Documentação do Oracle Cloud Infrastructure

Sobre o Detector de Ameaças

Entenda os conceitos e a terminologia necessários para trabalhar com o componente Detector de Ameaças do Cloud Guard.

O componente Detector de Ameaças no Cloud Guard coleta e processa informações sobre ameaças em potencial da seguinte forma:

  1. As informações são coletadas dos destinos do Cloud Guard.
  2. O Detector de Ameaças obtém informações sobre ameaças potenciais do Threat Intelligence Service. Estes são indicadores de comprometimento, como endereços IP e domínios, que estão associados a servidores de comando e controle de malware conhecidos.
  3. Essas informações são executadas por meio de modelos alinhados com o MITRE ATT&CK Framework para categorizar as táticas e técnicas potenciais envolvidas.
  4. Esses modelos produzem "avistamentos" - instâncias individuais de comportamento malicioso em potencial - que são pontuadas para avaliar a gravidade das consequências se o ataque for real e a probabilidade de que o ataque seja real.
  5. Em seguida, os avistamentos são colados em um perfil de recurso.
  6. O perfil do recurso é pontuado para avaliar o risco descrito pela sequência de avistamentos.
  7. Um nível de risco é atribuído, com base na pontuação de risco mais alta dos últimos 14 dias.
  8. Se o nível de risco se tornar crítico, um problema será gerado.

As páginas Monitoramento de ameaças e Detalhes do Monitoramento de ameaças exibem informações para cada perfil de recurso listado. Para interpretar as informações exibidas, familiarize-se com os conceitos-chave e a terminologia a seguir.

Conceitos de Monitoramento de Ameaças de Alto Nível

Esses conceitos são básicos para entender o monitoramento de ameaças no Cloud Guard, especialmente ao trabalhar com as páginas Monitoramento de ameaças e Detalhes do Monitoramento de ameaças.

  • Avistamento - uma instância específica de comportamento malicioso potencial que o Cloud Guard detectou. Os avistamentos individuais estão correlacionados entre o tempo e entre as regiões. O conjunto de avistamentos relacionados é avaliado quanto à probabilidade de ele representar um ataque e quanto à gravidade do ataque.
  • Tipo de Avistamento - O Cloud Guard detecta vários tipos diferentes de avistamento. Consulte Referência do Tipo de Avistamento.
  • Correlação: O Cloud Guard coleta dados brutos em cada região. O Cloud Guard então correlaciona os avistamentos relacionados entre as regiões e calcula uma pontuação normalizada para os avistamentos relacionados. Se a pontuação de risco normalizada exceder um limite, o Cloud Guard acionará um problema e atribuirá um nível de severidade e um nível de confiança ao problema.
  • Confiança: Um nível de confiança representa uma estimativa da probabilidade de um acionamento realmente representar um invasor real. O Cloud Guard usa as mesmas categorias para os níveis de Severidade e Confiança nos detalhes resultantes do Sighting:

    A combinação de fatores que o Cloud Guard usa para determinar o nível de confiança é distinta para tipos diversos de avistamento. Consulte as seções "Severidade" e "Confiança" para cada tipo de avistamento em Referência do Tipo de Avistamento.

  • Severidade: Um nível de confiança representa uma estimativa da probabilidade de um acionamento realmente representar um invasor real. Um nível de severidade representa o nível de ameaça potencial apresentado por um avistamento - quão grave pode ser o avistamento, supondo que ele represente um invasor real. O Cloud Guard exibe as seguintes categorias para os níveis de Severidade e Confiança nos detalhes resultantes do Sighting:

    A combinação de fatores que o Cloud Guard usa para determinar o nível de severidade é distinta para tipos diversos de avistamento. Consulte as seções "Severidade" e "Confiança" para cada tipo de avistamento em Referência do Tipo de Avistamento.

  • Pontuação de Avistamento - combina avaliações de Severidade e Confiança, junto com outros fatores, para derivar uma estimativa numérica da gravidade da ameaça.

    A Pontuação de Avistamento é diferente da Pontuação de Risco associada a problemas.

  • Pontuação de Risco: O Cloud Guard coleta dados brutos em cada região e calcula uma pontuação de risco bruto para avistamentos relacionados. O Cloud Guard então correlaciona os avistamentos relacionados entre as regiões e calcula uma pontuação normalizada para os avistamentos relacionados. Se a pontuação de risco normalizada exceder um limite, o Cloud Guard acionará um problema e atribuirá um nível de severidade e um nível de confiança ao problema.
  • Nível de Risco - é baseado na Pontuação de Risco de Pico de 14 Dias. (Crítico, Alto, Médio, Baixo, Menor). O Nível de Risco aumenta imediatamente quando uma pontuação de alto risco é registrada. Se nenhuma outra Pontuação de Risco alta for registrada, o Nível de Risco diminuirá lentamente, pois essa Pontuação de Risco leva 14 dias para sair do cálculo do Nível de Risco.

    Para obter as definições desses níveis de risco, consulte Exibindo Problemas no Snapshot de Problemas.

  • Tática - da perspectiva do MITRE ATT&CK Framework, o avistamento seria classificado como uma instância dessa tática MITRE. Por exemplo, Escalação de Privilégio ou Acesso de Credencial.
  • Técnica - do ponto de vista do MITRE ATT&CK Framework, o avistamento seria classificado como uma instância dessa técnica ou subtécnica MITRE. Por exemplo, Adivinhação de Senha ou Exfiltração para o Cloud Storage.
  • Perfil do Recurso - o conjunto de informações que o Cloud Guard observou para recursos específicos que podem estar sob ataque, conforme indicado pela Pontuação de Risco derivada dos avistamentos correlatos. Essas informações incluem avistamentos, pontuações e IDs de recursos. À medida que o Cloud Guard monitora os destinos, ele cria perfis para os recursos que ele observa e cria avistamentos conforme os comportamentos maliciosos vão sendo detectados. No momento, o perfil de recurso está sempre focado em um usuário.

Parâmetros Relatados para Avistamentos

Os parâmetros a seguir também são monitorados. Alguns desses parâmetros aparecem apenas na página Monitoramento de ameaças ou na página Detalhes do Monitoramento de ameaças.

  • Recurso, ID do Recurso, Nome do Recurso - um identificador do recurso visado no avistamento.
  • Compartimento - o compartimento do OCI no qual o recurso está localizado.
  • Destino - o destino do Cloud Guard que contém o compartimento do OCI.
  • Regiões - a região ou regiões nas quais o rastreamento foi detectado.
  • Primeira Detecção - a data e a hora em que o avistamento foi detectado pela primeira vez.
  • Última Detecção - a data e a hora da última detecção do avistamento.
  • Pontuação de Risco de Pico - a pontuação de risco mais alta para um perfil de risco específico.
  • Data de pico - a data da pontuação de risco mais alta para um perfil de risco específico.
  • ASN do Ponto Final - o Número do Sistema Autônomo associado ao endereço IP do ponto final identificado em um avistamento.
  • Serviço de Ponto Final - os serviços específicos usados do ponto final identificado em um avistamento.
  • Tipo de Ponto Final - se o endereço IP for conhecido pelo serviço OCI Threat Intel, ele será declarado " suspeito" e o endereço IP se tornará um link para as informações desse serviço.