监控和审计您的环境

为监视启用 Cloud Guard

企业架构师、安全架构师

借助 Oracle Cloud Guard，您可以获得跨 Oracle Cloud Infrastructure 客户租户的云安全态势统一视图。

Cloud Guard 事件应由安全团队进行监视。

确保在租户的根级别启用了 Cloud Guard 以监视所有区间。Oracle Cloud Guard 可检测租户中配置错误的资源和不安全活动，并为安全管理员提供对云安全问题进行分类和解决的可见性。可以使用开箱即用的安全配方自动修复安全不一致问题，从而有效扩展安全运营中心。Oracle 提供了用于在 Cloud Guard 中启用实例安全的检测器配方（Cloud Guard 组件，用于根据资源配置或活动确定潜在的安全问题）。

实例安全性是 Oracle Cloud Guard 配方，用于监视计算主机的可疑活动。实例安全性为计算虚拟和裸金属主机中的负载提供运行时安全性。实例安全将 Cloud Guard 从云安全态势管理扩展到云工作负载保护。实例安全性可确保在一个位置满足安全需求，并可一致地查看和全面了解基础设施的安全状态。

配置审计

企业架构师、安全架构师

Oracle Cloud Infrastructure Audit 服务将对所有受支持的 Oracle Cloud Infrastructure 公共应用编程接口 (API) 端点的调用自动记录为日志事件。

目前，所有服务都支持 Oracle Cloud Infrastructure Audit 日志记录。

Oracle Cloud Infrastructure Object Storage 支持记录与存储桶相关的事件，但不支持记录与对象相关的事件。Oracle Cloud Infrastructure Audit 记录的日志事件包括 Oracle Cloud Infrastructure 控制台、命令行界面 (Command Line Interface，CLI)、软件开发工具包 (Software Development Kits，SDK)、您自己的定制客户端或其他 Oracle Cloud Infrastructure 服务执行的 API 调用。日志中的信息包括：

API 活动发生的时间。
活动的来源。
活动目标。
操作的类型。
答复的类型。

每个日志事件都包括标头 ID、目标资源、所记录事件的时间戳、请求参数和响应参数。您可以使用控制台、API 或适用于 Java 的 SDK 查看 Oracle Cloud Infrastructure Audit 记录的事件。来自事件的数据可用于执行诊断、跟踪资源使用情况、监视合规性以及收集与安全相关的事件。

如果您有需要访问 Oracle Cloud Infrastructure Audit 数据的第三方工具，请配置服务连接器中心以将 Oracle Cloud Infrastructure Audit 数据复制到对象存储，并设置适当的保留期。

审核您的政策

企业架构师、安全架构师

定期查看策略以确保它们符合良好的安全实践。

策略审计者可以使用 Oracle Cloud Infrastructure 控制台以临时方式查看 IAM 策略。此外，还可以利用多个选项生成策略报告以进行脱机分析。

Cloud Guard 具有两个专门用于 IAM 策略的配置检测器配方和一个活动检测器配方：

策略提供的权限太多。
授予组的租户管理员权限。
已修改安全策略。

虽然可以修改 Oracle 管理的配方，但 Oracle 建议克隆配方以允许您更改这些规则所针对的对象（通过使用标记或区间）。这允许租户内的生产环境具有更严格的控制，同时放宽位于租户中不同区间的非生产环境中的限制。如果您需要在更细粒度的级别查看 IAM 策略，Oracle 建议使用已修改安全策略检测器触发以下事件：

通过策略触发手动检查。
调用函数以执行调查或补救。

审计策略时，请考虑以下潜在问题：

在哪里定义了策略，这些策略是否符合组织的区间使用标准？
审计动态组的使用情况。这些组是否授予过多的权限？
哪些服务已配置，它们位于何处？某些服务可能仅限于某些区间或组。
找到删除任何重复的语句。
确定向整个租户授予特权的策略。
确定权限多于所需权限的组。

Oracle Access Governance Cloud Service 是一款云原生身份和管理 (IGA) 解决方案，它提供用户预配、访问审查和身份分析功能，可帮助您定义和管理访问权限。利用人工智能/机器学习驱动的智能提供的具体可行的策略洞察，帮助审计策略。

监视 VCN 流日志

企业架构师、安全架构师

VCN 流日志可捕获网络流量信息，以满足您的监视和安全需求。

VCN 中的每个资源都具有一个或多个虚拟网络接口卡 (virtual network interface card，VNIC)。安全列表用于决定通过特定 VNIC 允许哪些流量。VNIC 受到与 VNIC 子网关联的所有安全列表中的所有规则约束。为了帮助您排除安全列表故障或审计进出 VNIC 的流量，您可以设置 VCN 流日志。

监视有关通过 VCN 的流量的详细信息。
审计流量并排除安全列表故障。
启用和管理来自网络命令中心的流日志。
使用捕获筛选器评估和选择要包括在流日志中的流量。
利用 Oracle Cloud Infrastructure Logging 将日志信息发送到指定的日志组。
为 VCN、子网、目标特定实例、网络负载平衡器或资源 VNIC 中的所有 VNIC 启用流日志作为启用点。

持续扫描漏洞

企业架构师、安全架构师

漏洞扫描仪是一种软件工具，可帮助企业识别计算机系统、网络、应用和数据存储中的漏洞并确定其优先级。这些扫描器分析目标系统或应用程序以发现潜在弱点，例如：

过时的软件或固件。
未修补的缺陷（例如：未修补的操作系统、软件或插件）。
设置配置错误。
代码不安全或编程错误。
密码不足或验证机制。

Oracle Vulnerability Scanning Service 定期检查主机是否存在潜在漏洞，从而帮助改善 Oracle Cloud Infrastructure 中的安全状况。该服务生成包含有关这些漏洞的度量和详细信息的报告。

Oracle Vulnerability Scanning Service 的核心功能包括：

简单、默认、规范、免费的扫描套件，与 Oracle Cloud Infrastructure 平台紧密集成。
基于 Oracle Cloud Infrastructure 创建的开源扫描引擎的默认插件和引擎，用于主机和容器扫描。
Oracle Cloud Infrastructure 可管理这些引擎和代理在客户车队中的部署、配置和升级。
扫描套件检测到的问题将通过 Oracle Cloud Guard 呈现，并通过规则和机器学习来确定关键漏洞的优先级。
Oracle Cloud Infrastructure 将通过响应者采取行动（警报、自动立即或隔离），缩短从检测到补救的时间，包括通过最大安全区域。
与第三方漏洞扫描器（例如 Qualys Vulnerability Management、 Detection and Response）集成。

将服务日志聚集到 SIEM 平台

Enterprise Architect、Security Architect、Network Architect

您可以将 OCI 服务日志发送到安全信息和事件管理 (SIEM) 平台，从而提高对安全攻击的响应能力。

通过 SIEM 平台，您可以监视来自不同来源的安全事件，例如网络、设备和身份。您还可以使用机器学习实时分析这些信号，以关联各种信号，并识别威胁性黑客活动和通过网络传播的不规则安全事件。

OCI 可以向多个第三方 SIEM 平台发送日志和事件。