注意:

使用 Oracle Cloud Infrastructure Logging Analytics 可视化多因素身份验证日志

简介

在当今的数字环境中,确保云基础设施的安全性至关重要。多因素身份验证 (Multi-Factor Authentication,MFA) 是此安全性的重要组成部分,为用户账户提供了额外的保护层。然而,实施 MFA 只是一个开始。要真正保护您的系统,您需要持续监视和分析 MFA 日志,以检测任何异常或潜在的安全威胁。

面向 OCI Audit 的 Oracle Cloud Infrastructure (OCI) Logging Analytics 可帮助您高效收集、分析和可视化审计日志,确保合规性并增强安全监视。通过利用强大的分析功能,您可以检测异常并深入了解 OCI 环境中的用户活动。

在本教程中,我们将深入了解使用 OCI Logging Analytics 在 OCI 审计日志中分析 MFA 日志的复杂性。无论您是安全专业人员、系统管理员还是云架构师,本教程都将为您提供有效监视和解释 MFA 日志所需的知识和工具。

目标

先决条件

可视化多因素验证日志

  1. 登录到 OCI 控制台,导航到观测和管理日志分析管理OCI 审计日志,然后单击编辑

    “编辑”按钮

  2. 编辑源页中,创建三个扩展字段。测试每个定义和状态应指示成功,如以下屏幕截图中所示。测试后,单击保存

    1. 第一个扩展的字段。

      • 基本字段:选择原始日志内容

      • 基本字段示例:输入 \"ssoAuthFactor\":\"TOTP\"

      • 提取表达式:输入 \\"ssoAuthFactor\\":\\"{User Authentication Method:\w+}

        “编辑”按钮

    2. 第二个扩展的领域。

      • 基本字段:选择原始日志内容

      • 基本字段示例:输入 \"ssoMatchedSignOnRule\":\"OciConsoleMFANonAdminRule\"

      • 提取表达式:输入 \\"ssoMatchedSignOnRule\\":\\"{Rule:\w+}

        “编辑”按钮

    3. 第三个扩展的领域。

      • 基本字段:选择原始日志内容

      • 基本字段示例:输入 \"ssoMatchedSignOnPolicyName\":\"Security Policy for OCI Console\"

      • 提取表达式:输入 \\"ssoMatchedSignOnPolicyName\\":\\"{User Authentication Policy:[^\"\,]+}\\"?

        “编辑”按钮

  3. (可选)用户登录到 OCI 控制台后,创建的相应字段将在日志浏览器页面中填充。

    “编辑”按钮

  4. 从此处下载 zip 文件: OCI-MFA-Dashboard-main.zip ,其中包含 json 文件中的显示板。此文件将用于在 OCI 日志分析中导入。

    “编辑”按钮

  5. In the Import dashboards window, select Specify a compartment and root compartment for both Compartments for dashboards.

    “编辑”按钮

  6. 数据将基于每个小部件中的可用搜索查询填充到仪表盘上。根据以下屏幕截图,请参阅示例仪表板中的小部件。

    “编辑”按钮

    “编辑”按钮

后续步骤

在本教程中,我们将介绍如何使用 OCI Logging Analytics 轻松设置多因素身份验证 (MFA) 日志的可视化。您已经了解了如何提取特定于 MFA 的信息的扩展字段,以及如何设置可视化仪表盘来监视身份验证活动。通过执行以下步骤,您可以增强安全态势并确保符合行业标准。持续监视以检测和解决潜在的安全威胁非常重要。

确认

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室,或者通过 Oracle Learning YouTube 频道访问更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。

有关产品文档,请访问 Oracle 帮助中心