Observação:

• Este tutorial requer acesso ao Oracle Cloud. Para se inscrever e obter uma conta gratuita, consulte Conceitos Básicos do Oracle Cloud Infrastructure Free Tier.
• Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.

Configurar regras do detector do Oracle Cloud Guard para detectar problemas com base nas condições

Introdução

O Oracle Cloud Guard é um serviço nativo da nuvem gratuito que verifica destinos - que são compartimentos do Oracle Cloud Infrastructure (OCI) e detecta problemas com base em regras definidas nas políticas chamadas políticas do detector. Quando uma regra é atendida, ela cria um problema que você pode revisar na console. O Cloud Guard age nos problemas usando regras definidas nas políticas do respondedor. O Cloud Guard vem com várias receitas de detector prontas para uso. Por exemplo, receitas do detector de configuração, receitas do detector de atividade e assim por diante. As receitas do detector têm várias regras do detector, quando essas regras são acionadas, o Cloud Guard cria um problema.

Depois de configurar o Cloud Guard, ele começa a detectar problemas com base nas políticas do detector prontas para uso. Quando você revisa os problemas detectados pelo Cloud Guard, pode ser que alguns problemas sejam falsos positivos com base no seu caso de uso. Por exemplo, o Cloud Guard "A instância é acessível publicamente" e as regras do detector "A instância tem um IP público" detectam instâncias em seus destinos (compartimento) que são acessíveis pela internet e têm um IP público. Porém, você deseja permitir que uma instância de computação de demonstração/treinamento tenha um IP público e tenha-o acessível pela internet.

Você pode fazer isso configurando grupos condicionais nas regras do detector do Cloud Guard e pode fazer isso para quase todos os tipos de regras do detector.

Objetivos

• Configure regras do detector do Cloud Guard para detectar problemas com base nas condições.

Pré-requisitos

• Acesso a uma tenancy do OCI com a conta de Administrador ou acesso para gerenciar regras do detector do Cloud Guard e lista gerenciada.
• O Cloud Guard está ativado e detectando problemas usando detectores de configuração.

Tarefa 1: Identificar a regra do detector que deve ser executada com base em uma condição

Antes de começar a configurar o grupo condicional de regras do detector, você deve saber em quais regras do detector você precisa trabalhar. Neste tutorial, estamos demonstrando o uso de uma regra do detector de configuração "A instância tem um endereço IP público". Essa regra do detector verifica as instâncias de computação em um destino e, se a instância tiver um IP público designado, o Cloud Guard criará um problema e se a regra do respondedor correspondente for definida para excluir automaticamente o

Da mesma forma, você pode identificar outras regras do detector que talvez queira definir o escopo das regras do detector. Por exemplo, a regra do detector "Bucket is public" que detecta se o bucket é público e o Cloud Guard o tornará privado na detecção por regra do respondedor. No entanto, você pode ter um bucket público que hospede documentos públicos e deseja que o Cloud Guard crie problema para esse bucket.

O Cloud Guard tem respondedores que podem ser acionados automaticamente (configurável, padrão desativado) quando uma regra do detector detecta um problema. Nesses casos, você conhecerá as regras do detector que precisam de acesso condicional pelos usuários que não podem acessar o recurso por causa da execução da regra do respondedor do Cloud Guard. Por exemplo, se um usuário precisar de um IP público para uma instância de computação por um motivo genuíno, mas a atividade do respondedor do Cloud Guard tiver removido o IP público da instância após a detecção.

Observação Considere a seguir ao adicionar uma condição a uma receita, as condições definidas na receita no nível do destino têm escopo nesse destino específico e não afetam outras receitas em outros destinos. A condição definida no nível da receita afetará todos os destinos em que a receita está anexada. Leia mais sobre isso aqui.

As tabelas a seguir mostram alguns dos parâmetros suportados disponíveis para receitas. Você observará na tabela que os parâmetros da receita da atividade são direcionados ao ator e os parâmetros da receita de configuração são direcionados ao recurso.

Receita	Parâmetros condicionais
Receita da Atividade	Região - região de onde o ator vem. Local(Cidade, Estado, Província, País) - Local do ator. Tags - Aplicadas ao Ator. IPv6/IPv4 Address - Endereço IP do Ator. Nomes de Usuário - Nome de usuário do ator.
Receita de Configuração	Tags - Tags aplicadas ao recurso. OCID - OCID do recurso. Exemplo: OCID da Instância de computação, Sistema de BD, Balanceador de carga, Usuário, Grupo, Política, VNIC, VCN etc. Namespace do Bucket/Nome CIDR/IPv6/IPv4 Endereço - IP do recurso, quando aplicável (Exemplo - O Sistema de Banco de Dados tem endereço IP público; a Instância tem um endereço IP público).

Tarefa 2: Criar um grupo de condições na regra do detector

1. Navegue até Cloud Guard, Destinos, (nome-alvo), Detalhes do destino, Receita do detector, Receita do Detector de Configuração do OCI (gerenciada pela Oracle).

   Observação: se você clonou a receita do detector pronta para uso, navegue até ela. Em nosso exemplo, vamos adicionar uma condição à regra do detector "A instância tem um endereço IP público".

2. Em regra do detector, procure Instância e você verá regras do detector relacionadas à instância

   

3. Edite a regra do detector clicando nos três pontos à direita. Em um grupo condicional:

   • Selecione o compartimento no qual aplicar essa regra, em nosso exemplo iam-demo.

   • Selecione o parâmetro na lista, em nosso exemplo, instance OCID.

   • Selecione o operador, em nosso exemplo "não está" porque queremos que o Cloud Guard detecte uma das instâncias com IP público.

   • Selecione a lista personalizada na lista. Você também verá a lista gerenciada que será abordada na próxima etapa.

   • Se você tiver mais de uma instância de computação com o IP público que deseja excluir, adicione outra condição.

   • Informe o OCID da instância e salve.

     Observação: A lista de parâmetros é específica das regras do detector. Cada regra terá parâmetros comuns e alguns específicos às regras. Várias condições em um grupo condicional usam AND lógico.

   

4. Exiba o problema resolvido. Depois que as alterações forem salvas, após um curto período, o Cloud Guard detectará a alteração e resolverá automaticamente os problemas existentes para a instância de computação, marcando o problema como resolvido. É possível visualizar isso na lista de problemas resolvidos.

   

Vimos como podemos adicionar estaticamente uma única ou várias condições em uma regra do detector editando a regra do detector. E se você precisar adicionar várias condições do mesmo tipo com apenas um valor diferente. Uma opção é continuar editando a regra do detector, mas há uma maneira melhor de fazer isso usando a lista gerenciada que veremos na próxima etapa.

Tarefa 3: Usar lista gerenciada nas regras do detector

1. Crie uma lista gerenciada.

   Observação: em nosso exemplo, temos algumas instâncias de computação que têm permissão para ter IP público. Portanto, criamos uma lista gerenciada chamada "PublicInstances" do tipo OCID do Recurso e adicionamos o OCID de todas as instâncias de computação que podem ter IP público. Consulte este documento em como criar uma lista gerenciada.

   

2. Use a lista gerenciada nas regras do detector em vez de adicionar os valores estaticamente.

   Observação: em nosso exemplo, editamos a regra do detector "Instância tem IP público" alterada da lista personalizada para a lista gerenciada e especificamos o nome da lista como "PublicInstance". A lista gerenciada facilita a adição/exclusão do OCID da instância de um local, em vez de editar a regra do detector.

   

Próximas Etapas

Revise os problemas gerados pelo Cloud Guard para descobrir onde você pode adicionar condições às regras do detector para que o Cloud Guard não gere problemas com base na sua lógica de negócios e remova falsos positivos.

Links Relacionados

• Ativando o Cloud Guard
• Conceitos do Cloud Guard
• Home do OCI Cloud Guard

Aquisições

• Autor: Sunil Joshi (Identidade/IDCS do OCI)

Mais Recursos de Aprendizagem

Explore outros laboratórios no site docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal YouTube do Oracle Learning. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

---

Título e Informações de Copyright

Configure Oracle Cloud Guard detector rules to detect problems based on conditions

F82942-02

September 2023

Copyright © 2023, Oracle and/or its affiliates.