MÉDIO
• Labels: Consumo de Recursos

Descrição: Alerta quando um contêiner não tem limite de armazenamento definido.

Recomendação: Certifique-se de que todos os contêineres tenham um conjunto de solicitações de armazenamento efêmero.

Parâmetros de Regra:

• Definindo Configurações:
  • maximum (string): Valores maiores que o máximo são considerados violação da regra. Os qualificadores do Kubernetes são suportados. Use "any" para verificar a existência sem um limite. Corresponde à seção spec.containers[].resources.limits.memory de uma especificação de pod.
• Nível de Risco: BAIXO
• Labels: Consumo de Recursos

Descrição: Alerta quando um contêiner tem permissão para executar no namespace IPC do host.

Recomendação: Considere cuidadosamente quais cargas de trabalho de contêiner precisam ser executadas no namespace IPC do host para cumprir sua finalidade.

Parâmetros de Regra:

• Nível de Risco: HIGH
• Rótulos: Contexto de Segurança

Descrição: Alerta quando um contêiner tem permissão para executar no namespace Linux de rede do host.

Recomendação: Considere cuidadosamente quais cargas de trabalho de contêiner precisam ser executadas no namespace de rede do host para cumprir sua finalidade.

Parâmetros de Regra:

• Nível de Risco: HIGH
• Rótulos: Contexto de Segurança

Descrição: Alerta quando um contêiner tem permissão para executar no namespace PID do host.

Recomendação: Considere cuidadosamente quais cargas de trabalho de contêiner precisam ser executadas no namespace PID do host para cumprir sua finalidade.

Parâmetros de Regra:

• Nível de Risco: HIGH
• Rótulos: Contexto de Segurança

Descrição: Alerta quando um contêiner tem permissão para montar o sistema de arquivos do host.

Recomendação: Considere cuidadosamente as cargas de trabalho de contêiner de caminhos de montagem necessárias para cumprir sua finalidade.

Parâmetros de Regra:

• Definindo Configurações:
  • allowedHostPaths (lista): Lista de prefixos de caminho de host na lista de permissões. A montagem não tem a opção somente leitura especificada. Corresponde à seção .spec.volumes.hostPath.path de uma especificação de pod.
  • allowedReadOnlyHostPaths (lista): Lista de prefixos de caminho de host na lista de permissões. A montagem não especificou a opção somente leitura. Corresponde às seções .spec.volumes.hostPath.path e .spec.containers[].volumeMounts[].readOnly de uma especificação de pod.
• Nível de Risco: HIGH
• Rótulos: Contexto de Segurança

Descrição: Alerta quando um contêiner tem permissão para escalar seus privilégios.

Recomendação: Considere cuidadosamente quais cargas de trabalho de contêiner exigem a capacidade de escalar seus privilégios para cumprir sua finalidade.

Parâmetros de Regra:

• Nível de Risco: HIGH
• Rótulos: Contexto de Segurança

Descrição: Alerta quando determinadas cargas de trabalho de contêiner estão em execução com um GID não esperado.

Recomendação: Certifique-se de que as cargas de trabalho de contêiner sejam executadas por um grupo aprovado.

Parâmetros de Regra:

• Definindo Configurações:
  • runAsGroupRangeMin (int): O limite inferior (incluído) do intervalo de IDs do grupo de usuários UNIX necessário. Corresponde às seções .spec.securityContext.runAsGroup e .spec.containers[].securityContext.runAsGroup de uma especificação de pod.
  • runAsGroupRangeMax (int): O limite superior (incluído) do intervalo de IDs do grupo de usuários UNIX necessário. Corresponde às seções .spec.securityContext.runAsGroup e .spec.containers[].securityContext.runAsGroup de uma especificação de pod.
  • supplementalGroupsRangeMin (int): O limite inferior (incluído) do intervalo de grupos de usuários UNIX complementares necessários. Cada GID na lista de grupos complementares precisa pertencer ao intervalo especificado. Corresponde às seções .spec.securityContext.supplementalGroups e .spec.containers[].securityContext.supplementalGroups de uma especificação de pod.
  • supplementalGroupsRangeMax (int): O limite superior (incluído) do intervalo de grupos de usuários UNIX complementares necessários. Cada GID na lista de grupos complementares precisa pertencer ao intervalo especificado. Corresponde às seções .spec.securityContext.supplementalGroups e .spec.containers[].securityContext.supplementalGroups de uma especificação de pod.
  • fsGroupRangeMin (int): O limite inferior (incluído) da faixa de IDs do grupo de usuários UNIX necessária usada para o conteúdo do grupo de volumes do Kubernetes. Corresponde às seções .spec.securityContext.fsGroup e .spec.containers[].securityContext.fsGroup de uma especificação de pod. No entanto, observe que as definições no nível do contêiner não são honradas no Kubernetes para este campo.
  • fsGroupRangeMax (int): O limite superior (incluído) da faixa de IDs do grupo de usuários UNIX necessária usada para o conteúdo do grupo de volumes do Kubernetes. Corresponde às seções .spec.securityContext.fsGroup e .spec.containers[].securityContext.fsGroup de uma especificação de pod. No entanto, observe que as definições no nível do contêiner não são honradas no Kubernetes para este campo.
• Nível de Risco: MÉDIO
• Rótulos: Contexto de Segurança

Descrição: Alerta quando determinadas cargas de trabalho de contêiner estão em execução com um UID não esperado.

Recomendação: Certifique-se de que as cargas de trabalho de contêiner sejam executadas por um usuário aprovado.

Parâmetros de Regra:

• Definindo Configurações:
  • userRangeMin (int): O limite inferior (incluído) do intervalo de IDs de usuário UNIX necessário. Corresponde às seções .spec.securityContext.runAsUser e .spec.containers[].securityContext.runAsUser de uma especificação de pod.
  • userRangeMax (int): O limite superior (incluído) do intervalo de IDs de usuário UNIX necessário. Corresponde às seções .spec.securityContext.runAsUser e .spec.containers[].securityContext.runAsUser de uma especificação de pod.
• Nível de Risco: MÉDIO
• Rótulos: Contexto de Segurança

Descrição: Alerta quando determinadas cargas de trabalho de contêiner estão sendo executadas como raiz.

Recomendação: Considere cuidadosamente quais cargas de trabalho de contêiner exigem privilégios root para cumprir sua finalidade e certifique-se de que somente pods vinculados a essas imagens possam ser executados como root.

Parâmetros de Regra:

• Nível de Risco: HIGH
• Rótulos: Contexto de Segurança

Descrição: Alerta quando um contêiner está em execução no modo privilegiado.

Recomendação: Considere cuidadosamente quais cargas de trabalho de contêiner precisam ser executadas no modo privilegiado para cumprir sua finalidade.

Parâmetros de Regra:

• Nível de Risco: HIGH
• Rótulos: Contexto de Segurança

Descrição: Alerta quando um contêiner está em execução com um sistema de arquivos não somente para leitura.

Recomendação: Considere cuidadosamente quais cargas de trabalho de contêiner exigem um sistema de arquivos gravável para cumprir sua finalidade.

Parâmetros de Regra:

• Nível de Risco: HIGH
• Rótulos: Contexto de Segurança

Descrição: Alerta quando um contêiner está em execução com recursos que não estão na lista permitida.

Recomendação: Considere cuidadosamente quais cargas de trabalho de contêiner exigem recursos administrativos especiais para cumprir sua finalidade.

Parâmetros de Regra:

• Definindo Configurações:
  • allowedCapabilities (lista): A lista de recursos UNIX que o contêiner tem permissão para adicionar. Use "ALL" para permitir a adição de qualquer recurso. Corresponde à seção .spec.containers[].securityContext.capabiliteis.add de uma especificação de pod. Consulte a página do manual do linux para obter uma lista completa dos recursos.
  • requiredDropCapacidades (lista): A lista de recursos UNIX que o contêiner deve eliminar. Use "ALL" para exigir a eliminação explícita de todos os recursos. Corresponde à seção .spec.containers[].securityContext.capabiliteis.drop de uma especificação de pod. Consulte a página do manual do linux para obter uma lista completa dos recursos.
• Nível de Risco: MÉDIO
• Rótulos: Contexto de Segurança

Descrição: Alerta quando um contêiner não tem uma verificação de integridade.

Recomendação: Certifique-se de que todos os contêineres tenham verificação de integridade.

Parâmetros de Regra:

• Definindo Configurações:
  • probeTypes (lista): Lista de ações de sondagem permitidas. Usando a ação não permitida, a sondagem ausente ou vazia violará a regra. Use "any" para verificar a existência, independentemente da ação. Corresponde à seção spec.containers[].livenessProbe de uma especificação de pod.
• Nível de Risco: MÉDIO
• Labels: Disponibilidade da Carga de Trabalho

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Linux/Windows

Descrição: Detecta quando o Instance Security não está instalado ou não está em execução conforme esperado. Por exemplo:

InstanceOCID: <redacted>, currently in active state. The agent was last detected on 2024-03-19 21:11:27.41, more than 24 hours ago

Recomendação: Há alguns motivos pelos quais você pode receber este alerta:

• Se o agente de segurança da instância não estiver instalado ou estiver instalado, mas desatualizado.

  No Linux:

  1. SSH na instância.

  2. Faça download deste script de diagnóstico e, em seguida, execute o script usando o seguinte comando:

     sudo bash wlp-doctor.sh

  3. Se o script não identificou o problema, tente o resto das recomendações.
• Se o host de computação estiver inativo e o agente de segurança da instância não puder acessar o host por mais de 24 horas. Investigue seu host de computação para ver se foi isso que aconteceu.
• Se as políticas de segurança da instância não estiverem corretas. Verifique se todas as estas políticas foram adicionadas.
• Se a versão mais recente da segurança da instância não estiver presente. O Oracle Cloud Agent (OCA) atualiza automaticamente o agente de segurança da instância em um host, portanto, se isso não tiver acontecido, verifique o seguinte:

  No Linux:

  1. O Oracle Cloud Agent (OCA) está ativado e em execução na sua instância?

     sudo systemctl status oracle-cloud-agent.service

  2. Verifique se o plug-in de segurança da instância está em execução. Ele é responsável por gerenciar o ciclo de vida do agente de segurança da instância. Se o plug-in de segurança da instância estiver em execução, mas você tiver esse problema, isso significa que pode haver algo errado com o agente de segurança da instância ou que o plug-in está obtendo um erro 4xx e o agente não está instalado ou não está em execução.

     pgrep oci-wlp

  3. Verifique se o plug-in de segurança da instância está obtendo um erro 404 no log.

     sudo vim /var/log/oracle-cloud-agent/plugins/oci-wlp/oci-wlp.log

  4. Confirme se o agente de segurança da instância está em execução na sua instância.

     sudo systemctl status wlp-agent-osqueryd.service

     Se a saída do comando tiver erros, tente reiniciar o serviço.

     sudo systemctl restart wlp-agent-osqueryd.service

  No Windows:

  1. Verifique se o plug-in de segurança da instância foi ativado no OCA (Oracle Cloud Agent) da sua instância.
     1. Vá para Menu Iniciar > Ferramentas Administrativas do Windows > Serviços.
     2. Verifique o status da Proteção de Carga de Trabalho do Oracle Cloud Agent Cloud Guard. Deve mostrar que está correndo.
     3. Se for interrompido, selecione à direita e selecione Iniciar.
  2. Verifique se o agente de segurança da instância está em execução na sua instância.
     1. Vá para Menu Iniciar > Ferramentas Administrativas do Windows > Serviços.
     2. Verifique o status do serviço wlp-agent. Deve mostrar que está correndo.
     3. Se for interrompido, selecione à direita e selecione Iniciar.

Depois de encontrar o problema e corrigi-lo, aguarde 24 horas para que esse problema desapareça. Se você ainda estiver vendo depois de 24 horas, verifique novamente as etapas anteriores e entre em contato com o suporte técnico da Oracle.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Labels: Segurança de Instância

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: WMI é a infraestrutura para gerenciamento de dados e operações em sistemas operacionais baseados no Windows. É um processo de nível de serviço usado para executar scripts e pode ser usado para iniciar terminais de scripts ou para tentar fazer download de um payload.

Recomendação: Monitore objetos WMI recém-construídos que possam estabelecer persistência e/ou elevar privilégios usando mecanismos do sistema.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Labels: MITRE_T1546

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: Detecta a possível desativação dos recursos de segurança do Windows. Avisa se os serviços Windows Defender (windefend), Windows Firewall) mpssvc e Windows Security Service (wscvcs) não estão em execução. Por exemplo:

Windows security service in stopped state: windefend

Recomendação: A desativação da regra de segurança do Windows pode deixar os recursos em risco. Pesar os riscos e reativar as regras aplicáveis.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Labels: MITRE_T1562.001

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: Isso pode indicar a pulverização de senhas em contas do Windows, ou seja, o uso repetido da mesma senha em várias contas.

Recomendação: Determine se a conta de usuário em questão é o usuário real que está tentando fazer log-in.

Use autenticação multifator. Sempre que possível, ative a autenticação multifator em serviços externos. Defina políticas para bloquear contas após um determinado número de tentativas de login com falha para impedir que senhas sejam adivinhadas.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Labels: MITRE_T1110

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Linux

Descrição: É comum que atores de ameaças façam upload de um shell da Web para serviços HTTP. Isso procura soquetes abertos em serviços HTTP comuns, como o Apache.

Recomendação: Confirme com o proprietário do sistema se o caminho do servidor Web deve ter um arquivo com uma escuta de porta do servidor.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: MÉDIO
• Labels: MITRE_T1505.003

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Linux

Descrição: Retorna possíveis Shells Reversos nos processos do sistema. Por exemplo:

Possible reverse shell on system process (pid | path | remote_address | remote_port): 10129 | /usr/bin/bash | | 0, 10164 | /usr/bin/bash | | 0]

Recomendação: Reúna a lista de IPs que estão se conectando ao shell reverso e determine se o IP está na lista de reputação incorreta. Investigue se há outros processos associados ao PID do shell reverso.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Labels: MITRE_T1505.003

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: O malware tenta executar a partir do espaço de privilégio do usuário. Nesta consulta, estamos limitando-a ao espaço temporário e observando a linha de comando para ferramentas comuns usadas para identificar o ambiente.

Recomendação: Investigue o binário para determinar se é uma execução legítima. Considere isolar a instância para investigação adicional.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Labels: MITRE_T1059

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: Detecta processos que tentam se mascarar como processos legítimos do Windows por meio de caminhos incorretos. Por exemplo:

Process masquerading as legitimate windows process explorer.exe at path(s): c:\users\opc\downloads\new folder\explorer\bin\debug\explorer.exe

Recomendação: Reúna o hash do arquivo e determine se ele é um binário inválido conhecido. Determine se o binário mascarado está tentando chamar ou executar outros arquivos no sistema.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Labels: MITRE_T1574.009

Esta regra está presente nas seguintes receitas:

SO: Linux/Windows

• Receita do Detector de Segurança da Instância do OCI - Enterprise (gerenciada pela Oracle)
• Receita do Detector de Segurança da Instância do OCI (gerenciada pela Oracle)

Descrição: Detecta processos que estão atendendo conexões de rede. Por exemplo:

Disallowed open ports: {"scannedIps":[{"hostIp":"127.0.0.53","ports":[{"port":"53","type":null,"process":"systemd-resolve : /lib/systemd/systemd-resolved","family":"ipv4","protocol":"tcp"}

Recomendação: Verifique se essas portas devem estar abertas neste host e feche-as se não for necessário abri-las.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: CRÍTICO
• Labels: MITRE_T1505.003

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: Procurando Putty no modo de listening para criar um túnel SSH.

Recomendação: Reúna a lista de endereços IP que estão se conectando ao processo Putty e investigue qualquer um que pareça suspeito.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Labels: MITRE_T1572

Esta regra está presente nas seguintes receitas:

SO: Linux

• Receita do Detector de Segurança da Instância do OCI - Enterprise (gerenciada pela Oracle)
• Receita do Detector de Segurança da Instância do OCI (gerenciada pela Oracle)

Descrição: Verifica instâncias de computação para identificar vulnerabilidades de segurança cibernética conhecidas relacionadas a aplicativos, bibliotecas, sistemas operacionais e serviços. Esse detector reporta problemas quando o serviço descobre que uma instância tem uma ou mais vulnerabilidades no nível de severidade de CVE configurado ou superior. As vulnerabilidades com nível de severidade de CVE abaixo do nível selecionado não terão um problema do Cloud Guard criado, mas serão refletidas como parte dos problemas agregados mostrados na página Recursos do Cloud Guard.

Recomendação: Analise as vulnerabilidades encontradas e priorize-as. Tome medidas de correção ou mitigação apropriadas para a vulnerabilidade.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: CRÍTICO
• Labels: Segurança de Instância

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Linux

Descrição: Procurando Putty no modo de listening para criar um túnel SSH para um comando de terminal incorporado do Linux.

Recomendação: Reúna a lista de endereços IP que estão se conectando ao processo Putty e investigue qualquer um que pareça suspeito.

Sempre que possível, só permita a execução de scripts assinados. Use o controle de aplicativo quando apropriado.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Labels: MITRE_T1572

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Linux

Descrição: O malware pode usar jobs cron em execução em uma programação periódica para verificar backdoors.

Recomendação: Investigue o binário para determinar se é uma execução legítima. Considere isolar a instância para investigação adicional.

Sempre que possível, só permita a execução de scripts assinados. Use o controle de aplicativo quando apropriado.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: MÉDIO
• Labels: MITRE_T1547

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: O malware pode usar uma tarefa programada em execução na pasta temporária para executar uma backdoor novamente na reinicialização.

Recomendação: Investigue o binário para determinar se é uma execução legítima. Considere isolar a instância para investigação adicional.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Labels: MITRE_T1053

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: Esta detecção procura por serviços Windows suspeitos executados na pasta temporária, que podem ser um mecanismo comum usado por malware para garantir que o backdoor seja executado em uma programação periódica.

Recomendação: Investigue o binário para determinar se é uma execução legítima. Considere isolar a instância para investigação adicional.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: HIGH
• Labels: MITRE_T1547

Esta regra está presente na receita do OCI Instance Security Detector — Enterprise (gerenciada pela Oracle).

SO: Janelas

Descrição: O malware pode usar uma inicialização executar um backdoor novamente na reinicialização.

Recomendação: Investigue o binário para determinar se é uma execução legítima. Considere isolar a instância para investigação adicional.

Parâmetros de Regra:

• Tipo de Serviço: Computação
• Tipo de Recurso: Instância
• Nível de Risco: MÉDIO
• Labels: MITRE_T1547

Descrição: Alerta quando um usuário executou atividades que geram uma pontuação de risco acima do limite do problema, o que pode indicar uma conta comprometida ou uma ameaça interna. Adversários podem usar técnicas de força bruta para obter acesso a contas quando as senhas são desconhecidas. Os usuários podem abusar de seus privilégios atribuídos e executar tarefas muito além dos requisitos de negócios, o que pode ser prejudicial à organização.

Recomendação: considere desativar temporariamente a conta enquanto investiga a atividade e exigir uma redefinição da senha se o usuário não reconhecer a atividade.

Antecedentes: Uma pontuação de risco do usuário que excede o limite de problemas pode indicar uma conta comprometida ou um funcionário descontente.

Parâmetros da Regra: Esta regra não tem parâmetros que você possa modificar.

• Deixe as definições padrão.