注意：

• 本教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure 免费套餐。
• 它对 Oracle Cloud Infrastructure 身份证明、租户和区间使用示例值。完成实验室后，请使用特定于云环境的那些值替换这些值。

使用 Oracle Cloud Infrastructure Functions 通过电子邮件发送 Oracle Cloud Guard 问题

简介

如今，各行各业的网络安全团队面临着在处理云环境动态性的同时保持稳固的安全态势的复杂挑战。凭借无数的资源、配置和不断发展的威胁，及时跟踪和解决问题至关重要。在 Oracle，我们认识到为组织提供工具来简化安全管理，帮助他们积极应对这些挑战的重要性。Oracle Cloud Guard 提供了强大的功能，可帮助企业简化云安全管理，从仅仅识别漏洞到在团队之间自动分配问题以及时解决问题。

本教程概述了利用 OCI 原生服务的自动化解决方案，使安全团队能够直接通过电子邮件接收和共享详细的 Oracle Cloud Guard 安全报告。这种方法减少了手动干预，促进了持续监控，并确保了云安全性的积极立场。

目标

• 通过电子邮件接收所有 Oracle Cloud Guard 未解决的问题，并将这些问题分发给相应的团队，从而简化解决方法。

先决条件

• 访问 Oracle Cloud Infrastructure (OCI) 租户。

• 管理 Oracle Cloud Guard、OCI Functions、OCI Email Delivery 服务、OCI Vault 和 OCI Resource Scheduler 的权限。

任务 1：设置必需的策略和 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 权限

此解决方案的每个组件都必须有权访问与之交互的 OCI 资源。

• 资源调度程序策略：允许调度程序按定义的调度运行函数。有关更多信息，请参见 Example Policies 。

• 函数策略：授予从 OCI Vault 读取密钥和检索 Oracle Cloud Guard 问题的功能权限。有关详细信息，请参阅函数的详细信息。

任务 2：配置 OCI 电子邮件传送服务

1. 通过创建用于发送报告的批准的发件人电子邮件地址来设置 OCI 电子邮件传送服务。有关更多信息，请参阅创建批准的发件人。

   

2. 通过创建具有有限 SMTP 访问权限的专用用户，为电子邮件帐户生成简单邮件传输协议 (Simple Mail Transfer Protocol，SMTP) 凭证。

   1. 创建 OCI IAM 用户。有关详细信息，请参阅创建用户。

   2. 要编辑用户功能，请参见 Editing a User’s Capabilities 。

   3. 要创建 SMTP 身份证明，请参见 Creating SMTP Credentials 。

   

任务 3：在 OCI Vault 中存储 SMTP 身份证明

使用 OCI Vault 安全地存储 SMTP 凭据。这通过将敏感信息保留在功能之外增加了额外的安全层。

1. 设置 OCI Vault。有关详细信息，请参阅创建 Vault 。

2. 要创建主加密密钥，请参见 Creating a Master Encryption Key 。

3. 要创建密钥，请参见 Creating a Secret in a Vault 。

任务 4：开发和部署函数

此函数提取过去一年中检测到的未解决的安全态势问题。它根据风险级别和检测时间等参数将数据格式化为结构化报告，然后通过电子邮件将其作为逗号分隔值 (CSV) 附件发送。有关详细信息，请参阅部署函数。

以下是核心函数步骤的概述：

• 从 Oracle Cloud Guard 检索未解决的问题。
• 根据严重性组织和设置问题格式。
• 生成 CSV 报告并设置报告的格式。
• 从 Vault 检索 SMTP 凭证。
• 将电子邮件发送给以 CSV 作为附件的指定收件人。

通过使用 OCI 的无服务器功能，您可以自定义此报告，尽可能明确网络安全团队的关键安全领域。

• func.py:

  import oci
  import io
  import smtplib
  import logging
  import base64
  
  from oci.pagination import list_call_get_all_results
  from email.mime.multipart import MIMEMultipart
  from email.mime.base import MIMEBase
  from email import encoders
  from email.mime.text import MIMEText
  from openpyxl import Workbook
  from datetime import datetime, timedelta, timezone
  from openpyxl.styles import Font
  
  # Retrieve secrets from OCI Vault
  def get_secret_value(secret_ocid):
      print(f"Retrieving secret for OCID: {secret_ocid}")
      signer = oci.auth.signers.get_resource_principals_signer()
      secrets_client = oci.secrets.SecretsClient({}, signer=signer)
  
      try:
          secret_content = secrets_client.get_secret_bundle(secret_ocid)
          secret_data = secret_content.data.secret_bundle_content.content
          secret_value = base64.b64decode(secret_data).decode('utf-8')
          return secret_value
      except Exception as e:
          print(f"Failed to retrieve secret: {e}")
          raise
  
  # Format the CSV
  def get_font_style(risk_level, time_condition):
      color_map = {
          "CRITICAL": "8B0000",
          "HIGH": "FF8C00",
          "MEDIUM": "006400",
          "LOW": "00008B",
          "MINOR": "000000"
      }
      font_color = color_map.get(risk_level, "000000")
      is_bold = time_condition
      return Font(color=font_color, bold=is_bold)
  
  def get_clients_with_resource_principal():
      signer = oci.auth.signers.get_resource_principals_signer()
      cloud_guard_client = oci.cloud_guard.CloudGuardClient({}, signer=signer)
      return cloud_guard_client
  
  def send_email_via_oci(subject, body, email, attachment, username_secret_ocid, password_secret_ocid, from_email, smtp_endpoint, smtp_port):
      msg = MIMEMultipart()
      msg['Subject'] = subject
      msg['From'] = from_email
      msg['To'] = email
  
      msg.attach(MIMEText(body, 'plain'))
  
      today_date = datetime.today().strftime('%Y-%m-%d')
      filename = f"CloudGuardReport_{today_date}.xlsx"
      part = MIMEBase('application', "octet-stream")
      part.set_payload(attachment)
      encoders.encode_base64(part)
      part.add_header('Content-Disposition', f"attachment; filename={filename}")
      msg.attach(part)
  
      try:
          username = get_secret_value(username_secret_ocid)
          password = get_secret_value(password_secret_ocid)
  
          server = smtplib.SMTP(smtp_endpoint, smtp_port)
          server.starttls()
          server.login(username, password)
          server.sendmail(msg['From'], [msg['To']], msg.as_string())
          server.quit()
          print("Email sent successfully.")
      except Exception as e:
          print(f"Failed to send email: {e}")
          raise
  
  def handler(ctx, data: io.BytesIO=None):
      try:
          cfg = ctx.Config()
          compartment_id = cfg["compartment-id"]
          from_email = cfg["from-email"]
          email = cfg["to-email"]
          smtp_endpoint = cfg["smtp-endpoint"]
          smtp_port = cfg["smtp-port"]
          username_secret_ocid = cfg["smtp-username-secret-ocid"]
          password_secret_ocid = cfg["smtp-password-secret-ocid"]
          cg_access_level = cfg["cloudguard-access-level"]
  
          cloud_guard_client = get_clients_with_resource_principal()
  
          current_time = datetime.now(timezone.utc)
          time_last_7_days = current_time - timedelta(days=7)
          formatted_time_one_year_ago = (current_time - timedelta(days=365)).strftime("%Y-%m-%dT%H:%M:%S.%fZ")
          formatted_time_last_7_days = time_last_7_days.strftime("%Y-%m-%dT%H:%M:%S.%fZ")
  
          # List problems
          problem_response = list_call_get_all_results(
              cloud_guard_client.list_problems,
              compartment_id,
              compartment_id_in_subtree=True,
              access_level=cg_access_level,
              time_first_detected_greater_than_or_equal_to=formatted_time_one_year_ago,
              time_last_detected_greater_than_or_equal_to=formatted_time_last_7_days
          ).data
  
          if not problem_response:
              logging.info("No open problems found.")
              return {"statusCode": 200, "body": "No open problems found."}
  
          print(f"Found {len(problem_response)} problems")
  
          # Sort problems by Risk Level
          risk_level_order = {"CRITICAL": 1, "HIGH": 2, "MEDIUM": 3, "LOW": 4, "MINOR": 5}
          problem_response.sort(key=lambda x: risk_level_order.get(x.risk_level, 6))
  
          # Create a workbook and select active worksheet
          wb = Workbook()
          ws = wb.active
          ws.title = "Cloud Guard Problems"
  
          ws.append([
              "Region", "ID", "Resource Type", "Resource Name", "Risk Level", 
              "Detector", "Rule Display Name", "Rule Description", "Rule Recommendation", 
              "Resource ID", "Time First Detected", "Time Last Detected"
          ])
  
          # Iterate through the problems
          for problem in problem_response:
              try:
                  detector_rule_response = cloud_guard_client.get_detector_rule(problem.detector_id, problem.detector_rule_id).data
                  rule_description = detector_rule_response.description
                  detector = detector_rule_response.detector
                  rule_display_name = detector_rule_response.display_name
                  rule_recommendation = detector_rule_response.recommendation
              except Exception as e:
                  logging.error(f"Error fetching detector rule details for problem {problem.id}: {str(e)}")
                  rule_description, detector, rule_display_name, rule_recommendation = "N/A", "N/A", "N/A", "N/A"
  
              problem_details = [
                  problem.region, problem.id, problem.resource_type, problem.resource_name, 
                  problem.risk_level, detector, rule_display_name, rule_description, 
                  rule_recommendation, problem.resource_id,
                  problem.time_first_detected.replace(tzinfo=None) if problem.time_first_detected else None, 
                  problem.time_last_detected.replace(tzinfo=None) if problem.time_last_detected else None
              ]
  
              # Add row to worksheet
              ws.append(problem_details)
  
              # Apply format
              time_condition = problem.time_last_detected > problem.time_first_detected if problem.time_last_detected and problem.time_first_detected else False
              font_style = get_font_style(problem.risk_level, time_condition)
              row_number = ws.max_row
              for cell in ws[row_number]:
                  cell.font = font_style
  
          virtual_workbook = io.BytesIO()
          wb.save(virtual_workbook)
          virtual_workbook.seek(0)
  
          # Send email
          send_email_via_oci("OCI Cloud Guard Report", "Find attached the OCI Cloud Guard Report.", email, virtual_workbook.getvalue(), username_secret_ocid, password_secret_ocid, from_email, smtp_endpoint, smtp_port)
  
          return {"statusCode": 200, "body": "Email sent successfully."}
  
      except Exception as e:
          logging.error(f"Error: {str(e)}")
          return {"statusCode": 500, "body": f"Error: {str(e)}"}
  

• func.yaml:

  schema_version: 20180708
  name: oci-cloud-guard-problems
  version: 0.0.1
  runtime: python
  build_image: fnproject/python:3.9-dev
  run_image: fnproject/python:3.9
  entrypoint: /python/bin/fdk /function/func.py handler
  memory: 256
  config:
  compartment-id: Provide a compartment ID here
  to-email: Provide a valid email ID here
  from-email: Provide the Approved Sender Email ID created in the Email Delivery Service
  smtp-username-secret-ocid: Provide the SMTP Username Secret OCID
  smtp-password-secret-ocid: Provide the SMTP Password Secret OCID
  smtp-endpoint: Provide the SMTP endpoint from the Email Delivery Service
  smtp-port: 587
  cloudguard-access-level: ACCESSIBLE or RESTRICTED
  

• requirements.txt:

  fdk
  oci
  openpyxl
  

任务 5：使用 OCI 资源调度程序调度函数

最后一项任务是使用 OCI 资源调度器自动执行函数。此配置可以按周或按定制时间间隔运行，从而确保及时、一致的安全报告。有关更多信息，请参阅创建计划。

1. 要运行函数，请输入以下必需信息。

   在部署函数之前，请收集以下配置详细信息。这些输入将在函数配置文件 (func.yaml) 中提供，或者直接在 OCI 控制台中提供，具体取决于您的部署方法。

   • 区间 ID：这是启用了 Oracle Cloud Guard 的租户 ID。
   • 发件人电子邮件：在 OCI 电子邮件传送服务中创建的已批准发件人电子邮件。
   • 收件人电子邮件：将向其发送报表的电子邮件地址。
   • SMTP 端点：要查找它，请转到电子邮件传送和配置。
   • SMTP 端口：通常为 587 或 25，在 OCI 电子邮件传送服务配置中指定。
   • SMTP 用户名密钥 OCID： SMTP 用户名的 OCID，安全地存储在 OCI Vault 中。
   • SMTP 密码密钥 OCID： SMTP 密码的 OCID，安全地存储在 OCI Vault 中。
   • Cloud Guard 访问级别：定义资源的访问级别（ACCESSIBLE 或 RESTRICTED）。默认值为 ACCESSIBLE。

2. 我们将获得一个可操作的 Oracle Cloud Guard 报告示例输出。

   此 Oracle Cloud Guard 报告提供 OCI 环境中未解决的安全问题的结构化概览，按风险级别分类。通过区域、资源类型、严重性和检测时间戳等关键详细信息，网络安全团队可以评估操作并确定操作优先级。

   

后续步骤

Oracle Cloud Guard 的自动化报告为网络安全团队提供了一种简化、主动的方法来管理云安全风险。组织可以通过一次性配置接收有关未解决的安全问题的每周报告，按严重性和风险级别进行分类。此解决方案可解决云安全管理的复杂手动任务，使团队能够专注于及时解决问题，而不是跟踪问题。有关使用 Oracle Cloud Guard 及其 CNAPP 功能的更多信息，请与 Oracle 代表联系或参见云安全服务。

确认

• 作者 — Aneel Kanuri（杰出云架构师）

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室，或者访问 Oracle Learning YouTube 渠道上的更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Send Oracle Cloud Guard Problems through Email using Oracle Cloud Infrastructure Functions

G23230-01

December 2024

Copyright ©2024,

Oracle 和/或其关联公司。