Documentação do Oracle Cloud Infrastructure

Monitoramento de Atividades de Ameaças

Você pode monitorar atividades de ameaça no Trace Explorer.

O Application Performance Monitoring (APM) monitora atividades executadas por ameaças conforme identificadas por meio da integração com o serviço Oracle Threat Intelligence. Ele fornece visibilidade para ameaças usando o endereço IP dos rastreamentos e intervalos coletados com base nas informações da Inteligência de Ameaças, um serviço da Oracle Cloud Infrastructure (OCI). O APM é integrado ao Threat Intelligence para receber automaticamente informações sobre ameaças se o valor do endereço IP associado ao intervalo tiver sido identificado como um indicador de ameaça. A inteligência de ameaças reúne dados de inteligência de ameaças de várias fontes diferentes e fornece orientações para detecção e prevenção de ameaças. Para obter informações, consulte Inteligência de Ameaças.

Quando um endereço IP do Cliente reportado em um intervalo é identificado como um indicador de ameaça (suspeito) pela Inteligência de Ameaças, o APM recebe as informações de ameaça e as carrega nos seguintes atributos de intervalo:

Se o endereço IP não for identificado como uma ameaça potencial, os atributos de intervalo acima não estarão presentes.

Exibir e Explorar Atividades de Ameaças

Use o painel Monitoramento da Atividade de Ameaças para exibir atividades de ameaça e seu impacto no aplicativo. O Trace Explorer permite que você explore intervalos para detecção de possíveis ameaças.

Execute a seguinte consulta no Trace Explorer para verificar possíveis ameaças:

SHOW (SPANS)
    count(*) as Count,
    ClientIpThreatType, ClientIpThreatConfidence 
WHERE (ClientIpThreatConfidence is not omitted)
GROUP BY ClientIpThreatType, ClientIpThreatConfidence
Resultado: Uma lista de intervalos com endereços IP como indicadores de ameaça no banco de dados do Threat Intelligence é exibida com as seguintes colunas: ClientIpThreatType e ClientIpThreatConfidence.
Para exibir um intervalo individual, você pode clicar no ícone Ações e selecionar Mostrar Detalhes do Intervalo.

Exemplos de Consulta Adicionais:

  • A consulta a seguir mostra ameaças potenciais e sua pontuação máxima de ameaça usando a view de mapa geográfico:

    SHOW (TRACES)
   geoCountryCode, count(*) as "Traces",
   sum(ErrorCount) as "Errors", sum(PageViews) as "Page Views",
   sum(ConnectTime) as "Total connect time",
   max(ClientIpThreatConfidence) as “Threat Confidence”
WHERE ClientIpThreatType is not omitted and geoCountryCode is not omitted
GROUP BY geoCountryCode

  • A consulta a seguir mostra endereços IP suspeitos, sua localização geográfica (cidade e país), tipo de ameaça e confiança de ameaça:

    SHOW TRACES case 
 when ClientIpThreatType is omitted 
 then ‘No Threat IP’ 
 else ClientIp end as “IP Address”,
 ClientIpThreatType as “Threat Type”,
 percent_of_items() as “% of activity”, 
 count(*) as Count, 
 max(GeoCountry) as Country,
 max(GeoCity)  as City, 
 max(ClientIpThreatConfidence) as “Threat Confidence” 
GROUP BY case when ClientIpThreatType is omitted then ‘No Threat IP’ else ClientIp end, ClientIpThreatType
ORDER BY percent_of_items() desc timeseries for count(*)

Verificar Detalhes de Intervalos

Os detalhes do intervalo mostram todos os atributos de um intervalo individual. Para ameaças potenciais, revise o valor dos seguintes atributos: ClientIpThreatType e ClientIpThreatConfidence.

Ambos os atributos são preenchidos em intervalos nos quais o ClientIp foi identificado como uma ameaça.

Observação

Os detalhes do intervalo listam o tipo de ameaça com a pontuação mais alta. Para obter uma lista completa de todos os diferentes tipos de ameaça e pontuações para esse endereço IP específico, marque Logs em Detalhes do intervalo.

Para obter mais informações sobre o indicador de ameaça detectada (endereço IP suspeito), possíveis implicações e recomendações, consulte o serviço Threat Intelligence.