Conceitos Básicos do Cloud Guard

Verifique os conceitos do Oracle Cloud Guard, certifique-se de atender aos pré-requisitos, ative o Cloud Guard inicialmente e acesse-o normalmente.

Planejamento do Cloud Guard

Gaste tempo planejando como a funcionalidade do Cloud Guard será mapeada para seu ambiente, antes de ativar e configurar o Cloud Guard, para poder economizar tempo depois.

Você pode ativar o Cloud Guard e começar a monitorar seu ambiente imediatamente. Tudo o que você precisa fazer é especificar um único destino mapeado para o compartimento de nível superior, na ramificação do Oracle Cloud Infrastructure que você deseja monitorar. Assim, com o tempo, você pode personalizar a configuração do Cloud Guard, com base na sua experiência com o processamento dos problemas que o Cloud Guard detecta. Você pode personalizar continuamente a configuração do Cloud Guard para otimizar o desempenho em direção a uma meta de duas partes:

Não deixar que nada que represente um possível risco de segurança passe despercebido.
Não detectar "demasiados" falsos positivos - problemas que não representam realmente possíveis riscos para a segurança.

Se você fizer algum planejamento, poderá conseguir obter uma vantagem sobre essa meta de duas partes. Você só precisa fazer uma pesquisa sobre como os recursos da tenancy do Oracle Cloud Infrastructure são organizados em compartimentos.

Pesquisar seu Ambiente

Examine os tipos de recursos armazenados em diferentes partes da hierarquia de compartimentos na tenancy do Oracle Oracle Cloud Infrastructure. Existem grupos de recursos em diferentes partes dessa hierarquia de compartimentos que precisam ser monitorados de formas diferentes, com o objetivo de detectar diferentes tipos de ameaças? O mesmo problema, se detectado em compartimentos diferentes, representaria níveis de risco diferentes?

O Cloud Guard permite definir diferentes áreas na tenancy do Oracle Cloud Infrastructure que podem ser monitoradas de diferentes formas. O compromisso é o de que todos os compartimentos dentro de uma área definida sejam monitorados da mesma forma.

Familiarize-se com a Terminologia do Cloud Guard

Os Conceitos do Cloud Guard definem os termos que você aprende enquanto trabalha com o Cloud Guard. Para começar, a lista a seguir resume o que você precisa saber para começar a planejar o Cloud Guard.

Destino: Define o escopo de verificação do Cloud Guard. Todos os compartimentos de um destino são verificados da mesma forma e você tem as mesmas opções para processar os problemas detectados.
Detector: Executa verificações para identificar possíveis problemas de segurança com base em atividades ou configurações. As regras seguidas para identificar problemas são as mesmas para todos os compartimentos de um destino.
Respondedor: Especifica ações que o Cloud Guard pode executar quando os detectores identificam problemas. As regras de como processar problemas identificados são as mesmas para todos os compartimentos de um destino.

Familiarize-se com as Receitas do Detector do Cloud Guard

Examine as regras descritas nas seções de Referência de Receita do Detector para diferentes detectores. Dentro do seu ambiente:

Há compartimentos que você não deseja que o Cloud Guard monitore de forma alguma? Em caso afirmativo, você deve definir um ou mais destinos de forma a excluir esses compartimentos.
Você acha que convém definir o nível de risco de outra forma, ou ativar e desativar regras de outra forma, para recursos em partes distintas da hierarquia de compartimentos do Oracle Cloud Infrastructure? Para configurar regras do detector de forma diferente para diversos compartimentos, defina destinos distintos para esses compartimentos.
Por exemplo, para a regra de configuração "O bucket é público", o nível de risco padrão é "CRÍTICO" e a regra é ativada por padrão. Essas definições devem ser as mesmas para todos os compartimentos?
Você pode desativar as ações da receita do respondedor nos problemas que os detectores identificam. Se quiser que as ações de uma determinada regra do respondedor sejam ativadas em alguns compartimentos, mas desativadas em outros, defina destinos distintos para esses compartimentos.
Por exemplo, a regra do respondedor "Tornar Bucket Público" é ativada por padrão. Você tem alguns compartimentos nos quais todos os buckets são públicos por design e, portanto, pode desativar essa regra?

Planejar Como os Destinos Serão Mapeados para Compartimentos

Se, neste ponto, você não achar que precisa definir vários destinos e tiver concluído os Pré-requisitos, poderá prosseguir com a tarefa Ativando o Cloud Guard. Você sempre poderá alterar a configuração do destino mais tarde, à medida que a necessidade surgir.

Se você acha que precisa configurar destinos para permitir que diferentes compartimentos sejam monitorados de forma diferente, lembre-se destas diretrizes ao mapear destinos para compartimentos:

Todos os compartimentos de um destino herdam a configuração desse destino. As definições de regra do detector e do respondedor de um destino se aplicam ao compartimento de nível superior designado a esse destino e a quaisquer compartimentos subordinados abaixo dele na hierarquia de compartimentos.
Se quiser excluir alguns compartimentos do monitoramento, crie destinos abaixo do nível raiz e não inclua o compartimento raiz em nenhum destino.
O destino definido em um destino existente substitui a configuração herdada. Em um destino existente, você pode designar a um novo destino um compartimento abaixo do compartimento de nível superior do destino. Você pode alterar as definições de regra do detector e do respondedor no novo destino e essas definições agora se aplicam ao compartimento de nível superior designado a esse destino e a todos os compartimentos subordinados abaixo dele na hierarquia de compartimentos.

Selecione cuidadosamente sua região de relatório

Quando você ativa o Cloud Guard, é solicitado que selecione uma região de inscrição. Considere cuidadosamente estas consequências da sua escolha de região de inscrição:

A região de inscrição selecionada confirma que sua organização atende a todos os requisitos legais do país que hospeda a região.
Depois que o Cloud Guard estiver ativado, você não poderá alterar a região de inscrição sem desativar e reativar o Cloud Guard.
Todas as personalizações e os problemas existentes (incluindo seu histórico) são perdidos quando você desativa o Cloud Guard; por isso, você teria de restaurar manualmente essas personalizações.
Todas as chamadas de API, exceto READs, devem ser feitas na região de inscrição.

Certifique-se de tomar a melhor decisão para sua região de inscrição antes de iniciar as Etapas para Ativar o Cloud Guard.

Ativando o Cloud Guard

Execute esta tarefa para ativar o Oracle Cloud Guard na Console do OCI.

Pré-requisito: Conclua as tarefas em Pré-requisitos e Planning for Cloud Guard.

Duas Estratégias

Você pode usar uma das duas abordagens básicas para permitir o Cloud Guard:

Iniciar com Configuração Padrão: Você deseja que o Cloud Guard comece a relatar problemas o mais rápido possível após a conclusão do processo de ativação.
Não ignore qualquer seleção opcional durante o processo de ativação.
Observação

Se você ignorar qualquer uma das seleções opcionais durante o processo de ativação, o Cloud Guard não começará a relatar problemas automaticamente após a conclusão do processo de ativação. Se você ignorar as definições opcionais durante a ativação, o Cloud Guard não poderá começar a relatar problemas enquanto você não adicionar as receitas do detector ao destino especificado. Consulte Editando um Destino do OCI e Suas Receitas Anexadas.
Personalizar Configuração Primeiro: Você deseja personalizar a configuração do Cloud Guard antes que o Cloud Guard comece a relatar problemas.
Você pode ignorar qualquer uma ou todas as seleções opcionais durante o processo de ativação.

Seja qual for a abordagem adotada para ativar o Cloud Guard, você pode refiná-la conforme necessário após a ativação.

Etapas para Ativar o Cloud Guard

Faça log-in na Console do OCI como usuário do Oracle Cloud Guard criado em Pré-requisitos, na seção "Criando o Usuário e o Grupo do Cloud Guard".
Abra o menu de navegação e a Identidade & Segurança. Em Cloud Guard, selecione qualquer recurso.

Observação

Se a página do recurso do Cloud Guard no qual você clicou for aberta, o Cloud Guard já estará ativado.
Na página Cloud Guard, selecione o botão Ativar Cloud Guard na parte superior direita para abrir a caixa de diálogo Ativar Cloud Guard.
O painel Política do Cloud Guard exibe uma lista de todas as políticas do OCI que devem ser ativadas para que o Cloud Guard fique totalmente funcional. A coluna à direita mostra:
- Não adicionado se a política NÃO estiver ativada no momento.
- Adicionado se a política estiver ativada no momento.
A menos que você esteja reativando o Cloud Guard após a desativação, todas as entradas deverão ser Não adicionadas.

Observação

Essas políticas são privilégios somente leitura que permitem que o Cloud Guard monitore recursos do OCI na tenancy. Você não fornece a essas políticas do Cloud Guard qualquer privilégio de gerenciamento para os recursos,

Exceção: A política manage cloudevents-rules permite que o Cloud Guard crie regras de assinatura de evento de auditoria, que são críticas para o Cloud Guard detectar problemas. As regras do detector de atividades do Cloud Guard funcionam ingerindo e analisando os eventos de auditoria em sua tenancy. O Cloud Guard precisa criar uma regra gerenciada por eventos na nuvem em sua tenancy, para que ele possa se inscrever em seus eventos de auditoria. O privilégio USE é necessário para permitir que o Cloud Guard liste regras de segurança do NSG.

As seguintes políticas do IAM são adicionadas automaticamente ao grupo "Políticas do Cloud Guard" quando você seleciona Criar política na parte inferior do painel Política do Cloud Guard na caixa de diálogo Ativar Cloud Guard:
```
allow service cloudguard to manage cloudevents-rules in tenancy where target.rule.type='managed'
allow service cloudguard to read audit-events in tenancy
allow service cloudguard to read authentication-policies in tenancy
allow service cloudguard to read autonomous-database-family in tenancy
allow service cloudguard to read compartments in tenancy
allow service cloudguard to read compute-management-family in tenancy
allow service cloudguard to read database-family in tenancy
allow service cloudguard to read data-safe-family in tenancy
allow service cloudguard to read dynamic-groups in tenancy
allow service cloudguard to read groups in tenancy
allow service cloudguard to read instance-family in tenancy
allow service cloudguard to read keys in tenancy
allow service cloudguard to read load-balancers in tenancy
allow service cloudguard to read log-groups in tenancy
allow service cloudguard to read object-family in tenancy
allow service cloudguard to read policies in tenancy
allow service cloudguard to read tenancies in tenancy
allow service cloudguard to read users in tenancy
allow service cloudguard to read vaults in tenancy
allow service cloudguard to read virtual-network-family in tenancy
allow service cloudguard to read volume-family in tenancy
allow service cloudguard to use network-security-groups in tenancy
```
1. Na parte inferior do painel Política do Cloud Guard, selecione Criar política.
  
  Se todas as políticas necessárias forem criadas com sucesso, as entradas na coluna à direita agora serão Adicionadas.
2. Se alguma das entradas na coluna à direita ainda for exibida como Não adicionada, adicione essas políticas manualmente:
  Dependendo de como você está usando o serviço OCI Identity, consulte:
  - Serviço IAM com Domínios de Identidade
  - Serviço IAM sem Domínios de Identidade
Selecione Próximo para prosseguir para o painel Informações básicas.
1. Selecione uma Região de inscrição.
  A região de inscrição deve ter suporte do Cloud Guard. Se o Cloud Guard não oferecer suporte à região selecionada, escolha outra.
  Cuidado
  
  Considere cuidadosamente a seleção da região de inscrição:
  - A região de inscrição selecionada confirma que sua organização atende a todos os requisitos legais do país que hospeda a região.
  - Depois que o Cloud Guard estiver ativado, você não poderá alterar a região de inscrição sem desativar e reativar o Cloud Guard.
  - Todas as personalizações e os problemas existentes (incluindo seu histórico) são perdidos quando você desativa o Cloud Guard; por isso, você teria de restaurar manualmente essas personalizações.
  - Todas as chamadas de API, exceto READs, devem ser feitas na região de inscrição.
2. Certifique-se de registrar o nome da região de relatório especificada.
  
  Em todas as tarefas de configuração e solução de problemas que você executa após a ativação, especifique a região de relatório do Cloud Guard, não a região home do OCI.
  
  Observação
  
  Para procurar o nome da região de relatório, consulte Exibindo a Região de Relatório.
3. Especifique os Compartimentos a serem monitorados na tenancy do OCI.
  Selecione uma destas opções:
  - Tudo para monitorar todos os compartimentos.
  - Selecione compartimentos e, em seguida, selecione na lista para monitorar somente os compartimentos especificados.
  - Nenhum para não monitorar qualquer compartimento. Você pode selecionar Nenhum para simplesmente exibir o conteúdo das receitas do detector, antes de ativar qualquer uma delas.
    
    Observação
    
    Sua seleção aqui define um destino a ser monitorado pelo Cloud Guard. Para ativar com a opção "Iniciar com a Configuração Padrão", não selecione Nenhum.
4. (Opcional) Selecione uma Receita do detector de configuração na lista.
  
  Observação
  
  Para ativar com a opção "Iniciar com a Configuração Padrão", não ignore essa seleção.
5. (Opcional) Selecione uma Receita do detector de atividade na lista.
  
  Observação
  
  Para ativar com a opção "Iniciar com a Configuração Padrão", não ignore essa seleção.
6. Selecione Ativar.
  
  Uma barra de progresso substitui o botão Ativar Cloud Guard na página Cloud Guard.
  
  Observação
  
  Se você atingiu esse ponto em uma tenancy livre, a ativação não prosseguirá.
Quando a ativação for concluída, na página Cloud Guard, selecione Ir para o Cloud Guard.

A página Visão Geral do Cloud Guard é exibida e o tour guiado é iniciado. Gradualmente,

Observação

Se você seguiu a abordagem "Iniciar com a Configuração Padrão" no processo de ativação, as informações sobre problemas logo começarão a aparecer no Cloud Guard. A rapidez com que as informações de problemas começam a aparecer depende do seu ambiente, da sua configuração de destinos e detectores e do número de problemas que estão ocorrendo para que o Cloud Guard detecte.
Faça o tour guiado para se familiarizar com os recursos da página Visão Geral.

O Que Vem a Seguir

Observação

Qualquer que seja a abordagem seguida no processo de ativação, o Cloud Guard desativa duas regras do Detector de Configuração do OCI por padrão em novas tenancies. Desativar essas regras inicialmente é necessário para impedir que o Cloud Guard produza um número excessivo de problemas que você consideraria falsos positivos. Para obter mais informações sobre essas regras, consulte:

Dica

Algumas regras do detector que são ativadas por padrão podem produzir um número excessivo de problemas em seu ambiente específico. Para desativar as regras do detector, você deve clonar a receita do detector gerenciada pela Oracle para criar uma versão gerenciada pelo usuário. Consulte Clonando uma Receita do Detector do OCI.

Para remover rapidamente os problemas que agora você considera serem falsos positivos, para cada regra de receita gerenciada pelo usuário que produz um número excessivo de problemas:

Determine as configurações de regra a serem alteradas para que a regra não gere mais esses falsos positivos.
Consulte as informações de referência da regra em Referência de Receita do Detector.
Modifique as definições de regra para que a regra não gere mais esses falsos positivos.
Consulte Editando Definições de Regra em uma Receita do Detector do OCI.
Desative a regra.
Consulte Editando Definições de Regra em uma Receita do Detector do OCI.
Reative a regra.
Consulte Editando Definições de Regra em uma Receita do Detector do OCI.

Se você seguiu a abordagem "Iniciar com a Configuração Padrão" no processo de ativação, as informações sobre problemas logo começarão a aparecer no Cloud Guard. A rapidez com que as informações de problemas começam a aparecer depende do seu ambiente, da sua configuração de destinos e detectores e do número de problemas que estão ocorrendo para que o Cloud Guard detecte.
Observação
Se você seguiu a abordagem "Personalizar a Configuração Primeiro" no processo de ativação, nenhuma informação sobre problemas será exibida até que você conclua todas as tarefas de configuração que você pulou durante a ativação:
1. Defina um ou mais destinos. Consulte Criando um Destino do OCI.
2. Opcional: Clone as receitas do detector gerenciadas pela Oracle. Consulte Clonando uma Receita do Detector do OCI.
3. Opcional: Personalize as receitas do detector para seu ambiente Consulte Editando uma Receita do Detector do OCI Gerenciada pelo Usuário.
4. Adicione receitas do detector a cada destino. Consulte Editando um Destino do OCI e Suas Receitas Anexadas.
Depois que o Cloud Guard começar a relatar problemas:
- Para ajustar sua configuração do Cloud Guard para atender melhor às necessidades específicas de seu ambiente, consulte Personalizando a Configuração Base OCI do Cloud Guard.
- Para interpretar as informações resumidas sobre problemas detectados, fazer drill-down nos detalhes e resolver problemas específicos, consulte Processando os Problemas Relatados.
- Para garantir que o Cloud Guard esteja totalmente integrado a outros serviços da OCI, consulte Integração do Cloud Guard com Outros Serviços.

Integrando o Cloud Guard com Outros Serviços

Certifique-se de que os detalhes de configuração necessários para oferecer suporte à integração do Cloud Guard com outros serviços estejam em vigor.

Depois de concluir a execução das tarefas em Ativando o Cloud Guard, mais algumas tarefas de acompanhamento se você usar a estratégia Personalizar Configuração Primeiro, todas as integrações com outros serviços deverão funcionar sem problemas.

Quando novos serviços com suporte à integração com o Cloud Guard ficarem disponíveis posteriormente, será necessário garantir que os detalhes da sua configuração do Cloud Guard suportem corretamente o novo serviço:

Os destinos do Cloud Guard devem conter todos os compartimentos nos quais se localizam os recursos do novo serviço que o Cloud Guard deve monitorar.
As receitas do detector do Cloud Guard que contêm as regras específicas do novo serviço devem ser anexadas a esses destinos do Cloud Guard.

Expanda um dos nomes de serviço a seguir para ver as etapas a serem seguidas para garantir que os detalhes da configuração do Cloud Guard suportem corretamente o serviço.

Certificates Service

Data Safe Service

Pré-requisito: Certifique-se de que o serviço Data Safe já esteja ativado e operando corretamente. Se você executar as etapas a seguir antes de o serviço Data Safe ser ativado, o Cloud Guard avisará que você precisa ativar o Data Safe, sempre que encontrar um banco de dados.

Se o Cloud Guard ainda NÃO estiver ativado:
1. Ativar o Cloud Guard - consulte Ativando o Cloud Guard.
  
  Siga as etapas para "Iniciar com Configuração Padrão".
2. Certifique-se de ativar a Receita do Detector de Configuração do OCI.
3. Certifique-se de definir um destino do Cloud Guard que abrange os compartimentos do OCI que você deseja que o Cloud Guard monitore para o serviço Data Safe.
4. Certifique-se de que a Receita do Detector de Configuração do OCI esteja anexada ao destino do Cloud Guard - consulte Exibindo Detalhes de um Destino.
  
  Se necessário, consulte Criando um Destino ou Modificando Receitas Adicionadas a um Destino.
Se o Cloud Guard já estiver ativado, certifique-se de que sua tenancy do Cloud Guard tenha:
- Destinos do Cloud Guard definidos que incluem todos os compartimentos do OCI que você deseja que o Cloud Guard monitore para o serviço Data Safe - consulte Exibindo Detalhes de um Destino.
- A Receita do Detector de Configuração do OCI (gerenciada pela Oracle ou pelo usuário) anexada a cada um desses destinos - consulte Exibindo Detalhes de um Destino.
  Se necessário, consulte Criando um Destino ou Modificando Receitas Adicionadas a um Destino.
Adicione as seguintes políticas à tenancy do Cloud Guard para permitir o acesso às informações do serviço Data Safe:

allow service cloudguard to read data-safe-family in tenancy

allow service cloudguard to read autonomous-database-family in tenancy
Se necessário, refine a configuração dessas regras listadas na Receita do Detector de Configuração do OCI (gerenciada pela Oracle ou pelo usuário) - consulte Modificando Definições de Regra nas Receitas de um Destino.
- O Data Safe não está ativado (esta regra fica inoperante depois que o Data Safe é ativado)
- O banco de dados não está registrado no Data Safe (essa regra ficará inoperante, se o Data Safe não estiver ativado)
Seu objetivo é otimizar as configurações de regras para que você não perca problemas reais, mas não fique sobrecarregado com falsos positivos. Pode ser necessário monitorar os problemas gerados pelo serviço Data Safe por um tempo, antes de determinar se alguma modificação de regra é necessária.
Exiba os problemas gerados pelo serviço Data Safe na página Problemas do Cloud Guard - consulte Exibindo a Lista de Problemas.
Para ver os problemas somente do serviço Data Safe, filtre a lista Problemas usando Labels = Segurança de Banco de Dados.
Observação

A entrada Labels não faz distinção entre maiúsculas e minúsculas, mas você deve corresponder exatamente aos caracteres na " segurança do banco de dados".

Threat Intelligence Service

Serviço de Registro em Log

A Segurança da Instância usa o serviço OCI Logging para registrar a atividade.

Pré-requisito: Certifique-se de que o Cloud Guard e o serviço Logging estejam ativados.

Há dois tipos de log produzidos pelo Cloud Guard.

Logs Brutos do Cloud Guard, produzidos pela Segurança da Instância. Você pode ativar esses logs ao anexar uma receita de Segurança de Instância a um destino. Como alternativa, você pode ativá-los no serviço Logging.
Logs de Resultados da Consulta do Cloud Guard, produzidos por consultas programadas.

Para obter informações sobre políticas para trabalhar com logs, consulte Permissões Obrigatórias para Trabalhar com Logs e Grupos de Logs

Para obter informações sobre os tipos de log produzidos pelo Cloud Guard, consulte Detalhes de Log do Cloud Guard.

Documentação do Oracle Cloud Infrastructure