注意:
- 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶,請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
- 它會使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時,請將這些值替代為您雲端環境特定的值。
設定 Oracle Cloud Guard 偵測器規則以根據條件偵測問題
簡介
Oracle Cloud Guard 是一項免費的雲端原生服務,可掃描 Oracle Cloud Infrastructure (OCI) 區間的目標,並根據稱為偵測器原則的原則中定義的規則偵測問題。滿足某個規則之後,就會建立一個問題,您可以從主控台複查。「雲端保全」會使用回應器原則中定義的規則來處理問題。雲端保全隨附各種立即可用的偵測器處方。例如,組態偵測器處方、活動偵測器處方等等。偵測器處方觸發這些規則時,有數個偵測器規則,雲端保全便會建立問題。
雲端保全設定完畢之後,就會根據立即可用的偵測器原則開始偵測問題。當您複查雲端保全偵測到的問題時,您可能會發現一些問題是根據您的使用案例造成的誤報。例如,雲端保全「可公開存取執行處理」和「執行處理具有公用 IP」偵測器規則會偵測可從網際網路存取且具有公用 IP 之目標 (區間) 中的執行處理。不過,您想要允許示範 / 訓練運算執行處理具備公用 IP,並可從網際網路存取。
只要在雲端保全偵測器規則中設定條件群組,您就可以達到此目的,幾乎所有類型的偵測器規則都可以這麼做。
目標
- 設定「雲端保全」偵測器規則,根據條件偵測問題。
必要條件
- 可藉由管理員帳戶或管理雲端保全偵測器規則和受管理清單的存取權,存取 OCI 租用戶。
- 「雲端保全」已啟用,並且使用組態偵測器偵測問題。
作業 1:識別應該根據條件執行的偵測器規則
開始設定偵測器規則條件群組之前,您必須先瞭解必須處理的偵測器規則。在本教學課程中,我們將使用組態偵測器規則「執行處理有公用 IP 位址」。此偵測器規則會掃描目標中的運算執行處理,如果已指定執行處理公用 IP,雲端保全便會建立一個問題,如果對應的回應器規則設為自動刪除此規則
同樣地,您可以識別要設定偵測器規則範圍的其他偵測器規則。例如,「儲存桶是公用」偵測器規則會偵測儲存桶是否為公用,而雲端保全則會在偵測回應器規則時將它設為專用。不過,您可以有一個代管公用文件的公用儲存桶,而且必須讓雲端保全對此儲存桶建立問題。
雲端保全有可在偵測器規則偵測到問題時自動觸發 (可設定、預設關閉) 的回應器。在這類情況下,您會瞭解因為 Cloud Guard 回應器規則執行而無法存取資源的使用者有條件存取的偵測器規則。例如,如果使用者由於真正的原因而需要運算執行處理的公用 IP,但雲端保全回應器活動在偵測時已從執行處理移除公用 IP。
注意:在新增條件至處方時,在目標層級的處方中定義的條件會設成該特定目標,而且不會影響其他目標中的其他處方。在處方層級定義的條件將會影響處方附加的所有目標。若要深入瞭解,請參閱這個網頁。
下表顯示可用於處方的一些支援參數。您將會注意到此表格中活動處方參數的目標為動作者,而組態處方參數則以資源為目標。
方法 | 條件式參數 |
---|---|
活動處方 | 區域 - 動作者的來源區域。 位置 (城市、州、省、國家) - 動作者的位置。 標記 - 適用於動作者。 IPv6/IPv4 位址 - 動作者的 IP 位址。 使用者名稱 - 動作者的使用者名稱。 |
組態處方 | 標記 - 套用至資源的標記。 OCID - 資源的 OCID。範例:運算執行處理、資料庫系統、負載平衡器、使用者、群組、原則、VNIC、VCN 等的 OCID。 儲存桶命名空間 / 名稱 CIDR/IPv6/IPv4 位址 - 資源的 IP (適用時範例 - 資料庫系統具有公用 IP 位址,執行處理具有公用 IP 位址)。 |
作業 2:在偵測器規則中建立條件群組
-
瀏覽至 Cloud Guard 、目標、 (target-name) 、目標詳細資訊、偵測器處方、 OCI 組態偵測器處方 (Oracle 管理) 。
注意:如果您複製了立即可用的偵測器處方,請導覽至該處。在我們的範例中,我們將新增條件至偵測器規則「執行處理有公用 IP 位址」。
-
在偵測器規則下,搜尋執行處理,您將會見到執行處理相關的偵測器規則
-
按一下右邊的三個點以編輯偵測器規則。在條件群組之下:
-
在我們的範例
iam-demo
中,選取要套用此規則的區間。 -
從清單中選取參數,範例為
instance OCID
。 -
在我們的範例「不在中」中選取運算子,因為我們希望「雲端保全」使用公用 IP 偵測其中一個執行處理。
-
從清單中選取自訂清單,您將會在下一個步驟中看到受管理清單。
-
如果您有一個以上含有要排除之公用 IP 的運算執行處理,請新增其他條件。
-
輸入執行處理的 OCID 並儲存。
注意:參數清單專屬於偵測器規則。每個規則都會有通用參數,有些則是規則的特定參數。一個條件群組中有多個條件使用邏輯 AND。
-
-
檢視已解決的問題。變更儲存之後,在短時間內,「雲端保全」將透過將問題標示為「已解決」,偵測變更並自動解決運算執行處理的現有問題。您可以在已解決的問題清單中檢視此項目。
我們看到如何透過編輯偵測器規則,在偵測器規則中靜態新增單一或多個條件。如果您需要以不同的值新增相同類型的多個條件,該怎麼辦。其中一個選項是繼續編輯偵測器規則,但是使用我們將會在下一個步驟中看到的受管理清單,以更好的方式執行偵測器規則。
作業 3:在偵測器規則中使用受管理清單
-
建立受管理清單。
注意:在我們的範例中,有少數可以擁有公用 IP 的運算執行處理。因此,我們建立了一個稱為 "PublicInstances" 的受管理清單,此清單類型為「資源 OCID」,並新增了可擁有公用 IP 的所有運算執行處理 OCID。請參閱如何建立受管理清單上的本文件。
-
在偵測器規則中使用受管理清單,而不使用靜態方式新增值。
注意:在我們的範例中,我們已編輯「執行處理具有公用 IP」偵測器規則,將清單從自訂清單變更為受管理清單,並將清單名稱指定為 "PublicInstance"。受管理清單可讓您輕鬆地從某個位置新增 / 刪除執行處理 OCID,而不是編輯偵測器規則。
接下來的步驟
複查雲端保全所產生的問題,瞭解您可以從何處將條件新增至偵測器規則,讓雲端保全無法根據您的業務邏輯產生問題,並移除誤報。
相關連結
確認書
- 作者:Sunil Joshi (OCI Identity/IDCS)
其他學習資源
探索 docs.oracle.com/learn 的其他實驗室,或者存取更多 Oracle Learning YouTube 頻道上的免費學習內容。此外,請瀏覽 education.oracle.com/learning-explorer 以成為 Oracle Learning 檔案總管。
如需產品文件,請造訪 Oracle Help Center 。
Configure Oracle Cloud Guard detector rules to detect problems based on conditions
F82942-02
September 2023
Copyright © 2023, Oracle and/or its affiliates.